Geum.ru

Государственный комитет по размещению государственных заказов республики хакасия

Вид материалаДокументация об аукционе

Содержание


Требования к организационному обеспечению
Показатели назначения
Требования к режиму функционирования
Требования к документированию
Источники разработки
Подобный материал:
1   ...   19   20   21   22   23   24   25   26   ...   29

Требования к организационному обеспечению


Для достижения достаточного уровня безопасности системы на этапе проектирования должны быть разработаны организационные меры по защите информации. Комплекс организационно-режимных мероприятий, документированных процедур, программных и технических средств защиты, а также технологий их применения должны определяться политикой информационной безопасности ЕСИБ ЕИТКС-К УВД.

Документы должны предусматривать организационно-технические, режимные и другие меры, исключающие:
  • разглашение сведений о защищаемой информации, о компонентах системы, включая средства защиты;
  • несанкционированное ознакомление с распечатанной защищаемой информацией;
  • вывод информации на неучтенные носители (в том числе несанкционированный вывод на печать);
  • несанкционированный доступ к защищаемой информации в процессе ремонтных и регламентных работ;
  • несанкционированное изменение состава информации, программных и аппаратных средств в процессе ремонтных и регламентных работ;
  • негласное изъятие или хищение носителей с защищаемой, аутентифицирующей или ключевой информацией;
  • негласную модификацию защищаемой информации, аутентифицирующей или ключевой информации на носителях информации;
  • несанкционированный физический доступ в помещения и к функционирующим штатным средствам;
  • несанкционированное изменение конфигурации программно-технических средств.

Показатели назначения


Применяемые средства защиты информации должны быть сертифицированы органами по сертификации уполномоченных федеральных органов исполнительной власти в соответствии с их компетенцией.

Предварительные классы защищенности, которым должны соответствовать «КСОБЖН» и компоненты СЗИ представлены в таблице 3.1.


Таблица 3.1

Система, подсистема, компонент
Требуемый класс защиты

Автоматизированная система


Криптографические средства

КС3

Средства вычислительной техники
5

Контроль отсутствия недекларированных возможностей
4


Компоненты подсистемы управления доступом должны быть установлены на всех АРМ и серверах.

Компоненты подсистемы антивирусной защиты должны обеспечивать защиту всех АРМ и серверов от вредоносного ПО.

В комплект поставки должны включаться дистрибутивы программных средств защиты.

Требования к надежности и ЗИП определяются настоящим ТЗ. Отдельные требования к надежности могут быть уточнены при проектировании.

Требования к режиму функционирования


Должна быть обеспечена работа компонент и подсистем в следующих режимах функционирования:
  • компоненты подсистемы управления доступом на серверах – в режиме 24х7х365;
  • компоненты подсистемы управления доступом на АРМ – в рабочее время пользователей;
  • средства антивирусной защиты на серверах – в режиме 24х7х365;
  • средства антивирусной защиты на АРМ – в рабочее время пользователей;
  • компоненты управления – в режиме 24х7х365.

Требования к документированию


Требования к документированию определяются настоящим ТЗ.

В результате выполнения работ по созданию СЗИ «КСОБЖН» и аттестации должен быть разработан рабочий проект

Состав Рабочего проекта:
  • пояснительная записка;
  • схема структурная комплекса технических средств.

В рабочем проекте должна быть указана:
  • Детальность регистрации событий происходящих в информационной системе.
  • Схема взаимодействия всех компонентов подсистем СЗИ.
  • При использовании средств криптографической защиты:
  • Месторасположение средств криптографической защиты.
  • Схема распределения ключевой информации.
  • При использовании средств антивирусной защиты:
  • Месторасположение средств антивирусной защиты.
  • Схема взаимодействия всех компонентов средств антивирусной защиты.
  • Схема распределения обновлений вирусных баз.
  • При использовании средств обнаружения и предотвращения угроз:
  • Месторасположение средств обнаружения и предотвращения угроз.
  • Схема распределения обновлений сигнатур атак.
  • При использовании средств резервирования:
  • Компоненты, которые предлагается резервировать.
  • Тип резервирования.
  • Способы и методы резервирования.
  • Схема резервирования при резервировании файлов, баз данных.

Проектная документация на создание СЗИ должна соответствовать требованиям ГОСТ 34.201-89 и РД 50-34.698-90.

Источники разработки


Выполнение работ, предусмотренных настоящим техническим заданием, должно производиться с учетом требований указанных ниже документов.
  • Конвенция Совета Европы О защите физических лиц при автоматизированной обработке персональных данных. Страсбург, 28 января 1981 года
  • Конституция РФ, 12 декабря 1993 г.
  • Федеральный закон РФ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
  • Федеральный закон от 27 июля 2006 г. №152-ФЗ О персональных данных.
  • Федеральный закон РФ от 27 июля 2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон РФ от 10 января 2002 г. №1-ФЗ Об электронной цифровой подписи;
  • Федеральный закон от 08.08.2001 №128-ФЗ РФ ФЗ О лицензировании отдельных видов деятельности;
  • Постановление Правительства РФ от 17 ноября 2007 года №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Постановление Правительства РФ от 15 сентября 2008 г N 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
  • Постановление Правительства РФ от 6 июля 2008 г N 512 Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
  • Постановление Правительства РФ от 02 июня 2008 г. №419 О федеральной службе по надзору в сфере связи и массовых коммуникаций.
  • Постановление Правительства РФ от 25 мая 2005 г. №328 Об утверждении правил оказания услуг подвижной связи.
  • Постановление Правительства РФ от 15 августа 2006 г. N 504 О лицензировании деятельности по технической защите конфиденциальной информации
  • Постановление Правительства РФ от 23 сентября 2002 г. N 691 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами;
  • Указ Президента РФ от 6 марта 1997 г. №188 Перечень сведений конфиденциального характера;
  • Положение о государственном лицензировании деятельности в области защиты информации от 27.04.94 № 10;
  • ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью;
  • Международный стандарт ИСО/МЭК 27001-2005 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования;
  • ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения;
  • ГОСТ Р 51583-2000 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
  • ГОСТ Р 50922-2006 Защита информации. Основные термины и определения;
  • ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
  • ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»;
  • ГОСТ Р ИСО/МЭК 13335 Информационная технология. Методы и средства обеспечения безопасности
  • ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
  • Тройственный приказ ФСТЭК от 13 февраля 2008 года №55, ФСБ №86 и Министерства информационных технологий и связи №20. Об утверждении порядка проведения классификации информационных систем персональных данных.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, Москва, 2002 г.;
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены заместителем директором ФСТЭК России 15 февраля 2008 года.
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 года.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 года.
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 года.
  • РД Гостехкомиссии РФ. Защита от несанкционированного доступа к информации. Термины и определения. 1992 г.;
  • РД Гостехкомиссии РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 1997 г.;
  • РД Гостехкомиссии РФ. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации
    Классификация по уровню контроля отсутствия недекларированных возможностей, Гостехкомиссия России, Москва, 1999 г.;
  • РД Гостехкомиссии РФ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год;
  • РД Гостехкомиссии РФ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты, Гостехкомиссия России, 2003 год;
  • РД Гостехкомиссии РФ. Руководство по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год;
  • Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия России, Москва, 1994г.;
  • Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Введена в действие приказом от 13 июня 2001 года N 152 (ФАПСИ);
  • Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), введено приказом ФСБ РФ от 9 февраля 2005 г. N 66;
  • Требования к средствам криптографической защиты конфиденциальной информации, ФСБ РФ, Москва;
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г., №149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России, №149/6/6-622.