Техническое задание сумбатянц Илья, гр. 9201 Общие сведения Настоящее типовое техническое задание разработано для типовых систем группы сп и описывает требования к Системе защиты персональных данных испдн




Скачать 232.91 Kb.
НазваниеТехническое задание сумбатянц Илья, гр. 9201 Общие сведения Настоящее типовое техническое задание разработано для типовых систем группы сп и описывает требования к Системе защиты персональных данных испдн
Дата публикации07.06.2013
Размер232.91 Kb.
ТипТехническое задание
odtdocs.ru > Право > Техническое задание
ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Сумбатянц Илья, гр. 9201

Общие сведения

  1. Настоящее типовое техническое задание разработано для типовых систем группы СП и описывает требования к Системе защиты персональных данных ИСПДн.

  2. На предпроектной стадии создания системы защиты персональных данных настоящее типовое техническое задание (ТТЗ) должно быть уточнено путем разработки Частного технического задания (ЧТЗ), учитывающего специфику конкретной системы обработки персональных данных.

  3. Разработка ЧТЗ осуществляется на основании разрабатываемой (либо существующей) Модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.

  4. Полное наименование и обозначение системы: Система защиты персональных данных специальных ИСПДн.

  5. Сокращенное наименование системы: СЗПДн.

  6. Шифр разработки: СП.

  7. Государственный заказчик: Служба занятости населения Иркутской области

  8. Пользователь: Работник службы занятости

  9. Исполнитель: Организация hedlx

  10. Работы по созданию СЗПДн проводятся на основании следующих документов:

    • Государственный контракт на создание СЗПДн;

    • ЧТЗ на создание СЗПДн;

    • Требования нормативной и организационно-распорядительной документации.

  1. Плановый срок начала работ – 10.12.2012

  2. Плановый срок завершения работ – 31.12.2012

  3. Финансирование работ осуществляется поэтапно в соответствии с Государственным контрактом, заключенным между Государственным заказчиком и Исполнителем работ.

  4. По завершении этапов работ Исполнитель предъявляет Государственному заказчику и Пользователю комплект документации, предусмотренной настоящим ТТЗ, и акты сдачи-приемки научно-технической продукции для проведения приемки.

  5. Порядок оформления и предъявления Государственному заказчику и Пользователю результатов работ определяется на основании действующих стандартов и договорных документов между Государственным заказчиком и Исполнителем.

  6. При разработке ТТЗ использовались следующие нормативно-технические документы и методические материалы:

    • Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

    • Постановление Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

    • Постановление Правительства РФ №687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    • Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

    • Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;

    • Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

    • Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

    • Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

    • Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

    • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

    • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

    • Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

    • Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

    • Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

    • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;

    • ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

    • ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;

    • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

  1. Назначение и цели создания СЗПДн

    1. Назначение СЗПДн

      1. Назначением СЗПДн является обеспечение информационной безопасности (ИБ) персональных данных (ПДн), обрабатываемых в информационной системе персональных данных (ИСПДн).

      2. СЗПДн призвана обеспечить конфиденциальность, целостность, доступность и другие свойства ПДн при их обработке в ИСПДн.

      3. Объектом защиты СЗПДн является ИСПДн, описание которой приведено в разделе 0 настоящего ТТЗ.

    2. Цели создания СЗПДн

      1. Целями создания СЗПДн являются:

            • обеспечение защищенности ИСПДн в процессе обработки и хранения ПДн, обеспечение конфиденциальности ПДн при их обработке, а также других необходимых свойств информации (целостности, доступности, подотчетности и т.п.);

            • соответствие требованиям обеспечения ИБ при обработке ПДн в ИСПДн, регламентируемых РД ФСТЭК России и ФСБ России.

      1. В результате создания СЗПДн должно быть обеспечено:

            • снижение вероятности реализации актуальных угроз несанкционированного доступа (НСД) к ПДн (методика определения вероятности реализации угроз приведена в РД ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»);

            • поддержание полноты и неизменности ресурсов ИСПДн, задействованных в обработке ПДн;

            • определение подлинности субъекта доступа;

            • отслеживание действий субъектов информационных отношений.

      1. Критериями оценки достижения поставленных целей по созданию СЗПДн являются:

            • соответствие требованиям по обеспечению безопасности ПДн в ИСПДн соответствующего класса, определенным в приказе ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

            • выполнение требований настоящего ТТЗ.

      1. Класс ИСПДн может быть пересмотрен по результатам предпроектного обследования объекта защиты, включающего в себя разработку и согласование с Пользователем Модели угроз для каждой конкретной ИСПДн.

      2. Подтверждением соответствия достигнутых результатов заданным целям в рамках настоящего ТТЗ является аттестация ИСПДн на соответствие требованиям безопасности информации.

  1. Характеристика объекта защиты

    1. Объектом защиты являются ПДн, обрабатываемые в специальной ИСПДн.

    2. Обработка ПДн в ИСПДн осуществляется с использованием средств автоматизации.

    3. ИСПДн может включать в свой состав:

      • выделенное автоматизированное рабочее место (АРМ), подключенное к ССОП;

    1. В рассматриваемой ИСПДн обрабатываются ПДн категории 2.

    2. Для ПДн категории 2 объем одновременно обрабатываемых ПДн в информационной системе должен включать в себя сведения о менее чем 1000 субъектах ПДн.

    3. ИСПДн относится к типовым, так как в ней не обрабатывается информация о состоянии здоровья субъектов ПДн и нет необходимости обеспечивать в ИСПДн, кроме конфиденциальности, любое другое свойство информации, например, доступность, целостность, подотчетность и другие.

    4. ИСПДн может иметь подключение к сетям связи общего пользования и сетям международного информационного обмена.

    5. По режиму обработки ПДн ИСПДн является однопользовательской.

    6. Все технические средства ИСПДн находятся на территории Российской Федерации.

    7. Актуальные угрозы ИБ, которым подвержена ИСПДн, определяются и обосновываются в Модели угроз, разрабатываемой Исполнителем на этапе проектирования ИСПДн.

    8. Модель угроз разрабатывается на основе Руководящего документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

    9. Класс специальной ИСПДн в соответствии с совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» определяется на основе Модели угроз.

  1. Требования к СЗПДн

    1. Требования к СЗПДн в целом

      1. Требования к структуре и функционированию

        1. В состав СЗПДн должны входить следующие подсистемы:

              • управления доступом;

              • регистрации и учета;

              • обеспечения целостности;

              • антивирусной защиты;

              • обнаружения вторжений;

              • обеспечения межсетевой безопасности;

              • анализа защищенности.

        1. Структура СЗПДн может изменяться и уточняться по результатам разработки Модели угроз на предпроектной стадии с учетом обоснования необходимых изменений в ЧТЗ.

        2. Подсистема управления доступом должна проводить процедуру проверки подлинности пользователя, его авторизации.

        3. Подсистема регистрации и учета должна обеспечивать регистрацию действий пользователей при работе с ресурсами ИСПДн и учет событий ИБ.

        4. ^ Подсистема обеспечения целостности должна обеспечивать контроль неизменности состояния рабочей среды пользователей при работе на АРМ, а также системных файлов ОС серверной части ИСПДн, а также обеспечивать анализ защищенности системного и прикладного программного обеспечения ИСПДн с помощью программных средств или программно-аппаратных средств анализа защищенности (САЗ).

        5. ^ Подсистема антивирусной защиты должна обеспечивать защиту от вредоносных программ серверов и АРМ пользователей ИСПДн.

        6. Требования к подсистеме обнаружения вторжений предъявляются для информационных систем, подключенных к сетям международного информационного обмена и к сетям общего пользования и обеспечиваются путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.

        7. ^ Подсистема анализа защищенности должна обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему.

        8. Требования к подсистеме обеспечения межсетевой безопасности предъявляются для информационных систем, подключенных к сетям международного информационного обмена и к сетям общего пользования и обеспечиваются использованием межсетевых экранов.

      1. ^ Требования к численности и квалификации персонала, режиму его работы

        1. Квалификация персонала должна быть достаточной для осуществления им настройки общесистемных и сетевых сервисов СЗПДн и настройки СЗИ СЗПДн.

        2. Персонал СЗПДн должен осуществлять обслуживание и эксплуатацию СЗПДн по рабочим дням в рабочее время с возможностью выхода в нерабочее время для проведения сервисного обслуживания или восстановления работоспособности СЗПДн.

      2. Показатели назначения

        1. Системно-технические решения СЗПДн должны обеспечить минимизацию вероятности реализации актуальных угроз, описанных в Модели угроз для данной ИСПДн.

        2. Экономический эффект от создания СЗПДн должен проявляться в снижении вероятной величины материального и морального ущерба по отношению к субъектам и оператору ПДн.

      3. Требования к надежности

        1. Аппаратно-программные компоненты СЗПДн должны удовлетворять условию круглосуточной работы, позволять осуществлять резервирование и восстановление системы после сбоев.

        2. Должна быть обеспечена возможность резервного копирования конфигураций и журналов регистрации событий компонентов СЗПДн.

      4. Требования безопасности

        1. В процессе обслуживания и эксплуатации оборудования СЗПДн должна обеспечиваться безопасность персонала.

        2. Конструкция используемого оборудования должна обеспечивать защиту эксплуатирующего персонала от поражения электрическим током в соответствии с требованиями ГОСТ 12.2.003 и ГОСТ 12.2.007.

        3. Размещение оборудования на штатных местах должно обеспечивать его безопасное обслуживание и эксплуатацию.

      5. Требования к эргономике и технической эстетике

        1. Серверные компоненты и активное сетевое оборудование СЗПДн должны иметь возможность установки в монтажные стойки, предоставленные для размещения оборудования системы.

        2. АРМ администратора, входящее в состав СЗПДн, должно отвечать требованиям ГОСТ 27201-87 «Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования».

        3. АРМ администратора СЗПДн должно обеспечивать возможность непрерывной работы операторов в течение смены в соответствии с требованиями Постановления Главного государственного санитарного врача РФ от 3 июня 2003 г. № 118 «О введении в действие санитарно-эпидемиологических правил и нормативов СанПиН 2.2.2/2.4.1340-03» с изменениями от 25 апреля 2007 г.

        4. Серверные компоненты и активное сетевое оборудование СЗПДн должны иметь возможность установки в монтажные стойки, предоставленные для размещения оборудования системы.

      6. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн

        1. При создании СЗПДн должны использоваться унифицированные, однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, удобства эксплуатации.

        2. Климатические условия эксплуатации компонентов СЗПДн должны соответствовать требованиям ГОСТ 21552-84 и ГОСТ 27201-87.

        3. Эксплуатация программно-технических средств должна предусматривать следующие виды технического обслуживания:

      • оперативное обслуживание,

      • профилактические работы.

        1. Оперативное обслуживание должно предусматривать ежедневный контроль функционирования аппаратно-технических средств, целостности ресурсов системы. Оперативное обслуживание не должно нарушать выполнения функций СЗПДн в целом.

        2. Профилактическое обслуживание должно предусматривать периодическую проверку и обслуживание составных частей СЗПДн, для которых такое обслуживание предусмотрено эксплуатационной документацией.

        3. Объем и порядок выполнения технического обслуживания технических и программных средств СЗПДн должны определяться эксплуатационной документацией.

        4. Физический доступ неуполномоченных лиц к сетевому и серверному оборудованию должен быть запрещен.

        5. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению могут уточняться на этапе проектирования СЗПДн.

      1. Требования по сохранности информации при авариях

        1. Сохранность информации при авариях в СЗПДн должна обеспечиваться методом резервного копирования.

        2. Решения по обеспечению сохранности информации в СЗПДн при авариях должны быть разработаны на стадии технорабочего проекта.

      2. Требования к защите от влияния внешних воздействий

        1. Защита ИСПДн от влияния внешних воздействий должна осуществляться в рамках общих организационно-технических мероприятий по обеспечению безопасности и физической защите на объектах Пользователя.

        2. В рамках СЗПДн должны использоваться средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации и требованиям Госкомсвязи России «Автоматизированные системы управления аппаратурой электросвязи», 1998 г. по электромагнитной совместимости и помехозащищенности.

      3. Требования к патентной чистоте

        1. При создании СЗПДн должны соблюдаться положения законодательных актов Российской Федерации по соблюдению авторских прав и защите специальных знаков.

        2. При поставке программного обеспечения должны быть выполнены требования Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 г., а также международные патентные соглашения.

      4. Требования по стандартизации и унификации

        1. Решения по использованию технических средств и ПО в СЗПДн должны использовать однотипные компоненты в целях обеспечения снижения расходов на обслуживание и ремонт, взаимозаменяемости используемых компонентов, удобства эксплуатации.

        2. Должна обеспечиваться совместимость технических средств и ПО СЗПДн с техническими средствами и ПО, используемыми в ИСПДн.

    1. Требования к функциям, выполняемым СЗПДн

      1. Требования к функциям СЗПДн для защиты специальной ИСПДн предъявляются после разработки Модели угроз для ИСПДн. Требования к функциям формулируются в ЧТЗ на создание СЗПДн.

    2. Требования к видам обеспечения

      1. Требования к программному обеспечению

        1. Выбор программных (программно-аппаратных) средств защиты должен проводиться с учетом средств защиты, эксплуатируемых у Пользователя.

        2. Предлагаемое к использованию ПО должно быть лицензировано фирмой-производителем.

        3. Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.

        4. В процессе эксплуатации СЗПДн лицензии на дополнительные функции ПО должны поддерживаться в актуальном состоянии.

        5. Средства защиты информации, входящие в состав СЗПДн, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК по защите от НСД к информации.

        6. Требования к программному обеспечению, используемому для защиты информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО) в части необходимости обеспечения контроля отсутствия в нем недекларированных возможностей (НДВ) должны быть определены в ЧТЗ.

      2. Требования к техническому обеспечению

        1. Выбор аппаратных (программно-аппаратных) средств защиты должен проводиться с учетом средств защиты, эксплуатируемых у Пользователя.

        2. Аппаратные компоненты должны обеспечивать функции диагностики, резервирования и взаимозаменяемости.

        3. В составе СЗПДн должны использоваться аппаратные (программно-аппаратные) СЗИ, сертифицированные по требованиям ФСТЭК России и ФСБ России.

      3. Требования к организационному обеспечению

        1. Должна осуществляться физическая охрана помещений, в которых находятся средства ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.

        2. Мониторы АРМ должны располагаться таким образом, чтобы препятствовать возможности несанкционированного визуального съема информации с них.

        3. Должны быть проведены мероприятия по защите от утечки ПДн по техническим каналам, в случае если угрозы утечки определены в Модели угроз как актуальные.

  1. Состав и содержание работ по созданию СЗПДн

    1. Работы по созданию СЗПДн осуществляют по стадиям и этапам:

      1. Предпроектная стадия:

      • обследование ИСПДн;

      • классификация ИСПДн;

      • разработка Модели угроз;

      • разработка Частного технического задания (ЧТЗ) на создание СЗПДн.

      1. Технорабочий проект:

      • разработка Технорабочего проекта СЗПДн;

      • разработка эксплуатационной документации (в случае необходимости);

      • разработка организационно-распорядительной документации (в случае необходимости).

      1. Ввод в действие:

      • поставка оборудования и ПО согласно спецификации, разработанной на этапе проектирования;

      • монтаж оборудования, установка и настройка ПО в соответствии с проектными решениями;

      • предварительные испытания и ввод в опытную эксплуатацию;

      • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

      • доработка СЗПДн по результатам опытной эксплуатации (при необходимости);

      • аттестация ИСПДн:

        • разработка аттестационной документации;

        • оценка соответствия ИСПДн требованиям безопасности;

        • проведение аттестационных мероприятий ИСПДн;

        • приемочные испытания и перевод ИСПДн в промышленную эксплуатацию.

    1. На предпроектной стадии проводится обследование ИСПДн:

    • уточняется перечень ПДн, подлежащих защите;

    • уточняется информация о категориях и составе ПДн, обрабатываемых автоматизированными и неавтоматизированными способами; проводится анализ состава ПДн в ИСПДн, собирается информация о защищенности ПДн;

    • уточняются условия расположения объекта защиты относительно границ контролируемой зоны;

    • уточняются конфигурация и топология ИСПДн и систем связи в целом и их компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

    • уточняются состав технических средств и систем, предполагаемых к использованию в СЗПДн, условия их расположения, общесистемные и прикладные программные средства;

    • уточняются режимы обработки информации в ИСПДн в целом и в отдельных ее компонентах; для ИСПДн производится анализ собранной информации об угрозах и их показателях для разработки Модели угроз;

    • уточняется класс ИСПДн;

    • разрабатывается Модель угроз для ИСПДн на основе методических рекомендаций ФСТЭК России, а также Модель нарушителя (в случае необходимости) на основе методических рекомендаций ФСБ России;

    • уточняется степень участия сотрудников в обработке информации, характер их взаимодействия между собой и со службой ИБ;

    • разрабатывается ЧТЗ на создание СЗПДн.

    1. По результатам проведенных работ по обследованию ИСПДн в дополнение к настоящему ТТЗ разрабатывается ЧТЗ с детальными требованиями к СЗПДн.

    2. При разработке ЧТЗ формируется перечень документации, разрабатываемой на стадии технорабочего проекта.

    3. На стадии технорабочего проекта разрабатывается документация согласно ЧТЗ, при этом содержание документов должно соответствовать требованиям РД 50-34.698-90.

    4. На стадии ввода в действие выполняются следующие работы:

      • поставка оборудования и ПО на площадку Пользователя согласно спецификации, разработанной на стадии технорабочего проекта;

      • монтаж оборудования, установка и настройка ПО в соответствии с проектными решениями;

      • опытная эксплуатация СЗИ СЗПДн в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

      • доработка СЗПДн по результатам опытной эксплуатации (при необходимости);

      • инструктаж персонала Пользователя по работе с основными компонентами СЗПДн;

      • в случае необходимости проводится обучение персонала Пользователя использованию СЗИ, применяемых в СЗПДн.

    1. На этапе аттестации проводятся мероприятия по получению аттестата соответствия ИСПДн требованиям безопасности.

    2. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса, используемого на конкретном объекте информатизации.

    3. Под аттестацией объекта автоматизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – Аттестатом соответствия подтверждается, что объект соответствует требованиям стандартов и нормативно-техническим документам (в том числе по безопасности ПДн), утвержденным ФСТЭК России.

    4. Аттестационные испытания ИСПДн на соответствие требованиям РД ФСТЭК России проводятся в два подэтапа:

      • Разработка пакета аттестационных документов.

      • Подготовка и проведение аттестационных испытаний.

    1. По окончании аттестационных испытаний ИСПДн оформляется комплект отчетных документов, необходимых для получения аттестата соответствия.

    2. После получения аттестата соответствия проводятся приемочные испытания с целью перевода ИСПДн в промышленную эксплуатацию. Акт о приемке системы в промышленную эксплуатацию должен быть подписан Государственным заказчиком, Пользователем и Исполнителем.

    3. Стадии проведения работ по созданию СЗПДн приведены в Табл. 1.

      ^ Табл. 1 – Стадии создания СЗПДн



      Наименование стадии

      Сроки начала работ

      Сроки окончания работ

      Результат

      1

      Предпроектная стадия

      10.12.2012

      12.12.2012

      Разработанное ЧТЗ

      2

      Технорабочий проект

      13.12.2012

      21.12.2012

      Техническая, рабочая и другая документация

      3

      Ввод в действие

      22.12.2012

      31.12.2012

      Акт сдачи ИСПДн в промышленную эксплуатацию



    4. Стадии создания СЗПДн должны соответствовать требованиям ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания».

  1. Порядок контроля и приемки

    1. Контроль и приемка работ осуществляются на основании ЧТЗ и соответствующих программ и методик испытаний.

    2. Содержание отчетных материалов согласуется на уровне специалистов Государственного заказчика, Пользователя и Исполнителя в соответствии с ЧТЗ. Исполнитель должен быть заранее проинформирован Государственным заказчиком и Пользователем о порядке и сроках согласования отчетных материалов, перечне вопросов, которые подлежат согласованию, составе согласующих подразделений и организаций и степени их компетенции при согласовании тех или иных разделов отчетной документации.

    3. В случае необходимости может быть проведена защита предлагаемых решений в процессе технического совещания специалистов Исполнителя и Пользователя.

    4. Настоящее ТТЗ может быть уточнено или изменено в процессе работы. Уточнения и изменения ТТЗ производятся по согласованию сторон. Оформление изменений осуществляется выпуском дополнений, которые являются неотъемлемой частью настоящего ТТЗ.

    5. Согласование и утверждение изменений производится в том же порядке и теми же должностными лицами, что и согласование и утверждение ТТЗ.

    6. Замечания по отчетным материалам должны быть представлены Исполнителю с техническим обоснованием в письменной форме.

    7. Виды, состав, объем и методы испытаний СЗПДн и ее частей определяются программой и методикой испытаний.

    8. Испытания проводятся на площадках развертывания СЗПДн.

    9. Сроки приемки работ определяются календарными планами и сроками проведения соответствующих этапов в соответствии с техническими требованиями на создание СЗПДн.

    10. Прием и сдача проводимых работ осуществляются совместной комиссией на основе утвержденной программы и методики испытаний.

  2. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу СЗПДн в действие

    1. Реализация требований настоящего раздела не входит в перечень работ, выполняемых Исполнителем в рамках создания СЗПДн. Данные требования должны быть реализованы Пользователем.

    2. На этапе ввода СЗПДн должен быть определен перечень лиц, допущенных к обработке ПДн, обрабатываемых в ИСПДн.

    3. Должен быть определен перечень информации, классифицируемой как ПДн.

    4. Разграничение прав доступа в серверные помещения должно регламентироваться внутренними организационно-распорядительными документами Пользователя.

    5. Компоненты СЗПДн, в том числе телекоммуникационное оборудование, должны быть подключены к источникам бесперебойного питания.

    6. Серверное помещение должно быть оборудовано средствами вентиляции и кондиционирования воздуха, достаточными для работы оборудования в соответствии с документацией производителя, а также средствами автоматического пожаротушения и пожарной сигнализации.

  3. Требования к документированию

    1. На стадии технорабочего проекта рекомендуется выпустить следующий комплект документации:

      • Ведомость технорабочего проекта;

      • Пояснительная записка к технорабочему проекту;

      • Описание технологического процесса обработки данных;

      • Таблица соединений и подключений;

      • Чертеж установки технических средств;

      • План расположения;

      • Паспорт;

      • Программа и методика испытаний.

    1. Окончательный перечень документов, выпускаемых на стадии технорабочего проекта, должен быть определен в ЧТЗ.

    2. Виды, комплектность и содержание документов в части, определенной настоящим ТТЗ, должны учитывать требования ГОСТ 34.201-89 и РД 50-34.698.

    3. Комплект проектных материалов предоставляется Государственному заказчику и Пользователю в электронном виде и на твердой копии (количество экземпляров определяется в ЧТЗ). Вся разрабатываемая проектная документация должна быть выполнена на русском языке.

  1. ^ Источники разработки

    1. При разработке проектных решений необходимо руководствоваться официальными документами фирм-производителей применяемых аппаратных средств и программного обеспечения, документами третьих сторон, осуществляющих тестирование и эксплуатацию решений, материалами, предоставляемыми Пользователем.

    2. Проектные решения должны обеспечивать соблюдение следующих федеральных законов, постановлений Правительства Российской Федерации и нормативных актов:

      • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

      • Федеральный закон от 08 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;

      • РД Гостехкомиссии России «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»;

      • Руководящие документы ФСТЭК России и ФСБ России, регламентирующие мероприятия в области защиты информации.

  1. ^ Перечень принятых сокращений

АРМ

Автоматизированное рабочее место

АС

Автоматизированная система

ИБ

Информационная безопасность

ИСПДн

Информационная система персональных данных

НСД

Несанкционированный доступ

ОС

Операционная система

ПДн

Персональные данные

ПО

Программное обеспечение

РД

Руководящие документы

САЗ

Средства анализа защищенности

СЗИ

Средства защиты информации

СЗПДн

Система защиты персональных данных

СУБД

Система управления базами данных

ТТЗ

Типовое техническое задание

ФЗ

Федеральный закон

ЧТЗ

Частное техническое задание

Добавить документ в свой блог или на сайт

Похожие:

Частное техническое задание
Назначение частного технического задания на разработку системы защиты персональных данных

Требования по обеспечению безопасности персональных данных при их...
ПДн) при обработке в информационных системах персональных данных (далее – испдн). Настоящий документ является методическим документом,...

Информационная система персональных данных (испдн)
Магнитогорска ) в отношении порядка работы с персональными данными. Политика обработки и защиты персональных данных (далее — Политика)...

Техническое задание №1 (Приложение №1) и Техническое задание №2 (Приложение №2) разрабатываются
Акционерное общество “Научно-технологический институт транскрипции, трансляции и репликации”, являющийся плательщиком налога на прибыль...

Техническое задание сумбатянц Илья, гр. 9201 Общие сведения Настоящее типовое техническое задание разработано для типовых систем группы сп и описывает требования к Системе защиты персональных данных испдн iconТехническое задание на проектирование систем инженерного обеспечения...
На проектирование систем инженерного обеспечения и противопожарной защиты торгово-развлекательного комплекса

Положение о работе с персональными данными работников и обучающихся...
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...

Техническое задание для подбора оборудования по водоподготовке Организация/Контактное лицо

Техническое задание

Наименование органа власти
Подготовка отчета о результатах проведения в 201 г проверок информационных систем персональных данных (испдн) (внутренней, подведомственных...

О работе с персональными данными работников и
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
odtdocs.ru
Главная страница