Партнерка на США и Канаду по недвижимости, выплаты в крипто

  • 30% recurring commission
  • Выплаты в USDT
  • Вывод каждую неделю
  • Комиссия до 5 лет за каждого referral

Приложение

конкурсной документации

Технические Требования

Лот № 2

обеспечение защиты персональных данных в информационных системах Управления делами Президента Российской Федерации

СОДЕРЖАНИЕ

1. Общие сведения. 3

2. Полное наименование проекта и его условное обозначение. 3

3. Плановый состав работ по реализации проекта. 3

4. Назначение и цели работ. 3

5. Характеристика объектов автоматизации. 3

6. Общие требования к системе. 4

6.1. Требования к режимам функционирования системы.. 4

6.2. Требования к документированию.. 4

6.2.1. Общие требования к документированию.. 4

6.2.2. Требования к лингвистическому обеспечению.. 10

6.2.3. Требования к представлению документации. 10

7. Требования к составу и содержанию работ. 11

7.1. Проведение работ по авторизации пользователей. 12

7.2. Сопровождение и техническое обслуживание системы.. 12

8. Порядок контроля и приемки работ. 14

ПРИЛОЖЕНИЕ 1. 15

1. Общие сведения

Данный документ содержит состав и требования к выполнению работ и оказанию услуг по проведению комплекса мероприятий направленных на защиту персональных данных (далее ПДн) в информационных системах, эксплуатируемых в Управления делами Президента Российской Федерации.

2. Полное наименование проекта и его условное обозначение

Полное наименование проекта: «Обеспечение защиты персональных данных, дальнейшее развитие и сопровождение информационных Систем Управления делами Президента Российской Федерации».

Сокращенное наименование проекта (условное обозначение): «Защита ПДн».

НЕ нашли? Не то? Что вы ищете?

3. Плановый состав работ по реализации проекта

-  проведение комплекса мероприятий по защите ПДн;

-  расширение функциональности Систем;

-  сопровождение и техническое обслуживание Систем.

4. Назначение и цели работ

Основными целями работ являются:

·  Разработка и внедрение системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз;

·  расширение функционала Систем до рамок, необходимых Государственному Заказчику;

·  расширение возможности информационного взаимодействия Систем с внешними системами;

·  обеспечение надежного функционирования Систем.

Результатом проводимых работ должны стать функционирующие в полном объеме автоматизированные системы бухгалтерского учета и отчетности, учета кадров, централизованного учёта прикрепленного контингента «Прикрепление» и система обеспечения санаторно-курортными путевками «Санаторий», обеспечивающие современный технологический и информационный уровень хранения и обработки персональных данных, исключающий возможности нарушения их целостности и безопасности.

5. Характеристика объектов автоматизации

Объектами автоматизации являются рабочие места сотрудников в структурных подразделениях Управления делами Президента Российской Федерации, согласованных с Заказчиком.

Автоматизации подлежат следующие технологические процессы:

·  ведение централизованного хранилища демографических данных, включая подсистему единой нормативно-справочной информации;

·  взаимодействие между Системами;

·  защита ПДн Систем.

В настоящее время в Управлении делами Президента Российской Федерации для защиты данных используются:

·  шифрование каналов связи;

·  средства ЭЦП.

6. Общие требования к системе

6.1. Требования к режимам функционирования системы

Программно-технические средства (ПТС) Систем должны функционировать в следующих режимах работы:

·  штатный режим работы;

·  режим работы с частичной потерей функциональности.

Основным режимом функционирования является штатный режим, при котором Системы поддерживают выполнение всех заявленных функций. В этом режиме Системы обеспечивают работу всех зарегистрированных пользователей в течение установленного для них рабочего дня.

В режиме работы с частичной потерей функциональности Систем отдельные их функции или данные становятся недоступными для пользователей. Это может быть вызвано следующими причинами:

·  нарушение связи;

·  техническое обслуживание;

·  реконфигурация системы;

·  модернизация системы, обновление версии программного обеспечения.

6.2. Требования к документированию

6.2.1. Общие требования к документированию

Состав проектной документации на Системы должен отвечать требованиям ГОСТ 34.201-89. Содержание документов, разрабатываемых при создании Систем, должно соответствовать требованиям РД 50-34.698-90.

Состав программной документации на Системы должен отвечать требованиям ГОСТ 19.101-77.

Состав документации по системе защиты ПДн должен включать следующие документы:

·  Должностные инструкции персонала комплекса ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;

·  Инструкция о порядке проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

·  Формы согласия субъекта;

·  Положения договоров, в соответствии с которым оператор персональных данных поручает обработку ПДн другим лицам;

·  Формы требований, запросов, возражений и заявлений субъекта ПДн;

·  Формы бланков предоставления сведений, отказа оператора в предоставлении сведений запрошенных субъектом ПДн, а также бланков уведомлений и разъяснений;

·  Формы и бланки учета, предусмотренных нормативными правовыми актами и методическими документами регуляторов;

·  Формы списка лиц, допущенных к ПДн, обрабатываемым в информационной системе;

·  Формы уведомления в Роскомнадзор об обработке (о намерении осуществлять обработку) ПДн для регистрации в качестве оператора ПДн;

·  Приказы и распоряжения по реализации разработанных организационных мер по защите ПДн;

·  Перечень работ, выполняемых Управлением делами Президента Российской Федерации в рамках обеспечения защиты ПДн;

·  Пояснительная записка;

·  Описание технологического процесса обработки информации в ПИБ;

·  План организационно-технических мероприятий по вводу КСЗ ПИБ в действие;

·  Матрица (правила разграничения) доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам каждой защищаемой ПИБ;

·  Правила межсетевого экранирования;

·  Описания настроек средств защиты;

·  Программа и методика испытаний средств защиты информации в составе ПИБ;

·  Спецификация оборудования, изделий и материалов;

·  Формы распорядительных и учетных документов.

В состав разрабатываемого порядка обработки персональных данных входят следующие документы:

·  Разработка должностных инструкций персоналу комплекса ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн (в том числе регламентирующие учет защищаемых носителей информации, тестирование функций ПИБ, использование средств восстановления, а также возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним)[1].

·  Инструкция о порядке проведения разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных (к инструкции прилагается форма заключения по результатам разбирательства).

·  Формы согласия субъекта ПДн во всех случаях, когда такое согласие требуется в соответствии с законодательством.

·  Положения договоров, в соответствии с которым оператор персональных данных поручает обработку ПДн другим лицам.

·  Формы требований, запросов, возражений и заявлений субъекта ПДн во всех случаях, когда такие документы требуются в соответствии с законодательством.

·  Формы бланков предоставления сведений, отказа оператора в предоставлении сведений запрошенных субъектом ПДн, а также бланков уведомлений и разъяснений.

·  Формы и бланков учета, предусмотренных нормативными правовыми актами и методическими документами регуляторов.

·  Формы списка лиц, допущенных к ПДн, обрабатываемым в информационных системах.

·  Формы уведомления в Роскомнадзор, об обработке (о намерении осуществлять обработку) ПДн для регистрации в качестве оператора ПДн.

·  Приказы и распоряжения по реализации разработанных организационных мер по защите ПДн.

В состав разрабатываемой проектной и рабочей документации входят следующие документы:

·  Перечень работ, выполняемых самостоятельными подразделениями Управления делами Президента Российской Федерации в рамках обеспечения защиты ПДн. Документ содержит перечень требований, которые Заказчик должен реализовать средствами ППО.

·  Пояснительная записка должна содержать следующие основные разделы:

·  Общие положения. Раздел должен содержать:

-  наименование выполняемых работ и наименования документов, их номера и дату утверждения, на основании которых ведется проектирование КСЗ ПИБ;

-  цели, назначение и области использования КСЗ ПИБ;

-  сведения об использованных при проектировании нормативно-технических документах;

·  Описание процесса деятельности. Раздел должен содержать:

-  перечень и описание используемых технологий обеспечения ИБ, описание их взаимосвязи для обеспечения установленных целей защиты информации;

-  описание действий персонала организации по обеспечению безопасности информации с использованием данных технологий (в случае, если действия не автоматизированы с использованием программно-технических средств).

·  Основные технические решения. Раздел должен содержать:

-  Описание структуры КСЗ ПИБ;

-  Состав функций реализуемых КСЗ ПИБ;

-  Описание комплекса технических средств, его размещения на объекте;

-  Сведения о реализации требований по функциям ИБ, заданных в настоящем техническом задании.

·  Схема структурная комплекса технических средств. Раздел должен содержать:

-  схематичное изображение компонентов локальной вычислительной сети, осуществляющих маршрутизацию, с указанием их взаимных соединений;

-  изображение средств защиты информации, как программных, так и программно-аппаратных;

-  сетевые сегменты ЛВС, с указанием их названия и/или функционального назначения;

-  внешние каналы связи с указанием:

§  объекта/сети, с которым осуществляется взаимодействие;

§  способа передачи данных;

§  скорости передачи данных.

·  Описание организационной структуры. Раздел должен содержать:

-  описание необходимых ролей персонала по обеспечению функционирования КСЗ ПИБ, функций персонала, квалификации, режимам его работы и порядку взаимодействия;

-  проектные решения по изменению организационной структуры управления КСЗ ПИБ и их обоснование (при наличии изменений);

-  описание изменений во взаимосвязях между подразделениями (при наличии);

-  описание организационной структуры и функций подразделений, создаваемых с целью обеспечения функционирования КСЗ, а также описание регламента их работы и расчет числа необходимых штатных единиц (в случае выявления необходимости создания такого подразделения).

·  Мероприятия по подготовке к вводу КСЗ в действие. Раздел должен содержать:

-  мероприятия по обучению и проверке квалификации персонала;

-  мероприятия по созданию необходимых подразделений и рабочих мест, выделению ролей персонала и т. п.;

-  мероприятия по изменению объекта автоматизации;

-  другие мероприятия, исходящие из специфических особенностей защищаемых ИСПДн.

Описание технологического процесса обработки информации в ПИБ должно содержать:

·  общее описание системы (включая описание процесса ввода/вывода защищаемой информации в/из систему/системы, порядка регистрации и хранения носителей, распределения ответственности и контроля за функционированием СЗИ;

·  перечень объектов доступа;

·  перечень субъектов доступа;

·  перечень штатных средств доступа к информации;

·  перечень средств защиты информации;

·  описание правил разграничения доступа (чем регламентируются, описание реализации, ссылка на таблицу (матрицу) разграничения доступа);

·  схемы информационных потоков.

План организационно-технических мероприятий по вводу КСЗ ПИБ в действие должен содержать:

·  Условия начала работ по внедрению комплекса средств защиты;

·  Требования к составу и содержанию работ:

·  по пусконаладочным и монтажным работам;

·  по порядку приемки системы.

·  Требования к документированию;

·  Календарный план проведения работ фазы «Ввод в действие средств защиты информации».

Документы «Матрица (правила разграничения) доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам каждой защищаемой ПИБ», «Правила межсетевого экранирования», «Описания настроек средств защиты» должны содержать соответствующие параметры и их проектные значения.

Документы «Программа и методика предварительных испытаний средств защиты информации в составе ПИБ» и «Программа и методика приемочных испытаний средств защиты информации в составе ПИБ» должны содержать:

·  Описание объекта испытаний:

·  комплектность испытательного КСЗ;

·  перечень предъявляемых на испытания документов.

·  Описание целей и задач испытаний, которые должны быть достигнуты или решены в процессе испытаний;

·  Объём испытаний:

·  перечень этапов испытаний и проверок, а также количественные и качественные характеристики, подлежащие оценке;

·  последовательность проведения испытаний;

·  перечень работ, проводимых после завершения испытаний, требования к ним, объем и порядок проведения.

·  Условия и порядок проведения испытаний:

·  условия проведения испытаний;

·  условия начала и завершения отдельных этапов испытаний;

·  имеющиеся ограничения в условиях проведения испытаний;

·  меры, обеспечивающие безопасность и безаварийность проведения испытаний;

·  порядок взаимодействия организаций, участвующих в испытаниях;

·  порядок привлечения экспертов для исследования возможных повреждений в процессе проведения испытаний.

·  Отчетность: перечень отчетных документов, которые должны оформляться в процессе испытаний и по их завершению, с указанием организаций и предприятий, разрабатывающих, согласующих и утверждающих их, и сроки оформления этих документов.

Спецификация оборудования, изделий и материалов. Документ должен содержать:

·  точные наименования продуктов;

·  артикулы (каталожные номера) продуктов;

·  необходимое количество продуктов.

Формы распорядительных и учетных документов составляются в соответствии с правилами, действующими в организации Заказчика. Содержание документов формируется на основе требований нормативно-методических документов по безопасности информации.

6.2.2. Требования к лингвистическому обеспечению

Вся документация, доступная пользователям, а так же интерфейсы функциональных пользователей должны быть на русском языке.

Специализированные названия и системные атрибуты полей БД, отдельные компоненты документации администратора Систем могут представляться с использованием латинского шрифта.

6.2.3. Требования к представлению документации

·  вся документация должна поставляться на русском языке;

·  документация выпускается и передается на бумажных и электронных носителях;

·  электронная копия комплекта документации передается на CD-R диске (дисках);

·  диск должен быть защищен от записи, иметь надпись с указанием изготовителя, даты изготовления, названия комплекта;

·  в корневом каталоге диска должен находиться текстовый файл содержания;

·  состав и содержание диска должно соответствовать комплекту документации;

·  каждый физический раздел комплекта (том, книга, альбом чертежей и т. п.) должен быть представлен в отдельном каталоге диска файлом (группой файлов) электронного документа;

·  название каталога должно соответствовать названию раздела;

·  электронные файлы проектной документации должны быть представлены в формате pdf, либо корректно открываться в режиме просмотра средствами MS Office.

7. Требования к составу и содержанию работ

В рамках проведения работ по Проекту должны быть выполнены следующие работы:

·  расширение функционала информационных систем, включающее:

·  разработку единой информационной базы по персональным данным;

·  разработку механизма ведения истории по субъекту;

·  разработка механизма идентификации пользователей с использованием сертификатов;

·  разработка механизма разграничения прав доступа к объектам системы;

·  разработка механизма деперсонификации данных;

·  разработка механизма взаимодействия систем, эксплуатируемых в Управлении делами Президента Российской Федерации;

·  создание новых форм для осуществления упрощенного ввода;

·  создание системы отчетности;

·  проведение комплекса мероприятий по защите ПДн, включающего:

·  проведение информационного обследования с целью выявления несоответствия требованиям законодательства и руководящих документов регулирующих органов (ФСБ России, ФСТЭК России) в части безопасности персональных данных;

·  проведение работ по категорированию персональных данных, обрабатываемых в информационных системах персональных данных заказчика;

·  обоснование класса используемых средств защиты персональных данных;

·  формирование требований к построению системы защиты персональных данных;

·  разработка решения, позволяющего создать систему защиты персональных данных, удовлетворяющую требованиям нормативных и руководящих документов по защите ПДн и оптимальную по своей эффективности и экономичности;

·  реализация проекта по созданию информационной системы защиты персональных данных с учетом требований по безопасности персональных данных;

·  проведение необходимых мероприятий по получению оператором ПДн соответствующих нормативных документов.

·  сопровождение и техническое обслуживание Систем.

7.1. Проведение работ по авторизации пользователей

Для доказательного подтверждения авторства и целостности передаваемой информации по электронным каналам от подведомственных организаций необходимо использовать авторизацию с использованием цифровых сертификатов. Для этого необходимо провести встраивание средств авторизации в Системы и развернуть на рабочих местах в подведомственных организациях необходимое программное обеспечение.

Средства авторизации должны поддерживать работу с электронными ключами RuToken.

7.2. Сопровождение и техническое обслуживание системы

Для обеспечения надежного функционирования Систем должен быть выполнен комплекс работ, включающий:

·  Администрирование Систем:

·  Развертывание новых рабочих мест в подразделениях Заказчика;

·  Предоставление доступа к Системам (создание/удаление/изменение данных по составу правообладателей, ролей и полномочий пользователей) в соответствии с установленным порядком:

-  Создание /удаление пользователей Систем;

-  Создание /удаление/ ролей;

-  Назначение пользователям Систем полномочий в соответствии с ролями.

·  выполнение работ по резервному копированию (плановое и внеплановое) и восстановление базы данных с резервных копий по запросу, хранение резервных копий;

·  Администрирование баз данных;

·  Установка пакетов обновлений и корректур;

·  Настройка взаимодействия систем (передачи данных между системами);

·  Мониторинг системы с целью заблаговременного определения проблем и принятия мер;

·  Техническое обслуживание и проведение регламентных работ аппаратно-программного комплекса автоматизированной системы:

·  Осуществление мониторинга работоспособности серверного оборудования;

·  Восстановление и поддержание работоспособности серверного оборудования;

·  Выполнение работ по обновлению и поддержке системного программного обеспечения;

·  Проведение диагностических и профилактических работ:

техническая диагностика оборудования

-  проверка операционных систем на наличие системных ошибок и их устранение

-  проверка сохранности данных

·  проведение системного администрирования установленного программного обеспечения;

·  проведение резервного копирования данных в соответствии с разработанным регламентом;

·  проведение обслуживания инженерных коммуникаций: электропитание, вентиляция, кондиционирование, системы пожаротушения и т. д.

·  Обслуживание сети передачи данных и каналов связи:

·  Обслуживание оборудования передачи данных;

·  Обслуживание и модернизация аппаратно-программных комплексов защиты передаваемой информации;

·  Предоставление 10 Gb защищенного канала передачи данных для организации обмена информацией между основным и резервным центрами обработки данных, расположенными: Москва, Романов пер. д.2 и Рябиновая ул. д.43 к.1;

·  Предоставление 100 Mb защищенных каналов передачи данных для организации обмена информацией с учреждениями и предприятиями Управления делами Президента Российской Федерации по согласованному списку;

·  Поддержка пользователей системы:

·  Должна осуществляться консультационная поддержка пользователей с использованием телефона горячей линии;

·  Проведение обновлений программного обеспечения на рабочих местах пользователей.

·  Обеспечение информационного обмена с внешними системами:

·  Обмен информацией с информационными Системами согласно разработанного регламента;

·  Анализ и предоставление информации об возникающих ошибках обмена информацией.

Исполнитель обязан обеспечить безотказное функционирование Систем 24 часа в сутки, 7 дней в неделю.

Модернизация и развитие программно-технической базы Систем и каналов передачи данных должно проводиться по согласованию с соответствующими подразделениями Спецсвязи ФСО России.

8. Порядок контроля и приемки работ

Приемку работ осуществляет приемочная комиссия, в состав которой входят представители Заказчика и представители Исполнителя.

Окончательный состав приемочной комиссии формируется и утверждается Заказчиком не позднее 5 дней до начала предварительных испытаний.

Место, сроки, порядок проведения заседаний и порядок согласования приемочной документации определяет Председатель приемочной комиссии.

Протоколы и акты приемочной комиссии подписывают все ее члены. В случае возникновения разногласий член комиссии имеет право на выражение особого мнения или замечаний, подписываемых им. В этом случае особое мнение или замечание прилагается к протоколу или акту комиссии.

Акты приемки работ утверждаются Заказчиком.

ПРИЛОЖЕНИЕ 1

Список принятых сокращений

ИСПДн

Информационная система персональных данных

КСЗ

Комплекс средств защиты

КСЗ ПИБ

Комплекс средств защиты информационной системы персональных данных

НСД

Несанкционированный доступ

ПДн

Персональные данные

ПИБ

Подсистема информационной безопасности

ППО

Прикладное программное обеспечение

ФГУ

Федеральное государственное учреждение

ФГУП

Федеральное государственное унитарное предприятие

ФСБ

Федеральная Служба Безопасности Российской Федерации

ФСО

Федеральная Служба Охраны Российской Федерации

ФСТЭК

Федеральная Служба по техническому и экспортному контролю Российской Федерации

[1] Осуществление физической охраны комплекса ИСПДн осуществляется Заказчиком самостоятельно.