Техническое задание

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

РАЗДЕЛ 3. Приложение 1

аукционной документации

по лоту № 000

Техническое задание

Приложение 1

к техническому заданию

Технические требования

Перечень принятых сокращений

1. Постановка задачи

1.1 Общие положения

В настоящем документе описано предложение на разработку предпроектных документов и эскизного проекта на систему защиты персональных данных в информационной системе персональных данных Управления по надзору в области долевого строительства Краснодарского края.

1.2 Цели услуг

Целями услуг является:

Подготовка к выполнению требований нормативных документов по защите персональных данных.

Разработка системы взглядов, принципов, основных решений по защите персональных данных, основных технических решений по защите информации в информационных системах персональных данных.

Оптимизация требований по защите персональных данных в ИСПДн по критерию минимизации затрат на модернизацию информационно-технологической инфраструктуры и систем защиты информации, проводимую в целях выполнения требований нормативных документов по защите ПДн.

Защита прав человека и гражданина на неприкосновенность частной жизни в отношении автоматизированной обработки касающихся его персональных данных.

Обеспечение непрерывности и стабильности услуг технологических процессов обработки информации.

1.3 Исходная информация о ИСПДн

По предварительной информации у Заказчика функционируют несколько информационных, обрабатывающих персональные данные (далее, ИСПДн).

2. Перечень необходимых услуг по защите ПДн

Для обеспечения информационной безопасности ПДн в Организации, в соответствии с требованиями нормативных актов Российской Федерации, ФСБ России и ФСТЭК России, должны быть проведены следующие услуги:

Обследование ИСПДн:

Определение структуры и состава ИСПДн;

Определение типов обрабатываемых данных, их состава;

Определение технологии работы с ПДн.

Разработка модели угроз и нарушителя, содержащей:

Перечень актуальных угроз;

Описание возможностей нарушителя;

Классы ИСПДн.

Разработка Технического задания на систему защиты.

Разработка эскизного проекта.

Разработка положений, инструкций по защите ПДн.

Монтажные и пуско-наладочные услуги средств защиты.

Аттестация ИСПДн по требованиям безопасности информации.

Лицензирование во ФСТЭК России.

Настоящее ТКП предусматривает выполнение следующих этапов из общего, необходимого объема работ по защите персональных данных:

Информационное обследование ИСПДн.

Разработку Аналитического обоснования создания СЗПДН.

Разработку Технического задания на систему защиты.

Разработку Эскизного проекта.

Разработку комплекта внутренних нормативных документов по защите ПДн.

3. Состав и этапы оказания услуг

Оказания услуг по обследованию информационной системы управления для организации защиты персональных данных.

Анализ процессов обработки ПДн;

Определение перечня персональных данных, подлежащих защите от НСД;

Определение условий расположения ИСПДн относительно границ контролируемой зоны;

Определение конфигурации и топологии ИСПДн в целом и ее отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;

Определение технических средств и систем в ИСПДн, условий их расположения, общесистемных и прикладных программных средств;

Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;

Классификация ИСПДн;

Уточнение степени участия персонала в обработке ПДн, характера их взаимодействия между собой;

Определение угроз безопасности ПДн к конкретным условиям функционирования;

Разработка аналитического обоснования создания СЗПДн;

Разработка технического задания на разработку СЗПДн.;

Отчет обследования информационной системы персональных данных;

Подготовка эскизного проекта на создание системы обеспечения безопасности ИСПДн;

Подготовка проектов документов.

Перечень необходимых документов после оказания услуг:

1.  Отчет обследования информационной системы персональных данных;

2.  Акт классификации ИСПДн;

3.  Модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн;

4.  Заключение, аналитическое обоснование СЗПДн;

5.  Техническое задание на создание СЗПДн;

6.  Эскизный проект на создание системы обеспечения безопасности ИСПДн;

7.  Проекты документов:

1. Положение о защите персональных данных.

2. Положение по организации и оказания услуг по обеспечению безопасности ПДн при их обработке в ИСПДн.

3. Положение о подразделении по защите информации.

4. Технический паспорт на объект информатизации.

5. Приказ о назначении ответственных лиц за обработку ПДн.

6. Перечень персональных данных, подлежащих защите.

7. Приказ о проведении внутренней проверки.

8. Форма отчета о результатах проведения внутренней проверки.

9. Положение о разграничении прав доступа к обрабатываемым персональным данным.

10. План мероприятий по обеспечению защиты ПДн.

11. Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

12. Должностные инструкции сотрудников, обрабатывающих ПДн:

- должностная инструкция администратора ИСПДн.

инструкция пользователя ИСПДн.

должностная инструкция администратора безопасности ИСПДн.

инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

13. Инструкция по организации парольной защиты.

14. Инструкция по организации антивирусной защиты.

15. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС.

16. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС.

17. План внутренних проверок.

18. Журнал по учету мероприятий по контролю состояния защиты ПДн.

19. Журнал учета обращений субъектов ПДн о выполнении их законных прав.

20. Положение об Электронном журнале обращений пользователей информационной системы к ПДн.

21. Концепция информационной безопасности ИСПДн управления.

22.. Политика информационной безопасности ИСПДн управления.

Исполнитель должен иметь все необходимые сертификаты и лицензии для оказания услуг по обследованию информационной системы заказчика для организации защиты ПДн в соответствии с действующим законодательством.

Услуги должны проводиться в соответствии со следующими нормативными документами:

1. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Страсбург, 28 января 1981 года.

2. Конституция Российской Федерации, 12 декабря 1993 года.

3. Федеральный закон Российской Федерации от 01.01.01 года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

4. Федеральный закон от 01.01.01 года «О персональных данных».

5. Федеральный закон Российской Федерации от 01.01.01 года «Об информации, информационных технологиях и о защите информации».

6. Федеральный закон Российской Федерации от 01.01.01 года №1-ФЗ «Об электронной цифровой подписи».

7. Постановление Правительства Российской Федерации от 01.01.01 года № 000 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

8. Постановление Правительства Российской Федерации от 01.01.01 года № 000 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9. Постановление Правительства Российской Федерации от 6 июля 2008 года № 000 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

10. Указ Президента Российской Федерации от 6 марта 1997 года № 000 «Перечень сведений конфиденциального характера».

11. ГОСТ Р ИСО/МЭК «Информационная технология. Практические правила управления информационной безопасностью».

12. Международный стандарт ИСО/МЭК «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования».

13. ГОСТ Р «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».

14. ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

15. ГОСТ Р «Защита информации. Основные термины и определения».

16. ГОСТ Р ИСО/МЭК 13335 «Информационная технология. Методы и средства обеспечения безопасности».

17. ГОСТ Р ИСО «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации».

18. Тройственный приказ от 01.01.01 года ФСТЭК России №55, ФСБ России №86 и Министерства информационных технологий и связи №20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

19. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, Москва, 2002 года;

20. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены заместителем директором ФСТЭК России 15 февраля 2008 года.

21. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 года.

22. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 года.

23. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 года.

24. РД Гостехкомиссии Российской Федерации. Защита от несанкционированного доступа к информации. Термины и определения. 1992 года.

25. РД Гостехкомиссии Российской Федерации. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 1997 года.

26. РД Гостехкомиссии Российской Федерации. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей, Гостехкомиссия России, Москва, 1999 года.

27. Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия Российской Федерации, Москва, 1994 года.

28. Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Введена в действие приказом от 01.01.01 года № 000 (ФАПСИ).

29. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), введено приказом ФСБ России от 9 февраля 2005 года №66.

30. Требования к средствам криптографической защиты конфиденциальной информации, ФСБ России, Москва.

31. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 000/54-144.

32. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России, № 000/6/6-622.

Для выполнения требований нормативных актов Российской Федерации, ФСБ и ФСТЭК России в области обеспечения безопасности обработки ПДн должны быть проведены следующие услуги:

Информационное обследование.

Разработка предварительной документации по защите ПДн.

Этап проектирования СЗПДн.

Информационное обследование включает следующие услуги:

Сбор исходной информации по средствам телефонной связи, e-mail и т. п.

Категорирование и типизация ПДн.

Определение ИСПДн.

Разработку Модели обработки ПДн в ИСПДн.

Этап разработки документации по защите ПДн включает следующие услуги:

Разработка аналитического обоснования создания системы защиты ПДн:

Модель угроз и нарушителя безопасности ПДн.

Классификация ИСПДн.

Анализ и выбор контрмер.

Разработка Технического задания на систему защиты ПДн в ИСПДн.

Этап проектирования СЗПДн включает следующие услуги:

Разработка эскизного проекта;

Разработку «Положения по обеспечению безопасности ПДн»;

Разработку комплекта внутренних нормативных документов по защите ПДн.

Согласование документов по защите ПДн с Заказчиком.

4. Описание этапов оказания услуг

4.1 Информационное обследование

Сбор исходной информации

Цели оказания услуг:

Сбор необходимых данных для проведения дальнейших оказания услуг.

Состав оказания услуг:

Проводится сбор данных о техническом и программном составе защищаемой информационной системы.

Проводится сбор данных об архитектуре защищаемой информационной системы.

Производится определение и анализ целей защиты информации по каждому типу ПДн:

конфиденциальность;

целостность;

доступность;

5. Предварительный план оказания услуг.

Предварительный план выполнения оказания услуг по обследованию ИСПДн и проектированию СЗПДн приведен в таблице 1.

Таблица 1 – План-график оказания услуг