- создание канала связи, обеспечивающего защиту передаваемой информации;
- аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
- обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
- обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
4.5 Требования к видам обеспечения
4.5.1 Требования к программному обеспечению
4.3.1.1 Выбор программных средств защиты должен проводиться с учетом средств защиты, эксплуатируемых у Пользователя.
4.3.1.2 Предлагаемое к использованию ПО должно быть лицензировано фирмой-производителем.
4.3.1.3 Решения по использованию ПО должны приниматься с учетом обеспечения поддержки его функционирования производителем или поставщиком данного ПО.
4.3.1.4 В процессе эксплуатации СЗПДн лицензии на дополнительные функции ПО должны поддерживаться в актуальном состоянии.
4.3.1.5 Средства защиты информации, входящие в состав СЗПДн, должны быть сертифицированы на соответствие требованиям руководящих документов ФСТЭК по защите от НСД к информации.
4.3.1.6 В случае, когда в состав СЗПДн включается подсистема криптографической защиты, должны использоваться криптографические средства защиты, сертифицированные в ФСБ России.
4.3.1.7 Требования к программному обеспечению, используемому для защиты информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО) в части необходимости обеспечения контроля отсутствия в нем недекларированных возможностей (НДВ) должны быть определены в ЧТЗ.
4.5.2 Требования к техническому обеспечению
4.3.2.1 Выбор аппаратных (программно-аппаратных) средств защиты должен проводиться с учетом средств защиты, эксплуатируемых у Пользователя.
4.3.2.2 Должны использоваться сертифицированные серийно выпускаемые в защищенном исполнении технические средства.
4.3.2.3 Аппаратные компоненты должны обеспечивать функции диагностики, резервирования и взаимозаменяемости.
4.5.3 Требования к организационному обеспечению
4.3.3.1 Должна осуществляться физическая охрана помещений, в которых находятся средства ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время.
4.3.3.2 Для ИСПДн должны быть реализованы следующие мероприятия по защите ПДн от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):
- размещение объектов защиты в пределах контролируемой зоны на максимально возможном расстоянии относительно ее границы;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
- обеспечение развязки цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы контролируемой зоны, и информационными цепями, по которым циркулирует защищаемая информация.
4.3.3.3 При использовании голосового ввода ПДн в ИСПДн либо при их воспроизведении акустическими средствами должны быть реализованы мероприятия по защите акустической (речевой) информации.
4.3.3.4 Мониторы АРМ должны располагаться таким образом, чтобы препятствовать возможности несанкционированного визуального съема информации с них.
5 Состав и содержание работ по созданию СЗПДн
5.1 Работы по созданию СЗПДн осуществляют по стадиям и этапам:
Предпроектная стадия:
- обследование ИСПДн;
- классификация ИСПДн;
- разработка Модели угроз;
- разработка Частного технического задания (ЧТЗ) на создание СЗПДн.
Технорабочий проект:
- разработка Технорабочего проекта СЗПДн;
- разработка эксплуатационной документации (в случае необходимости);
- разработка организационно-распорядительной документации (в случае необходимости).
Ввод в действие:
- поставка оборудования и ПО согласно спецификации, разработанной на этапе проектирования;
- монтаж оборудования, установка и настройка ПО в соответствии с проектными решениями;
- предварительные испытания и ввод в опытную эксплуатацию;
- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
- доработка СЗПДн по результатам опытной эксплуатации (при необходимости);
- аттестация ИСПДн:
- разработка аттестационной документации;
- оценка соответствия ИСПДн требованиям безопасности;
- проведение аттестационных мероприятий ИСПДн;
- приемочные испытания и перевод ИСПДн в промышленную эксплуатацию.
5.2 На предпроектной стадии проводится обследование ИСПДн:
- уточняется перечень ПДн, подлежащих защите;
- уточняется информация о категориях и составе ПДн, обрабатываемых автоматизированными и неавтоматизированными способами; проводится анализ состава ПДн в ИСПДн, собирается информация о защищенности ПДн;
- уточняются условия расположения объекта защиты относительно границ контролируемой зоны;
- уточняются конфигурация и топология ИСПДн и систем связи в целом и их компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
- уточняются состав технических средств и систем, предполагаемых к использованию в СЗПДн, условия их расположения, общесистемные и прикладные программные средства;
- уточняются режимы обработки информации в ИСПДн в целом и в отдельных ее компонентах; для ИСПДн производится анализ собранной информации об угрозах и их показателях для разработки Модели угроз;
- уточняется класс ИСПДн;
- разрабатывается Модель угроз для ИСПДн на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
- разрабатывается (в случае необходимости) Модель нарушителя на основе РД ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
- уточняется степень участия сотрудников в обработке информации, характер их взаимодействия между собой и со службой ИБ;
- разрабатывается ЧТЗ на создание СЗПДн.
5.3 По результатам проведенных работ по обследованию ИСПДн в дополнение к настоящему ТТЗ разрабатывается ЧТЗ с детальными требованиями к СЗПДн.
5.4 При разработке ЧТЗ формируется перечень документации, разрабатываемой на стадии технорабочего проекта.
5.5 На стадии технорабочего проекта разрабатывается документация согласно ЧТЗ, при этом содержание документов должно соответствовать требованиям РД 50-34.698-90.
5.6 На стадии ввода в действие выполняются следующие работы:
- поставка оборудования и ПО на площадку Пользователя согласно спецификации, разработанной на стадии технорабочего проекта;
- монтаж оборудования, установка и настройка ПО в соответствии с проектными решениями;
- опытная эксплуатация СЗИ СЗПДн в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
- доработка СЗПДн по результатам опытной эксплуатации (при необходимости);
- инструктаж персонала Пользователя по работе с основными компонентами СЗПДн;
- в случае необходимости проводится обучение персонала Пользователя использованию СЗИ, применяемых в СЗПДн.
5.7 На этапе аттестации проводятся мероприятия по получению аттестата соответствия ИСПДн требованиям безопасности ПДн, предъявляемых к классу К1.
5.8 Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса, используемого на конкретном объекте информатизации.
5.9 Под аттестацией объекта автоматизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – Аттестатом соответствия подтверждается, что объект соответствует требованиям стандартов и нормативно-техническим документам (в том числе по безопасности ПДн), утвержденным ФСТЭК России.
5.10 Аттестационные испытания ИСПДн на соответствие требованиям РД ФСТЭК России проводятся в два подэтапа:
1. Разработка пакета аттестационных документов.
2. Подготовка и проведение аттестационных испытаний.
5.11 По окончании аттестационных испытаний ИСПДн оформляется комплект отчетных документов, необходимых для получения аттестата соответствия.
5.12 После получения аттестата соответствия проводятся приемочные испытания с целью перевода ИСПДн в промышленную эксплуатацию. Акт о приемке системы в промышленную эксплуатацию должен быть подписан Государственным заказчиком, Пользователем и Исполнителем.
5.13 Стадии проведения работ по созданию СЗПДн приведены в Табл. 1.
Табл. 1 – Стадии создания СЗПДн
№ | Наименование стадии | Сроки начала работ | Сроки окончания работ | Результат |
1 | Предпроектная стадия | Разработанное ЧТЗ | ||
2 | Технорабочий проект | Техническая, рабочая и другая документация | ||
3 | Ввод в действие | Акт сдачи ИСПДн в промышленную эксплуатацию |
5.14 Стадии создания СЗПДн должны соответствовать требованиям ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания».
6 Порядок контроля и приемки
6.1 Контроль и приемка работ осуществляются на основании ЧТЗ и соответствующих программ и методик испытаний.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
Основные порталы (построено редакторами)