4.2.6. Антивирусная защита

Требования к антивирусным средствам защиты информации:

В ходе оказания услуг по подключению к защищенной сети передачи данных Министерства образования должна быть осуществлена установка сертифицированных антивирусных средств защиты информации на клиенты Заказчика. В комплект поставки данных средств должны входить носитель информации и заверенные сертификаты ФСТЭК.

Антивирусное средство защиты информации должно удовлетворять следующим требованиям:

    программный интерфейс всех антивирусных средств, включая средства управления должен быть на русском языке; все антивирусные средства, включая средства управления, должны обладать контекстной справочной системой на русском языке.

Антивирусное средство защиты должно соответствовать требованиям руководящего документа «Требования к средствам антивирусной защиты. (ФСТЭК России, 2012) – не ниже 4 класса защиты, «Профиль защиты средств антивирусной защиты типа «А, Б, В. Г» четвертого класса защиты». Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларируемых возможностей» (Гостехкомиссия России, 1999) – не ниже 4 уровня контроля.

  4.2.7. Система анализа защищенности.

Требования к функциональности системы анализа защищенности:

    должно иметь сертификат ФСТЭК;
    должно соответствовать: классификация по уровню отсутствия недекларированных возможностей (Гостехкомиссия России, 1999) не ниже, чем по 4-му уровню контроля; должно позволять выявлять сетевые сервисы на известные уязвимости; должно позволять производить сетевой аудит стойкости аутентификационной информации; должно позволять производить поиск остаточной информации на носителях информации; перехватывать для дальнейшего анализа сетевой траффик; рассчитывать контрольные суммы; сертифицированный ФСТЭК дистрибутив.


5. Перечень оказываемых услуг для каждого аттестуемого рабочего места с результатами:

НЕ нашли? Не то? Что вы ищете?

№ п/п

Наименование услуг

Результат/

Итоговый документ

1

Классификация ИСПДн Заказчика:

- определение конфигурации и топологии ИСПДн в целом и ее отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;

- определение и уточнение технических средств и систем, предполагаемых к использованию в ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к использованию

Акт классификации информационной системы персональных данных

Акт определения уровня защищенности персональных данных.

2

Исследование угроз безопасности персональных данных при их обработке в ИСПДн, и классификация ИСПДн

Модель угроз безопасности должна включать в себя:

- Описание ИСПДн

- Показатель исходной защищенности ИСПДн;

- Модель нарушителя с описанием типов нарушителей, их возможностей с выводами о необходимости применения криптосредств при защите системы персональных данных.

- Анализ источника угроз несанкционированного доступа, уязвимостей ИСПДн, способов реализации угроз, объектов воздействия, деструктивных действий, источника угроз, связанных с техническими каналами утечки, технические каналы утечки;

- Анализ актуальных угроз.

3

Разработка организационно-распорядительной документации по обработке и защите персональных данных в соответствии с требованиями законодательства РФ в сфере обработки персональных данных

Комплект организационно-распорядительных и эксплуатационных документов, обеспечивающий выполнение требований нормативных документов к организационной составляющей системы защиты ПДн:

    Приказ об утверждении мест хранения персональных данных на бумажных носителях; Приказ о назначении администратора информационной безопасности; Приказ о назначении должностного лица, ответственного за организацию обработки персональных данных; О проведении классификации в информационных системах персональных данных; Приказ о назначении комиссии по подготовке и обеспечению классификации, и проведению аттестации информационных систем персональных данных; Приказ об организации работ по защите персональных данных; Приказ об утверждении Положения по обеспечению безопасности персональных данных и Политики обработки персональных данных; Приказ об утверждении частных(-ой) моделей(-и) угроз безопасности информации; Приказ о назначении лиц, допускаемых к самостоятельной работе СКЗИ; Приказ о назначении ответственного пользователя криптосредств; Технический (аппаратный) журнал; Журнал приёма (сдачи) под охрану режимных помещений, спецхранилищ, сейфов (металлических шкафов) и ключей от них; Журнал учета печатей; Журнал учета сейфов, металлических шкафов, спецхранилищ и ключей от них; Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов; Должностная инструкция ответственного за организацию обработки персональных данных; Инструкция администратора информационной безопасности; Инструкция по организации антивирусной защиты; Инструкция по действиям персонала во внештатных ситуациях; Инструкция по организации парольной защиты; Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных; Инструкция пользователя информационной системы персональных данных; Инструкция учета средств защиты и электронных носителей персональных данных; Политика обработки персональных данных; Положение по обеспечению безопасности персональных данных; Регламент доступа в помещения с компонентами информационных систем персональных данных.

Состав уточняется Исполнителем по результатам обследования и согласовывается с Заказчиком

4

Актуализация технических решений системы защиты персональных данных

Частное техническое задание АРМ СЗПДн:

Общие сведения.

Полное наименование системы.

Наименование предприятий разработчика и заказчика системы, реквизиты.

Перечень документов, на основании которых создаётся система.

Плановые сроки начала и окончания работ по созданию системы защиты .

Назначение и цели создания системы.

Назначение системы защиты.

Цели создания системы защиты.

Краткая характеристика информационной системы.

Требования по защите информационных систем.

Требования к средствам защиты.

Организационные требования.

Требования по электрической и пожарной безопасности.

Требования по эксплуатации и техническому обслуживанию.

Требования к патентной чистоте.

Требования к эргономике и технической эстетике .

Требования к составу и содержанию работ по созданию системы.

Требования к разработчику системы защиты.

Порядок контроля и приёмки системы.

Технический проект АРМ СЗПДн:

    Наименование работ Цели и назначение работ Основание для проведения работ Охрана труда и техника безопасности Сведения об использованных при проектировании нормативно-технических документах Очерёдность проведения работ Перечень работ Определение объекта информатизации Требования к системе защиты ИСПДн и решения по их реализации Меры и решения для ИСПДн  Встраивание средств защиты информации Последовательность встраивания средств защиты Решения по инженерным системам Решения по системе пожарной сигнализации и системе пожаротушения Решения по физической охране Решения по СКУД Решения по СКС и ЛВС Решения по системе электропитания Решения по системе кондиционирования и вентиляции Организационные мероприятия по защите информации Основные организационные мероприятия Состав организационных мероприятий Периодически проводимые мероприятия Постоянно проводимые мероприятия Мероприятия, приводимые по необходимости Решения по численности, квалификации и функциям персонала Мероприятия по подготовке к вводу в действие СЗ ИСПДн Мероприятия по созданию необходимых подразделений и рабочих мест Мероприятия по обучению и проверке квалификации персонала Порядок контроля и приёмки СЗ ИСПДн

5

Установка, настройка СЗИ

Исполнитель. Своим иждивением обязан установить и настроить средства защиты информации на основании результатов актуализации технических решений системы защиты персональных данных.

6

Аттестация по требованиям безопасности информации

Программа и методика аттестационных испытаний;

Протокол аттестационных испытаний на соответствие требованиям по защите информации от несанкционированного доступа;

Заключение по результатам аттестационных испытаний;

Технический паспорт;

Аттестат по требованию защиты информации

7

Подключение к защищенной сети передачи данных Министерства образования и настройка межсетевого взаимодействия с Федеральным Казенным учреждением «ГЛАВНОЕ БЮРО МЕДИКО-СОЦИАЛЬНОЙ ЭКСПЕРТИЗЫ ПО САРАТОВСКОЙ ОБЛАСТИ» МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Акт ввода аттестованного рабочего места в промышленную эксплуатацию

6. Требования к Исполнителю

Исполнитель должен иметь лицензию, предусмотренную Федеральным законом Российской Федерации 04.05.2011 «О лицензировании отдельных видов деятельности»:

6.1. ФСТЭК России на деятельность по технической защите конфиденциальной информации;

ФСБ России на деятельность по распространению криптографических средств и выполнению работ по техническому обслуживанию криптографических средств;

6.3. на осуществление деятельности по технической защите конфиденциальной информации с перечнем работ и услуг, на которые распространяется лицензия:

-  установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13