Приложение №1
к Договору № ______
от «___» _______ 2016 г.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на оказание услуг по актуализации и обеспечению соответствия имеющейся документации первой очереди системы обеспечения вызова экстренных оперативных служб по единому номеру «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края переданной конечному пользователю в рамках государственного контракта №2013.217847 от 06.12.2013г, действующим нормативно-правовым документам для нужд Конечного пользователя
Содержание
Общие сведения 4
Полное наименование информационной системы 4
Нормативные документы 4
Наименование услуг 7
Цели оказания услуг 7
Состав услуг 8
Анализ имеющейся документации 8
Актуализация документации 8
Требования к документированию 13
Перечень принятых сокращений и обозначений
АРМ
|
–
|
автоматизированное рабочее место
|
АС
|
–
|
автоматизированная система
|
ЗИ
|
–
|
защита информации
|
ИС
|
–
|
информационная система
|
НСД
|
–
|
несанкционированный доступ
|
ПДн
|
–
|
персональные данные
|
РД
|
–
|
руководящий документ
|
СКЗИ
|
–
|
средства криптографической защиты информации
|
СФ
|
–
|
среда функционирования СКЗИ
|
ФЗ
|
–
|
федеральный закон
|
ФСБ России
|
–
|
Федеральная служба безопасности Российской Федерации
|
ФСТЭК России
|
–
|
Федеральная служба по техническому и экспортному контролю
|
Общие сведения
Полное наименование информационной системы
Первая очередь системы обеспечения вызова экстренных оперативных служб по единому номеру «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края (далее – Система-112).
Нормативные документы
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ( в ред. от 06.07.2016г.);
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изм. и доп., вступившими в силу от 01.09.2015г.);
Доктрина информационной безопасности Российской Федерации, утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр.-1895;
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Перечень сведений конфиденциального характера» (в ред. от 13.07.2015г.);
Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности российской федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (в ред. от 22.05.2015г.);
Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных системах».
Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 3 февраля 2012 г. № 79 (с изм. от 15.06.2016г.);
Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. №1119;
Руководящий документ Гостехкомиссии России. «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» 1992 г.;
Руководящий документ Гостехкомиссии России. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 1992 г.;
Руководящий документ Гостехкомиссии России. «Защита от несанкционированного доступа к информации. Термины и определения» 1992 г.;
Руководящий документ Гостехкомиссии России. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 1997 г.;
Руководящий документ Гостехкомиссии России. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, Москва, 1999 г.;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.;
Методический документ. Меры защиты информации в государственных информационных системах. Утвержден ФСТЭК России 11 февраля 2014 г.;
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. Утверждены руководством 8 Центра ФСБ России 31 марта 2015 г., № 149/7/2/6-432;
Приказ ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
Приказ ФСБ РФ от 09.02.2005 № 66 (ред. от 12.04.2010) "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";
ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования»;
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения»;
ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации»;
ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем;
ГОСТ 34.601-90. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания;
РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения;
РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.
Наименование услуг
Услуг по актуализации и обеспечению соответствия имеющейся документации первой очереди системы обеспечения вызова экстренных оперативных служб по единому номеру «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края переданной конечному пользователю в рамках государственного контракта №2013.217847 от 06.12.2013г, действующим нормативно-правовым документам для нужд Конечного пользователя.
Цели оказания услуг
Целью оказания услуг является актуализация и обеспечение соответствия имеющейся документации первой очереди системы обеспечения вызова экстренных оперативных служб по единому номеру «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края переданной конечному пользователю в рамках государственного контракта №2013.217847 от 06.12.2013г, действующим нормативно-правовым документам для нужд Конечного пользователя.
Состав услуг
анализ имеющейся документации первой очереди Системы-112;
актуализация и обеспечение соответствия документации первой очереди Системы-112 требованиям действующих нормативных документов Российской федерации;
Анализ имеющейся документации
На данном этапе для получения сведений о текущем состоянии документации первой очереди Системы-112 Заказчик предоставляет Исполнителю следующие документы:
Частная модель угроз информационной безопасности персональных данных;
Техническое задание на создание системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края;
Технический проект системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края;
Рабочую документацию системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края
Актуализация документации
На данном этапе должны быть актуализированы документы в объеме, приведенном в разделе 3 настоящего документа.
Частная модель угроз
При актуализации Частной модели угроз должны быть проведены следующие работы:
описание объектов защиты (цели защиты информации, состав и структура ИС, информационная характеристика ИС, состав защищаемой информации, описание информационных и технологических процессов);
описание перечня мер защиты информации, реализованных в информационных системах, в том числе и организационно-технических;
формирование перечня возможных угроз (в том числе угроз СКЗИ и СФ при необходимости защиты информации криптографическими методами) безопасности информации (с учетом нормативных документов ФСТЭК России и ФСБ России и банка данных угроз ФСТЭК России приведенного на сайте http://bdu.fstec.ru/) на всех этапах жизненного цикла ИС;
оценка исходной защищенности ИС, возможности реализации угроз, опасности угроз по Методике определения актуальных угроз ФСТЭК России;
определение актуальных угроз безопасности информации;
определение требуемых для использования в информационных системах классов средств криптографической защиты информации (при необходимости);
Общий порядок моделирования угроз безопасности информации представлен на Рисунке 1.
Рисунок . Порядок моделирования угроз безопасности информации
Модель угроз ИС будет разрабатываться в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» на основе «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
На основании «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК России, определяется степень исходной защищенности ИС.
В модели угроз будут определены вероятности реализации угроз, а также показатели их опасности на основании экспертных оценок. Степень актуальности угроз безопасности информации в ИС рассчитывается на их основе и с учетом коэффициента исходной защищенности ИС.
В случае если на этапе разработки Модели угроз безопасности информации в качестве актуальных угроз будут определены угрозы, нейтрализация которых возможна только посредством применения средств криптографической защиты информации (к таким угрозам относятся: передача защищаемой информации по каналам связи, не защищенным от перехвата нарушителем, или от несанкционированных воздействий на эту информацию (например, при передаче информации по информационно-телекоммуникационным сетям общего пользования); хранение защищаемой информации на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов), то разработка модели угроз и нарушителей будет осуществляться с учетом Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководством 8 Центра ФСБ России от 31.03.2015 № 149/7/2/6-432.
Данные методические рекомендации будут использоваться вместе с Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Актуализация программы и методики приемо-сдаточных испытаний
Программы испытаний должны содержать перечни конкретных проверок (решаемых задач), которые следует осуществлять при испытаниях для подтверждения выполнения требований ТЗ, со ссылками на соответствующие методики (разделы методик) испытаний.
Программа испытаний должна содержать разделы:
объект испытаний;
цель испытаний;
общие положения;
объем испытаний;
условия и порядок проведения испытаний;
материальнотехническое обеспечение испытаний;
метрологическое обеспечение испытаний;
отчетность.
В зависимости от особенностей систем допускается объединять или исключать отдельные разделы при условии изложения их содержания в других разделах программы испытаний, а также включать в нее дополнительные разделы (при необходимости).
В разделе «Объект испытаний» указывают:
полное наименование системы, обозначение;
комплектность испытательной системы.
В разделе «Цель испытаний» указывают конкретные цели и задачи, которые должны быть достигнуты и решены в процессе испытаний.
В разделе «Общие положения» указывают:
перечень руководящих документов, на основании которых проводят испытания;
место и продолжительность испытаний;
организации, участвующие в испытаниях;
перечень ранее проведенных испытаний;
перечень предъявляемых на испытания документов, откорректированных по результатам ранее проведенных испытаний.
В разделе «Объем испытаний» указывают:
перечень этапов испытаний и проверок, а также количественные и качественные характеристики, подлежащие оценке;
последовательность проведения и режима испытаний;
требования по испытаниям программных средств;
перечень работ, проводимых после завершения испытаний, требования к ним, объем и порядок проведения.
В разделе «Условия и порядок проведения испытаний» указывают:
условия проведения испытаний;
условия начала и завершения отдельных этапов испытаний;
имеющиеся ограничения в условиях проведения испытаний;
требования к техническому обслуживанию системы;
меры, обеспечивающие безопасность и безаварийность проведения испытаний;
порядок взаимодействия организаций, участвующих в испытаниях;
порядок привлечения экспертов для исследования возможных повреждений в процессе проведения испытаний;
требования к персоналу, проводящему испытания, и порядок его допуска к испытаниям.
В разделе «Материально-техническое обеспечение испытаний» указывают конкретные виды материально-технического обеспечения с распределением задач и обязанностей организации, участвующих в испытаниях.
В разделе «Метрологическое обеспечение испытаний» приводят перечень мероприятий по метрологическому обеспечению испытаний с распределением задач и ответственности организаций, участвующих в испытаниях, за выполнение соответствующих мероприятий.
В разделе «Отчетность» указывают перечень отчетных документов, которые должны оформляться в процессе испытаний и по их завершению, с указанием организаций и предприятий, разрабатывающих, согласующих и утверждающих их, и сроки оформления этих документов.
Организационно-распорядительные документы
В ходе оказания услуг будут актуализированы организационно-распорядительные документы, определяющие мероприятия по защите информации в ходе эксплуатации системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края.
Требования к документированию
В результате оказания услуг должны быть актуализированы следующие документы:
частная модель угроз безопасности информации при её обработке в информационной системе обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края;
эскизный проект на создание системы защиты информации системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края;
программа и методики испытаний системы защиты информации системы обеспечения вызова экстренных оперативных служб через единый номер «112» на базе единых дежурно-диспетчерских служб муниципальных образований Краснодарского края;
шаблоны организационно-распорядительной документации стадии «Внедрение системы ЗИ АСЗИ» в составе:
Акт определения уровня (класса) защищенности;
Согласие на обработку ПДн;
Приказ о назначении ответственного за организацию обработки и обеспечение безопасности;
Приказ о назначении администраторов информационных систем;
Приказ о назначении администратора СОБИ;
Приказ о назначении комиссии по классификации информационных систем;
Приказ о назначении комиссии по контролю защищенности информационных систем;
Приказ о назначении комиссии по уничтожению защищаемой информации;
Приказ о допуске сотрудников к обработке защищаемой информации;
Приказ об утверждении мест хранения материальных носителей защищаемой информации;
Приказ о вводе в промышленную эксплуатацию информационных систем;
Инструкция администратора информационных систем;
Инструкция администратора информационной безопасности;
Инструкция пользователя информационных систем;
Инструкция по организации антивирусной защиты информационных систем;
Порядок парольной защиты в информационных системах;
Инструкция по организации резервного копирования и восстановления информации в информационных системах;
Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных системах;
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем;
Инструкция по действиям пользователей информационных систем в нештатных ситуациях;
Инструкция по порядку проведения проверок состояния защиты;
Регламент учета средств защиты, документации и носителей защищаемой информации;
Перечень защищаемой информации;
План мероприятий по защите информационных систем;
План внутренних проверок состояния защиты информационных систем;
Политика обработки защищаемой информации;
Инструкция ответственного за организацию обработки и обеспечение безопасности защищаемой информации;
Перечень должностей, замещение которых предусматривает осуществление обработки защищаемой информации либо осуществление доступа к защищаемой информации;
Порядок доступа в помещения, в которых ведется обработка защищаемой информации;
Перечень информационных систем;
Правила работы с обезличенными данными;
Правила работы с общедоступными данными;
Правила рассмотрения запросов субъектов ПДн или их представителей;
Журнал учета проведения инструктажей по вопросам защиты информации;
Журнал регистрации письменных запросов граждан на доступ к своим ПДн;
Журнал учета проведения резервного копирования;
Журнал учета выдачи носителей защищаемой информации;
Журнал учета нештатных ситуаций;
Журнал учета носителей защищаемой информации;
Журнал учета посетителей;
Журнал учета технических средств, участвующих в обработке защищаемой информации;
Журнал учета уничтожений защищаемой информации;
Регламент использования средств криптографической защиты информации;
Акт ввода средств криптографической защиты информации в эксплуатацию;
Акт готовности средств криптографической защиты информации к эксплуатации;
Журнал учета ключевых носителей;
Книга лицевых счетов СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
Протокол проведения занятий и принятия зачетов;
Технический (аппаратный) журнал;
Функциональные обязанности ответственного пользователя средств криптографической защиты информации.
|
