Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Архив1 / docx57 / Малкин. КСЗИ. Лаб4.docx
Скачиваний:
24
Добавлен:
01.08.2013
Размер:
50.15 Кб
Скачать

Санкт-петербургский национальный исследовательский университет информационных технологий, механики и оптики

Кафедра Безопасные информационные технологии

Лабораторная работа №4:

«Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных»

Выполнил:

студент гр. 4131

Малкин Андрей

Проверил:

Комаров И.И.

Санкт-Петербург

2012

УТВЕРЖДАЮ

Генеральный директор ООО «Путешественник»

__________________ А.И. Сидоров

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

На создание

СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «Путешественник»

Содержание

  1. Общие сведения………………..……………………………………………………..…........4

  2. Назначение и цели создания СЗПДн………………………………………………….……..6

    1. Назначение СЗПДн…………………………………………………………..……....6

    2. Цели создания СЗПДн……………………………………………………….……....6

  3. Общая характеристика ИС…………………………………………………………………...7

3.1 Объект работ………………………………………………………………………….7

3.2 Характеристика информационных систем………………………………………....7

4. Требования к СЗПДн……………………………………………………………………….....8

4.1 Общие требования……………………………………………………………...........8

4.2 Требования к структуре и функциям СЗПДн……………………………………....8

4.2.1 Требования к подсистеме управления доступом…………………………....8

4.2.2 Требования к подсистеме регистрации и учета……………………………..9

4.2.3 Требования к подсистеме контроля целостности…………………………...9

4.2.4 Требования к подсистеме криптографической защиты..…………………...9

4.2.5 Требования к подсистеме межсетевого экранирования……………….….10

4.2.6 Требование к подсистеме защиты от утечек……………………………….11

4.2.7 Требования подсистеме обнаружения атак……………………………......11

4.2.8 Требования к подсистеме анализа защищённости…………………….…..11

4.2.9 Требования к подсистеме антивирусной защиты…………………….…...12

4.2.10 Требования к подсистеме централизованного управления………….….12

4.3 Требования к вариантам исполнения системы……………………………….….13

4.4 Требования к режимам функционирования системы…………………………...13

4.5 Требования к численности и квалификации персонала, режиму его работы.…13

4.6 Показатели назначения………………………………………………………….…13

4.7 Требования к надежности………………………………………………………....13

4.8 Требования безопасности………………………………………………………....14

4.9 Требования к эргономике и технической эстетике……………………………...14

4.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн………………………………………………………….…..14

4.11 Требования по сохранности информации при авариях………………………..14

4.12 Требования к защите от влияния внешних воздействий…………………..…..14

4.13 Требования к патентной чистоте………………………………………………..14

4.14 Требования по стандартизации и унификации………………………….……..14

5. Требования к видам обеспечения……………………………………………………….…15

5.1 Требования к программному обеспечению…………………………….……..…15

5.2 Требования к техническому обеспечению……………………………...…..……15

5.3 Требования к организационному обеспечению………………………..…..……15

6. Обязательные требования к Исполнителю………………………………………..………16

7. Источники разработки……………………………………………………………..…….…17

8. Перечень принятых сокращений……………………………..…......…………..…………18

  1. Общие сведения

Настоящее Техническое задание определяет требования к программному, организационному и техническому обеспечению системы защиты персональных данных (СЗПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) ООО «Путешественник».

Настоящее ТЗ разработано в соответствии с действующим законодательством Российской Федерации.

Разработка ТЗ должна осуществляться на основании разработанной частной модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.

Полное наименование и обозначение системы: «Система защиты персональных данных, обрабатываемых в информационных системах персональных данных ООО «Путешественник».

Сокращенное наименование системы: СЗПДн.

Шифр разработки: «СЗПДн».

Наименования организации-заказчика и организации-исполнителя:

Заказчик – ООО «Путешественник»

Исполнитель – ООО «Молния»

Разработку и ввод в эксплуатацию СЗПДн необходимо осуществлять на основании документа о разработке частной модели угроз в системах обработки ПДн ООО «Путешественник».

Сроки работ:

Плановый срок начала работ – 10.01.2013.

Плановый срок завершения работ – 25.01.2013.

По завершении этапов работ Исполнитель предъявляет Заказчику комплект документации, предусмотренной настоящим ТЗ.

Порядок оформления и предъявления Заказчику результатов работ определяется на основании действующих стандартов и договорных документов между Заказчиком и Исполнителем.

При разработке ТЗ использовались следующие нормативно-технические документы и методические материалы:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

  • Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;

  • Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

  • Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 апреля 2008 г. № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

  • Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

  • Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

  • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

  • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

  • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;

  • ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

  • ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;

  • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

  1. Назначение и цели создания СЗПДн