Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Архив1 / doc100 / Малкин. КСЗИ. Лаб4.doc
Скачиваний:
42
Добавлен:
01.08.2013
Размер:
138.24 Кб
Скачать

Санкт-петербургский национальный исследовательский университет информационных технологий, механики и оптики

Кафедра Безопасные информационные технологии

Лабораторная работа №4:

«Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных»

Выполнил:

студент гр. 4131

Малкин Андрей

Проверил:

Комаров И.И.

Санкт-Петербург

2012

УТВЕРЖДАЮ

Генеральный директор ООО «Путешественник»

__________________ А.И. Сидоров

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

На создание

СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «Путешественник»

Содержание

  1. Общие сведения………………..……………………………………………………..….…..4

  2. Назначение и цели создания СЗПДн………………………………………………….……6

    1. Назначение СЗПДн…………………………………………………………..…......6

    2. Цели создания СЗПДн……………………………………………………….…......6

  3. Общая характеристика ИС……………………………………………………………….....7

3.1 Объект работ…………………………………………………………………….…..7

3.2 Характеристика информационных систем……………………………………..…7

4. Требования к СЗПДн……………………………………………………………………...….8

4.1 Общие требования……………………………………………………………......…8

4.2 Требования к структуре и функциям СЗПДн…………………………………...…8

4.2.1 Требования к подсистеме управления доступом………………………...…8

4.2.2 Требования к подсистеме регистрации и учета…………………………….9

4.2.3 Требования к подсистеме контроля целостности…………………………..9

4.2.4 Требования к подсистеме криптографической защиты..………………......9

4.2.5 Требования к подсистеме межсетевого экранирования………………….10

4.2.6 Требование к подсистеме защиты от утечек…………………………..…..11

4.2.7 Требования подсистеме обнаружения атак…………………………….....11

4.2.8 Требования к подсистеме анализа защищённости………………………..11

4.2.9 Требования к подсистеме антивирусной защиты………………………...12

4.2.10 Требования к подсистеме централизованного управления…………….12

4.3 Требования к вариантам исполнения системы………………………………….13

4.4 Требования к режимам функционирования системы…………………………..13

4.5 Требования к численности и квалификации персонала, режиму его работы…13

4.6 Показатели назначения……………………………………………………………13

4.7 Требования к надежности………………………………………………………...13

4.8 Требования безопасности………………………………………………………...14

4.9 Требования к эргономике и технической эстетике……………………………..14

4.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн………………………………………………………….…..14

4.11 Требования по сохранности информации при авариях………………………..14

4.12 Требования к защите от влияния внешних воздействий…………………..…..14

4.13 Требования к патентной чистоте………………………………………………..14

4.14 Требования по стандартизации и унификации………………………….……..14

5. Требования к видам обеспечения……………………………………………………….…15

5.1 Требования к программному обеспечению…………………………….……..…15

5.2 Требования к техническому обеспечению……………………………...…..……15

5.3 Требования к организационному обеспечению………………………..…..……15

6. Обязательные требования к Исполнителю………………………………………..………16

7. Источники разработки……………………………………………………………..…….…17

8. Перечень принятых сокращений……………………………..…......…………..…………18

  1. Общие сведения

Настоящее Техническое задание определяет требования к программному, организационному и техническому обеспечению системы защиты персональных данных (СЗПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) ООО «Путешественник».

Настоящее ТЗ разработано в соответствии с действующим законодательством Российской Федерации.

Разработка ТЗ должна осуществляться на основании разработанной частной модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.

Полное наименование и обозначение системы: «Система защиты персональных данных, обрабатываемых в информационных системах персональных данных ООО «Путешественник».

Сокращенное наименование системы: СЗПДн.

Шифр разработки: «СЗПДн».

Наименования организации-заказчика и организации-исполнителя:

Заказчик – ООО «Путешественник»

Исполнитель – ООО «Молния»

Разработку и ввод в эксплуатацию СЗПДн необходимо осуществлять на основании документа о разработке частной модели угроз в системах обработки ПДн ООО «Путешественник».

Сроки работ:

Плановый срок начала работ – 10.01.2013.

Плановый срок завершения работ – 25.01.2013.

По завершении этапов работ Исполнитель предъявляет Заказчику комплект документации, предусмотренной настоящим ТЗ.

Порядок оформления и предъявления Заказчику результатов работ определяется на основании действующих стандартов и договорных документов между Заказчиком и Исполнителем.

При разработке ТЗ использовались следующие нормативно-технические документы и методические материалы:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

  • Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;

  • Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

  • Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 апреля 2008 г. № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

  • Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;

  • Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;

  • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

  • Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

  • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;

  • ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

  • ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;

  • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».

  1. Назначение и цели создания СЗПДн

Соседние файлы в папке doc100