- •Санкт-петербургский национальный исследовательский университет информационных технологий, механики и оптики
- •2.1 Назначение сзпДн
- •3. Общая характеристика ис
- •3.1. Объект работ
- •3.2. Характеристика информационных систем
- •4. Требования к сзпДн
- •4.1 Общие требования
- •4.2 Требования к структуре и функциям сзпДн
- •4.2.1 Требования к подсистеме управления доступом
- •4.2.2 Требования к подсистеме регистрации и учета
- •4.2.3 Требования к подсистеме контроля целостности
- •4.2.4 Требования к подсистеме криптографической защиты
- •4.2.5 Требования к подсистеме межсетевого экранирования
- •4.2.6 Требование к подсистеме защиты от утечек
- •4.2.7 Требования к подсистеме обнаружения атак
- •4.2.8 Требования к подсистеме анализа защищённости
- •4.2.9 Требования к подсистеме антивирусной защиты
- •4.2.10 Требования к подсистеме централизованного управления
- •4.3 Требования к вариантам исполнения системы
- •4.4 Требования к режимам функционирования системы
- •4.5 Требования к численности и квалификации персонала, режиму его работы
- •5.2 Требования к техническому обеспечению
- •5.3 Требования к организационному обеспечению
- •6. Обязательные требования к Исполнителю
- •7. Источники разработки
- •8. Перечень принятых сокращений
Санкт-петербургский национальный исследовательский университет информационных технологий, механики и оптики
Кафедра Безопасные информационные технологии
Лабораторная работа №4:
«Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных»
Выполнил:
студент гр. 4131
Малкин Андрей
Проверил:
Комаров И.И.
Санкт-Петербург
2012
УТВЕРЖДАЮ
Генеральный директор ООО «Путешественник»
__________________ А.И. Сидоров
ТЕХНИЧЕСКОЕ ЗАДАНИЕ На создание |
СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «Путешественник»
|
|
|
|
Содержание
Общие сведения………………..……………………………………………………..….…..4
Назначение и цели создания СЗПДн………………………………………………….……6
Назначение СЗПДн…………………………………………………………..…......6
Цели создания СЗПДн……………………………………………………….…......6
Общая характеристика ИС……………………………………………………………….....7
3.1 Объект работ…………………………………………………………………….…..7
3.2 Характеристика информационных систем……………………………………..…7
4. Требования к СЗПДн……………………………………………………………………...….8
4.1 Общие требования……………………………………………………………......…8
4.2 Требования к структуре и функциям СЗПДн…………………………………...…8
4.2.1 Требования к подсистеме управления доступом………………………...…8
4.2.2 Требования к подсистеме регистрации и учета…………………………….9
4.2.3 Требования к подсистеме контроля целостности…………………………..9
4.2.4 Требования к подсистеме криптографической защиты..………………......9
4.2.5 Требования к подсистеме межсетевого экранирования………………….10
4.2.6 Требование к подсистеме защиты от утечек…………………………..…..11
4.2.7 Требования подсистеме обнаружения атак…………………………….....11
4.2.8 Требования к подсистеме анализа защищённости………………………..11
4.2.9 Требования к подсистеме антивирусной защиты………………………...12
4.2.10 Требования к подсистеме централизованного управления…………….12
4.3 Требования к вариантам исполнения системы………………………………….13
4.4 Требования к режимам функционирования системы…………………………..13
4.5 Требования к численности и квалификации персонала, режиму его работы…13
4.6 Показатели назначения……………………………………………………………13
4.7 Требования к надежности………………………………………………………...13
4.8 Требования безопасности………………………………………………………...14
4.9 Требования к эргономике и технической эстетике……………………………..14
4.10 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов СЗПДн………………………………………………………….…..14
4.11 Требования по сохранности информации при авариях………………………..14
4.12 Требования к защите от влияния внешних воздействий…………………..…..14
4.13 Требования к патентной чистоте………………………………………………..14
4.14 Требования по стандартизации и унификации………………………….……..14
5. Требования к видам обеспечения……………………………………………………….…15
5.1 Требования к программному обеспечению…………………………….……..…15
5.2 Требования к техническому обеспечению……………………………...…..……15
5.3 Требования к организационному обеспечению………………………..…..……15
6. Обязательные требования к Исполнителю………………………………………..………16
7. Источники разработки……………………………………………………………..…….…17
8. Перечень принятых сокращений……………………………..…......…………..…………18
Общие сведения
Настоящее Техническое задание определяет требования к программному, организационному и техническому обеспечению системы защиты персональных данных (СЗПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) ООО «Путешественник».
Настоящее ТЗ разработано в соответствии с действующим законодательством Российской Федерации.
Разработка ТЗ должна осуществляться на основании разработанной частной модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.
Полное наименование и обозначение системы: «Система защиты персональных данных, обрабатываемых в информационных системах персональных данных ООО «Путешественник».
Сокращенное наименование системы: СЗПДн.
Шифр разработки: «СЗПДн».
Наименования организации-заказчика и организации-исполнителя:
Заказчик – ООО «Путешественник»
Исполнитель – ООО «Молния»
Разработку и ввод в эксплуатацию СЗПДн необходимо осуществлять на основании документа о разработке частной модели угроз в системах обработки ПДн ООО «Путешественник».
Сроки работ:
Плановый срок начала работ – 10.01.2013.
Плановый срок завершения работ – 25.01.2013.
По завершении этапов работ Исполнитель предъявляет Заказчику комплект документации, предусмотренной настоящим ТЗ.
Порядок оформления и предъявления Заказчику результатов работ определяется на основании действующих стандартов и договорных документов между Заказчиком и Исполнителем.
При разработке ТЗ использовались следующие нормативно-технические документы и методические материалы:
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 апреля 2008 г. № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
Назначение и цели создания СЗПДн