- •Аннотация
- •1. Разработка отчета об обследовании
- •2. Разработка Модели угроз и нарушителя безопасности информации
- •3. Разработка технического задания на создание системы защиты информации
- •4. Разработка технического проекта системы защиты конфиденциальной информации
- •Приложение 1 – Список используемой литературы
- •Приложение 2 – Задание
- •Приложение 3 – Пример схемы ЛВС организации
- •Приложение 4 – Пример схемы информационных потоков ИСПДн/АС
Приложение 1 – Список используемой литературы Общие нормативные документы, регламентирующие требования к защите
информации:
−Доктрина информационной безопасности Российской Федерации;
−Конституция Российской Федерации;
−Федеральный закон от 27.07.2005 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
−Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи"
−Федеральный закон от 06.04.2011 № 63-ФЗ "Об электронной подписи"
−Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера"
Перечень нормативных документов, регламентирующих требования к обработке и обеспечения безопасности персональных данных:
−Федеральный закон от 19.11.2005 № 160-ФЗ "О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
−Федеральный закон от 08.07.2006 №152-ФЗ "О персональных данных";
−Постановление Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных";
−Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
−Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 г. Москва "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
−Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. № 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных";
−Приказ ФСТЭК России от 5.02.2010 № 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных";
−Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК);
−Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК)
−Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от 14 ноября 2011 г. № 312;
−Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ);
−Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ)
Перечень нормативных документов, регламентирующих требования к обеспечению безопасности конфиденциальной информации:
−Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации
−Специальные требования и рекомендации по технической защите конфиденциальной информации, утв. Приказом Гостехкомиссии России от 30 августа 2002 г. № 282
Проектирование:
−Общие:
•ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России;
•ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России;
•ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
•ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированная система. Стадии создания;
•ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищённом исполнении»;
•ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».
−Техническое задание:
•ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
−Технический проект
•РД 50-34.698-90. Автоматизированные системы Требования к содержанию документов;
•ГОСТ 34.201-89. Виды, комплектность и обозначение документов при создании автоматизированных систем.
Приложение 2 – Задание
№ |
Наименование параметра |
Вариант №1 |
Вариант №2 |
Вариант |
Вариант |
Вариант |
Вариант |
Вариант №7 |
Вариант №8 |
|
п/п |
№3 |
№4 |
№5 |
№6 |
||||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
1 |
Тип организации |
Медицинское |
Оператор |
Страховая |
|
Налоговая |
Пенсионный |
Администрация |
Северокавказский |
|
|
Краснодарского |
военных |
||||||||
учреждение |
связи |
компания |
|
фонд |
||||||
|
|
|
|
края |
окружной суд |
|||||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
2 |
Количество зданий |
2 |
3 |
3 |
2 |
5 |
3 |
4 |
2 |
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Количество АРМ |
150+ |
170+ |
100+ |
110+ |
170+ |
135+ |
250+ |
130+ |
|
|
|
|
|
|
|
|
|
|
|
|
4 |
Количество серверов |
15+ |
20+ |
5+ |
9+ |
5+ |
9+ |
15+ |
5+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Windows 98, |
Windows XP |
Windows |
Windows |
Windows XP |
Windows XP |
|
|
|
5 |
ОС на АРМ обработки |
Windows XP |
XP SP3, |
Windows XP |
Windows XP SP2, |
|||||
SP2, Windows |
XP SP1, |
SP2, |
SP1, |
|||||||
защищаемой информации: |
SP1, windows |
windows 7 |
SP3, windows 7 |
windows 7 |
||||||
|
|
7 |
7 |
x64 |
windows 7 |
windows 7 |
windows 7 |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
Windows |
Windows |
Windows |
Windows |
Windows |
Windows |
Windows server |
Windows server |
|
6 |
ОС на серверах обработки |
server 2003 |
server 2003 |
server 2008 |
server 2008 |
2000, |
server 2003 |
|||
2003 SP2 x86, |
2003 SP2 x86, |
|||||||||
защищаемой информации: |
SP2 x86, |
SP2 x64, |
х86, |
SP2 x64, |
FreeBSD, |
SP2 x86, |
||||
|
|
AltLinux |
OpenSuse |
AltLinux |
FreeBSD |
AltLinux |
FreeBSD |
OpenSuse |
МСВСфера |
|
|
|
|
|
|||||||
|
|
Более 100 |
Более 15 000 |
Более 1 300 |
Более 1 300 |
Более 800 |
Более 1700 |
Более 1700 |
Более 200 |
|
|
|
сотрудников |
||||||||
|
|
сотрудник |
сотрудник |
|||||||
7 |
Типы субъектов ПДн |
сотрудник |
сотрудник |
Более 40 |
Более 35 |
сотрудников |
сотрудников |
сотрудников |
Более 1 000 000 |
|
|
|
Более 105 000 |
Более 105 000 |
000 |
000 |
Более 150 |
Более 1 000 |
Более 1 000 000 |
граждан |
|
|
|
пациентов |
пациентов |
000 |
000 граждан |
граждан |
Более 500 000 |
|||
|
|
клиентов |
клиентов |
|||||||
|
|
|
|
|
|
|
подсудимых |
|||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Тип информационной системы |
|
|
|
|
|
|
|
|
|
8 |
обработки данных |
|
|
Распределенная, с разными правами доступа |
|
|
||||
клиентов/пациентов/абонентов |
|
|
|
|
||||||
|
(не собственных сотрудников) |
|
|
|
|
|
|
|
|
|
9 |
Наличие обработки КИ |
|
|
|
|
Да |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10 |
Наличие автономных рабочих |
|
|
|
|
Да |
|
|
|
|
мест |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
№ |
Наименование параметра |
Вариант №1 |
Вариант №2 |
Вариант |
Вариант |
Вариант |
Вариант |
Вариант №7 |
Вариант №8 |
|
п/п |
№3 |
№4 |
№5 |
№6 |
||||||
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Panda |
eToken |
|
|
|
|
|
|
Наличие средств защиты |
D-link DFL- |
Cisco ASA - 1 |
Antivirus |
|
|
|
|
||
11 |
Network |
Windows 7 |
eToken PRO |
Сisco PIX - 2 |
Avast antivirus - |
|||||
Pro 2013 - |
||||||||||
|
информации |
2500 - 2 шт |
шт |
на всех |
Logon на 40 |
на 30 АРМ |
64k - 40 шт |
шт. |
на всех АРМ |
|
|
|
|
|
АРМ |
|
|
|
|
||
|
|
|
|
АРМ |
|
|
|
|
||
|
|
|
|
|
|
|
|
|