5.12. Аттестация информационной системы
Аттестация информационной системы включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие объектов информатизации, защищаемых системой защиты информации, требованиям законодательства РФ по защите информации.
Аттестационные испытания должны проводиться согласно утвержденной и согласованной Программе и методикам проведения аттестационных испытаний объекта информатизации.
Все результаты испытаний должны быть отражены в протоколах.
5.13. Приемочные испытания системы защиты персональных данных и приемка выполненных работ
Приемочные испытания системы защиты персональных данных проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к системе защиты персональных данных в соответствии с техническим заданием на создание системы защиты информации.
Прием и сдача выполненных работ осуществляется по Акту выполненных работ, в котором отражаются использованные при выполнении работ средства защиты информации, полученные результаты и степень их соответствия данному Техническому заданию. Акт утверждается и согласовывается уполномоченными лицами Заказчика и Исполнителя.
Одновременно с Актом выполненных работ Исполнитель обязан передать Заказчику:
- Накладную на использованные технические средства защиты информации
- Документацию, оговаривающая основные технические характеристики и свойства средств защиты информации (формуляры, паспорта, руководства пользователя, техническая документация и пр.)
- Копии сертификатов соответствия требованиям по безопасности информации
- Лицензии на право использования средств защиты информации
- Документ, подтверждающий право Исполнителя на предоставление неисключительных прав пользования программным обеспечением третьим лицам (лицензионное соглашение и др.)
- Все документы, предоставляемые Исполнителем Заказчику в рамках исполнения Контракта в соответствии с п. 6 Технического задания.
5.14. Сопровождение системы защиты персональных данных
Гарантийное техническое сопровождение СЗПДн Заказчика осуществляется представителями Исполнителя на объектах Заказчика в течение 1 (Одного) года с момента подписания сторонами Акта выполненных работ.
Количество выездов на объекты Заказчика не ограничено.
Время предоставления услуг и приема заявок: рабочие дни с 9:00 до 18:00 по местному для Заказчика времени.
Максимальное время первоначальной реакции на заявку 1 рабочий час.
Ожидаемое время выезда на объект Заказчика для решения инцидента - 8 рабочих часов.
Ожидаемое время предоставления решения инцидента - 8 рабочих часов.
При выявлении несоответствий Исполнитель проводит их устранение, не мешая основным процессам Заказчика. Перед внесением изменений в среду Заказчика Исполнитель производит стендовые испытания на территории Заказчика на оборудовании Исполнителя в тестовой зоне. На оборудовании Исполнителя необходимо развернуть ключевые компоненты ИСПДн, в частности прикладное ПО. Для тестирования СЗИ необходимо установить на оборудование в тестовой зоне, перечень СЗИ. Методика тестирования проводится в соответствии с требованиями Заказчика, требования предоставляются Заказчикам при начале проведения стендовых испытаний. Тестирование производится для исключения нарушения процессов Заказчика.
В рамках технического сопровождения СЗПДн Заказчика Исполнитель предоставляет рекомендации или готовые решения по устранению проблем, возникающих у пользователей в процессе установки или эксплуатации существующей системы защиты от несанкционированного доступа:
предоставление доступа к базе знаний с известными проблемами по системе защиты от несанкционированного доступа;
предоставление инструкций по изменению настроек системы защиты от несанкционированного доступа, прикладного программного обеспечения, операционной системы по телефону или электронной почте.
В течение 1 (Одного) года с момента подписания сторонами Акта выполненных работ Исполнитель вносит изменения в существующую организационно-распорядительную документацию в случае выявления недостатков, возникших по вине Исполнителя.
В течение 6 (Шести) месяцев с момента подписания сторонами Акта выполненных работ Исполнитель вносит изменения в существующую организационно-распорядительную документацию в случае изменения законодательства или по иной причине по инициативе Заказчика, если это не влечет дополнительных затрат на приобретение средств защиты информации.
6. Требования к документированию
В ходе выполнения работ в соответствии с п. 5 настоящего Технического задания, Исполнителем должны быть разработаны и переданы Заказчику нижеследующие документы:
№
|
Наименование работ
|
Содержание и/или требования к документу
|
ЧАСТЬ I.
| Обследование виртуальной инфраструктуры, информационных систем и технологических процессов обработки персональных данных
|
Сводный отчет по результатам обследования, формируемый на основе сведений, представляемых Заказчиком в виде заполненных форм опросных листов, интервью и устных уточнений, и содержащий следующую информацию:
общие сведения об организации;
сведения об организационной структуре;
описание технологических процессов обработки ПДн (по подразделениям);
сведения о технологических площадках;
технологическая информация об используемых информационных подсистемах, обрабатывающих персональные данные, серверах, рабочих станциях, сетевом оборудовании;
структурную схему топологии информационной системы;
сведения о применяемых средствах и технологиях защиты информации;
схемы подключения филиалов к каналам доступа в глобальную сеть Интернет;
схемы подключения СПД ЦО к СПД филиалов;
подробные схемы коммутации активного сетевого и серверного оборудования СПД ЦО;
логические схемы адресации СПД ЦО и СПД филиалов;
заключение о текущем состоянии сетевой инфраструктуры компании;
поэтапный план модернизации сетевой инфраструктуры;
заключение о состоянии серверной инфраструктуры и платформы виртуализации компании;
план-стратегию поэтапной модернизации серверной платформы для приведения к соответствию с требованиями платформы VMware vSphere;
план развития вычислительных мощностей на год вперед, включая поэтапный план по миграции физических сервисов в виртуальную среду;
план по внесению изменений в схему работы AD для приведения в соответствие с рекомендациями производителя;
рекомендации по устранению неисправностей в работе ОС, а так же превентивных (профилактических) мер по повышению стабильности работ серверных ОС в целом.
|
ЧАСТЬ II.
|
Стендовые испытания предполагаемых СЗИ
|
Программа и методика стендовых испытаний СЗИ, разработанная в соответствии с ГОСТ 34.603-92, с учетом РД 50-34.698-90 и содержащая:
цель и основные задачи стендовых испытаний;
порядок проведения стендовых испытаний;
программу стендовых испытаний;
описание стенда, используемого в ходе испытаний;
методы проведения испытаний.
Протокол по проверке функционирования программных средств и технологических сервисов;
Акт по результатам проведения стендовых испытаний, содержащий:
описание испытательного стенда;
перечень проверенных СЗИ;
результаты испытаний, в том числе выявленные проблемы и предложения по их решению.
|
ЧАСТЬ III.
|
Моделирование угроз безопасности информации
|
Модель угроз безопасности информации при автоматизированной обработке, разработанная в соответствии с требованиями нормативных документов ФСТЭК России и ФСБ России и включающая:
методику моделирования;
модель нарушителя;
частную модель угроз;
перечень актуальных угроз.
|
ЧАСТЬ IV.
|
Идентификация и классификация информационных систем, установление уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных
|
Проект приказа о назначении комиссии по проведению классификации информационных систем и установления уровня защищенности персональных данных;
Проекты актов классификации информационных систем, установления необходимого уровня защищенности персональных данных (для каждой информационной системы персональных данных).
|
ЧАСТЬ V.
|
Разработка концепции построения системы защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки персональных данных
|
Концепция создания системы защиты персональных данных, содержащая обобщенные сведения об информационной инфраструктуре Заказчика и результаты их анализа:
определение и анализ информационных потоков, мест и способов хранения информации;
описание форм представления, хранения, обработки и передачи информации, содержащей персональных данных;
предварительный перечень обрабатываемых персональных данных и их категорирование;
оценка правовых оснований обработки персональных данных субъектов;
перечень требований, предъявляемых к системе защиты информации Заказчика (в соответствии с нормативными документами) и анализ текущего соответствия данным требованиям;
рекомендации по оптимизации состава технических средств и структуры информационных систем (при необходимости);
рекомендации по минимизации состава обрабатываемых персональных данных и оптимизации процессов обработки персональных данных (при необходимости);
описание предлагаемой архитектуры построения системы защиты информации.
|
ЧАСТЬ VI.
|
Разработка технического задания на создание системы защиты персональных данных
|
Техническое задание на создание системы защиты персональных данных разрабатывается в соответствии с требованиями ГОСТ 34.602-89, ГОСТ Р 51583 и ГОСТ Р 51624 и содержит:
цель и задачи обеспечения защиты информации в информационной системе;
класс защищенности информационной системы, уровень защищенности персональных данных, обрабатываемых в информационных системах персональных данных;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе;
требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационной системой уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
|
ЧАСТЬ VII.
|
Проектирование системы защиты персональных данных
|
Технический проект в составе:
пояснительная записка;
ведомость необходимого оборудования и материалов;
структурная и функциональная схемы системы защиты.
Пояснительная записка технического проекта системы защиты персональных данных разрабатывается в соответствии с требованиями ГОСТ 34.201 и в том числе содержат:
общие положения;
описание объекта информатизации;
основные технические решения системы защиты персональных данных;
организационные мероприятия по защите персональных данных в информационной системе;
порядок ввода системы защиты персональных данных в эксплуатацию.
|
ЧАСТЬ VIII.
|
Разработка комплекта организационно-распорядительной документации на систему защиты персональных данных
|
Комплект организационно-распорядительных документов, уточняется Исполнителем в процессе проектирования системы защиты персональных данных (в зависимости от конкретных мер обеспечения безопасности информации) и согласовывается с Заказчиком.
|
ЧАСТЬ IX.
|
Установка и настройка средств защиты информации
|
Акт установки средства защиты информации
|
ЧАСТЬ X.
|
Аттестация информационной системы
|
Акт обследования объекта информатизации
Программа и методики проведения аттестационных испытаний объекта информатизации;
Протокол проверки выполнения требований по защите информации от несанкционированного доступа;
Протокол аттестационных испытаний объекта информатизации;
Заключение по результатам аттестационных испытаний;
Предписание на эксплуатацию объекта информатизации;
Аттестат соответствия;
Приказ о вводе объекта информатизации в эксплуатацию.
|
ЧАСТЬ XI.
|
Приемочные испытания СЗИ и приемка выполненных работ
|
Акт выполненных работ
Накладная на использованные технические средства защиты информации
Документация, оговаривающая основные технические характеристики и свойства средств защиты информации (формуляры, паспорта, руководства пользователя, техническая документация и пр.)
Копии сертификатов соответствия требованиям по безопасности информации
Лицензии на неисключительные права использования средств защиты информации,
Документ, подтверждающий право Исполнителя на предоставление неисключительных прав пользования программным обеспечением третьим лицам (лицензионное соглашение и др.)
| |
