Главная страница
Навигация по странице:

  • ОБЩИЕ СВЕДЕНИЯ

  • ЗАКАЗЧИК УСЛУГ

  • ТРЕБОВАНИЯ К ОБЪЕМУ ОКАЗЫВАЕМЫХ УСЛУГ

  • Перечень поставляемых ОС и СЗИ

    		•

    пвапвапвапвапвапвапвапавп. Техническое задание БПОУ ВО Великоуст. мед. колледж имени Н.П. Перечень принятых сокращений и обозначений


    Скачать 49 Kb.
    НазваниеПеречень принятых сокращений и обозначений
    Анкорпвапвапвапвапвапвапвапавп
    Дата08.05.2023
    Размер49 Kb.
    Формат файлаdocx
    Имя файлаТехническое задание БПОУ ВО Великоуст. мед. колледж имени Н.П. Б.docx
    ТипДокументы
    #1114598

    ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ

    АРМ
    Автоматизированное рабочее место

    ИС
    Информационная система

    ИСПДн
    Информационная (-ых) система (-х) персональных данных

    НСД
    Несанкционированный доступ к информации

    ПДн
    Персональные данные

    ПО
    Программное обеспечение

    РФ
    Российская Федерация

    СЗИ
    Средство (-а) защиты информации

    СЗПДн
    Система защиты персональных данных

    ФСТЭК России
    Федеральная служба по техническому и экспортному контролю


    ОБЩИЕ СВЕДЕНИЯ

    Настоящий документ содержит техническое задание на оказание комплекса услуг по защите информации информационной системы персональных данных «БАРС.Кадры» ГБУЗ «Городская больница № 1 г. Коркино»

    1. ЗАКАЗЧИК УСЛУГ

    Заказчик – государственное бюджетное учреждение здравоохранения «Городская больница № 1 г. Коркино» (далее – ГБУЗ «Городская больница № 1 г. Коркино»).

    Юридический адрес: 456550, Челябинская область, Коркинский р-н, г. Коркино, ул. Маслова, д. 14

    1. ЦЕЛЬ И ЗАДАЧИ ОКАЗАНИЯ УСЛУГ


    Основной целью оказания услуг является обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных несанкционированных действий в отношении такой информации, обрабатываемой в информационной системе персональных данных «БАРС.Кадры» ГБУЗ «Городская больница № 1 г. Коркино»

      1. Оказываемые услуги должны включать в себя мероприятия по реализации организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения установленных требований к защите ПДн.

      2. Задачи, подлежащие решению при оказании услуг:

    • уточнение исходных данных;

    • поставка, установка и настройка ОС и СЗИ (согласно требованиям, приведенным в приложении № 1 к настоящему Техническому заданию);

    • разработка необходимой организационно-распорядительной и технической документации;

    • проведение приемо-сдаточных испытаний межсетевого взаимодействия ИСПДн;

    • аттестационные испытания ИСПДн на соответствие требованиям безопасности информации.

      1. Срок оказания услуг: 30 календарных дней с даты подписания договора.



    1. ХАРАКТЕРИСТИКА ОБЪЕКТА ИНФОРМАТИЗАЦИИ

      1. Обработка ПДн осуществляется в рамках ИСПДн.

      2. Обработка, хранение и передача ПДн в ИСПДн происходит с использованием программных и технических средств.

      3. Аппаратной платформой для программных средств обработки ПДн является автоматизированное рабочее место пользователей ИСПДн.

    В состав ИСПДн входит 3 АРМ пользователей по адресу: 456550, Челябинская область, Коркинский р-н, г. Коркино, ул. Маслова, д. 14

    1. ТРЕБОВАНИЯ К ОБЪЕМУ ОКАЗЫВАЕМЫХ УСЛУГ

    Оказание комплекса услуг по защите информации ИСПДн включает в себя следующие мероприятия:

      1. Обновление СЗПДн и ОС

        1. Исполнитель выполняет поставку, обновление, установку и настройку СЗИ и ОС на АРМ Заказчика (согласно требованиям, приведенным в Приложении 1 к настоящему Техническому заданию).

        2. Установка и настройка СЗИ и ОС осуществляется Исполнителем в соответствии с требованиями нормативных документов ФСТЭК России, а также в соответствии с эксплуатационной документацией на СЗИ и ОС. Исполнитель предоставляет Заказчику акт установки СЗИ и ОС.

        3. Заказчик предоставляет технические и программные средства для установки средств защиты информации. Состав программных и аппаратных средств, предоставляемых Заказчиком, должен соответствовать требованиям, указанным в формулярах на поставляемые СЗИ и ОС.

        4. Проведение приемо-сдаточных испытаний схемы подключения ИСПДн к федеральной ИС (защищенная сеть).

      2. Проверка состояния технологического процесса автоматизированной обработки защищаемой информации, в том числе ПДн, включающая в себя:

    • анализ обобщённой технологической схемы ИСПДн с существующими информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации, в том числе ПДн;

    • проверку соответствия описания технологического процесса обработки, хранения и передачи информации ограниченного доступа реальной практике на объекте;

    • определение субъектов и объектов доступа и средств обработки и передачи информации;

    • проверку данных ИСПДн, представленных в техническом паспорте;

    • проверку наличия оформленных разрешений на допуск персонала к конфиденциальной информации, меток конфиденциальности на информационных носителях, соответствия технологических инструкций пользователей и администратора безопасности установленным требованиям;

    • установление опасных факторов и угроз, критических мест ИСПДн, снижающих уровень защиты.

      1. Проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации, включающая в себя:

    • проверку правильности классификации ИСПДн;

    • проверку уровня подготовки кадров и распределения ответственности персонала;

    • проверку комплектности и характеристик средств защиты, наличия сертификатов соответствия на средства вычислительной техники (СВТ) и средства защиты информации (СЗИ);

    • проверку выполнения требований к помещениям, в которых производится обработка информации средствами ИСПДн.

      1. Разработка (актуализация) организационно-распорядительной и технической документации, требуемой для аттестации ИСПДн.

    Все организационно-распорядительные и технические документы, разрабатываемые Исполнителем в процессе оказания услуг, должны быть загружены Исполнителем в базу данных ПО для автоматизации организационных мероприятий по обеспечению информационной безопасности (онлайн-сервиса), поставляемого в рамках данного ТЗ (в соответствии с Приложением 1 настоящего ТЗ). Исполнитель проводит инструктаж пользователей ИСПДн по использованию ПО для автоматизации организационных мероприятий по обеспечению информационной безопасности (онлайн-сервиса).

      1. Проведение аттестационных испытаний.

        1. Исполнителем проводятся испытания ИСПДн на соответствие требованиям по безопасности информации. Испытания проводятся в соответствии с утвержденной Исполнителем и согласованной с Заказчиком «Программой и методиками испытаний».

        2. По результатам испытаний ИСПДн Исполнителем оформляются Протокол испытаний и заключение с выводом о соответствии объекта информатизации требованиям по безопасности информации.

    При выявлении несоответствия, в заключении указываются выявленные недостатки с рекомендациями по их устранению.

    1. ТРЕБОВАНИЯ К ПОСТАВЛЯЕМЫМ ОС и СЗИ


      1. Исполнитель должен обеспечить:

    • предпродажную подготовку ОС и СЗИ в соответствии с требованиями (приложение № 1 к настоящему Техническому заданию);

    • работоспособность поставляемых ОС и СЗИ.

      1. ОС и СЗИ должны иметь действующие сертификаты.

      2. При оказании услуг должны соблюдаться все авторские и смежные с ними права разработчика ОС и СЗИ.

    1. ТРЕБОВАНИЯ К ОРГАНИЗАЦИОННОМУ ОБЕСПЕЧЕНИЮ ПРИ ОКАЗАНИИ УСЛУГ


      1. Исполнитель устанавливает и настраивает ОС и СЗИ в соответствии с требованиями законодательства по защите информации, а также в соответствии с эксплуатационной документацией на ОС и СЗИ.

      2. Все организационно-распорядительные документы, разрабатываемые Исполнителем в процессе оказания услуг, должны соответствовать технологии обработки информации в ИСПДн.

      3. Организационно-распорядительные документы должны создавать условия для обеспечения защиты ПДн от угроз несанкционированного доступа, инсайдерских угроз, угроз хищения носителей информации.

    1. ПОРЯДОК ПРИЕМКИ РЕЗУЛЬТАТОВ РАБОТ


      1. Исполнитель обязан своевременно предоставить отчетную документацию Заказчику в порядке, определенном Договором и в соответствии с разделом 4 «Требования к объему оказываемых услуг» настоящего ТЗ.

      2. Исполнитель должен уведомить Заказчика о готовности к сдаче-приемки работ в срок, не превышающий 5 (пять) дней до даты окончания работ.

      3. Документы должны быть представлены в бумажном виде, в 1 экземпляре, и в электронном виде в 1 экземпляре.

      4. Документы, передаваемые в электронном виде, должны быть представлены в форматах MS Office (в формате *.doc/*docx для текстовых документов, *.xls/*xlsx для таблиц и расчетов и *.vsd/*vsdx для схем и чертежей). Все комплекты документов, передаваемых в бумажном виде, должны предоставляться в адрес Заказчика с сопроводительным письмом.

      5. Экспертизу и приемку результатов работ осуществляет Заказчик. Заказчик имеет право для приемки работ привлекать внешнюю экспертизу.

      6. В случае отсутствия замечаний, Заказчик в течение 5 (пяти) рабочих дней с момента завершения приемки подписывает два экземпляра Акта сдачи-приемки выполненных работ и возвращает 1 (один) экземпляр Исполнителю. В случае наличия замечаний, Заказчик направляет Исполнителю мотивированный отказ от приемки работ с перечнем необходимых доработок и указанием сроков их выполнения. Исполнитель должен устранить недостатки в указанные сроки и предъявить результаты Заказчику. Повторная приемка работ должна осуществляться в порядке, определенном настоящим разделом.

      7. Оплата работ Заказчиком предусматривается в случае приемки работ на основании подписанного Исполнителем и Заказчиком Акта сдачи-приемки выполненных работ.

    1. ГАРАНТИЙНЫЕ ОБЯЗАТЕЛЬСТВА


    Исполнитель должен обеспечить гарантийное обслуживание поставленного (используемого) оборудования на следующих условиях:

    • исполнитель гарантирует, что поставляемое (используемое) оборудование соответствует требованиям, приведенным в Приложении 1 настоящего Технического задания, а также свободно от дефектов материалов и изготовления;

    • срок гарантии производителя на все поставленное оборудование должен составлять не менее 12 месяцев.

    1. ТРЕБОВАНИЯ К ЛИЦЕНЗИРОВАНИЮ ИСПОЛНИТЕЛЯ


    В соответствии с подпунктом 5 пункта 1 статьи 12 Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04 мая 2011 года Исполнитель обязуется предоставить документы, подтверждающие соответствие оказываемых услуг требованиям законодательства:

    • копию действующей лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

    1. ТРЕБОВАНИЯ К КАЧЕСТВУ УСЛУГ


    Услуги должны оказываться с соблюдением требований Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и принятыми в соответствии с ним нормативно-методическими документами, устанавливающими требования к защите персональных данных.

    Качество и комплектность ОС и СЗИ должны соответствовать требованиям, предъявляемым к техническим характеристикам товара производителя, а также действующим в РФ стандартам и техническим условиям. Упаковка, в которой поставляется ПО, должна обеспечивать ее сохранность при транспортировке и хранении. Маркировка на упаковке должна соответствовать действующим стандартам.

    1. ИСТОЧНИКИ РАЗРАБОТКИ


    Исполнитель при оказании услуг должен обеспечивать соблюдение следующих федеральных законов, постановлений Правительства Российской Федерации и нормативных актов:

    • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

    • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    • Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    • Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

    • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».

    1. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ


    В период оказания услуг и после их окончания Исполнитель не должен разглашать и использовать конфиденциальную информацию, принадлежащую Заказчику, которая может стать ему известной в ходе оказания услуг. Исполнитель несет ответственность за соблюдение этого требования в соответствии с законодательством Российской Федерации.
    Приложение 1 к Техническому заданию
    Перечень поставляемых ОС и СЗИ

    п/п
    Наименование
    Функциональные характеристики
    Количество,

    шт.



    Astra Linux Special Edition — сертифицированная ОС со встроенными верифицированными средствами защиты информации.

    • встроенная система безопасности PARSEC;

    • мандатное разграничение доступа;

    • изоляция модулей;

    • очистка оперативной и внешней памяти и гарантированное удаление файлов;

    • маркировка документов;

    • регистрация событий;

    • защита информации в графической подсистеме;

    • ограничение действий пользователя (режим «киоск»);

    • защита адресного пространства процессов;

    • контроль замкнутости программной среды и целостности;

    • средства организации единого пространства пользователей;

    • защищенная среда виртуализации;

    • защищенная реляционная СУБД;

    • защищенные комплексы программ электронной почты и гипертекстовой обработки данных;

    • средства для работы с мультимедиа и изображениями.
    3



    Dr.Web Desktop Security Suite

    Dr.Web сертифицирован ФСТЭК России на соответствие требованиям по безопасности информации, установленным в документах «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», (утв. Приказом ФСТЭК России от 02.06.2020 № 76) - по 2 уровню доверия и «Требования к средствам антивирусной защиты" (Приказ ФСТЭК России от 20.03.2012 г. № 28), «Профиль защиты средств антивирусной защиты типа «А» второго класса защиты. ИТ.САВЗ.А2.ПЗ» (ФСТЭК России, 2012 г.), «Профиль защиты средств антивирусной защиты типа «Б» второго класса защиты ИТ.САВЗ.А2.ПЗ» (ФСТЭК России, 2012 г.), «Профиль защиты средств антивирусной защиты типа «В» второго класса защиты ИТ.САВЗ.А2.ПЗ» (ФСТЭК России, 2012 г.), «Профиль защиты средств антивирусной защиты типа «Г» второго класса защиты ИТ.САВЗ.А2.ПЗ» (ФСТЭК России, 2012 г.).
    3

    написать администратору сайта