Оказание услуг по проведению аттестации одной информационной системы персональных данных

1.4. Техническое задание на оказание услуг по проведению аттестации одной информационной системы персональных данных п/п Перечень и содержание услуг 1 Обследование ИСПДн с определением класса системы и актуальных угроз безопасности персональных данных при их обработке в ИСПДн, включающее в себя: 1. определение перечня ПДн, подлежащих защите; 2. определение условия расположения ИСПДн относительно границ контролируемой зоны; 3. определение конфигурации и топологии ИСПДн в целом и её отдельных компонент, физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения; 4. определение режимов обработки информации в ИСПДн в целом и в её отдельных компонентах; 5. определение степени участия персонала в обработке ПДн, характер его взаимодействия между собой; 6. определение класса ИСПДн; 7. подготовка и выдача «Акта обследования». 2 Разработка пакета проектов организационно-распорядительных документов (рекомендаций по их корректировке, при наличии) по защите персональных данных при их обработке в ИСПДн для организации, в том числе: 1. «Перечня ПДн, подлежащих защите»; 2. приказа «Об определении границ КЗ»; 3. приказа определяющего назначение: а). ответственного за ОБ ПДн в организации; -- назначение подразделения или должностного лица, выполняющего работы по ОБ ПДн, порядок составления списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, для выполнения служебных обязанностей; б). порядок учёта лиц, допущенных к работе с персональными данными в информационных системах («Инструкция по учёту лиц, допущенных к работе с персональными данными в информационных системах персональных данных» и «Журнал учёта лиц, допущенных к работе с персональными данными в информационных системах персональных данных»; в). порядок учёта носителей ПДн; г). комиссию по классификации ИСПДн; 4. «Акта классификации ИСПДн»; 5. Журнал учёта носителей ИСПДн; 6. Журнал учёта средств защиты информации и документации к ним; 7. «Инструкции по организации парольной защиты в ИСПДн»; 8. «Инструкции по организации резервирования и восстановления программного обеспечения, баз персональных данных ИСПДн»; 9. «Матрицы доступа…»; 10. «Рекомендации по использованию средств защиты информации»; 11. приказа определяющего подразделение (лицо), ответственное за эксплуатацию средств защиты информации. 3 Разработка «Положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн». 4 Разработка «Модели угроз безопасности персональных данных при их обработке в ИСПДн». 5 Разработка «Требований по обеспечению безопасности персональных данных при их обработке в ИСПДн». 6 Установка и настройка средств и систем защиты информации 1. имеющегося в наличии сертифицированного ФСТЭК России межсетевого экрана «TrastAccess» с лицензией на 1 сервер и 9 АРМ, предназначенных для обработки конфиденциальной информации, 2. системы контроля доступа к АРМам, входящим в состав локального участка сети, предназначенного для обработки конфиденциальной информации на базе eToken Network Logon или эквивалента, (поставляется Исполнителем) в составе: а). USB смарт-карт ридер с двумя смарт-картами. Количество комплектов - 9 шт. б). лицензии на использование сертифицированной версии программного обеспечения eToken Network Logon. Количество лицензий - 9 шт. в). комплекта документации и дистрибутива сертифицированной версии программного обеспечения eToken Network Logon. Количество комплектов - 1 шт. 7 Разработка программы и методики аттестационных испытаний ИСПДн. 8 Подготовка «Описания ИСПДн и системы защиты персональных данных» 9 Проведение аттестационных испытаний ИСПДн в соответствии с классом ИСПДн и нормативно-методическими документами ФСТЭК России и ФСБ России с оформлением «Заключения…» и выдачей «Аттестата соответствия…» по требованиям безопасности персональных данных.