Приложение 22. Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения здравоохранение, социальной сферы, труда и занятости. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Министерством здравоохранения и социального развития РФ 23 декабря 2009 г.)

Министерство здравоохранения и социального развития Российской Федерации

УТВЕРЖДАЮ
_______________________
_______________________
"__" ____________ 2009 г.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

Приложение 22

Типовое Техническое задание
на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения здравоохранение, социальной сферы, труда и занятости

СОГЛАСОВАНО
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
_______________________	________________ подпись, дата	_______________
Москва 2009

1 Общие сведения

1.1. Заказчик: Министерство здравоохранения и социального развития Российской Федерации, учреждение здравоохранение, социальной сферы, труда и занятости (далее Заказчик).

1.1.1. Исполнитель: ____________________________ (далее - Исполнитель) (Лицензия ФСТЭК России рег. N от "__" _________ 20___ г. на деятельность по технической защите конфиденциальной информации), аттестат аккредитации N СЗИ RU.____.____.____ от "__".__.____ г. (продлен до "__" _________ 20___ г.).

1.1.2. Основание для выполнения работ: Договор N___ от "__" __________2009 г.

1.2. Плановые сроки начала и окончания работы определяются Договором.

2 Цели и задачи выполнения работ

Основной целью проведения работ является приведение порядка обработки, хранения и передачи персональных данных сотрудников, клиентов и контрагентов учреждения здравоохранения, социальной сферы, труда и занятости в соответствие требованиям перечисленных в Разделе 3 данного Технического Задания нормативно-правовых документов, в том числе и в части требований к технической защите автоматизированных систем, обрабатывающих персональные данные.

В рамках проекта будут решены следующие задачи:

- определены места и способы обработки персональных данных;

- составлен актуальный для Заказчика перечень требований, предъявляемых к защите персональных данных;

- реализованы организационные и технические меры по защите персональных данных, доработана нормативная документация Заказчика.

- проведены аттестационные испытания информационных систем персональных данных;

- оказаны консультационные услуги по подготовке предприятия (организации) к выполнению лицензионных требований и условий, определенных постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации".

3 Требования к составу и содержанию работ

Работы должны проводится в соответствии с положениями нижеследующих нормативно-правовых документов:

- Федеральный закон от 27.07.2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных"), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;

- "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденное Постановлением Правительства РФ от 17.11.2007 г. N 781;

- "Порядок проведения классификации информационных систем персональных данных", утвержденный совместным Приказом ФСТЭК России N 55, ФСБ России N 86 и Мининформсвязи РФ N 20 от 13.02.2008 г.;

- "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утвержденное Постановлением Правительства РФ от 15.09.2008 г. N 687;

- "Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", утвержденные Постановлением Правительства РФ от 06.07.2008 г. N 512;

- Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:

- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП);

- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП);

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП);

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП) Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Работы должны проводиться в один этап:

- Этап 1. Приведение в соответствие порядка обработки персональных данных.

3.1 Этап 1. Первая очередь приведения в соответствие порядка обработки персональных данных

Следующие работы должны быть проведены в отношении всех существующих у Заказчика ИСПДн:

- Определение категорий субъектов персональных данных.

- Определение перечня (состава) персональных данных, обрабатываемых в информационной системе.

- Определение целей обработки персональных данных.

- Определение срока, в течение которого производится обработка персональных данных (в том числе их хранение).

- Определение перечня действий с персональными данными, которые производятся в ходе их обработки.

- Определение используемых оператором способов обработки персональных данных.

- Уточнение степени участия персонала в обработке персональных данных, характера их взаимодействия между собой.

- Определение условий расположения информационной сети передачи данных относительно границ контролируемой зоны.

- Определение конфигурации и топологии информационной сети персональных данных в целом и ее отельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.

- Определение исходных данных для классификации информационных систем персональных данных.

- Сбор сведений об имевших место инцидентах информационной безопасности, связанных с персональными данными.

- Изучение существующих организационных мер обеспечения безопасности персональных данных.

- Разработка актуализированной модели угроз.

- Разработка перечня требований по защите персональных данных.

- Определение необходимости аттестации системы.

- Выявление имеющихся средств технической защиты информации, которые могут быть использования для обеспечения безопасности персональных данных.

- Изучение применяемых в информационной системе технических мер обеспечения безопасности персональных данных.

- Анализ соответствия применяющихся мер и средств технической защиты предъявляемым требованиям нормативно-правовой базы Российской Федерации в области защиты персональных данных.

- Разработка рекомендаций по технической защите системы.

- Определение необходимости сертификации имеющихся технических средств и программного обеспечения защиты системы.

- Определение необходимости аттестации системы.

- Определение необходимости получения соответствующих лицензий на осуществление деятельности по защите системы.

- Разработка Эскизного проекта по защите системы.

- Доработка нормативной и рабочей документации системы в части приведения в соответствие требованиям нормативно-правовых документов.

В отношении систем, для которых выявлена необходимость аттестации, должны быть проведены аттестационные испытания.

Состав и порядок проведения работ по аттестации должен определяться Частным Техническим заданием, разрабатываемым Исполнителем в соответствии с данным Техническим заданием.

В рамках работ первого этапа должны быть оказаны консультационные услуги по подготовке предприятия (организации) к выполнению лицензионных требований и условий, определенных постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации".

Состав и порядок оказания услуг должен определяться Частным Техническим заданием, разрабатываемым Исполнителем в соответствии с данным Техническим Заданием.

В рамках первого этапа работ должна быть проведена доработка нормативно-распорядительных документов Заказчика в части приведения в соответствие порядка обработки персональных данных требованиям законодательства.

В случае отсутствия у Заказчика необходимых нормативных документов должны быть разработаны проекты таких документов.

Перечень дорабатываемых и разрабатываемых документов должен быть определен после обследования текущего состояния организационных мер по обеспечению безопасности персональных данных.

4 Порядок контроля и приемки работ

4.1. Критериями для приемки работ является настоящее техническое задание (далее - ТЗ) и соответствующие Частные Технические задания, разрабатываемые в процессе выполнения работ.

4.2. Приемка работ осуществляется единовременно, приемке подлежат предоставляемые Заказчику документы согласно разделу 6 настоящего ТЗ.

4.3. Завершение работ оформляется актом приема-сдачи работ (услуг).

4.4. Не позднее последнего дня согласно календарному плану работ, Заказчику предоставляется итоговая версия отчетных документов в электронном виде.

4.5. Заказчик направляет замечания в письменном виде не позднее 5 рабочих дней после предоставления итоговой версии отчетных документов.

5 Требования к составу и содержанию мероприятий по подготовке объекта к выполнению работ

5.1. При подготовке к проведению Исполнителем работ на территории Заказчика, со стороны Заказчика необходимо обеспечить следующее:

- назначить ответственное лицо от Заказчика, наделенное соответствующими полномочиями, для обеспечения выполнения работ Исполнителем на территории Заказчика, а также для организации взаимодействия с должностными лицами Заказчика и для обеспечения дистанционного сбора информации (анкетирование, переписка и т.п.);

- выделить рабочие места для членов рабочей группы со стороны Исполнителя, обеспеченные всем необходимым для работы;

- определить сопровождающее лицо для организации и проведения интервьюирования;

- обеспечить доступность лиц, с которыми необходимо провести интервьюирование (перечень лиц, подлежащих интервьюированию, определяется Заказчиком на основе перечня необходимой для проведения работ информации, запрашиваемой Исполнителем), а также лиц, экспертное мнение которых необходимо выяснять при проведении работ.

6 Требования к документированию

6.1. По результатам работ должны быть разработаны следующие документы:

1) Положение о защите персональных данных.

2) Положение о подразделении по защите информации.

3) Приказ о назначении ответственных лиц за обработку ПДн.

4) Концепция информационной безопасности ИСПДн учреждения.

5) Политика информационной безопасности ИСПДн учреждения.

6) Перечень персональных данных, подлежащих защите.

7) Приказ о проведении внутренней проверки.

8) Отчет о результатах проведения внутренней проверки.

9) Акт классификации информационной системы персональных данных угроз для конкретной ИСПДн.

10) Положение о разграничении прав доступа к обрабатываемым персональным данным.

11) Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.

12) План мероприятий по обеспечению защиты ПДн.

13) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

14) Должностные инструкции сотрудников, обрабатывающих ПДн:

- Должностная инструкция администратора ИСПДн.

- Инструкция пользователя ИСПДн.

- Должностная инструкция администратора безопасности ИСПДн.

- Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

15) План внутренних проверок.

16) Журнал по учету мероприятий по контролю состояния защиты ПДн.

17) Журнал учёта обращений субъектов ПДн о выполнении их законных прав.

18) Положение об Электронном журнале обращений пользователей информационной системы к ПДн.

6.2. Отчетные документы предоставляются Заказчику в электронном виде в формате документов Microsoft Office и на бумажных носителях.

7 Порядок проведения работ

7.1. Для выполнения работ Заказчик и Исполнитель по согласованию сторон формируют экспертную группу из специалистов Заказчика и Исполнителя, имеющих необходимую компетенцию.

7.2. Специалисты Заказчика предоставляют всю необходимую информацию Исполнителю для проведения работ и, при необходимости, участвуют совместно с Исполнителем в проводимых работах.

7.3. До начала проведения работ Заказчик предоставляет список и контактную информацию своих сотрудников, которые будут отвечать за взаимодействие с сотрудниками Исполнителя, за оперативное предоставление необходимой информации и согласование отчетных материалов Исполнителя.

7.4 Исходные данные собираются Исполнителем в ходе проведения работ путем:

- интервьюирования персонала Заказчика, в том числе руководителей и сотрудников структурных подразделений;

- анкетирования и направления письменных запросов на предоставление информации;

- анализа документов и записей результатов деятельности Заказчика в части обеспечения безопасности информационных систем персональных данных (нормативных документов, проектной и эксплуатационной документации, актов, журналов и пр.).

8 Дополнительные условия и ограничения

8.1. В случае поставки и внедрения технических средств защиты третьей стороной до начала работ по аттестации ИСПДн, Заказчик согласует с Исполнителем следующее:

- состав и спецификацию технических средств;

- состав сопроводительной документации к техническим средствам и сертификатов;

- схемы установки и подключения;

- настройки аппаратно-программных средств;

- рабочую документацию этапа внедрения.

8.2. Срок поставки и внедрения технических средств защиты не входит в расчет сроков этапов работ.

8.3. В случае задержки по срокам предоставления исходных данных при проведении работ, или неполного предоставления информации со стороны Заказчика, по согласованию сторон возможен перенос сроков выполнения работ по договору в сторону увеличения.

8.4. Область проведения работ ограничена подразделениями _________________, расположенными в офисах на территории г. Москва, информационные системы персональных данных, технические средства которых размещены на этой же территории.