Общие сведения. 
Разработка проекта технического задания на создание системы защиты информационной системы обработки персональных данных ООО "Путешественник"

Настоящее Техническое задание определяет требования к программному, организационному и техническому обеспечению системы защиты персональных данных (СЗПДн), обрабатываемых в информационных системах персональных данных (ИСПДн) ООО «Путешественник».

Настоящее ТЗ разработано в соответствии с действующим законодательством Российской Федерации.

Разработка ТЗ должна осуществляться на основании разработанной частной модели угроз. При этом некоторые требования могут упрощаться, если это оправдано с точки зрения Модели угроз или Модели нарушителя.

Полное наименование и обозначение системы: «Система защиты персональных данных, обрабатываемых в информационных системах персональных данных ООО «Путешественник».

Сокращенное наименование системы: СЗПДн.

Шифр разработки: «СЗПДн».

Наименования организации-заказчика и организации-исполнителя:

Заказчик — ООО «Путешественник».

Исполнитель — ООО «Молния».

Разработку и ввод в эксплуатацию СЗПДн необходимо осуществлять на основании документа о разработке частной модели угроз в системах обработки ПДн ООО «Путешественник».

Сроки работ:

Плановый срок начала работ — 10.01.2013.

Плановый срок завершения работ — 25.01.2013.

По завершении этапов работ Исполнитель предъявляет Заказчику комплект документации, предусмотренной настоящим ТЗ.

Порядок оформления и предъявления Заказчику результатов работ определяется на основании действующих стандартов и договорных документов между Заказчиком и Исполнителем.

При разработке ТЗ использовались следующие нормативно-технические документы и методические материалы:

• · Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• · Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• · Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• · Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• · Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• · Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
• · Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• · Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 апреля 2008 г. № 154 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
• · Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»;
• · Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
• · Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/5−144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
• · Руководящий документ ФСБ России от 21 февраля 2008 г. № 149/6/6−622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;
• · Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• · Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• · Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
• · РД 50−34.698−90 «Автоматизированные системы. Требования к содержанию документов»;
• · ГОСТ 34.601−90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
• · ГОСТ 34.201−89. «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
• · ГОСТ 34.003−90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».