Техническое задание

на оказание услуги по разработке «Руководства по защите информации от иностранных технических разведок»


Наименование оказываемых услуг

Оказание услуги по разработке «Руководства по защите информации от иностранных технических разведок».

2. Цель оказания услуг

Целью оказания услуги является разработка «Руководства по защите информации, согласованного с УФСБ России по Мурманской области» на соответствие нормативным требованиям Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК) России и Федеральной службы безопасности Российской Федерации.

3.        Мероприятия по обеспечению режима секретности в период оказания услуг по разработке «Руководства по защите информации от технических разведок и от ее утечки по техническим каналам»

Исполнитель заблаговременно разрабатывает и согласовывает с Заказчиком план мероприятий по обеспечению режима секретности при оказании услуг, который должен содержать:

- перечень подразделений и работников, привлекаемых к оказанию услуг в целом и её отдельных этапов;

- требования по режиму секретности;

- комплекс организационно-технических мероприятий, направленных на обеспечение режима секретности в процессе оказания услуг.

Привлечение соисполнителей не допускается.

4.        Законодательное и нормативное обеспечение

4.1.Закон Российской Федерации «О государственной тайне» от 01.01.2001  № 000-1.

4.2. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» -ФЗ.

4.3. «Модель иностранных технических разведок на период до 2025 года (Модель ИТР-2025)», введённая в действие с 01.06.2017 приказом ФСТЭК России .

4.4. «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». Постановление Совета Министров Правительства Российской Федерации от 01.01.2001  N912-51.

4.5. «Положение об аттестации объектов информатизации по требованиям безопасности информации». Гостехкомиссия России от 01.01.2001г.

4.6. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР-97) с изменениями и дополнениями 2005, 2006, 2008гг.

4.7. «Сборник нормативно - методических документов по противодействию акустической речевой разведке», Гостехкомиссия России, 2000 г

4.8. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

4.9. ГОСТ РВ 50170-2006. Противодействие иностранным техническим разведкам. Термины и определения.

4.10. ГОСТ РВ 50600-2006. Противодействие иностранной технической разведке. Система документов. Общие положения.

4.11. ГОСТ Р 51275-06. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. - М., 2006 г.

4.12.  Инструкция по обеспечению режима секретности в РФ (от 01.01.2001 г. № 3-1)

4.13. ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения».

4.14. Федеральный закон -ФЗ «О безопасности».

4.15. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР-97) с изменениями и дополнениями 2005, 2006, 2008гг.

4.16. «Сборник методических материалов по проведению специальных исследований ТС АСУ и ЭВМ, предназначенных для работы с секретной информацией». Гостехкомиссия, 1978 г.

4.17. «Сборник методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)». Новая редакция. Утвержден Приказом ФСТЭК России от 01.01.2001  № 000.

4.18. «Сборник руководящих документов по защите информации от НСД», Гостехкомиссия России, 1998г.

4.19. «Нормативно-методические документы и порядок проведения работ по защите информации при обработке ее на средствах ЭВТ» (согласовано с зам. председателя Гостехкомисии России 1997 г.).

4.20. «Сборник НМД по противодействию АРР», Гостехкомиссия России, 2000 г.

4.21. «Методические рекомендации по организации работ по аттестации объектов информатизации по требованиям безопасности информации», от 01.01.2001 г.

5.        Содержание услуги

5.1. Оказание услуги по разработке «Руководства по защите информации от технических разведок и от ее утечки по техническим каналам (согласование с УФСБ по Мурманской области). Руководство должно содержать:

Основное содержание Руководства по ЗИ

№ п. п.

Наименование раздела

Основное содержание раздела

1.

«Общие

положения»
    Назначение Руководства. Общие требования по ЗИ на объекте. Категория объекта по требованиям обеспечения ЗИ. Должностные лица, ответственные за выполнение требований Руководства. Порядок финансирования работ по ЗИ на объекте Сведения о полученной лицензии на допуск к работе со сведениями, составляющими гос. тайну. Сведения об имеющихся сертифицированных средствах защиты.

2.

«Охраняемые сведения

об объекте»
    Конкретная цель, которая должна быть достигнута в результате проведения мероприятий по ЗИ (охраняемых сведений) об объекте. Замысел достижения указанной цели. Перечень охраняемых сведений об объекте и его деятельности (без указания числовых параметров).

3.

«Демаскирующие признаки объекта и технические каналы утечки информации»
    Демаскирующие признаки, которые раскрывают охраняемые сведения об объекте, в т. ч. демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности. Возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.

4.

«Оценка возможностей ИТР и других источников угроз безопасности информации»

Перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, которые опасны для данного объекта, в т. ч. со стороны преступных группировок, и результаты оценки их возможностей:

по обнаружению (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения;

по перехвату информации, циркулирующей в технических средствах ее обработки;

по перехвату речевой информации из помещений; по получению, разрушению, искажению или блокированию информации  в результате НСД к ней.

(При оценке используются  Модель ИТР, методики оценки возможностей ИТР и др. документы).

5.

«Организационные и технические мероприятия по защите информации»
    Организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте. Мероприятия по ЗИ о создаваемых (применяемых)образцах В и ВТ в соответствии с Инструкциями на эти образцы. Мероприятия по ЗИ об иной создаваемой (применяемой) продукции и технологиях. Мероприятия по ЗИ при постоянном контролируемом и неконтролируемом нахождении иностранных граждан на территории объекта или в непосредственной близости от него. Мероприятия по ЗИ в системах и средствах информатизации и связи.

При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по ЗИ должны быть включены в договор аренды.

6.

«Оповещение о ведении разведки» (включается при необходимости)
    Порядок получения, регистрации и передачи данных о пролетах разведывательных ИСЗ, самолетов иностранных авиакомпаний, нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении объекта иностранными представителями, появлении в районе дислокации объекта иностранных граждан, подозреваемых в ведении разведки. Внутриобъектовая схема оповещения и действия должностных лиц при оповещении.

7.

«Обязанности и права должностных лиц»
    Перечень должностных лиц подразделений объекта, ответственных за разработку, обеспечение и выполнение мероприятий по ЗИ. Функциональные обязанности и права указанных должностных лиц. Структурная схема взаимодействия подразделений по ЗИ на объекте с соответствующими подразделениями данного объекта.

8.

«Планирование работ по защите информации и контролю»
    Основные руководящие документы для планирования работ по ЗИ. Требования к содержанию планов. Порядок разработки, согласования, утверждения и оформления планов. Порядок отчетности и контроля за выполнением планов.

9.

«Контроль состояния защиты информации»
    Задачи контроля состояния ЗИ на объекте. Перечень органов и подразделений, имеющих право проверки состояния ЗИ. Привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта. Периодичность и виды контроля. Порядок оформления результатов контроля. Действия должностных лиц по устранению нарушений норм и требований по ЗИ. Порядок разработки мероприятий по устранению указанных нарушений.

10.

«Аттестация рабочих мест»
    Подразделения и должностные лица, ответственные за аттестацию рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т. д. Форма документирования результатов аттестации и порядок выдачи разрешения на проведение работ с секретной информацией. Порядок и периодичность переаттестации рабочих мест.

11.

«Взаимодействие с другими предприятиями (учреждениями, организациями)»
    Порядок взаимодействия в области ЗИ с предприятиями (учреждениями, организациями) при выполнении совместных работ. Применяемые совместные организационные и технические мероприятия по ЗИ. Ответственность, права и обязанности взаимодействующих сторон. Структурная схема взаимодействия.

6.        Требования к исполнителю

6.1. Исполнитель должен иметь лицензии и аттестат аккредитации в соответствии со ст.27 Закона РФ «О государственной тайне» № 000-1 от 01.01.01г., пунктом 2 «Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», утвержденного постановлением Правительства Российской Федерации от 01.01.01 года № 000, перечисленные ниже:

    Лицензия ФСБ России на осуществление работ, связанных с использованием сведений, составляющих государственную тайну;

Требование установлено в соответствии с:

- статьей 27 Федерального закона от 01.01.01 г. № 000-1 «О государственной тайне»;

- пунктом 2 «Положения о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», утвержденного постановлением Правительства Российской Федерации от 01.01.01 года № 000.

    Лицензия ФСТЭК России на осуществление мероприятий и(или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам);

Перечень видов иностранных разведок, по противодействию которым разрешается оказание услуг:

-акустическая речевая;

- разведка ПЭМИН.

Требование установлено в соответствии с:

- пунктом 45 «Положения «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утверждено постановлением Совета Министров – Правительства Российской Федерации от 01.01.01 года № 000-51.

7.        Требования по допуску на объекты оказания услуг

7.1. Для оказания услуг допускаются лица, имеющие допуск к сведениям, составляющим государственную тайну.

7.2. Исполнитель должен заблаговременно представить в режимно - секретное подразделение Заказчика утвержденный список своих специалистов, с паспортными данными для оказания услуг по защите информации, а также данные на транспортное средство (если таковое необходимо, для въезда на территорию заказчика): марка, гос. номер, фамилия, имя и отчество водителя.

7.3. Допуск сотрудников Исполнителя на объект информатизации Заказчика будет осуществляться после предъявления документа, удостоверяющего личность, справки-допуска к сведениям, составляющим государственную тайну и предписания на оказание услуг.