<Письмо> МЗ РТ от 13.01.2014 N 09-01/198 "О направлении типового ТЗ"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ
РЕСПУБЛИКИ ТАТАРСТАН
ПИСЬМО
от 13 января 2014 г. № 09-01/198
О НАПРАВЛЕНИИ ТИПОВОГО ТЗ
Министерство здравоохранения Республики Татарстан в дополнение к Письму МЗ РТ от 06.12.2013 № 09-01/13716 направляет типовое техническое задание для организации конкурсов по проведению работ по защите персональных данных (в случае превышения лимита в 100.000 рублей).
Министр
А.Ю.ВАФИН
Приложение
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
НА ОКАЗАНИЕ УСЛУГ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ С ОБУЧЕНИЕМ
СПЕЦИАЛИСТОВ, ОТВЕТСТВЕННЫХ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ
ДАННЫХ, В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ФЕДЕРАЛЬНОГО ЗАКОНА
№ 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
2. Основные требования:
При осуществлении закупок к участникам устанавливаются следующие обязательные требования:
2.1. Соответствие участников требованиям, устанавливаемым в соответствии с законодательством Российской Федерации к лицам, осуществляющим оказание услуг, являющихся объектом закупок.
2.1.2. Наличие у участника следующих лицензий и свидетельств:
2.1.2.1. Лицензия на деятельность по технической защите конфиденциальной информации (ФСТЭК) с местом осуществления деятельности - Республика Татарстан.
2.1.2.2. Лицензия ФСБ на осуществление работ распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, предусмотренных пунктами 12, 21, 28 перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313, с местом осуществления деятельности - Республика Татарстан.
2.1.2.3. Лицензия на осуществление образовательной деятельности по следующим образовательным программам дополнительного образования, дополнительного профессионального образования: "Защита персональных данных" или "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных".
2.1.2.4. Свидетельство о государственной аккредитации удостоверяющего центра, выданное Министерством связи и массовых коммуникаций РФ.
2.1.3. Дополнительные требования к участнику: (как дополнительные критерии при оценке заявок на участие в конкурсе):
2.1.3.1. Наличие в штате участника не менее 5 (пяти) специалистов с высшим образованием по специальности в сфере защиты информации и/или имеющих свидетельства о прохождении курсов повышения квалификации по данной специализации. Наличие в штате специалистов с опытом работы в области информационной безопасности не менее 5 лет.
2.1.3.2. Опыт проведения работ по обеспечению безопасности обработки персональных данных в учреждениях здравоохранения в соответствии с требованиями Федерального закона № 152-ФЗ "О персональных данных" (не менее 50 учреждений здравоохранения).
2.1.4. Передача информации в процессе оказания услуг должна осуществляться в электронном виде посредством телекоммуникационных каналов связи только с использованием сертифицированных криптографических средств защиты информации, в том числе средств электронной подписи - информация должна быть подписана и зашифрована. Перечень необходимой информации для выполнения обязательств Исполнителя по настоящему контракту может согласовываться с Заказчиком в процессе исполнения настоящего контракта.
2.2. Участник в конкурсном предложении представляет предложения на выполнение услуг в соответствии с Техническим заданием.
2.3. Обеспечение выполнения следующих услуг:
2.3.1. Выдача квалифицированной электронной подписи и сертификата ключа проверки электронной подписи.
Срок действия квалифицированного сертификата ключа проверки электронной подписи - 1 год. Количество - 1 шт.
Изготовление ключей электронной подписи, ключей проверки электронной подписи и квалифицированных сертификатов ключа проверки электронной подписи на основании заявок Заказчика, предоставленных в удостоверяющем центре Исполнителя. Формы и порядок предоставления заявок определяются после выбора Исполнителя на основании Регламента удостоверяющего центра Исполнителя.
Средство криптографической информации "КриптоПро CSP" на одном рабочем месте версии 3.6 или эквивалент, удовлетворяющий требованиям, установленным Приказом ФСБ РФ от 27 декабря 2011 г. № 796. Количество - 1 шт.
Программное обеспечение, выполняющее следующие функции (программное обеспечение для шифрования информации и электронной подписи "КриптоАрм Стандарт", версия 4 или эквивалент), в количестве 1 шт.:
- шифрование и расшифрование отдельных файлов, пакетов и архивов данных;
- перешифрование файла в адрес измененного списка получателей;
- одновременное шифрование неограниченного количества файлов;
- удаление исходного файла после шифрования, в т.ч. гарантированное удаление;
- шифрование данных по стандарту PKCS#7,CMS;
- задание расширений выходных файлов (по умолчанию - *.enc);
- электронная подпись содержит штамп времени;
- просмотр и проверка штампа времени на подписанном документе;
- просмотр и проверка штампа времени на электронную подпись;
- выполнение криптографических операций "одним кликом".
Ключевой носитель USB-ключ eToken PRO (Java), сертифицированный ФСТЭК, или эквивалент в количестве 1 шт.
2.3.2. Анализ состояния защищенности информационных систем персональных данных.
2.3.3. Анализ локальных документов учреждения и договоров с физическими и юридическими лицами в части обработки персональных данных и их передачи третьим лицам.
2.3.4. Консультации пользователей ИСПДн Заказчика по вопросам безопасности ИСПДн.
2.3.5. Консультирование по корректировке локальных документов учреждения по обеспечению безопасности ИСПДн.
2.3.6. Инструктаж сотрудников по вопросам обработки, защиты и правилам работы со средствами защиты ПДн.
2.3.7. Ежеквартальная подготовка нормативных и распорядительных документов, регламентирующих деятельность Заказчика при работе с персональными данными.
2.3.8. Разработка предложений по внесению изменений в нормативные и распорядительные документы Заказчика, регламентирующие эксплуатацию ИСПДн, в случае изменения законодательства или условий обработки персональных данных.
2.3.9. Консультационное сопровождение при проведении проверочных мероприятий в части обеспечения требований по безопасности ИСПДн.
2.3.10. Выезд к Заказчику для устранения выявленных недостатков один раз в квартал (по необходимости).
2.3.11. Обучение одного специалиста, ответственного за защиту персональных данных, по курсу в объеме 72 часа и четырех специалистов, ответственных за обработку персональных данных, по курсу в объеме 16 часов в год (обучение одного человека в квартал) с выдачей свидетельства установленного образца.
2.4. В случае изменения законодательства или условий обработки персональных данных Исполнитель оказывает содействие Заказчику по внесению изменений в следующий перечень нормативных и распорядительных документов:
- Политика безопасности ПДн, обрабатываемых в ИСПДн
- Положение о защите персональных данных
- Приказ о вводе в эксплуатацию объектов ВТ
- Приказ о защите персональных данных
- Приказ о контролируемой зоне
- Приказ о назначении ответственных лиц
- Приказ об организации работ с ПДн
- Приказ об утверждении мест хранения носителей ПДн
- Регламент реагирования на запросы субъектов ПДн или их законных представителей
- Регламент контроля использования технических средств
- Перечень персональных данных
- Перечень ресурсов информационных систем ПДн
- План внутренних проверок режима защиты ПДн
- Список должностей, уполномоченных на обработку ПДн
- Список должностей, допущенных в серверное помещение
- Отчет о результатах проведения внутренней проверки (шаблон документа)
- Формы согласий субъектов ПДн на обработку их ПДн
- Инструкция Администратора информационной безопасности
- Инструкция Администратора ИСПДн
- Инструкция Ответственного за эксплуатацию ОВТ
- Инструкция Ответственного за организацию обработки ПДн
- Инструкция по проведению антивирусного контроля
- Инструкция пользователей по безопасной обработке ПДн
- Инструкция Ответственного за обеспечение безопасности ПДн в ИСПДн
- Инструкция о порядке доступа работников в помещения, где ведется обработка персональных данных (по необходимости)
- Инструкция по работе с материальными носителями биометрических ПДн (по необходимости)
- Инструкция по обработке обезличенных ПДн (по необходимости)
- Акт об уничтожении ПДн (шаблон документа)
- Акт проверки наличия носителей информации
- Журнал персональных идентификаторов системы защиты
- объекта информатизации (шаблон документа)
- Журнал учета носителей информации (шаблон документа)
- Журнал функционирования СЗИ (шаблон документа)
- Журнал инструктажа сотрудников по вопросам ИБ (шаблон документа)
- Протокол оценки вреда
- Акт определения уровня защищенности ПДн
- Положение по организации и проведению работ по обеспечению безопасности персональных данных
- Регламент разграничения прав доступа
- Регламент резервного копирования
- Рекомендации по обеспечению информационной безопасности
- Частная модель угроз и нарушителя безопасности ПДн
2.5. Перечень документов, на основании которых должно быть выполнены работы по проекту:
- Федеральный закон "О персональных данных" № 152-ФЗ от 27 июля 2006 г.;
- Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи";
- Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" № 188 от 06.03.97;
- Указ Президента РФ "О внесении изменения в перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 г. № 188" № 1111 от 23.09.2005;
- Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Постановление Правительства РФ "Об утверждении требований к материальным носителям биометрических персональных и технологиям хранения таких данных вне информационных систем персональных данных" № 512 от 06.07.2008;
- Постановление Правительства РФ "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" № 687 от 15.09.2008;
- Постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" № 149/54-144, утверждены ФСБ от 21.02.2008;
- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" № 149/6/6-622, утверждены ФСБ от 21.02.2008;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утверждена ФСТЭК от 15.02.2008;
- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15.02.2008;
- Трудовой кодекс Российской Федерации (глава 14 "Защита персональных данных работника) № 197-ФЗ от 30.12.2001;
- другие требования и рекомендации законодательства в области обеспечения информационной безопасности.
2.6. Требования к работам по разработке документации в рамках проекта.
Все разработанные документы должны соответствовать требованиям нормативных и нормативно-методических документов в области защиты информации.
------------------------------------------------------------------