Система защиты персональных данных в автоматизированных информационных системах ОАО "Газпром газораспределение Вологда"

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

• ВВЕДЕНИЕ
• 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ
• 1.1 Термины и определения
• 1.2 Сведения об объекте информатизации по результатам обследования
• 1.3 Обследование системы безопасности ИСПДн ОАО «Газпром Газораспределение Вологда»
• 1.4 Принципиальная схема размещения средств криптографической защиты информации
• 1.5 Требования к СЗПД
• 1.6 Общее описание СЗПДн
• 2. ПРОЕКТИРВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
• 2.1 Схемы построения СЗПДн
• 2.2 План расположения оборудования и проводок
• 2.3 Структуры системы, подсистем, средствам и способам связи для информационного обмена между компонентами системы, подсистем
• 2.4 Взаимосвязь АС со смежными системами, обеспечению ее совместимости
• 2.5 Сведения об обеспечении заданных в техническом задании (ТЗ) потребительских характеристик системы (подсистем), определяющих ее качество.
• 2.6 Состав функций, комплексов задач (задач) реализуемых системой (подсистемой).
• 2.7 Состав информации, объем, способы ее организации, виды машинных носителей, входным и выходным документам и сообщениям, последовательности обработки информации и другим компонентам.
• 2.8 Настройки инфраструктуры
• 2.9 Описание технологических процессов в информационных системах персональных данных АО «Газпром газораспределение Вологда»
• 3. РЕШЕНИЕ ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИХ ВОПРОСОВ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
• 3.1 Количественный состав и стоимость приобретения оборудования и программного обеспечения
• 3.2 Перечень организационно распорядительной документации, разрабатываемой в рамках проекта по созданию СЗПДн
• 3.3 Режимы функционирования, диагностирования работы системы
• 3.4 Численность, квалификации и функции персонала АС, режимы его работы, порядок взаимодействия.
• ЗАКЛЮЧЕНИЕ
• СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ48
• ПРИЛОЖЕНИЯ

ВВЕДЕНИЕ

С каждым годом электронные сервисы всё больше и больше проникают в нашу жизнь. Информационные системы всё больше накапливают персональных данных о пользователях электронных сервисов и не только. Преступления и хищения персональных данных переходят и ряда физических краж в киберкражи.

Объектом исследования была выбрана система защиты персональных данных в автоматизированных информационных системах ОАО «Газпром газораспределение Вологда».

Система защиты персональных данных создается с целью выполнения требований: Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ, Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

А также с целью: обеспечения безопасности ПДн при обработке их в ИС; Разработке организационно распорядительной документации с области защиты ПДн; оценке эффективности ИСПДн Заказчика; ограничения доступа к защищаемым ресурсам Заказчика из сети «Интернет»; безопасной обработки защищаемой информации пользователями, имеющими доступ к защищаемым информационным ресурсам Заказчика; контроля несанкционированного использования защищаемой информации.

Для реализации поставленных целей будут выполнены следующие задачи:

1) предварительное обследование информационной системы заказчика на предмет имеющихся систем защиты;

2) составлена модель угроз и рекомендации по противодействию угрозам безопасности данных;

3) определены требования к СЗПД;

4) произведено проектирование системы защиты персональных данных.

Актуальность проекта заключается в следующем.

В общей сложности за первую половину 2016 года было похищено или потеряно 554 миллиона записей данных. Доля утечек персональных данных, в распределении утечек по типу информации, составила 86%. В данный момент, персональные данные, являются товаром на «чёрном» рынке и спрос на этот «товар» будет постоянно расти. Кроме этого, ужесточение законов о защите персональных данных и увеличение штрафов так же обязывают строить подобные системы защиты персональных данных.

1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ

1.1 Термины и определения

АИС - автоматизированная информационная система.

АС - автоматизированная система (система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций).

Администратор безопасности информации - лицо, ответственное за защиту АС от несанкционированного доступа к информации.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами.

ВТСС - вспомогательные технические средства и системы (технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях).

К ВТСС относятся:

1) телефонные средства и системы;

2) средства и системы передачи данных, системы радиосвязи;

3) средства и системы охранной и пожарной сигнализации;

4) средства и системы оповещения и сигнализации;

5) контрольно-измерительная аппаратура;

6) средства и системы кондиционирования;

7) средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.п.);

8) средства электронной оргтехники;

9) иные технические средства и системы.

ИБП - источник бесперебойного питания.

ИТ - информационные технологии.

КЗ - контролируемая зона - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

КТС - комплекс технических средств. Конфиденциальность информации - состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.

ЛВС - локальная вычислительная сеть - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС

МНИ - машинный носитель информации.

Межсетевой экран (МЭ) - локальное (однокомпонентное) или функционально- распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС. МЭ - обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя, таким образом, разграничение доступа субъектов из одной АС к объектам другой АС.

НЖМД - накопитель на жестких магнитных дисках.

НМД - нормативно-методический документ.

НСД - несанкционированный доступ.

ОТСС - основные технические средства и системы - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.

ОС - операционная система.

ОИ - объект информатизации.

ПИБ - подсистема информационной безопасности.

ПО - программное обеспечение.

ПЭМИН - побочные электромагнитные излучения и наводки.

РД - руководящий документ.

СЗИ - система защиты информации.

СВТ - средство вычислительной техники.

СЗИ НСД - система защиты информации от несанкционированного доступа - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.

ССОП - сети связи общего пользования.

СУБД - система управления базами данных.

СПО - специализированное программное обеспечение.

ТКУИ - технический канал утечки информации - совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

ТЗ - техническое задание.

Техническая защита конфиденциальной информации (ТЗКИ) - защита информации не криптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

ЧТЗ - частное техническое задание.

Целостность информации - состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ПДн - персональные данные.

ЗПДн - защита персональных данных.

ИС - информационная система.

ИСПДн - информационная система персональных данных.

1.2 Сведения об объекте информатизации по результатам обследования

Вся информация, обрабатываемая в ОАО «Газпром газораспределение Вологда», связана с его деятельностью. Субъектами, обработка ПДн которых ведется в ИСПДн ОАО «Газпром газораспределение Вологда», являются:

1) сотрудники ОАО «Газпром газораспределение Вологда»;

2) уволенные сотрудники ОАО «Газпром газораспределение Вологда»;

3) контрагенты ОАО «Газпром газораспределение Вологда».

В ИСПДн ОАО «Газпром газораспределение Вологда» персональные данные обрабатываются для достижения следующих целей:

1) осуществление трудовых отношений согласно трудовому договору и Трудовому Кодексу РФ, ведение основных видов деятельности ОАО «Газпром газораспределение Вологда», работа с обращениями граждан;

2) реализация договорных отношений в рамках, заключенных с контрагентами договоров на ТО и ремонт ВДГО;

3) реализация договорных отношений в рамках, заключенных с контрагентами договоров на выдачу ТУ и присоединения объекта газификации к газораспределительной сети;

4) осуществление трудовых отношений согласно трудовому договору и Трудовому Кодексу РФ; содействие работникам в трудоустройстве, обучение и продвижение по службе; обеспечение личной безопасности работника; контроль количества и качества выполняемой работы; обеспечение сохранности имущества; обеспечение получения работником заработной платы; реализации социальных программ, связанных с действующими работниками, бывшими работниками и другими лицами, в том числе, с ветеранами в целях обеспечения для них льгот и гарантий;

5) реализация договорных отношений в рамках, заключенных с контрагентами договоров.

ИСПДн ОАО «Газпром газораспределение Вологда» функционируют на ИВС ОАО «Газпром газораспределение Вологда», объединяющей компьютеры, установленные на рабочих местах работников ОАО «Газпром газораспределение Вологда» и структурных подразделений по следующим адресам:

1) г. Вологда, ул.*** - Центральный офис;

2) г. Вологда, ул.***;

3) г. Вологда, ул.***;

4) Вологодская обл., Бабаевский район, г. Бабаево, ул.***;

5) Вологодская обл., Грязовецкий район, пос. Вохтога, ул.***;

6) Вологодская обл., Грязовецкий район, г. Грязовец, ул.***;

7) Вологодская обл., Кадуйский район, пгт. Кадуй, ул.***;

8) Вологодская обл., Междуреченский район, с. Шуйское, ул.***;

9) Вологодская обл., Нюксенский район, с. Нюксеница, ул.***;

10) Вологодская обл., Тотемский район, г. Тотьма, ул. ул.***;

11) Вологодская обл., Чагодощенский район, пос. Чагода, ул.***;

12) Вологодская обл., Шекснинский район, пос. Шексна, ул.***;

13) Вологодская обл., г. Великий Устюг, ул.***;

14) Вологодская обл., г. Сокол, ул.***;

15) Вологодская обл., с. Тарногский Городок, ул.***;

16) Вологодская обл., г. Красавино, ул.***;

17) Вологодская обл., г. Кадников, ул.***;

18) Вологодская обл., с. Устье, ул.***;

19) Вологодская обл., с. Верховажье, ул.***;

20) Вологодская обл., г. Череповец, ул.***;

21) Вологодская обл., г. Череповец, ул.***.

Для осуществления технологического процесса обработки информации в информационной системе (ИС) используется программное обеспечение (ПО), приведено в таблице 1.1.

Таблица 1.1 - Используемое программное обеспечение

Наименование ПО	Назначение
Microsoft Windows XP/7	Операционная система на АРМ сотрудников
Microsoft Office 2010/2013	Пакет офисных программ для работы с документами
Kaspersky Endpoint Security для бизнеса - Расширенный	Антивирусное ПО
Kaspersky Security для интенет-шлюзов	Антивирусное ПО.
1С Предприятие	С помощью программы ведется бухгалтерский и налоговый учет хозяйственной деятельности организации
СБИС ++ Электронная отчетность	Электронная сдача бухгалтерской отчётности через интернет
Microsoft Windows Server Standard	Серверная операционная система
Microsoft Exchange Server Standard	Почтовый сервер
СКЗИ «КриптоПро CSP»	Средство криптографической защиты
Microsoft SQL Server	СУБД в ИСПДн
7zip	Архиватор
LibreOffice	Пакет офисных программ для работы с документами
Chrome	Браузер
Internet Explorer	Браузер
Adobe Reader	ПО для просмотра документов ф формате PDF

Структурные подразделения ОАО «Газпром газораспределение Вологда» осуществляют передачу данных посредством подключения ЛВС к глобальной сети Интернет, пропускная способность каналов связи структурных подразделений ОАО «Газпром газораспределение Вологда» приведено в таблице 1.2.

Таблица 1.2 - пропускная способность каналов связи

Подразделение	Пропускная способность канала связи
1	2
Бабаевский район, г. Бабаево, ул.***	2 Мбит/с
Вологда, ул.***	2 Мбит/с
Грязовецкий район, пос. Вохтога, ул.***	1 Мбит/с
Грязовецкий район, г. Грязовец, ул.***	2 Мбит/с
Кадуйский район, пгт. Кадуй, ул.***	2 Мбит/с
Междуреченский район, с. Шуйское, ул.***	512 Кбит/с
Нюксенский район, с. Нюксеница, ул.***	2 Мбит/с
Тотемский район, г. Тотьма, ул.***	2 Мбит/с
Чагодощенский район, пос. Чагода, ул.***	10 Мбит/с
Шекснинский район, пос. Шексна, ул.***	2 Мбит/с
Вологда, ул.***	1 Мбит/с
Вологодская обл., г. Великий Устюг, ул.***	6 Мбит/с
Вологодская обл., г. Великий Устюг, ул.***	2 Мбит/с
Вологодская обл., г. Сокол, ул.***	4 Мбит/с
Вологодская обл., с. Тарногский Городок, ул.***	2 Мбит/с
Вологодская обл., г. Красавино, ул.***	2 Мбит/с
Вологодская обл., г. Кадников ул.***	1 Мбит/с
Вологодская обл., с. Устье, ул.***	1 Мбит/с
Вологодская обл., с. Верховажье, ул.***	1 Мбит/с
Вологодская обл., г. Череповец, ул.***	10 Мбит/с
Вологодская обл., г. Череповец, ул.***	2 Мбит/с
Вологда, ул. Саммера, ул.***	20 Мбит/с
Вологда, ул. Саммера, ул.***	50 Мбит/с

Персональные данные поступают в ОАО «Газпром газораспределение Вологда» непосредственно от субъекта на основании договорных отношений или от третьей стороны в рамках исполнения норм действующего законодательства Российской Федерации, обрабатываются и хранятся в ОАО «Газпром газораспределение Вологда» не дольше, чем этого требуют цели обработки персональных данных и требования действующего законодательства Российской Федерации.

Если персональные данные работника ОАО «Газпром газораспределение Вологда» можно получить только от третьей стороны, то субъект персональных данных уведомляется о факте их получения заранее.

Сроки хранения информации, содержащей персональные данные субъектов, определяются Перечнем персональных данных, обрабатываемых в ОАО «Газпром газораспределение Вологда».

Персональные данные субъектов обрабатываются в ОАО «Газпром газораспределение Вологда» как в электронном виде (автоматизированная обработка), так и на бумажных носителях (обработка без использования средств автоматизации).

ПДн третьим лицам не передаются.

В ИСПДн обработку ПДн субъектов осуществляют следующие сотрудники ОАО «Газпром газораспределение Вологда»:

1) сотрудники отдела кадров;

2) сотрудники бухгалтерии;

3) сотрудники службы информационных технологий и связи.

Пользователям предоставляется доступ к ресурсам сети общего доступа «интернет».

Режим обработки информации в ИСПДн - многопользовательский. В системе присутствуют только постоянные пользователи. АРМ ИСПДн имеют доступ к персональным данным на специально выделенном сервере приложений. Настройку системы защиты и контроль ее работы осуществляют сотрудники Службы информационных технологий и связи.

Доступ в ИСПДн осуществляется по персональному имени и паролю конкретного пользователя. При этом пользователь получает установленные Администратором права доступа к устройствам, каталогам, файлам, программам и сетевым ресурсам.

Функции, права, обязанности и порядок работы персонала в ИСПДн регламентируется внутренними локальными документами.

1.3 Обследование системы безопасности ИСПДн ОАО «Газпром Газораспределение Вологда»

Обследование системы безопасности ИСПДн ОАО «Газпром Газораспределение Вологда» выявило следующее:

1. Сведения об ИСПДн по результатам предварительного обследования.

По результатам проведенного предварительного обследования оценивались показатели, влияющие на безопасность ПДн и степень вероятности инцидентов безопасности в ИСПДН Заказчика.

По полученным данным видно, что в большинстве подразделений заказчика вероятность инцидентов безопасности информации выше среднего что говорит о недостаточном уровне защищенности ИСПДн как в техническом, так и в физическом плане.

2. Модель угроз и рекомендации по противодействию угрозам безопасности данных.

Модель угроз информационной безопасности разработана основываясь на анализе исходных данных полученных при проведении обследования ИСПДн заказчика в соответствии с действующими требованиями регуляторов и нормативных актов Российской Федерации.

Модель угроз и рекомендации по противодействию угрозам безопасности данных при их обработке в информационной системе Информационная система персональных данных ОАО «Газпром газораспределение Вологда».

Модель угроз безопасности данных при их обработке в информационной системе (далее - ИСПДН) разработана и оформлена в соответствии с методическими рекомендациями ФСТЭК России, которая позволит оптимизировать работы по организации защиты данных.

На основании «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена Заместителем директора ФСТЭК России 14.02.2008 г, акта классификации ИСПДН разработаны рекомендации для ИСПДН ОАО «Газпром газораспределение Вологда», эксплуатирующийся ОАО «Газпром газораспределение Вологда».

3. Параметры ИСПДН.

В таблице 1.3 приведены характеристики уровня исходной защищенности для ИСПДН ОАО «Газпром газораспределение Вологда».

Таблица 1.3 - исходной уровень защищенности для ИСПДН

Структура ИСПДН	ИСПДН
Подключение ИСПДН к сетям общего пользования и (или) сетям международного информационного обмена	информационная система имеет подключения к сетям связи общего пользования и/или сетям международного информационного обмена
Режим обработки Данных	многопользовательский
Режим разграничения прав доступа пользователей	с разграничениями прав доступа
Местонахождение технических средств ИСПДН	в пределах Российской Федерации
Категория Данных, обрабатываемых в ИСПДН	Иная категория ПД, обрабатывающая ПД граждан РФ
Объем Данных, обрабатываемых в ИСПДН	Более 100 000

4. Исходный уровень защищенности ИСПДН.

По итогам оценки характеристик ИСПДН было определено, что ИСПДН ОАО «Газпром газораспределение Вологда» имеет средний уровень исходной защищенности.

На основании данных приведенных в Модели угроз рекомендуется определить уровень защищенности ИСПДн УЗ-3.

1.4 Принципиальная схема размещения средств криптографической защиты информации

Принципиальная схема вариантов размещения программных и аппаратных компонентов системы защиты информации на технологической площадке заказчика, в зависимости от структуры защищаемого объекта, приведены на рисунке 1.1.

Первый вариант размещения, с использованием кластера криптографических шлюзов с резервированием канала связи, предназначен для применения в структурных подразделениях заказчика с высокой пропускной способностью канала связи и наличием резервного канала для обеспечения бесперебойного доступа к защищаемым ресурсам.

Второй вариант размещения, с использованием кластера криптографических шлюзов с подключением к одному провайдеру, предназначен для применения в структурных подразделениях заказчика с высокой пропускной способностью канала связи и наличием большого количества АРМ пользователей и серверов, задействованных в ИСПДн.

Третий вариант размещения, с использованием криптографического шлюза с подключением к одному провайдеру, предназначен для применения в структурных подразделениях заказчика с низкой пропускной способностью канала связи и малым числом расположенных в защищаемом сегменте АРМ и серверов, задействованных в ИСПДн.

Четвертый вариант размещения, с использованием программного криптографического клиента, предназначен для размещения на территориально удаленных АРМ пользователей задействованных в ИСПДн.

Рисунок 1.1 - Варианты размещения программных и аппаратных компонентов системы защиты информации

1.5 Требования к СЗПД

Для соответствия системы защиты персональных данных существуют требования, указанные ниже:

1. Требования к СЗПДн в целом.

СЗПДн заказчика строится в соответствии Федеральными законами Российской Федерации, нормативно-правовыми актами ФСБ и ФСТЭК России, Организационно-распорядительными документами ОАО «Газпром газораспределение Вологда».

Технологии защиты информации и применяемые в ее рамках средства защиты должны обеспечивать предотвращение несанкционированного доступа к информации и информационным ресурсам, а также изменение штатных режимов функционирования систем и средств информатизации и связи.

Должна быть обеспечена защита, как от внутренних, так и внешних угроз.

При проектировании СЗПДн должна обеспечиваться минимизация ограничений и объема дополнительных операций, накладываемых на пользователя, осуществляющего санкционированную работу в ИСПДн, при условии выполнения всех необходимых требований безопасности информации.

2. Требования к составу и содержанию мер по обеспечению безопасности ПДн.

Требования к режимам функционирования СЗПДн задаются требованиями приказа ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

3. Требования к обеспечению мер безопасности СЗПДн.

Все реализуемые в рамках СЗПДн подсистемы защиты информации, организационные, программные и программно-технические должны обеспечивать выполнение мер по обеспечению безопасности персональных данных.

Исходя из приведенных на рисунке 1.1 вариантов размещения СКЗИ на технологической площадке заказчика предлагаем размещение СЗИ на участки приведенное в таблице 1.6.

Таблица 1.6 - Размещение СЗИ на участки

Подразделение	Пропускная способность канала связи	Вариант размещения
1	2	3
162480, Бабаевский район, г. Бабаево, ул.**	2 Мбит/с	Вариант 3
160009, г. Вологда, ул.**	2 Мбит/с	Вариант 3
162040, Грязовецкий район, пос. Вохтога, ул.**	1 Мбит/с	Вариант 3
162010, Грязовецкий район, г. Грязовец, ул.**	2 Мбит/с	Вариант 3
162510, Кадуйский район, пгт. Кадуй, ул.**	2 Мбит/с	Вариант 3
161050, Междуреченский район, с. Шуйское, ул.**	512 Кбит/с	Вариант 3
161380, Нюксенский район, с. Нюксеница, ул.**	2 Мбит/с	Вариант 3
161300, Тотемский район, г. Тотьма, ул.**	2 Мбит/с	Вариант 3
162400, Чагодощенский район, пос. Чагода, ул.**	10 Мбит/с	Вариант 3
162560, Шекснинский район, пос. Шексна, ул.**	2 Мбит/с	Вариант 3
160000, г. Вологда, ул.**	1 Мбит/с	Вариант 3
162394, Вологодская обл., г. Великий Устюг, ул.**	6 Мбит/с	Вариант 3
162390, Вологодская обл., г. Великий Устюг, ул.**	2 Мбит/с	Вариант 3
162130, Вологодская обл., г. Сокол, ул.**	4 Мбит/с	Вариант 3
161560, Вологодская обл., с. Тарногский Городок, ул.**	2 Мбит/с	Вариант 3
162341, Вологодская обл., г. Красавино, ул.**	2 Мбит/с	Вариант 3
162107, Вологодская обл., г. Кадников ул.**	1 Мбит/с	Вариант 3
161140, Вологодская обл., с. Устье, ул.**	1 Мбит/с	Вариант 3
162300, Вологодская обл., с. Верховажье, ул.**	1 Мбит/с	Вариант 3
162614, Вологодская обл., г. Череповец, ул.**	10 Мбит/с	Вариант 2
162614, Вологодская обл., г. Череповец, ул.**	2 Мбит/с	Вариант 3
160013, г. Вологда, ул.**	20 Мбит/с	Вариант 1
160013, г. Вологда, ул.**	50 Мбит/с	Вариант 1
Мобильные АРМ	1 Мбит/с	Вариант 4

Для наиболее эффективного применения СЗИ, проанализировав производительность каналов связи, с учетом возможного в будущем расширения пропускной способности канала и приведенным в таблице 1.6 вариантами схем размещения, предлагаем применение СЗИ с производительностью, приведено в таблице 1.7.

Таблица 1.7 - Предлагаемое применение СЗИ

Подразделение	Пропускная способность канала связи	Производительность шифрования
1	2	3
162480, Бабаевский район, г. Бабаево, ул.**	2 Мбит/с	До 10 Мбит/с
160009, г. Вологда, ул.**	2 Мбит/с	До 10 Мбит/с
162040, Грязовецкий район, пос. Вохтога, ул.**	1 Мбит/с	До 10 Мбит/с
162010, Грязовецкий район, г. Грязовец, ул.**	2 Мбит/с	До 10 Мбит/с
162510, Кадуйский район, пгт. Кадуй, ул.**	2 Мбит/с	До 10 Мбит/с
161050, Междуреченский район, с. Шуйское, ул.**	512 Кбит/с	До 10 Мбит/с
161380, Нюксенский район, с. Нюксеница, ул.**	2 Мбит/с	До 10 Мбит/с
161300, Тотемский район, г. Тотьма, ул.**	2 Мбит/с	До 10 Мбит/с
162400, Чагодощенский район, пос. Чагода, ул.**	10 Мбит/с	До 50 Мбит/с
162560, Шекснинский район, пос. Шексна, ул.**	2 Мбит/с	До 10 Мбит/с
160000, г. Вологда, ул.**	1 Мбит/с	До 10 Мбит/с
162394, Вологодская обл., г. Великий Устюг, ул.**	6 Мбит/с	До 50 Мбит/с
162390, Вологодская обл., г. Великий Устюг, ул.**	2 Мбит/с	До 10 Мбит/с
162130, Вологодская обл., г. Сокол, ул.**	4 Мбит/с	До 10 Мбит/с
161560, Вологодская обл., с. Тарногский Городок, ул.**	2 Мбит/с	До 10 Мбит/с
162341, Вологодская обл., г. Красавино, ул.**	2 Мбит/с	До 10 Мбит/с
162107, Вологодская обл., г. Кадников ул.**	1 Мбит/с	До 10 Мбит/с
161140, Вологодская обл., с. Устье, ул.**	1 Мбит/с	До 10 Мбит/с
162300, Вологодская обл., с. Верховажье, ул.**	1 Мбит/с	До 10 Мбит/с
162614, Вологодская обл., г. Череповец, ул.**	10 Мбит/с	До 300 Мбит/с
162614, Вологодская обл., г. Череповец, ул.**	2 Мбит/с	До 10 Мбит/с
160013, г. Вологда, ул.**	20 Мбит/с	До 500 Мбит/с
160013, г. Вологда, ул.**	50 Мбит/с	До 1 Гбит/с
Мобильные АРМ	1 Мбит/с	До 16 Мбит/с

Необходимую производительность шифрования способны обеспечить устройства, приведенные в таблице 1.8.

Таблица 1.8 - Устройства шифрования.

Наименование	Производительность шифрования
АПКШ «Континент» IPC-400	До 500 Мбит/с
АПКШ «Континент» IPC-100	До 300 Мбит/с
АПКШ «Континент» IPC-25	До 50 Мбит/с
АПКШ «Континент» IPC-10	До 10 Мбит/с
«Континент-АП»	До 16 Мбит/с

Размещение программных СЗИ осуществляется на имеющихся у заказчика АРМ - пользователей и серверном оборудовании, на всех аппаратных средствах, имеющих доступ в ИСПДн.

1.6 Общее описание СЗПДн

Предпроектная стадия создания СЗПДн.

На предпроектной стадии проводится обследование ИСПДн:

1) уточняется перечень ПДн, подлежащих защите;

2) уточняется информация о категориях и составе ПДн, обрабатываемых автоматизированными и неавтоматизированными способами; проводится анализ состава ПДн в ИСПДн, собирается информация о защищенности ПДн;

3) уточняются условия расположения объекта защиты относительно границ контролируемой зоны;

4) уточняются конфигурация и топология ИСПДн и систем связи в целом и их компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

5) уточняются состав технических средств и систем, предполагаемых к использованию в СЗПДн, условия их расположения, общесистемные и прикладные программные средства;

6) уточняются режимы обработки информации в ИСПДн в целом и в отдельных ее компонентах; для ИСПДн производится анализ собранной информации об угрозах и их показателях для разработки Модели угроз;

7) уточняется уровень защищенности ИСПДн;

8) разрабатывается организационно распорядительная документация в необходимом объёме;

9) разрабатывается модель угроз для ИСПДн на основе РД ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

10) разрабатывается (в случае необходимости) Модель нарушителя на основе РД ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;

11) уточняется степень участия сотрудников в обработке информации, характер их взаимодействия между собой и со службой ИБ.

На стадии поставки оборудования для построения СЗПДн осуществляется выбор программных и технических средств.

Выбор программных и технических средств защиты информации для построения СЗПДн.

С целью выполнения требований мер по обеспечению безопасности персональных данных, средства защиты информации должны иметь необходимые сертификаты ФСБ и ФСТЭК России, для обеспечения 3-ого уровня защищенности.

Средства защиты информации имеющие необходимые сертификаты:

1) АПКШ "Континент" версия 3.7. Сертификат соответствия ФСТЭК России № 3008;

2) СКЗИ "Континент-АП" версия 3.7. Сертификат соответствия ФСТЭК России № 3007;

3) сервер безопасности Secret Net 7. Сертификат соответствия ФСТЭК России № 2707;

4) средство защиты информации Secret Net 7. Клиент (сетевой режим работы) Сертификат соответствия ФСТЭК России № 2707;

5) дистрибутив (сертификационный пакет). Установочный комплект. Средство защиты информации Secret Net 7 (сетевой);

6) средство анализа защищённости Xspider. Сертификат соответствия ФСТЭК России № 3247;

7) сервер авторизации vGate для Hyper-V. Сертификат соответствия ФСТЭК России № 2308.

Все сертифицированные ФСТЭК средства защиты представлены на сайте ФСТЭК (http://www.fstec.ru/) в разделе «Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации» (http://www.fstec.ru/_razd/_serto.htm) в подразделе «Государственный реестр сертифицированных средств защиты информации».

Количественный состав аппаратных средств защиты при внедрении системы защиты каналов связи и межсетевого экранирования.

2. ПРОЕКТИРВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Схемы построения СЗПДн

Состав комплекса технических средств и связи между этими техническими средствами или группами технических средств, объединены по каким-либо логическим признакам (например, совместному выполнению отдельных или нескольких функций, одинаковому назначению и т. д.).

На рисунке 2.1. приведена общая схема работы сегмента (Филиала). Шифрованный трафик идет из глобальной сети до крипто шлюза, он дешифрует его, далее уже в защищенный сегмент сети поступает открытый трафик.

Рисунок 2.1 - Общая схема работы сегмента (Филиала)

На рисунке 2.2 приведена схема взаимодействия между сегментами (Центральный офис - Филиал). Шифрованный трафик передается между крипто шлюзами, в защищенных сегментах ЛВС за крипто шлюзом распространяется открытый трафик.



Рисунок 2.2 - Схема взаимодействия между сегментами (Центральный офис - Филиал)

На рисунке 2.3 приведена схема взаимодействия между сегментами и отдельного рабочего места. Шифрованный трафик до VPN- клиента поступает на прямую от крипто шлюза, и расшифровывается непосредственно на рабочей станции.

Рисунок 2.3 - Схема взаимодействия между сегментами и отдельного рабочего места

На рисунке 2.4 приведена схема функциональной структуры.



Рисунок 2.4 - Схема функциональной структуры

Крипто шлюз выполняет следующие функции:

1) маршрутизация сетевого трафика;

2) осуществляет балансировку нагрузки между каналами связи и динамическую/статическую маршрутизацию трафика;

3) межсетевое экранирование;

4) сегментация внутренней сети и обеспечение безопасности периметра с помощью межсетевого экрана на основе технологии SPI с поддержкой технологии NAT/PAT;

5) защита каналов связи;

6) криптозащита трафика по ГОСТ 28147-89 с современной ключевой схемой обеспечивает высокую криптографическую стойкость VPN-сети;

7) управление трафиком;

8) поддерживает работу механизмов управления QoS и Traffic shaping, благодаря чему обеспечивается устойчивая работа критически важных сервисов (ВКС, IP-телефония и др.);

9) мониторинг и регистрация событий;

10) отправка оперативной информации о состоянии VPN-шлюзов и событиях, которые требую незамедлительного вмешательства, на e-mail администратора ИБ и в ЦУС;

11) обеспечивает функционирование отказоустойчивых защищенных сетей с горячим резервированием каналов связи и VPN-устройств;

12) централизованное управление;

13) управление узлами сети и обновлением ПО узлов сети;

14) графический интерфейс;

15) функциональная графическая консоль управления;

16) мониторинг в реальном времени;

17) мониторинг состояния устройств, состояния сети и событий НСД в реальном времени;

18) интеграция с внешними системами мониторинга;

19) интеграция с системами мониторинга сетевой инфраструктуры и мониторинга ИБ;

20) централизованное хранение журналов;

21) централизованный сбор и хранение журналов во внешней СУБД;

22) синхронизация системного времени;

23) синхронизация системного времени с NTP-серверами

На рисунке 2.5 приведена блок-схема взаимодействия компонентов и исполнения ролей в СЗПДн.



Рисунок 2.5 - Блок-схема исполнения ролей

В приложении 1 указаны ведомость покупных изделий таблица П 1.1 и спецификация покупаемых изделий, таблица П 1.2.

На рисунке 2.6 приведена схема организационной структуры.

2.2 План расположения оборудования и проводок

Серверный шкаф находится в серверном помещении согласно внутреннего порядка филиала.

Установка крипто шлюза подразумевается в серверный шкаф с минимальным количеством юнитов - 5.

Установка крипто шлюза производится в последний нижний юнит как указано на рисунках 2.7 и 2.8.

Серверная стойка №1
Серверная стойка №2
Серверная стойка №3
Серверная стойка №4
Серверная стойка №5

Рисунок 2.7 - Схема монтирования в филиале

Серверная стойка №1
Серверная стойка №2
Серверная стойка №3
Серверная стойка №4
Серверная стойка №5

Рисунок 2.8 - Схема монтирования в Вологодском и Череповецком филиале

Коммутация производится согласно схемам расключения, таблицы П 2.1, П 2.2, П 2.3, П 2.4, П 2.5, П 2, 8 которые вынесены в приложение 2.

1.6 Структуры системы, подсистем, средствам и способам связи для информационного обмена между компонентами системы, подсистем

ЦУС - является управляющим элементом средств защиты информации, так же монитором состояния работоспособности элементов системы защиты.

Центр Управления Сетью предназначен для решения следующих задач:

1) централизованного управления компонентами;

2) автоматической регистрации событий, связанных с функционированием комплекса, в т.ч. событий НСД;

3) централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет изменять настройки всех компонентов АПКШ в сети и вести оперативный мониторинг их текущего состояния.

ЦУС может управлять крипто шлюзами, крипто коммутаторами, детекторами атак.

Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

Центр управления сетью позволяет централизовано обновлять базы решающих правил (сигнатуры) на детекторах атак.

Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).

В комплексе решена проблема обновления программного обеспечения компонентов комплекса в территориально распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все устройства, входящие в состав комплекса, и автоматически устанавливается.

Обеспечивается возможность установления доверительных отношений между крипто шлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями.

Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей.

Возможность автоматической синхронизации времени ЦУС и всей сети крипто шлюзов с заданным сервером точного времени по протоколу NTP.

Возможность отправки данных в SIEM-систему HP Arcsight.

Позволяет контролировать состояние крипто шлюзов по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.).

ЦУС формирует и распространяет политики и настройки для крипто шлюзов и VPN-клиентов, в свою очередь крипто шлюзы рапортуют о принятии и отработки изданных политик.

При инцидентах, крипто шлюзы и прочие элементы защищенной сети рапортуют ЦУСу о не стандартной работе, или же и вовсе обрывается связь с ЦУСом что отражается на мониторе состояния ЦУСа. Схема взаимодействия всех компонентов системы указана на рисунке 2.8.

2.3 Взаимосвязь АС со смежными системами, обеспечению ее совместимости

Система самодостаточна и устанавливается поверх инфраструктуры. Крипто шлюзы «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиа сервисы, как IP-телефония и видеоконференции. АС взаимодействует с сетевым оборудованием заказчика и оборудованием провайдера, преобразовывая сигналы на входе и на выходе. Техническое исполнение обеспечивает работоспособность без внедрения дополнительных средств.

Крипто шлюзы подключаются к силовой сети организации в розетки гибридного типа E/F, вилкой CEE 7/7 CEE 7/7, согласно ГОСТ 7396.1-89 -- тип С4. Порты ЛВС подключаются в разрыв к оборудованию провайдера и сетевого оборудования организации в 1 сетевой порт.

Рабочая станция с развёрнутым VPN клиентом подключается к сетевому оборудованию провайдера. Остальное коммутирование и обеспечение работоспособности рабочей станции стандартно.

Размещено на http://www.allbest.ru/

Рисунок 2.8 - Схема взаимодействия всех компонентов системы

2.4 Сведения об обеспечении заданных в техническом задании (ТЗ) потребительских характеристик системы (подсистем), определяющих ее качество

Система выполняет требования согласно мощностей инфраструктуры заказчика. Система выполняет следующие требования:

1) безопасное подключение ЛВС к сети Internet;

2) отказоустойчивый кластер (HA);

3) объединение через Интернет локальных сетей предприятия в единую сеть VPN;

4) удаленное управление маршрутизаторами;

5) подключение удаленных пользователей.

Оборудование выполняет требования Постановления Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказ ФСТЭК от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», соответствие руководящих документов ФСТЭК России по 2-му уровню контроля на отсутствие НДВ и 2-му классу защищенности для межсетевых экранов.

Может использоваться для создания автоматизированных систем до класса защищенности 1Б включительно и при создании информационных систем персональных данных до 1-го класса включительно.

Соответствует требованиям ФСБ России к устройствам типа межсетевой экран по 4 классу защищенности.

Соответствует требованиям ФСБ России к средствам криптографической защиты информации класса КС3 и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Минкомсвязи России - о соответствие установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

Средства защиты выбраны на основе модели угроз.

АПКШ «Континент» 3.7. ЦУС. Платформа IPC-100. Inc. TS Basic lvl:

1) форм-фактор: 1U для монтажа в 19" стойку;

2) сетевые интерфейсы: 6х 1000BASE-T Ethernet 10/100/1000 RJ45 и 2x 1000BASE-X оптический Gigabit Ethernet SFP;

3) количество подключенных устройств АПКШ Континент: до 500;

4) количество подключенных клиентов Континент АП: до 500.

Скорость передачи данных:

1) режим работы - криптошлюз, производительность до 300 Мбит/с;

2) режим работы - межсетевой экран, производительность до 400 Мбит/с;

3) режим работы - криптокоммутатор, производительность до 300 Мбит/с;

4) режим работы - Детектор атак, Производительность до 260 Мбит/с.

АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-400. Inc. TS Basic lvl:

1) форм-фактор: 2U для монтажа в 19" стойку;

2) сетевые интерфейсы: 6х 1000BASE-T Ethernet 10/100/1000 UTP RJ45;

3) количество подключенных устройств АПКШ Континент: до 1000;

4) количество подключенных клиентов Континент АП: до 1000.

Скорость передачи данных:

1) режим работы - криптошлюз, производительность до 500 Мбит/с;

2) режим работы - межсетевой экран, производительность до 1 Гбит/с;

3) режим работы - криптокоммутатор, производительность до 500 Мбит/с;

4) режим работы - детектор атак, производительность до 500 Мбит/с.

АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-25. Inc. TS Basic lvl:

1) форм-фактор: Mini-ITX;

2) сетевые интерфейсы: 4х 1000BASE-T Ethernet 10/100/1000 RJ45 и 1x 1000BASE-X Gigabit Ethernet Fiber SFP;

3) количество подключенных устройств АПКШ Континент: до 25;

4) количество подключенных клиентов Континент АП: до 25.

Скорость передачи данных:

1) режим работы - криптошлюз, производительность до 50 Мбит/с;

2) режим работы - межсетевой экран, производительность до 100 Мбит/с;

3) режим работы - криптокоммутатор, производительность до 50 Мбит/с;

4) режим работы - детектор атак, производительность до 25 Мбит/с.

АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-10. Inc. TS Basic lvl:

1) форм-фактор: Mini-ITX;

2) Сетевые интерфейсы: 3х 1000BASE-T Gigabit Ethernet 10/100/1000 RJ45.

Скорость передачи данных:

1) режим работы - криптошлюз, производительность до 10 Мбит/с;

2) режим работы - межсетевой экран, производительность до 100 Мбит/с;

3) режим работы - криптокоммутатор, производительность до 10 Мбит/с;

4) режим работы - детектор атак, производительность до 10 Мбит/с.

2.5 Состав функций, комплексов задач (задач), реализуемых системой (подсистемой)

Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147-89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры.

Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

Решаемые задачи:

1) безопасный доступ пользователей VPN к ресурсам сетей общего пользования;

2) криптографическая защита передаваемых данных в соответствии с ГОСТ 28147-89;

3) межсетевое экранирование - защита внутренних сегментов сети от несанкционированного доступа;

4) безопасный доступ удаленных пользователей к ресурсам VPN-сети;

5) создание информационных подсистем с разделением доступа на физическом уровне;

6) возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети крипто шлюзов.

2.6 Состав информации, объем, способы ее организации, виды машинных носителей, входным и выходным документам и сообщениям, последовательности обработки информации и другим компонентам

Комплекс защиты информации не изменяет способов обработки информации. За исключением принципа конвертации трафика внутри VPN сети по средствам шифрования-дешифрования между крипто шлюзами.

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети -- PPTP, причём используемую зачастую не для создания частных сетей.

Для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол -- IP (такой способ использует реализация PPTP -- Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

2.7 Настройки инфраструктуры

безопасность криптографический информация защита

Настройка оборудования производится по инструкциям производителя.

После установки и коммутации оборудования, ЦУС настраивает политики безопасности, правила сетевого экранирования и встраивает их в ключевую информацию, которая в свою очередь распространяется и принимается на криптошлюзах.

Сетевые настройки компонентов системы защиты указаны в таблицах П 3.1, П 3.2 и вынесены в приложение 3.

2.8 Описание технологических процессов в информационных системах персональных данных АО «Газпром газораспределение Вологда»

Все технологические процессы в информационных системах персональных данных должны строго соответствовать описанию этих процессов.

В таблице П 4.1 приведены условные обозначения описание технологических процессов в информационных системах персональных данных.

Таблица П 4.2, а также рисунки с описанием технологических процессов вынесены в приложение 4.

3. РЕШЕНИЕ ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИХ ВОПРОСОВ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Количественный состав и стоимость приобретения оборудования и программного обеспечения

Количественный состав и стоимость в ценах 2016 года аппаратных средств защиты при внедрении системы защиты каналов связи и межсетевого экранирования с учетом данных приведенных в таблице 1.7, с учетом поставки необходимых для функционирования системы компонентов, приведён в таблице 3.1.

Таблица 3.1 - Количественный состав и стоимость

Наименование	Количество	Цена	Сумма
АПКШ «Континент» 3.7. ЦУС. Платформа IPC-100. Inc. TS Basic lvl	1	303 391, 00	303 391, 00
АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-400. Inc. TS Basic lvl	2	557 405, 00	1 114 810, 00
АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-100. Inc. TS Basic lvl	2	197 340, 00	394 680, 00
АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-25. Inc. TS Basic lvl	2	94 300, 00	188 600, 00
АПКШ «Континент» 3.7. Криптошлюз. Платформа IPC-10. Inc. TS Basic lvl	18	57 730, 00	1 039 140, 00
Право на использование Континент АП (1 дополнительное подключение пользователя Континент АП к СД). Inc. TS Basic lvl	20	5 800, 00	116 000, 00
Итого стоимость компонентов СКЗИ:	3 156 621, 00
Стоимость внедрения СКЗИ и МЭ на технологической площадке Заказчика в ценах 2016 года:	442 773, 15
Итого стоимость реализации проекта по внедрению СКЗИ в инфраструктуру Заказчика:	3 599 394, 15

Внедрение СКЗИ и МЭ осуществляется поэтапно по факту поставки компонентов системы криптографической защиты каналов связи и межсетевого экранирования. Этапирование внедрения описывается в «Маршрутной карте внедрения СКЗИ и МЭ» (далее Маршрутная карта). Требования к настройке параметров СКЗИ и МЭ согласуются с заказчиком, отражаются в Маршрутной карте. Сроки внедрения определяются Исполнителем совместно с Заказчиком на стадии согласования Маршрутной карты.

3.2 Перечень организационно распорядительной документации, разрабатываемой в рамках проекта по созданию СЗПДн

В соответствии с результатами предварительного обследования необходимо иметь следующие документы:

1) приказ о создании комиссии для классификации ИСПДн;

2) приказ о введении режима обработки ПДн;

3) приказ о назначении ответственных за безопасность ПДн;

4) описание технологических процессов;

5) перечень ИСПДн;

6) перечень ПДн;

7) приказ и перечень общедоступных сведений;

8) приказ о назначении ответственных лиц за ПДн и список ответственных лиц;

9) частная модель угроз;

10) акт Классификации ИСПДн;

11) план контролируемой зоны;

12) технический паспорт ИСПДн;

13) уведомление об обработке (регулятора);

14) инструкция по антивирусному контролю;

15) лист ознакомления с нормативной базой;

16) акт приема зачета по знанию нормативной базы;

17) журнал учёта обращений субъектов ПДн о выполнении их законных прав;

18) протокол оценки соответствия ИСПДн требованиям;

19) акт декларирования соответствия ИСПДн требованиям безопасности информации;