Добавить в коллекции Добавить в сохраненное
  1. Без категории

Требования к внедрениюTRITON

реклама 
Открытое акционерное общество
«ТРАНСКАПИТАЛБАНК»
Требования к работам по вводу в действие
СЗИ Websense Triton
Москва 2014
Содержание
1 Общие сведения ................................................................................................................... 3
1.1 Цель проведения работ ............................................................................................... 3
1.2 Задачи ........................................................................................................................... 3
2 Требования к составу работ ............................................................................................... 4
2.1 Требования к работам по проектированию системы защиты ................................... 4
2.1.1 Проведение обследования информационных потоков, активов и
выявление сведений конфиденциального характера ............................................... 4
2.1.2 Разработка Технического задания на создание системы защиты .................. 5
2.1.3 Разработка Технического проекта на систему защиты от утечек
информации конфиденциального характера ............................................................. 6
2.1.4 Разработка проектов внутренних нормативных документов,
регламентирующих работу с информацией конфиденциального
характера ...................................................................................................................... 6
2.2 Требования к работам по вводу в действие системы защиты .................................. 6
2.2.1 Закупка ПО Websense ESGАv Appliance ........................................................... 7
2.2.2 Подготовка ИТ инфраструктуры к вводу в действие ........................................ 7
2.2.3 Монтаж и пусконаладочные работы средств защиты
информации ................................................................................................................. 7
2.2.4 Опытная эксплуатация средств защиты информации ..................................... 8
2.2.5 Разработка рабочей и эксплуатационной документации ................................. 8
2.2.6 Проведение приемочных испытаний ................................................................. 8
2.3 Требования к технической поддержке системы защиты ........................................... 9
3 Требования к срокам проведения работ........................................................................ 10
4 Требования к документированию ................................................................................... 11
5 Требования к исполнителю .............................................................................................. 13
1 Общие сведения
1.1 Цель проведения работ
Минимизация рисков информационной безопасности возникающих при работе
в сети Интернет, связанных с утечкой конфиденциальной информации, получением
из сети Интернет зловредного кода и нецелевого использования активов ТКБ ОАО
(далее – Банк).
1.2 Задачи
Основная задача проекта - ввод в действие системы защиты информации состоящей из подсистем:
– подсистема контроля утечек конфиденциальной информации Websense
Data Security;
– подсистема обеспечения безопасности работы пользователей в сети Интернет Websense Web Security Gateway Anyware;
– подсистема обеспечения безопасности почтовой системы Интернета Websense Email Security Gateway Anyware.
2 Требования к составу работ
Работы должны проводиться в 3 этапа:
– проектирование системы защиты;
– ввод в действие системы защиты;
– техническая поддержка системы.
2.1 Требования к работам по проектированию системы
защиты
На данном этапе должны проводиться следующие работы:
– обследование информационных потоков, активов и выявление сведений
конфиденциального характера, подлежащих контролю;
– разработка Технического задания на систему защиты от утечек информации конфиденциального характера;
– разработка Технического проекта на систему защиты от утечек информации конфиденциального характера;
– разработка проектов внутренних нормативных документов, регламентирующих получение доступа, работу и хранение информации конфиденциального характера.
2.1.1 Проведение обследования информационных потоков,
активов и выявление сведений конфиденциального характера
Данная работа должна быть реализована путем проведения:
– анализа внутренних организационно-распорядительных документов, регламентирующих порядок получения доступа, обработки, хранения и защиты конфиденциальной информации;
– определение перечня информации, подлежащих защите;
– определение порядка обработки и перечня мест хранения информации.
2.1.1.1. Анализ внутренних организационно-распорядительных документов,
регламентирующих порядок обработки, хранения и защиты конфиденциальной информации
Анализ внутренних организационно-распорядительных документов, регламентирующих порядок обработки, хранения и защиты конфиденциальной информации,
включает в себя:
– анализ действующей документации Банка, устанавливающей порядок обработки, хранения и обеспечения защиты конфиденциальной информации в Банке,
на предмет соответствия требованиям нормативных документов по защите конфиденциальной информации;
– сбор и анализ эксплуатационной документации автоматизированных систем Банка, описывающей состав, структуру, функциональные возможности, технические характеристики и порядок использования конфиденциальной информации и
средств защиты информации.
Исходными данными при выполнении данной работы будут являться:
– внутренняя документация Банка;
– эксплуатационная документация автоматизированных систем Банка;
– информация, представленная сотрудниками Банка в части описания существующего порядка сбора, обработки и защиты конфиденциальной информации.
2.1.1.2. Определение перечня информации, подлежащей защите
При определении перечня конфиденциальной информации, подлежащей защите, устанавливается:
– перечень обрабатываемой конфиденциальной информации;
– категории конфиденциальной информации и необходимость их защиты;
– определение «бизнес-владельцев» конфиденциальной информации;
– места хранения конфиденциальной информации;
– возможный канал утечки конфиденциальной информации.
К конфиденциальной информации относятся данные, разглашение или распространение которых может привести к возникновению вреда для Банка, его клиентов или иных контрагентов. а так же любые другие сведения, ограничивать доступ к которым необходимо в соответствии в законодательством РФ или взятыми
на себя обязательствами.
2.1.1.3. Определение порядка обработки и мест хранения информации
Определение порядка обработки конфиденциальной информации проводится
с целью определение легитимных мест хранения информации и потоков ее передачи.
Определение мест обработки конфиденциальной информации включает в себя:
– определение АС, в которых она обрабатывается, и их «бизнесвладельцев»;
– определение потоков передачи.
При выполнении данной работы проводится:
– определение наличия и анализ ОРД Банка, регулирующих работу с ПДн;
– определение наличия и анализ должностных инструкций работников, имеющих доступ к конфиденциальной информации, а также работников, обеспечивающих защиту конфиденциальной информации;
– опрос (анкетирование) работников Банка.
2.1.2 Разработка Технического задания на создание системы
защиты
Разработка технического (частного технического) задания осуществляется в
соответствии с ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», ГОСТ 51583-2000 «Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении».
Требования к составу Технического задания приведены в разделе 4 .
2.1.3 Разработка Технического проекта на систему защиты от
утечек информации конфиденциального характера
На основании собранной информации об ИИ Банка и утвержденного Технического задания разрабатываются:
а) пояснительная записка с описанием решений по комплексу организационных и технических мер в составе следующих основных разделов:
1) описание ИИ Банка, включающее в себя схемы ИИ и потоки данных
между элементами ИИ;
2) описание технических решений;
3) мероприятия по подготовке инфраструктуры Банка к вводу в действие.
б) спецификацию системы защиты;
в) другие документы технического проекта – при необходимости и в соответствии с Техническим заданием.
2.1.4 Разработка
проектов
документов,
регламентирующих
конфиденциального характера
внутренних
работу
с
нормативных
информацией
На данном этапе должны быть разработаны и согласованны с Заказчиком
следующие проекты внутренних нормативных документов:
– политика защиты конфиденциальной информации в Банке;
– регламент защиты конфиденциальной информации в Банке;
– перечень конфиденциальной информации;
– перечень легитимных каналов передачи конфиденциальной информации;
– регламент предоставления доступа к легитимным каналам передачи конфиденциальной информации;
– политика обеспечения безопасности работы пользователей в сети Банка;
– политика обеспечения безопасности электронной почты.
2.2 Требования к работам по вводу в действие системы
защиты
На 2-м этапе работ должны проводится следующие работы:
– закупка ПО Websense ESGАv Appliance;
– подготовка ИТ инфраструктуры к вводу в действие;
– монтаж и пусконаладочные работы средств защиты информации;
– опытная эксплуатация средств защиты информации;
– разработка эксплуатационной документации;
– проведение приемочных испытаний.
2.2.1 Закупка ПО Websense ESGАv Appliance
На данном этапе должна быть осуществлена передача прав на использование
ПО Websense ESGАv Appliance – 1 шт.
2.2.2 Подготовка ИТ инфраструктуры к вводу в действие
Выполняется подготовка ИТ инфраструктуры собственными силами Банка в
соответствии с требованиям, установленным документацией технического проекта.
Должно быть, организовано обучение персонала Банка, путем проведения
технических семинаров. Семинары должны проводиться специалистами, имеющими опыт внедрения аналогичных систем, с использованием виртуальной инфраструктуры.
2.2.3 Монтаж и пусконаладочные работы средств защиты
информации
Монтаж оборудования комплекса средств системы защиты производится в соответствии с разработанными проектными решениями.
Для осуществления монтажа Банк должен обеспечить условия размещения
оборудования, описанные в разделе «Мероприятия по вводу в действие» Пояснительной записки к Техническому проекту создания системы защиты.
На данном этапе осуществляются:
а) работы с Websense Triton:
1) обновление (развёртывание) ПО Websense Triton до актуальной версии.
а) работы с Websense Web Security Gateway Anyware:
1) обновление (развертывание) ПО Websense Content Gateway до актуальной версии;
2) настройка интеграции с Websense Data Security (после развертывания
компонента Websense Data Security);
б) работы с Websense Email Security Gateway Anyware:
1) установка компонента Websense Email Security Gateway Anyware на
сервере управления Websense Triton;
2) установка ПО Websense ESGAv Appliance в виртуальной среде c резервированием;
3) перенос настроек с действующего Websense Email Security на установленный Websense ESGAv Appliance;
4) настройка интеграции с Websense Data Security (после развертывания
компонента Websense Data Security);
5) переключение почтового трафика на Websense ESGAv Appliance.
в) работы с Websense Data Security:
1) установка компонентов Websense Data Security на вновь созданный
виртуальный сервер;
2) установка Websense Data Security Endpoint Server на вновь созданный
виртуальный сервер;
3) распространение агентов Websense Data Endpoint на рабочие станции
Головного офиса Банка.
г) настройка учетных записей администраторов и администраторов ИБ;
д) настройка политик, правил и отчетов;
е) консультирование специалистов Банка по вопросам технической отладки и
настройки системы защиты.
2.2.4 Опытная эксплуатация средств защиты информации
На данном этапе проводятся следующие работы:
– запуск системы защиты в опытную эксплуатацию;
– проведение опытной эксплуатации в течение не менее 40 рабочих дней;
– устранение выявленных в ходе опытной эксплуатации недостатков (при
необходимости);
– настройка правил и исключений для минимизации ошибок работы системы
защиты до приемлемого уровня (не более 200 срабатываний).
2.2.5 Разработка рабочей и эксплуатационной документации
На данном этапе разрабатывается следующая рабочая и эксплуатационная
документация:
а) инструкция администратора системы защиты, которая содержит:
1) способы конфигурирования комплекса;
2) порядок проведения резервного копирования и восстановления;
3) порядок управления учетными записями администраторов и операторов комплекса.
б) инструкция администратора ИБ, описывающая порядок использования
комплекса;
в) требования по настройке системы защиты, в которых приводится описание
конфигурации средств защиты.
г) программа и методики испытаний системы защиты на соответствие Техническому заданию.
2.2.6 Проведение приемочных испытаний
Для проведения приемочных испытаний создается комиссия по проведению
приемки системы защиты.
В состав комиссии должны входить представители Банка и исполнителя. Комиссия проводит оценку Системы в соответствии с Программой и методикой испытаний, по результатам которой составляется протокол проведения испытаний.
2.3 Требования к технической поддержке системы защиты
В процессе технической поддержки могут осуществляться следующие работы:
– обслуживание комплекса средств системы защиты;
– техническое сопровождение системы защиты.
Обслуживание комплекса средств системы защиты подразумевает, что специалисты исполнителя осуществляют периодические профилактические выезды на
объекты Банка, не реже одного раза в 2 месяца, а также, по требованию заказчика,
при наличии критических проблем в системе, с целью:
– проведения своевременных обновлений ПО комплекса средств системы
защиты;
– выявления ошибок в работе системы и их устранения;
– внесения изменений в конфигурацию системы.
Для решения поддержка подразумевает выезд специалистов исполнителя по
требованию заказчика
В процессе технического сопровождения уполномоченные специалисты Банка
могут обращаться в службу технической поддержки исполнителя для решения технических проблем, возникающих в процессе работы комплекса средств системы
защиты, а также по вопросам конфигурации комплекса средств системы защиты в
режиме 8х6.
Обращения в службу технической поддержки возможны по следующим каналам:
– система HelpDesk;
– выделенная электронная почта;
– выделенный телефон.
3 Требования к срокам проведения работ
Работы должны быть проведены в сроки указанные ниже:
Таблица 1. Сроки проведения работ
№
п\п
Наименование работ
Срок проведения работ
1
Проектирование системы защиты
60 рабочих дней
2
Ввод в действие системы защиты
40 рабочих дней +опытная эксплуатация
3
Техническая
защиты
поддержка
системы
До окончания срока действия подписки
4 Требования к документированию
При проведении работ по данным требованиям должны быть разработаны документы указанные ниже:
Таблица 2. Перечень документации разрабатываемой в ходе проведения работ
№
п\п
Наименование работ
Отчетные документы
а) Техническое задание на создание системы защиты
б) Технический проект системы защиты в составе
1) Пояснительная записка технического проекта
2) Спецификация системы защиты информации
в) Политика защиты конфиденциальной информации в
Банке
г) Регламент защиты конфиденциальной информации
1
Проектирование системы защиты
в Банке
д) Перечень конфиденциальной информации
е) Перечень легитимных каналов передачи конфиден-
циальной информации
ж) Регламент предоставления доступа к легитимным
каналам передачи конфиденциальной информации
з) Политика обеспечения безопасности работы пользователей в сети Банка
и) Политика обеспечения безопасности электронной
почты
2
а) Акт прохождения обучающего семинара
б) Акт установки СЗИ
в) Инструкция администратора системы защиты
Ввод в действие системы защиты
г) Инструкция администратора ИБ системы защиты
д) Программа и методики испытаний системы защиты
е) Протокол приемочных испытаний
3
Техническая поддержка системы
а) Акт оказания услуг
Техническое задание на создание системы защиты должно содержать следующие разделы:
1) общие сведения;
2) назначение и цели создания системы защиты;
3) характеристики информационной системы Банка;
4) требования к системе;
5) требования к функциям системы защиты;
6) состав и содержание работ по созданию системы;
7) порядок контроля и приемки системы;
8) требования к документированию (состав и содержание, порядок утверждения и согласования);
9) источники разработки документа;
10) порядок внесения изменений в техническое задание.
Пояснительная записка технического проекта должна содержать:
1) общие положения;
2) основные технические решения;
3) описание организационной структуры;
4) мероприятия по подготовке к вводу в действие.
5 Требования к исполнителю
Исполнитель работ должен обладать партнёрским статусом Websense.
В штате исполнителя должны работать не менее двух сертифицированных
специалистов v7.8 TRITON Web Olympian Certification, v7.8 TRITON DLP Olympian
Certification и v7.8 TRITON Email Olympian Certification.
Исполнитель должен обладать опытом внедрения не менее 2 аналогичных
проектов финансовой или телекоммуникационной отрасли.
Похожие документы
УДК 658.5 ОСОБЕННОСТИ ОРГАНИЗАЦИИ СЛУЖБЫ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНО- СТИ ПРЕДПРИЯТИЯ
УДК 658.5 ОСОБЕННОСТИ ОРГАНИЗАЦИИ СЛУЖБЫ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНО- СТИ ПРЕДПРИЯТИЯ
Websense® TRITON® ThreatScope™
Websense® TRITON® ThreatScope™
Скачать
реклама