8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
– обоснование разработки СЗПДн;
– исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
– класс ИСПДн;
– ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
– конкретизацию мероприятий и требований к СЗПДн;
– перечень предполагаемых к использованию сертифицированных СрЗИ;
– обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;
– состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
8.6.6. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на классы.
Класс АС (ИСПДн) устанавливается в соответствии с «Порядком проведения классификации ИСНДн», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20, и оформляется актом.
Пересмотр класса защищенности АС (ИСПДНн) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
8.6.7. На стадии проектирования и создания АС (ИСПДн, СЗПДн) проводятся следующие мероприятия:
– разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
– выполнение работ в соответствии с проектной документацией;
– обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;
– разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
– обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СрЗИ и их установка;
– проведение сертификации по требованиям безопасности информации технических, программных и программно-технических СрЗИ, в случае когда на рынке отсутствуют требуемые сертифицированные СрЗИ;
– разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
– определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением