Приложение № 1
к договору №_______ от _________ 2014г.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на выполнение работы по теме:
«Проведение работ по подготовке к аттестации и аттестации автоматизированной системы (АС) ЗАО «Русатом Оверсиз» по требованиям безопасности информации по классу АС – 1Г»
2014 год
СОДЕРЖАНИЕ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГ
Подраздел 2.1 Состав (перечень) оказываемых услуг
Подраздел 2.2 Описание оказываемых услуг
Подраздел 2.3 Объем оказываемых услуг либо доля оказываемых услуг в общем объеме закупки
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1 Общие требования
Подраздел 3.2 Требования к качеству оказываемых услуг
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
Подраздел 3.4 Требования к конфиденциальности
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
Подраздел 3.6 Требования по обучению персонала заказчика
Подраздел 3.7 Требования к составу технического предложения участника
Подраздел 3.8 Специальные требования
РАЗДЕЛ 4. РЕЗУЛЬТАТ ОКАЗАННЫХ УСЛУГ
Подраздел 4.1 Описание конечного результата оказанных услуг
Подраздел 4.2 Требования по приемке услуг
Подраздел 4.3 Требования по передаче заказчику технических и иных документов (оформление результатов оказанных услуг)
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ПОСТАВЩИКУ
Подраздел 5.1 Общие требования
Подраздел 5.2 Требования к наличию лицензий
Подраздел 5.3 Требования специалистам поставщика
РАЗДЕЛ 6. ТРЕБОВАНИЯ К ТЕХНИЧЕСКОМУ ОБУЧЕНИЮ ПЕРСОНАЛА ЗАКАЗЧИКА
Подраздел 6.1. Требования к программе обучения
Подраздел 6.2. Требования к результатам обучения
РАЗДЕЛ 7. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
РАЗДЕЛ 8. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
Проведение работ по подготовке к аттестации и аттестации автоматизированной системы (АС) ЗАО «Русатом Оверсиз» по требованиям безопасности информации по классу АС – 1Г.
|
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГИ
Подраздел 2.1 Состав (перечень) оказываемых услуг
|
2.1.1 Услуги по проведению работ по подготовке к аттестации и аттестации автоматизированной системы (АС) ЗАО «Русатом Оверсиз» в составе 229 АРМов и 1 сервера по требованиям безопасности информации необходимо провести в семь этапов:
1. Обследование автоматизированной системы.
2. Техническое проектирование системы защиты конфиденциальной информации.
3. Поставка средств защиты информации.
4. Установка и настройка средств защиты информации.
5. Разработка организационно-распорядительных документов по защите конфиденциальной информации.
6. Обучение специалистов Заказчика по администрированию поставляемых СЗИ.
7. Аттестационные испытания АСЗИ на соответствие требованиям безопасности информации.
|
Подраздел 2.2 Описание оказываемых услуг
|
2.2.1 Обследование автоматизированной системы включает:
- сбор информации об обработке конфиденциальной информации (анализ политики информационной безопасности, а также документов, регламентирующих обработку и обеспечение защиты конфиденциальной информации);
- сбор информации об АСЗИ (определение наличия и реальных границ КЗ, определение конфигурации, топологии системы связи в целом и отдельных компонентов, физических функциональных и технологических связей как внутри системы, так и с другими системами различного уровня и назначения, определение состава программно-технических средств АСЗИ, мест и форм обработки конфиденциальной информации);
- сбор информации о реализованных в АСЗИ технических и организационных мерах по защите конфиденциальной информации;
- анализ и оценка исходных данных и организационно-распорядительной документации по защите конфиденциальной информации в организации.
2.2.2 Техническое проектирование системы защиты конфиденциальной информации включает:
- разработку Пояснительной записки технического проекта;
- разработку Спецификации поставляемых средств защиты информации;
- разработку Плана пуско-наладочных работ;
- разработку Описания настроек средств защиты информации.
2.2.3 Поставка средств защиты информации включает:
Предоставляется после подписания соглашения о конфиденциальности.
2.2.4 Установка и настройка средств защиты информации включает:
- установку и настройку поставляемых средств информации;
- проведение опытной эксплуатации СЗИ на объекте Заказчика;
- проведение приемо-сдаточных испытаний СЗИ.
2.2.5 Разработка и утверждение документов, фиксирующих состояние АСЗИ:
- Приказ об определении границ контролируемой зоны;
- Технический паспорт Автоматизированной системы;
- Перечень защищаемых ресурсов;
- Акт классификации автоматизированной системы;
- Приказ об определении ответственности должностных лиц и проведении
мероприятий по защите информации;
- Положение о порядке организации и проведения работ по защите
конфиденциальной информации;
- Таблица разграничения доступа (матрица доступа);
- Описание технологического процесса обработки информации;
- Инструкция по эксплуатации средств защиты конфиденциальной информации;
- Инструкция администратора информационной безопасности;
- Инструкция пользователя;
- Инструкция по организации выдачи на печать и учета документов;
- Инструкция по организации доступа в помещения АСЗИ;
- Инструкция по организации работы с отчуждаемыми носителями информации;
- Инструкция по организации хранения и использования средств восстановления
СЗИ;
- Инструкция по организации контроля целостности системных ресурсов;
- Инструкция по организации периодического контроля СЗИ НСД;
- Инструкция по проведению анализа данных аудита событий безопасности.
2.2.6 Создание журналов, перечней и списков:
- Журнал учета инцидентов информационной безопасности;
- Журнал учета машинных носителей, предназначенных для хранения
конфиденциальной информации;
- Журнал регистрации печати конфиденциальной информации;
- Журнал учета паролей;
- Перечень правил фильтрации межсетевых экранов;
- Списки пользователей, допущенных к обработке конфиденциальной информации,
допущенных в помещения, где располагаются средства АСЗИ.
2.2.7 Обучение специалистов Заказчика по администрированию поставляемых СЗИ:
- обучение сотрудников Заказчика на специализированных курсах по администрированию поставляемых в рамках оказания услуги СЗИ.
2.2.8 Аттестационные испытания АСЗИ на соответствие требованиям безопасности информации включает:
- разработку программы и методики проведения аттестационных испытаний;
- разработку технического паспорта АСЗИ;
- анализ и оценку исходных данных и документации по защите конфиденциальной информации;
- проверку соответствия исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения информации технических средств;
- контроль эффективности организационных мер защиты конфиденциальной информации (проверка состояния организации работ и выполнения организационно-технических требований по защите конфиденциальной информации, оценка правильности классификации АСЗИ, оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации);
- испытания инженерного оборудования, отдельных технических и программных средств АСЗИ, средств и систем защиты информации на соответствие требованиям защиты информации от НСД;
- оформление отчетной документации с выдачей Аттестата соответствия требованиям по безопасности информации по классу 1Г (при положительном Заключении аттестационных испытаний).
|
Подраздел 2.3 Объем оказываемых услуг либо доля оказываемых услуг в общем объеме закупки
|
2.3.1 Услуги должны быть оказаны в полном объеме в соответствии с ТЗ и проектом Договора.
|
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1 Общие требования
|
3.1.1 Услуги по проведение работ по подготовке к аттестации и аттестации автоматизированной системы (АС) ЗАО «Русатом Оверсиз» по требованиям безопасности информации по классу АС – 1Г должны быть оказаны в полном объеме и в срок не более 90 рабочих дней с даты начала работ, указываемой в проекте Договора.
|
Подраздел 3.2 Требования к качеству оказываемых услуг
|
3.2.1 Программные и аппаратно-программные СЗИ, поставляемые в рамках оказания услуг, должны быть сертифицированы по требованиям безопасности информации.
3.2.2 Проводимые работы должны соответствовать:
- «Отраслевым требованиям по информационной безопасности ГК «Росатом» утвержденным заместителем Генерального директора по безопасности ГК «Росатом» от 13.07.2012.
- Руководящему документу Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
- Специальным требованиям и рекомендациям по технической защите конфиденциальной информации утвержденных приказом Гостехкомисси России от 30.08.2002 № 282 (СТР-К).
- и другим нормативно-методическим документам.
|
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
|
3.3.1 Поставляемые в процессе реализации услуг аппаратные, программные и аппаратно-программные средства должны быть новыми и находиться на гарантии Поставщика (Производителя).
3.3.2 Гарантийные обязательства на оказанные услуги - не менее 12 мес.
|
Подраздел 3.4 Требования к конфиденциальности
|
3.4.1 Исполнителем должно быть заключено соглашение о неразглашении конфиденциальной информации.
|
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
|
3.5.1 При авариях и сбоях, настройка оборудования и ПО АСЗИ должна обеспечивать возможность восстановления настроек компонентов системы из их резервных копий. Должны быть в наличии средства восстановления АСЗИ, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности.
|
Подраздел 3.6 Требования по обучению персонала заказчика
|
3.6.1 Количество обучаемых специалистов Заказчика на каждом из курсов — 4 человека.
3.6.2. Программа обучение - администрирование поставляемых в АСЗИ средств защиты информации.
3.6.3 Срок обучения на каждом из курсов – не менее 3 дней.
3.6.4 По результатам обучения сотрудники Заказчика получают свидетельства (сертификаты) установленного образца о прохождении курсов.
|
Подраздел 3.7 Требования к составу технического предложения участника
|
3.7.1 Техническое предложение должно содержать полное описание всех этапов работ по подготовке к аттестации и аттестации автоматизированной системы (АС) ЗАО «Русатом Оверсиз» по требованиям безопасности информации по классу АС – 1Г.
3.7.2 Техническое предложение должно содержать семь этапов оказания услуги:
1. Обследование автоматизированной системы.
2. Техническое проектирование системы защиты конфиденциальной информации.
3. Поставка средств защиты информации.
4. Установка и настройка средств защиты информации.
5. Разработка организационно-распорядительных документов по защите конфиденциальной информации.
6. Обучение специалистов Заказчика по администрированию поставляемых СЗИ.
7. Аттестационные испытания АСЗИ на соответствие требованиям безопасности информации.
3.7.8 В техническом предложении должно быть указано поэтапное оказание услуги, согласно подразделу 2.2 настоящего Технического задания.
|
Подраздел 3.8 Специальные требования
|
3.8.1 В АСЗИ, подключенной к КСПД ГК «Росатом», должны функционировать существующие локальные сетевые системы и сервисы, а также настроенные корпоративные системы
|
РАЗДЕЛ 4. РЕЗУЛЬТАТ ОКАЗАННЫХ УСЛУГ
Подраздел 4.1 Описание конечного результата оказанных услуг
|
4.1.1 Обследование автоматизированной системы:
- отчет об обследовании.
4.1.2 Техническое проектирование системы защиты конфиденциальной информации:
- комплект документов Технического проекта;
- уточненная Спецификация на СЗИ.
4.1.3 Поставка средств защиты информации:
- товарная накладная и счет-фактура;
- документация производителя;
- акт о передаче прав на использование.
4.1.4 Установка и настройка средств защиты информации:
- акт установки и настройки СЗИ.
4.1.5 Документы, фиксирующие состояние АСЗИ:
- Приказ об определении границ контролируемой зоны;
- Технический паспорт Автоматизированной системы;
- Перечень защищаемых ресурсов;
- Акт классификации автоматизированной системы;
- Приказ об определении ответственности должностных лиц и проведении
мероприятий по защите информации;
- Положение о порядке организации и проведения работ по защите
конфиденциальной информации;
- Таблица разграничения доступа (матрица доступа);
- Описание технологического процесса обработки информации;
- Инструкция по эксплуатации средств защиты конфиденциальной информации;
- Инструкция администратора информационной безопасности;
- Инструкция пользователя;
- Инструкция по организации выдачи на печать и учета документов;
- Инструкция по организации доступа в помещения АСЗИ;
- Инструкция по организации работы с отчуждаемыми носителями информации;
- Инструкция по организации хранения и использования средств восстановления
СЗИ;
- Инструкция по организации контроля целостности системных ресурсов;
- Инструкция по организации периодического контроля СЗИ НСД;
- Инструкция по проведению анализа данных аудита событий безопасности.
4.1.6 Журналы, перечни и списки:
- Журнал учета инцидентов информационной безопасности;
- Журнал учета машинных носителей, предназначенных для хранения
конфиденциальной информации;
- Журнал регистрации печати конфиденциальной информации;
- Журнал учета паролей;
- Перечень правил фильтрации межсетевых экранов;
- Списки пользователей, допущенных к обработке конфиденциальной информации,
допущенных в помещения, где располагаются средства АСЗИ.
4.1.7 Обучение специалистов Заказчика по администрированию поставляемых СЗИ:
- сертификаты (свидетельства) о прохождении курсов по администрированию внедряемых СЗИ.
4.1.8 Аттестационные испытания АСЗИ в составе 229 АРМ и 1 сервера на соответствие требованиям безопасности информации:
- Программа и методика аттестационных испытаний;
- проект Технического паспорта АСЗИ;
- Протокол оценки защищенности от НСД;
- Заключение по результатам аттестационных испытаний;
- Аттестат соответствия АСЗИ требованиям по безопасности информации по классу 1Г.
|
Подраздел 4.2 Требования по приемке услуг
|
4.2.1 Сдача-приемка выполненных работ производится поэтапно.
|
Подраздел 4.3 Требования по передаче Заказчику технических и иных документов (оформление результатов оказанных услуг)
|
4.3.1 Документы должны представляться на бумажном носителе в одном экземпляре и электронном носителе в формате .pdf на CD/DVD диске в одном экземпляре.
4.3.2 Вся разработанная документация должна быть согласована с уполномоченными представителем ЗАО «Русатом Оверсиз».
|
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ПОСТАВЩИКУ.
Подраздел 5.1 Общие требования
|
5.1.1 Должен обладать опытом поставки, выполнения работ, оказания услуг в соответствии с предметом договора за последние 3 года.
5.1.2. Должен обладать опытом аттестации сегментов сетей предприятий атомной отрасли, подключенных или подключаемых к КСПД ГК «Росатом».
|
Подраздел 5.2 Требования к наличию лицензий
|
5.2.1 Исполнитель должен иметь лицензии в соответствии с действующим законодательством Российской Федерации:
1. ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации, разрешающую выполнение следующих работ:
- контроль защищенности конфиденциальной информации от утечки по техническим каналам;
- контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- аттестационные испытания и аттестация на соответствие требованиям по защите информации;
- установка, монтаж, испытания, ремонт средств защиты информации.
2. ФСБ России на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) в части выполнения работ по пунктам 2, 3, 8, 9, 12, 13, 14, 17, 18, 20, 21, 22, 23, 25, 26, 27, 28 «Перечня выполняемых и оказываемых услуг, составляющих лицензируемую деятельность», в отношении шифровальных (криптографических) средств».
5.2.2 Исполнитель может иметь лицензии ФСТЭК России и ФСБ России в соответствии с Постановлением Правительства от 15 августа 2006 г. № 504 и Постановлением Правительства от 29 декабря 2007 г. № 957 на проводимые работы и оказываемые услуги, указанных в п.5.2.1 данного Технического задания.
5.2.3 Исполнитель должен иметь аттестат аккредитации органа по аттестации в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.001.01БИ00.
5.2.4 Исполнитель должен иметь сертификат соответствия системы менеджмента информационной безопасности, соответствующий требованиям ГОСТ Р ИСО/МЭК 27001-2006 (ISO/IEC 327001:2005), применительно к выполнению работ по аттестации объектов информатизации по требованиям безопасности информации.
5.2.5 Исполнитель должен иметь сертификат соответствия системы менеджмента качества, соответствующий требованиям ГОСТ ISO 9001-2011 (ISO 9001:2008) применительно к выполнению работ по аттестации объектов информатизации по требованиям безопасности информации.
|
Подраздел 5.3 Требования специалистам поставщика
|
5.3.1 Исполнитель должно располагать квалифицированными специалистами, которые прошли обучение по темам:
- аттестация объектов информатизации по требованиям безопасности информации не мене 2 чел.;
- защита от несанкционированного доступа не мене 2 чел.;
- иметь специалистов с 3 группой по электробезопасности не мене 5 человек.
|
РАЗДЕЛ 6. ТРЕБОВАНИЯ К ТЕХНИЧЕСКОМУ ОБУЧЕНИЮ ПЕРСОНАЛА ЗАКАЗЧИКА
Подраздел 6.1. Требования к программе обучения
|
6.1.1 Администрирование внедряемых СЗИ включает:
- назначение, возможности и архитектура СЗИ;
- основные защитные механизмы;
- установку и настройку СЗИ;
- управление пользователями и группами пользователей в локальной базе данных системы защиты;
- работа с локальным системным журналом;
- шифрование файлов в СЗИ.
|
Подраздел 6.2. Требования к результатам обучения
|
6.2.1 В процессе обучения специалисты Заказчика должны получить практические знания и навыки по настройке и администрированию поставляемых СЗИ.
6.2.2 По окончанию обучения и успешной сдаче экзамена Исполнитель выдает специалистам Заказчика соответствующие документы о прохождении обучения (свидетельство об обучении и (или) сертификат).
|
РАЗДЕЛ 7. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
№ п/п
|
Сокращение
|
Расшифровка сокращения
|
1.
|
АРМ
|
Автоматизированное, рабочее место
|
2.
|
АС
|
Автоматизированная система
|
3.
|
АСЗИ
|
Автоматизированная система в защищенном исполнении ЗАО «Русатом Оверсиз»
|
4.
|
КЗ
|
Контролируемая зона
|
5.
|
НСД
|
Несанкционированный доступ
|
6.
|
ПО
|
Программное обеспечение
|
7.
|
СЗИ
|
Средства защиты информации
|
8.
|
ТЗ
|
Техническое задание
|
9.
|
ЭВМ
|
Электронно-вычислительная машина
|
РАЗДЕЛ 8. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ
Номер приложения
|
Наименование приложения
|
Номер страницы
|
|
|
|
|
|
|
Составил:
старший менеджер отдела
безопасности и защиты активов
А.Е. Комаров
Согласовано:
первый заместитель генерального
директора – статс-секретарь
А.Е. Сафонов
|
