Техническое задание
на оказание комплексных услуг по созданию систем защиты конфиденциальной информации и персональных данных с последующей проверкой соответствия их требованиям нормативных правовых документов Российской Федерации по безопасности информации
Код ОКПД 75.24.11.330: Услуги по обеспечению безопасности средств связи и информации
Код ОКВЭД 72.30: Обработка данных
1. ЗАКАЗЧИК УСЛУГ
Заказчик - Казенное учреждение Орловской области «Региональный центр оценки качества образования» (далее – ОРЦОКО).
Адрес Заказчика – 302020, Россия, Орловская обл., г. Орел, ул. Полесская 24.
2. НАИМЕНОВАНИЕ И СОДЕРЖАНИЕ УСЛУГ
Объектом закупки является оказание комплексных услуг по созданию систем защиты конфиденциальной информации и персональных данных с последующей проверкой соответствия их требованиям нормативных правовых документов Российской Федерации по безопасности информации.
Содержание услуг:
- обследование текущего состояния защищенности АС и ИСПДн Заказчика с определением угроз безопасности КИ, обрабатываемой в АС ОРЦОКО, и угроз безопасности ПДн, обрабатываемых в ИСПДн ОРЦОКО.
- проектирование СЗКИ и СЗПДн Заказчика;
- поставка СЗИ и внедрение СЗКИ и СЗПДн Заказчика;
- проверка соответствия (аттестация), созданных СЗКИ и СЗПДн Заказчика, существующим требованиям нормативных правовых актов Российской Федерации по безопасности информации и их ввод в эксплуатацию.
3. МЕСТО И СРОК ОКАЗАНИЯ УСЛУГ
Место оказания услуг - место территориального размещения Заказчика, по адресу: 302020, Россия, Орловская обл., г. Орел, ул. Полесская 24.
Срок оказания услуг - 20 (двадцать) календарных дней с даты заключения контракта.
4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
ИС
|
Информационная система, включающая в свой состав техническое, программное, информационное обеспечение, объединенные в информационные сервисы, автоматизированные системы, аппаратно-программные комплексы и прикладные программные комплексы и средства
|
Пользователь
|
Лицо, участвующее в функционировании ИС или использующее результаты ее функционирования
|
ПО
|
Программное обеспечение ИС (совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности ИС)
|
ЛВС
|
Локальная вычислительная сеть
|
АС
|
Автоматизированная система
|
АИС
|
Автоматизированная информационная система
|
АРМ
|
Автоматизированное рабочее место
|
ИБ
|
Информационная безопасность
|
КИ
|
Конфиденциальная информация
|
НСД
|
Несанкционированный доступ
|
ПДн
|
Персональные данные
|
ИСПДн
|
Информационная система персональных данных
|
СЗПДн
|
Система защиты персональных данных
|
ОРЦОКО
|
Казенное учреждение Орловской области «Региональный центр оценки качества образования»
|
ОИ
|
Объект информатизации
|
ОС
|
Операционная система
|
СВТ
|
Средства вычислительной техники
|
CЗИ
|
Средство защиты информации
|
СЗКИ
|
Система защиты конфиденциальной информации
|
СКЗИ
|
Система криптографической защиты информации
|
РФ
|
Российская Федерация
|
ФСТЭК
|
Федеральная служба по техническому и экспортному контролю
|
ФСБ
|
Федеральная служба безопасности Российской Федерации
|
ФЦТ
|
Федеральное государственное бюджетное учреждение «Федеральный центр тестирования»
|
ЕГЭ
|
Единый государственный экзамен
|
ГИА
|
Государственная итоговая аттестация
|
АИС «ЕГЭ»
|
Автоматизированная информационная система «Единый государственный экзамен»
|
АИС «ГИА»
|
Автоматизированная информационная система «Государственная итоговая аттестация»
|
5. ЦЕЛИ ОКАЗАНИЯ УСЛУГ:
Создание СЗКИ и СЗПДн, обрабатываемых соответственно КИ и ПДн в АС и ИСПДн ОРЦОКО и их проверка соответствия (аттестация) существующим нормативным правовым документам Российской Федерации (РФ) по безопасности информации.
6. ОСНОВАНИЕ ДЛЯ ОКАЗАНИЯ УСЛУГ
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии от 30.08.2002 г. № 282.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации».
Постановление Правительства РФ от 31 августа 2013 г. № 755 «О федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования».
Приказ Министерства образования и науки РФ от 26 декабря 2013 г. № 1400 «Об утверждении Порядка проведения государственной итоговой аттестации по образовательным программам среднего общего образования».
Технические условия на подключение к защищенной корпоративной сети передачи данных ФГБУ «Федеральный центр тестирования», согласованные ФСТЭК России 01 февраля 2012 года.
7. ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ
Услуги должны проводиться организацией-лицензиатом ФСТЭК России и ФСБ России, отвечающим следующим требованиям и имеющим в наличии:
Лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.
Лицензию ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, защищённых с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
8. ХАРАКТЕРИСТИКА ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Объект информатизации представляет собой две локальные вычислительные системы (соответственно АИС «ЕГЭ» и АИС «ГИА») Заказчика, выделенные из состава корпоративной сети Заказчика, состоящие из серверов и автоматизированных рабочих мест, с сетевым и периферийным оборудованием, не имеющим подключения к другим ЛВС и имеющим подключение к сети международного информационного обмена через межсетевой экран, соответствующий требованиям ФСТЭК, размещенные в выделенных помещениях по месту территориального размещения Заказчика.
Данные ЛВС ОРЦОКО имеет структурированную схему. Базовая скорость передачи данных в сети 100 Мбит/сек. В сети используется стек протоколов TCP/IP. Структурированная кабельная сеть построена на основе коммутаторов и витой пары UTP5E и объединяет АРМ сотрудников и сервера.
Состав АИС «ЕГЭ» - 1 сервер, 14 АРМ, сетевое и периферийное оборудование.
Состав АИС «ГИА» - 1 сервер, 14 АРМ, сетевое и периферийное оборудование.
На всех АРМ и серверах используются только лицензионное программное обеспечение, в том числе операционная система и антивирус. Кроме того, используемое в АИС антивирусное программное средство имеет сертификат соответствия требованиям ФСТЭК.
На 11 АРМ (из состава обеих ЛВС) установлены СЗИ от НСД, имеющие действующий сертификат соответствия ФСТЭК.
14 АРМ (из состава АИС «ЕГЭ») оборудованы Secret Net Touch Memory Card PCI 2.
На сервере ЛВС «ЕГЭ» используется межсетевой экран (криптошлюз), имеющий действующий сертификат соответствия ФСТЭК, и обеспечивающий безопасное взаимодействие ЛВС через сеть международного информационного обмена с ФЦТ.
Объект информатизации предназначен для решения задач по основному предназначению Заказчика.
9. ТРЕБОВАНИЯ К ПОРЯДКУ ОКАЗАНИЯ УСЛУГ
9.1 Требования к порядку оказанию услуг при создании СЗПДн в ИСПДн Заказчика
Оказание услуг предусматривает следующие стадии создания системы защиты персональных данных:
Предпроектная стадия, включающая предпроектное обследование ИСПДн, выявление и классификацию ИСПДн, определение угроз безопасности ПДн обрабатываемых в ИСПДн (разработка частной модели угроз безопасности ПДн);
Разработка Технического задания на создание системы защиты персональных данных (СЗПДн) Заказчика;
Стадия ввода в действие системы защиты персональных данных (СЗПДн), включающая поставку необходимых средств защиты информации, в соответствии с Требованиями (Таблица 1 настоящего технического задания), их установку и настройку, опытную эксплуатацию и приёмо-сдаточные испытания средств защиты информации, а также аттестацию ИСПДн Заказчика по требованиям безопасности информации.
На предпроектной стадии Исполнитель должен провести следующие мероприятия:
выявление и анализ процессов обработки ПДн в организации;
провести анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн в ОРЦОКО;
определение перечня ПДн подлежащих защите;
определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
определение конфигурации и топологии ИСПДн, внутренних связей, связей с другими системами;
определение технических средств и систем в ИСПДн, условий их расположения общесистемных и прикладных программных средств;
определение угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз);
определение уровня защищённости персональных данных.
По результатам предпроектного обследования Исполнителем разрабатывается отчёт, содержащий результаты обследования, с приложением организационно-технической и организационно-распорядительной документации разрабатываемой в рамках данной стадии работ.
На стадии разработки Технического задания Исполнитель должен разработать Техническое (частное техническое) задание на создание СЗПДн, содержащее:
─ обоснование разработки;
─ исходные данные объекта информатизации в техническом, программном, информационном и организационном аспектах;
─ уровень защищённости ИСПДн;
─ ссылки на нормативные документы, с учётом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию объект информатизации;
─ требования к СЗПДн на основе нормативно-методических документов и установленного уровня защищённости ИСПДн;
─ перечень предполагаемых к использованию сертифицированных средств защиты информации;
─ состав, содержание и сроки выполнения работ по этапам разработки и внедрения.
Техническое (частное техническое) задание на разработку СЗПДн подписывается Исполнителем и утверждается Заказчиком.
На стадии ввода в действия СЗПДн Исполнитель должен провести следующие мероприятия:
осуществить поставку СЗИ в соответствии с требованиями (Таблица 1 настоящего Технического задания);
осуществить установку и настройку поставляемых СЗИ и перенастройку имеющихся у Заказчика СЗИ;
разработать технический паспорт ИСПДн;
разработать разрешительную систему доступа пользователей и эксплуатационного персонала к обрабатываемой на объекте информатизации информации;
разработать эксплуатационную документацию на объект информатизации, средства защиты информации, а также проектов организационно-распорядительной документации по защите ПДн;
разработать инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы;
провести опытную эксплуатацию средств защиты информации в комплекте с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки информации;
провести аттестацию объекта информатизации на соответствие требованиям безопасности информации.
Результаты аттестационных испытаний оформляются в виде протоколов. В случае успешного прохождения испытаний, Исполнитель выдаёт на ИСПДн аттестат соответствия.
9.2 Требования к порядку оказанию услуг при создании СЗКИ в АС Заказчика
Оказание услуг предусматривает следующие стадии создания системы защиты информации:
Предпроектная стадия, включающая предпроектное обследование объекта информатизации, выявление и классификацию АС, определение угроз безопасности информации обрабатываемой в АС;
Разработка Технического задания на создание системы защиты информации от несанкционированного доступа;
Стадия ввода в действие системы защиты информации, включающая инсталляцию, опытную эксплуатацию и приёмо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации по требованиям безопасности информации.
На предпроектной стадии Исполнитель должен провести следующие мероприятия:
определить перечень сведений конфиденциального характера, подлежащих защите;
определить угрозы безопасности информации;
определить условия расположения объектов информатизации относительно границ контролируемой зоны;
определить конфигурацию и топологию АС и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения;
определить технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства;
определить режимы обработки информации в АС в целом и в отдельных компонентах;
определить класс защищённости АС (устанавливается совместно с Заказчиком);
определить степень участия персонала в обработке информации, характер их взаимодействия между собой.
По результатам предпроектного обследования Исполнителем разрабатывается отчёт, содержащий результаты обследования, с приложением организационно-технической и организационно-распорядительной документации разрабатываемой в рамках данной стадии работ.
На стадии разработки Технического задания Исполнитель должен разработать Техническое (частное техническое) задание на создание системы защиты информации от несанкционированного доступа содержащее:
Обоснование разработки;
Исходные данные объекта информатизации в техническом, программном, информационном и организационном аспектах;
Класс защищённости АС;
Ссылки на нормативные документы, с учётом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;
Требования к системе защите информации на основе нормативно-методических документов и установленного класса защищённости АС;
Перечень предполагаемых к использованию сертифицированных средств защиты информации;
Состав, содержание и сроки выполнения работ по этапам разработки и внедрения.
Техническое (частное техническое) задание на разработку системы защиты информации подписывается Исполнителем и утверждается Заказчиком.
На стадии ввода в действие системы защиты информации Исполнитель должен провести следующие мероприятия:
осуществить поставку средств защиты информации в соответствии с требованиями (Таблица 1 настоящего Технического задания);
осуществить установку и настройку поставляемых средств защиты информации;
разработать технический паспорт АС;
разработать разрешительную систему доступа пользователей и эксплуатационного персонала к обрабатываемой на объекте информатизации информации;
разработать эксплуатационную документацию на объект информатизации, средства защиты информации, а также проекта организационно-распорядительной документации по защите информации;
разработать инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы;
провести опытную эксплуатацию средств защиты информации в комплекте с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки информации;
провести приёмо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приёмо-сдаточного акта, подписываемого Исполнителем и Заказчиком;
провести аттестацию объекта информатизации на соответствие требованиям безопасности информации.
Результаты аттестационных испытаний оформляются в виде протоколов. В случае успешного прохождения испытаний, Исполнитель выдаёт на информационную систему аттестат соответствия.
10. ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ В ХОДЕ ОКАЗАНИЯ УСЛУГ
Все сведения о составе и характеристиках объекта информатизации являются конфиденциальной информацией.
Исполнитель обязуется:
не проводить противозаконные действия по сбору, незаконному копированию, использованию и передаче третьей стороне информации циркулирующей и хранящейся в ОИ;
не осуществлять несанкционированный доступ к информационным ресурсам;
не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации;
не внедрять в АИС программы-вирусы (загрузочные, файловые и др.);
не устанавливать программные и аппаратные закладные устройства в технические средства АРМ;
не устанавливать программное обеспечение, зараженное вирусами.
Нарушение настоящих требований влечет за собою гражданско-правовую, административную или уголовную ответственность в соответствии с законом Российской Федерации.
11. ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ
Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов Российской Федерации.
Язык оформления документации – русский, за исключением общепринятых названий и оригинальных наименований программно-аппаратных средств импортного производства.
Вся документация должна быть оформлена следующим образом:
1. На бумажных носителях в количестве двух экземпляров;
2. В электронном виде в формате doc (два носителя).
Состав документации может быть дополнен в ходе проектирования.
12. ПЕРЕЧЕНЬ ДОКУМЕНТАЦИИ, ПОДЛЕЖАЩЕЙ ОФОРМЛЕНИЮ И СДАЧЕ ЗАКАЗЧИКУ
12.1 Перечень документации, подлежащей оформлению и сдаче Заказчику, при создании СЗПДн
Акт оказания услуг двухсторонний (Заказчик, Исполнитель) – в 2-х экз.;
«Акт обследования ИСПДн»;
«Частная модель угроз безопасности персональных данных при их обработке в ИСПДн»;
«Акт определения уровня защищенности ПДн»;
«Техническое задание на разработку системы защиты ИСПДн»;
«Технический паспорт ИСПДн»;
Комплект организационно-распорядительной и эксплуатационной документации на реализацию системы защиты персональных данных;
Программа и методика аттестационных испытаний ИСПДн на соответствие требованиям по безопасности информации;
«Протокол проведения аттестационных испытаний ИСПДн на соответствие требованиям по безопасности информации»;
«Заключение по результатам аттестационных испытаний ИСПДн на соответствие требованиям по безопасности информации»;
«Аттестат соответствия информационной системы персональных данных требованиям безопасности информации».
12.2 Перечень документации, подлежащей оформлению и сдаче Заказчику, при создании СЗКИ
Акт оказания услуг двухсторонний (Заказчик, Исполнитель) – в 2-х экз.;
«Обоснование необходимости создании СЗКИ»;
«Акт классификации АС»;
«Техническое задание на разработку СЗКИ»;
«Технический паспорт АС»;
Комплект организационно-распорядительной и эксплуатационной документации на реализацию СЗКИ;
«Программа и методика аттестационных испытаний АС на соответствие требованиям по безопасности информации»;
«Протоколы проведения аттестационных испытаний АС на соответствие требованиям по безопасности информации»;
«Заключение по результатам аттестационных испытаний АС на соответствие требованиям по безопасности информации»;
«Аттестат соответствия АС требованиям безопасности информации».
13. ТРЕБОВАНИЯ К ПОСТАВЛЯЕМЫМ СРЕДСТВАМ ЗАЩИТЫ ИНФОРМАЦИИ
Все поставляемые СЗИ должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации.
Все средства защиты информации должны быть совместимы с существующей у Заказчика системой защиты информации.
Таблица 1
Наименование и технические характеристики
|
Количество
|
Средство защиты информации от НСД (сетевой вариант), отвечающее следующим требованиям:
Должно осуществлять:
- защиту серверов и рабочих станций от НСД;
- контроль входа пользователей в систему, в том числе и с использованием дополнительных аппаратных средств защиты;
- разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации;
- разграничение доступа пользователей к информации;
- контроль утечек информации;
- регистрацию событий безопасности и аудит.
Требования к операционной платформе и аппаратной части:
- 32-битные операционные системы: MS Windows Server 2003 SP2, MS Windows Server 2003 R2 SP2, MS Windows Server 2008 SP2, MS Windows XP Professional SP3, MS Windows Vista SP2, MS Windows 7 SP1;
- 64-битные операционные системы: MS Windows Server 2003 x64 Edition SP2, MS Windows Server 2003 R2 x64 Edition SP2, MS Windows Server 2008 x64 Edition SP2, MS Windows Server 2008 R2 x64 Edition SP1, MS Windows XP Professional x64 Edition SP2, MS Windows Vista x64 Edition SP2, MS Windows 7 x64 Edition SP1;
- Active Directory/ADAM/LDS (для применения СЗИ с централизованным управлением);
- наличие устройства, считывающего DVD;
- в случае совместного применения средств доверенной загрузки – наличие свободного разъема системной шины стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В или свободный разъем PCI Express.
Требования к функциональности:
- может функционировать совместно с аппаратными и программно-аппаратными средствами доверенной загрузки для обеспечения защиты компьютера от несанкционированной загрузки автоматизированной системы с внешних носителей;
- может функционировать совместно с персональными идентификаторами (для обеспечения усиленной аутентификации пользователей);
- поддерживать персональные идентификаторы iButton (при совместном использовании со средствами доверенной загрузки), eToken PRO, eToken PRO Java (в форм-факторах USB и смарт-карт), Rutoken, Rutoken RF;
- должно обеспечивать автоматическую блокировку автоматизированной системы при изъятии персонального идентификатора пользователя;
- должно обеспечивать возможность блокировки интерактивного входа локальных пользователей;
- поддержка терминального режима работы пользователей для платформ Microsoft и Citrix, а также при использовании бездисковых рабочих станций ("тонких клиентов");
- контроль устройств:
• последовательные и параллельные порты;
• локальные устройства;
• сменные, физические и оптические диски;
• USB-устройства;
• устройства PCMCIA;
• устройства IEEE1394;
• устройства Secure Digital;
- контроль устройств, подключаемых/отключаемых в процессе работы автоматизированной системы;
- контроль неизменности аппаратной конфигурации компьютера;
- управление подключениями (IrDA, Wi-Fi, FireWire, Ethernet, Bluetooth);
- контроль вывода информации на отчуждаемые носители;
- теневое копирование отчуждаемой информации;
- разграничение доступа к принтерам;
- создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера;
- должно обеспечивать автоматическую настройку механизмов защиты при добавлении в систему приложения, обрабатывающего конфиденциальную информацию;
- возможность выбора уровня конфиденциальности сессии для пользователя;
- разграничение доступа пользователей к конфиденциальным данным и приложениям;
- мандатное управление доступом, в том числе – к устройствам и принтерам;
- контроль потоков конфиденциальной информации в системе;
- контроль вывода конфиденциальных данных на печать, управление грифами конфиденциальности при печати конфиденциальных и секретных документов;
- контроль целостности файлов, каталогов, элементов системного реестра;
- реакции СЗИ при нарушении целостности:
• регистрация события в журнале;
• блокировка компьютера;
• восстановление поврежденной/модифицированной информации;
• отклонение или принятие изменений;
- возможность контроля целостности до загрузки операционной системы (при совместном применении со средствами доверенной загрузки);
- функциональный контроль ключевых компонентов системы;
- автоматическое затирание данных на диске при удалении конфиденциальных файлов пользователем;
- регистрация событий безопасности в журнале безопасности;
- возможность автоматического оповещения по электронной почте о событиях несанкционированного доступа;
- возможность формирования отчетов по результатам аудита.
Требования к централизованному управлению в доменной сети:
- централизованный мониторинг и оперативное управление рабочими станциями;
- централизованный сбор и хранение журналов безопасности, регистрация событий безопасности;
- аудит безопасности, формирование отчетов по результатам аудита;
- возможность создания централизованной политики безопасности по использованию отчуждаемых USB-носителей информации;
- возможность создания централизованной политики замкнутой программной среды;
- возможность интеграции с политиками безопасности Active Directory;
- централизованное управление в сложной доменной сети (domain tree) должно функционировать по иерархическому принципу;
- должно обеспечивать создание доменов безопасности в территориально распределенной сети, при этом предоставляется возможность делегирования административных полномочий по информационной безопасности;
- возможность создания отчетов по перечню установленного ПО, сведениям о ресурсах, объектах и параметрах защищаемого компьютера.
Требования по сертификации:
- должно быть сертифицировано на соответствие требованиям ФСТЭК России для применения в информационных системах персональных данных (ИСПДн) до класса К1 включительно;
- показатель защищенности от НСД (Гостехкомиссия России, 1999) – не ниже 3-го класса защищенности. Классификация по уровню отсутствия НДВ (Гостехкомиссия России, 1999) – не ниже 2-го уровня контроля;
- может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно.
|
1 сервер безопасности + 15 СЗИ от НСД (сетевой вариант)
|
Средство защиты информации от НСД (автономный вариант), отвечающее следующим требованиям:
должно осуществлять:
- защиту серверов и рабочих станций от НСД;
- контроль входа пользователей в систему, в том числе и с использованием дополнительных аппаратных средств защиты;
- разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации;
- разграничение доступа пользователей к информации;
- контроль утечек информации;
- регистрацию событий безопасности и аудит;
требования к операционной платформе и аппаратной части:
- 32-битные операционные системы: MS Windows Server 2003 SP2, MS Windows Server 2003 R2 SP2, MS Windows Server 2008 SP2, MS Windows XP Professional SP3, MS Windows Vista SP2, MS Windows 7 SP1;
- 64-битные операционные системы: MS Windows Server 2003 x64 Edition SP2, MS Windows Server 2003 R2 x64 Edition SP2, MS Windows Server 2008 x64 Edition SP2, MS Windows Server 2008 R2 x64 Edition SP1, MS Windows XP Professional x64 Edition SP2, MS Windows Vista x64 Edition SP2, MS Windows 7 x64 Edition SP1;
- Active Directory/ADAM/LDS (для применения СЗИ с централизованным управлением);
- наличие устройства, считывающего DVD;
- в случае совместного применения средств доверенной загрузки – наличие свободного разъема системной шины стандарта PCI версий 2.0, 2.1, 2.2, 2.3 с напряжением питания 5 В или 3,3 В или свободный разъем PCI Express;
требования к функциональности:
- может функционировать совместно с аппаратными и программно-аппаратными средствами доверенной загрузки для обеспечения защиты компьютера от несанкционированной загрузки автоматизированной системы с внешних носителей;
- может функционировать совместно с персональными идентификаторами (для обеспечения усиленной аутентификации пользователей);
- поддерживать персональные идентификаторы, имеющихся у Заказчика eToken PRO (в форм-факторах USB и смарт-карт) и Rutoken;
- должно обеспечивать автоматическую блокировку автоматизированной системы при изъятии персонального идентификатора пользователя;
- должно обеспечивать возможность блокировки интерактивного входа локальных пользователей;
- поддержка терминального режима работы пользователей для платформ Microsoft и Citrix, а также при использовании бездисковых рабочих станций ("тонких клиентов");
- контроль устройств:
• последовательные и параллельные порты;
• локальные устройства;
• сменные, логические и оптические диски;
• USB-устройства;
• устройства PCMCIA;
• устройства IEEE1394;
• устройства Secure Digital;
- контроль устройств, подключаемых/отключаемых в процессе работы автоматизированной системы;
- контроль неизменности аппаратной конфигурации компьютера;
- управление подключениями (IrDA, Wi-Fi, FireWire, Ethernet, Bluetooth);
- контроль вывода информации на отчуждаемые носители;
- теневое копирование отчуждаемой информации;
- разграничение доступа к принтерам;
- создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера;
- должно обеспечивать автоматическую настройку механизмов защиты при добавлении в систему приложения, обрабатывающего конфиденциальную информацию;
- возможность выбора уровня конфиденциальности сессии для пользователя;
- разграничение доступа пользователей к конфиденциальным данным и приложениям;
- мандатное управление доступом, в том числе – к устройствам и принтерам;
- контроль потоков конфиденциальной информации в системе;
- контроль вывода конфиденциальных данных на печать, управление грифами конфиденциальности при печати конфиденциальных и секретных документов;
- контроль целостности файлов, каталогов, элементов системного реестра;
- реакции СЗИ при нарушении целостности:
• регистрация события в журнале;
• блокировка компьютера;
• восстановление поврежденной/модифицированной информации;
• отклонение или принятие изменений;
- возможность контроля целостности до загрузки операционной системы (при совместном применении со средствами доверенной загрузки);
- функциональный контроль ключевых компонентов системы;
- автоматическое затирание данных на диске при удалении конфиденциальных файлов пользователем;
- регистрация событий безопасности в журнале безопасности;
- возможность автоматического оповещения по электронной почте о событиях несанкционированного доступа;
- возможность формирования отчетов по результатам аудита;
требования по сертификации:
- должно быть сертифицировано на соответствие требованиям ФСТЭК России для применения в информационных системах персональных данных (ИСПДн) до класса К1 включительно;
- показатель защищенности от НСД – не ниже 3-го класса защищенности. Классификация по уровню отсутствия НДВ (Гостехкомиссия России, 1999) – не ниже 2-го уровня контроля.
|
4
|
14. СТОИМОСТЬ ОКАЗЫВАЕМЫХ УСЛУГ
В стоимость оказываемых услуг включаются налоги, пошлины, сборы, предусмотренные законодательством Российской Федерации, накладные и транспортные расходы, расходы на упаковку, погрузочно-разгрузочные работы, доставка и иные накладные расходы.
Пользователем оказанных услуг является Заказчик или лица, определенные Заказчиком, являющиеся непосредственными получателями оказанных услуг.
15. ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ.
В процессе оказания услуг возможно изменение состава (перечня) и наименования организационно-распорядительных документов, при обосновании таких изменений требованиями нормативных или методических документов и согласовании таких изменений с Заказчиком. В случае, если в период выполнения работ изменится действующие законодательство, нормативные или методические документы по защите информации, то результаты работ должны быть выполнены и сданы с учетом таких изменений законодательства.
|
