Том 2. Техническая часть
Техническое задание
Предмет закупки:
Предоставление лицензий на право использования программного обеспечения и техническую поддержку и выполнение работ по внедрению системы контроля и защиты конфиденциальной информации
МОСКВА
2017
Оглавление
Приложение 1. Перечень лицензий на компоненты Системы, запрашиваемых к поставке 10
Приложение 2. Требования к технической поддержке 15
РАЗДЕЛ 1. НАИМЕНОВАНИЕ РАБОТ
|
Предоставление лицензий на право использования программного обеспечения с технической поддержкой и выполнение работ по внедрению системы контроля и защиты конфиденциальной информации – далее по тексту Система предотвращения утечек конфиденциальной информации (Система, DLP-система)
|
РАЗДЕЛ 2. ОПИСАНИЕ РАБОТ
|
Общий подход к выполнению работ
|
Работы выполняются с учетом требований, применяемым к допуску персонала сторонних организаций, для проведения работ в помещениях, с соблюдением графика и сроков проведения работ, установленных Заказчиком. Работы считаются выполненными при условии подписания Заказчиком Акта приема-передачи и Акта о приемке выполненных работ.
|
Подраздел 2.1 Состав (перечень) выполняемых работ
|
Перечень работ:
Дата начала работ – с даты подписания договора.
Дата окончания работ – не позднее 25.12.2017.
|
№
|
Работы
|
Начало работы
|
Длительность работ, рабочие дни
|
Выходные документы этапа
|
1
|
Поставка программного обеспечения и технической поддержки программного обеспечения Заказчику
|
С даты заключения Договора
|
10
|
В соответствии с Требованиями по передаче заказчику технических документов при поставке товаров
|
2
|
Внедрение системы контроля и защиты конфиденциальной информации, включая:
|
2.1
|
Установка программных компонентов Системы и интеграция с существующей инфраструктурой Заказчика
|
С момента поставки программного обеспечения
|
5
|
Структурная схема взаимодействий программных компонентов Системы;
Схема функционального взаимодействия компонентов Системы;
Таблицу сетевых соединений и подключений компонентов Системы;
Эскиз технического решения (по шаблону Заказчика)
|
2.2
|
Пусконаладочные работы для Системы, включая настройку базовой конфигурации
|
По окончании этапа 2.1
|
15
|
Протокол выполнения пуско-наладочных работ
Руководство администратора по работе с Системой
|
2.3
|
Проведение предварительных испытаний Системы
|
По окончании этапа 2.2
|
5
|
Программа и методика испытаний
Протокол испытаний системы
|
2.4
|
Проведение опытной эксплуатации системы
|
По окончании этапа 2.3
|
10
|
Журнал опытной эксплуатации
Протокол о завершении опытной эксплуатации
|
2.5
|
Проведение консультаций сотрудников Заказчика основам работы в Системе
|
По окончании этапа 2.2
|
5
|
Сертификаты, подтверждающие квалификацию сотрудников Заказчика по работе с Системой
|
Подраздел 2.2 Место выполнения работ
|
г. Москва, 1-й Нагатинский проезд, д.10, стр. 1, АО «Гринатом».
|
РАЗДЕЛ 3. ТРЕБОВАНИЯ К РАБОТАМ
|
Подраздел 3.1 Общие требования
|
В рамках данного технического задания должны быть выполнены работы по внедрению системы контроля и защиты конфиденциальной информации.
Требования к документированию
Все отчетные документы, формируемые Исполнителем в ходе выполнения работ по настоящему Техническому заданию, должны предоставляться Заказчику в двух экземплярах:
один экземпляр – на бумажном носителе;
один экземпляр – на электронном носителе.
По результату опытной эксплуатации системы Заказчику предоставляются:
-
Структурная схема взаимодействий программных компонентов Системы;
Схема функционального взаимодействия компонентов Системы;
Таблицу сетевых соединений и подключений компонентов Системы;
«Руководство администратора Системы»;
«Программа и методика испытаний».
|
Подраздел 3.2 Требования к составу работ.
|
Проведение необходимых работ в сетевой инфраструктуре заказчика с целью обеспечения работы всех компонентов Системы;
Настройка базовой конфигурации Системы для контроля и анализа основных каналов передачи данных;
Предоставление доступа к Системе для работы с отчетностью на русском языке посредством web-интерфейса;
Поддержание работы Системы для обеспечения предоставления услуг;
Проведение консультаций сотрудников Заказчика в количестве 5 человек.
|
РАЗДЕЛ 4. ТРЕБОВАНИЯ К СИСТЕМЕ
|
Подраздел 4.1 Общие требования к Системе.
|
Программное обеспечение Системы предотвращения утечек конфиденциальной информации должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных https://reestr.minsvyaz.ru/reestr/
Функционирование в составе распределенной информационно-вычислительной сети;
Поддержка кластерных технологий;
Обеспечение возможности масштабирования и отказоустойчивости;
Обеспечение возможности модернизации путем замены технического и/или программного обеспечения;
Обеспечение возможности интеграции со следующими proxy-серверами: Aladdin eSafe, Cisco IronPort, Bluecoat ProxySG, Microsoft Forefront TMG, и другими proxy-серверами с поддержкой ICAP;
Обеспечение возможности работы в следующих режимах:
штатный режим - доступность Системы должна составлять более 99,0%;
сервисный режим - для проведения обслуживания, реконфигурации и модернизации компонент;
автономный режим - в случае отсутствия связи между компонентами Системы или с внешними сетями, для доступа к конфигурационной и архивной информации;
Обеспечение возможности интеграции и идентификации объектов с данными, полученными из Active Directory, в том числе из нескольких LDAP доменов;
Для информационного обмена между компонентами Системы должны использоваться только стандартные унифицированные протоколы семейства TCP/IP.
Поддержка работы Системы в сетях, работающих по протоколу IPv4.
Основные компоненты Системы должны иметь возможность работы в среде виртуализации.
Программные агенты Системы должны функционировать в среде следующих операционных систем:
Microsoft Windows XP SP3 (32)
Microsoft Windows 7 (32, 64 bit)
Microsoft Windows 8 (32, 64 bit)
Microsoft Windows 8.1 (32, 64 bit)
Microsoft Windows 10 (32, 64 bit)
Microsoft Windows Server 2003 (32 bit)
Microsoft Windows Server 2008 (64 bit)
Microsoft Windows Server 2008 R2 (64 bit)
Microsoft Windows Server 2012 (64 bit)
|
Подраздел 4.2 Требования к надежности Системы
|
• Должна обеспечиваться возможность записи в журналы аудита информации по служебным событиям и сбоям. Записи в журналах должны содержать информацию, достаточную для установления причины неисправности;
• Должно обеспечиваться штатное функционирование в случае одновременной работы всех пользователей на объекте автоматизации;
• Должно осуществляться резервное копирование и хранение резервных копий данных
|
Подраздел 4.3 Требования к защите информации от несанкционированного доступа
|
Система должна иметь механизм разграничения доступа пользователей, с возможностью предоставления каждому пользователю индивидуальных прав доступа
|
Подраздел 4.4 Требования к функционалу Системы
|
Система должна поддерживать каналы перехвата данных: электронная почта (SMTP-сообщения), Интернет (в том числе web-почта, форумы, перехват HTTP(s)-запросов), использование буфера обмена и копирование на сетевые ресурсы SMB;
Система должна предоставлять возможность блокировки данных, передаваемых по протоколам HTTP, HTTPS, SMTP, на основе результатов анализа;
Перехват данных, передаваемых из корпоративной сети по протоколам HTTP(S), и SMTP не должен требовать установки клиентского программного обеспечения.
Система должна обеспечивать контроль действий по отправке информации в ситуации, когда АРМ находится вне локальной сети компании при использовании программного агента;
Система должна обеспечивать контроль текстовой информации, передаваемой посредством буфера обмена, и копирование данных на сетевые ресурсы SMB при использовании программного агента;
Система должна осуществлять фильтрацию «мусорного трафика» (бесполезных служебных http-запросов) на основании осмысленности передаваемых данных, их размера и ip или домена, к которому отправляются эти запросы.
Система должна предоставлять возможности для детектирования и распаковки следующих типов объектов:
-
детектирование по сигнатуре:
музыкальные файлы (ape, flac, m4a, mp3, ogg, wav);
чертежи ( dwg );
базы данных (ace, mdb,);
изображения (pgm, ppm, cdr, pbm, wmf, wdp);
приложение и библиотеки Microsoft Windows (dll, exe);
видео (avi, mp4, mpg, flv, mov);
документы (djv, djvu, mpp, pub);
пакет и библиотеки Linux (rpm);
и остальные (p7s, pgp, gpg, asc, ext, iso, p7m, lnk, der, otf, so, pcl, cab, uha).
возможность инспекции следующих видов архивов: rar, gz, 7z, arj, bzip, bz, bz2, lzh, tar, zip, zlib;
-
детектирование и извлечение текста:
MS Office (версия не ниже 2000; doc, docx, dot, dotx, docm, xls, xlsx, xlt, xltm, xltx, vsd, pot, potm, potx, pptx;
документов Open Office (odt, ods, odp);
документов Adobe Acrobat (pdf);
остальные типы документов (txt, tsv, csv, chm, rtf, oxps, xps, tnef, tnf, winmail.dat, msg, html, htm, xml, json, jsn);
в том числе с помощью технологии OCR: jpeg, jpg, jpe, tif, tiff, bmp, gif, jp2 png, wdp,.
поддерживать следующие кодировки: ISO-8859-1, OEM 866, ISO-8859-5, CP-1251, koi8-r, utf-8, utf-16.
Система должна обеспечивать поддержание следующих видов фильтрации контента:
-
лингвистический анализ – автоматическое определение тематики текста на основании ключевых терминов (ключевых слов);
детектирование регулярных выражений – поиск сложных алфавитно-цифровых объектов (номера паспортов, индивидуальные номера налогоплательщиков, номеров кредитных карт, договоров, Расчетный счет и т.п.);
детектирование цифровых отпечатков – определение степени схожести извлеченного текста и фрагментов бинарных данных, анализируемых документов с заранее заданными документами-образцами с учетом порога срабатывания;
Система должна обеспечивать возможность автоматической разметки перехваченной информации на основе лингвистического анализа извлеченного текста с учетом морфологии русского и английского языков с возможностью расширения.
Система должна предоставлять возможность настраивать процесс разметки: задавать необходимые рубрики (тэги и типы угроз) и их иерархию, а также признаки, по которым определяется релевантность анализируемого текста той или иной рубрике.
Система должна обеспечивать возможность создания комбинированных объектов защиты, для повышения точности детектирования ПДн и уменьшения количества ложных срабатываний.
Идентификация сотрудника должна осуществляться по авторизационной информации (логин, домен), по адресу электронной почты или Web-идентификатору.
Система должна предоставлять возможность помещать карточки сотрудникам в группы, например, «На увольнение» или «Под наблюдением».
Помещение карточки сотрудника в группу должно автоматически изменять настройки правил и политики взаимодействия сотрудников с защищаемой информацией.
Система должна предоставлять возможность настройки политики с использованием групп сотрудников, списков адресов, рабочих станций и веб-ресурсов.
Система должна предоставлять возможности для автоматического вынесения вердикта по перехваченному объекту (выносимый вердикт должен трактовать, нарушает ли перехваченный объект политику безопасности или нет).
Система должна предоставлять возможности для задания политик безопасности на передачу данных, копирование и хранение из консоли управления.
Должна обеспечиваться возможность применять политики на основании:
формальных признаков перехваченного объекта (отправитель, получатель и т.д.), в том числе типа перехваченного объекта (SMTP, HTTP(S));
результатов контентного анализа текста, извлеченного из перехваченного объекта (результаты обнаружения объектов защиты, сравнения с базой эталонных документов, поиска алфавитно-цифровых объектов, наличия ключевых слов);
статуса сотрудников («На увольнение», «Под наблюдением»).
Система должна обеспечивать возможность оперативного оповещения (по электронной почте) ответственных сотрудников о зафиксированных событиях ИБ.
Система должна иметь обеспечивать хранение всей электронной корреспонденции (SMTP-сообщения электронной почты), сообщений и файлов, передаваемых через POST-запросов и перехваченных теневых копий файлов, в том числе переданных по протоколу SMB, и текстовых данных, скопированных в буфер ОС, в течение неограниченного срока.
Система должна иметь возможность задания разных сроков хранения событий: отдельно для нарушающих политики безопасности и для событий без нарушений.
Система должна предоставлять возможности по разграничению доступа пользователей к перехваченным объектам (автоматическое отнесение перехваченного объекта к той или иной зоне ответственности на основании правил).
Система должна предоставлять возможности для управления зонами ответственности пользователей системы.
Система должна предоставлять возможность получения детализированных отчетов в интерактивном режиме.
Система должна предоставлять возможность проводить полноценный текстовый поиск по всем событиям или только по вложениям.
Система должна предоставлять возможности для подготовки статистических отчетов по перехваченным объектам в следующих форматах: pdf и html.
Система должна предоставлять возможность удаленной установки/обновления/удаления клиентских программных агентов.
Система должна предоставлять возможность создания инсталляционного пакета клиентских приложений системы контроля печати, записи файлов и доступа пользователей к периферийным устройствам, с возможностью распространения через Active Directory и непосредственно на рабочем месте пользователя.
Агент Системы должен предоставлять возможность скрытой работы в системе и не должен обнаруживаться стандартными средствами.
Агент Системы должен использовать шифрование SSL/TLS для передачи теневых копий и инцидентов.
Агент Системы должен поддерживать работоспособность в режиме SecureBoot.
Система должна иметь возможность расширения функционала путем интеграции с UTM решениями CheckPoint подтвержденными документально.
Система должна иметь возможность интеграции с решениями класса SIEM, в частности с решениями компаний Positive Technologies (Max Patrol SIEM) и ЦБИ (Neuro DAT SIEM), подтвержденную документально.
Система должна иметь возможность интеграции с почтовым решением компании Mobility Lab WorksPad в части отслеживания отправляемой информации с использованием мобильных устройствах сотрудников.
|
Подраздел 4.5 Требования к техническим консультациям персонала Заказчика по работе с Системой
|
Вводная теоретическая часть.
Назначение и состав Системы;
Ключевые возможности системы;
Технологии анализа;
Интеграция с сетевыми устройствами;
Типовая схема развертывания в инфраструктуре предприятия.
Работа с интерфейсом Системы.
Концепция настроек политик безопасности;
Классификатор данных и объекты защиты;
Политики безопасности;
Поисковые возможности;
Настройка отчетов;
Теги, статусы, типы угроз;
Настройка системы в соответствии с политикой безопасности.
Работа с агентским программным модулем.
Архитектура модуля;
Ключевые возможности модуля;
Типовая схема развертывания в инфраструктуре предприятия.
Установка агента;
Настройка политик;
Белые списки;
Журнал, события;
Настройка в соответствии с политикой безопасности.
Рабочая документация на Систему защиты КИ;
Эксплуатационная документация на Систему защиты КИ.
Рабочая документация:
Техническое задание;
Программа и методика испытаний.
Эксплуатационная документация:
Руководство пользователя;
Руководство администратора.
|
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ГАРАНТИЙНЫМ ОБЯЗАТЕЛЬСТВАМ ВЫПОЛНЕННЫХ РАБОТ
|
Гарантийный срок выполненных работ составляет 12 месяцев с даты подписания Акта о приемке выполненных работ.
|
РАЗДЕЛ 6. ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ РАБОТ
|
Исполнитель должен обладать действующей на момент проведения запроса предложений и на момент исполнения договора лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации, c видами деятельности:
а) проектирование в защищенном исполнении: средств и систем информатизации;
б) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации;
|
РАЗДЕЛ 7. РЕЗУЛЬТАТ ВЫПОЛНЕННЫХ РАБОТ
|
Описание результата выполненных работ
|
Результатом выполненных работ должно являться внедрение системы контроля и защиты конфиденциальной информации.
Компоненты ИТ-инфраструктуры системы должны быть совместимы с инфраструктурой заказчика в соответствии с «Едиными отраслевыми методическими указаниями по унификации продукции в области информационных технологий, автоматизации и связи». (http://zakupki.rosatom.ru)
|
РАЗДЕЛ 8. ПРИНЯТЫЕ СОКРАЩЕНИЯ
|
№
|
Сокращение
|
Описание
|
1
|
DLP-система
|
Data Leak Prevention, система предотвращения утечек конфиденциальной информации из информационной системы вовне.
|
|
LDAP
|
Lightweight Directory Access Protocol, протокол прикладного уровня для доступа к службе каталогов
|
|
TCP/IP
|
Набор сетевых протоколов передачи данных
|
|
HTTP(s)
|
Hypertext Transfer Protocol (secure), протокол прикладного уровня передачи данных
|
|
SMTP
|
Simple Mail Transfer Protocol, сетевой протокол передачи электронной почты
|
|
SSL/TLS
|
Secure Sockets Layer, криптографический протокол передачи данных
|
|
КИ
|
Конфиденциальная информация
|
РАЗДЕЛ 9. ПРИЛОЖЕНИЯ
|
№
|
Наименование
|
1
|
Приложение 1. Перечень лицензий на компоненты Системы, запрашиваемых к поставке
|
2
|
Приложение 2. Требования к гарантийному техническому сопровождению
|
3
|
Протокол Экспертного совета №2 от 15.05.2017
|
|