 Федеральное государственное унитарное предприятия «Предприятие по обращению с радиоактивными отходами «РосРАО»
ДОКУМЕНТАЦИЯ ПО ЗАПРОСУ ЦЕН
Открытый запрос цен в электронной форме на право заключения договора на «Аттестация автоматизированной системы в защищенном исполнении Управления СЗЦ «СевРАО» – филиала ФГУП «РосРАО»».
Официальный государственный сайт
www.zakupki.gov.ru,
от «___» ____________ 2015 года № _________________________
Официальный сайт
www.zakupki.rosatom.ru
от «___» ____________ 2015 года № _________________________
Электронная торговая площадка Аукционный Конкурсный Дом
http://a-k-d.ru/
от «___» ____________ 2015 года № _________________________
ТОМ 2 «ТЕХНИЧЕСКАЯ ЧАСТЬ»
Мурманск, 2015 год
ПЕРЕЧЕНЬ ВИДОВ УСЛУГ на основе справочника ОКДП, для закупки которых применяется настоящее техническое задание
Код
|
Вид услуги
|
74.92.07.00
|
Услуги по защите информации в компьютерных и технических средствах прочих от копирования и несанкционированного доступа
|
СОДЕРЖАНИЕ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГ
Подраздел 2.1 Состав (перечень) оказываемых услуг
Подраздел 2.2 Описание оказываемых услуг
Подраздел 2.3 Объём оказываемых услуг
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1 Общие требования
Подраздел 3.2 Требования к качеству оказываемых услуг
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
Подраздел 3.4 Требования к конфиденциальности
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
Подраздел 3.6 Требования по обучению персонала заказчика
Подраздел 3.7 Требования к составу технического предложения участника
Подраздел 3.8 Специальные требования
РАЗДЕЛ 4. Результат оказанных услуг
Подраздел 4.1 Описание конечного результата оказанных услуг
Подраздел 4.2 Требования по приёмке услуг
Подраздел 4.3 Требования по передаче заказчику технических и иных документов (оформление результатов оказанных услуг)
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ТЕХНИЧЕСКОМУ ОБУЧЕНИЮ ПЕРСОНАЛА ЗАКАЗЧИКА
РАЗДЕЛ 6. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
РАЗДЕЛ 7. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
Оказание услуг по аттестации автоматизированной системы в защищенном исполнении Управления СЗЦ “СевРАО” - филиала ФГУП “РосРАО” на соответствие требованиям по безопасности информации.
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГ
Подраздел 2.1 Состав (перечень) оказываемых услуг
Предпроектное обследование (аудит) АС, в составе:
Физический Сервер – 4 шт. (с использованием технологии виртуализации);
АРМ – 50 шт.;
Применяемое ПО:
ОС семейства MS Windows;
прикладное ПО;
антивирусное ПО;
средство криптографической защиты информации.
Адаптация комплекта организационно-распорядительных документов;
Адаптация комплекта имеющихся в АСЗИ технических решений
Поставка и внедрение средств защиты информации;
Аттестация АСЗИ.
Подраздел 2.2 Описание оказываемых услуг
№ п/п
|
Состав услуг
|
Отчетные материалы
|
Сроки выполнения
|
1.Предпроектное обследование (аудит) АС
|
1)
|
Сбор информации о целевой АС
|
Отчет об обследовании АС.
|
в течение 10 рабочих дней после заключения договора.
|
2)
|
Разработка аналитического обоснования на систему защиты в АС Заказчика.
|
Аналитическое обоснование
|
3)
|
Разработка технического проекта на создание СЗИ в АС Заказчика.
|
Технический проект
|
2. Разработка комплекта организационно-распорядительных документов
|
1)
|
Разработка и согласование с Заказчиком проектов комплектов организационно - распорядительных документов
|
Проект комплекта ОРД согласно п.4.1.2.1
|
в течение 15 рабочих дней после заключения договора.
|
3. Адаптация комплекта имеющихся в АСЗИ технических решений
|
1)
|
Настройка МЭ в соответствии с перечнем правил фильтрации МЭ.
|
Акт настройки, перечень правил МЭ
|
в течение 15 рабочих дней после заключения договора
|
2)
|
Развертывание средства централизованного управления антивирусными продуктами
|
Акт установки и настройки
|
4. Поставка и внедрение средств защиты информации
|
1)
|
Поставка средств защиты информации в объёмах, определенных техническим заданием на создание СЗИ в АС Заказчика
|
Акт приема-передачи средств защиты информации
|
в течение 20 рабочих дней после заключения договора.
|
2)
|
Установка и настройка средств защиты информации в соответствии с классом АСЗИ
|
Акты установки и настройки СЗИ
|
3)
|
Развертывание средства централизованного управления наложенным СЗИ от НСД
|
4)
|
Проверка работоспособности средств защиты информации и отсутствия их негативного влияния на повседневную работоспособность АСЗИ Заказчика
|
Протокол испытаний
|
5.Аттестация АСЗИ
|
1)
|
Анализ и оценка полученных исходных данных.
|
Программа и методики проведения аттестационных испытаний.
|
в течение 30 календарных дней после заключения договора
|
2)
|
Аттестация АСЗИ по классу защищенности и уровню защищённости, указанных в актах классификации, в соответствии с “Положением по аттестации объектов информатизации по требованиям безопасности информации”, утвержденным председателем Гостехкомиссии России 25 ноября 1994 г. и приказом ФСТЭК России № 21 от 18.02.2013 г.
|
Протокол,
Заключение,
Предписание,
Аттестат соответствия
|
Подраздел 2.3 Объём оказываемых услуг
Услуги должны быть оказаны в полном объеме в соответствии с настоящим техническим заданием.
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1Общие требования
3.1.1. Место оказания услуг:
183017, Мурманская область, г. Мурманск ул. Лобова, д. 100
3.1.2. Сроки оказания услуг:
дата начала оказания услуг — с момента заключения договора;
дата окончания оказания услуг - в течение 30 дней с даты подписания договора.
Подраздел 3.2 Требования к качеству оказываемых услуг
3.2.1. Услуги должны соответствовать требованиям нормативных документов:
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон РФ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 г. N 282;
РД ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1998 г.);
Отраслевой РД “Рекомендации по обеспечению безопасности информации при совместной автоматизированной обработке информации, отнесенной к различным видам тайн”, (письмо ДЗГТИ от 01.07.2011 г. № 1-5.1\22430-Дсп);
Отраслевой РД “Отраслевые требования по информационной безопасности и использованию средств защиты информации для автоматизированных систем, обрабатывающих информацию, составляющую коммерческую тайну, служебную информацию ограниченного распространения (с пометкой “Для служебного пользования”), а также персональные данные в Госкорпорации “Росатом” и ее организациях”, утв. Приказом от 23.09.2014 г. № 1\910-П-Дсп;
ГОСТ Р51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
ГОСТ Р 6.30-2003. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов.
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
3.3.1. Исполнитель несет ответственность перед Заказчиком и Регуляторами за качество выполненных работ, а также за их соответствие требованиям законодательства РФ в области защиты информации в течение всего срока действия аттестата соответствия, выданного на АСЗИ.
3.3.2. В течение всего срока действия аттестата соответствия Исполнитель бесплатно оказывает Заказчику методические и консультационные услуги по эксплуатации внедренных СЗИ (как программных, так и аппаратных).
3.3.3. В случае нарушений Исполнителем требований руководящих стандартов или иных нормативных документов по безопасности информации, утвержденных ФСТЭК России, выявленных Регулятором при контроле и надзоре, все расходы по устранению нарушений и повторной аттестации возлагаются на Исполнителя.
Подраздел 3.4 Требования к конфиденциальности
3.4.1. Устанавливаются соглашением о конфиденциальности, являющимся приложением к Договору.
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
3.5.1. Исполнитель самостоятельно и за свой счет обеспечивает охрану труда своих работников.
3.5.2. Исполнитель самостоятельно и за свой счет обеспечивает выполнение необходимых мероприятий по технике безопасности, противопожарной безопасности, а также иные требования действующего законодательства Российской Федерации во время оказания услуг.
3.5.3. При оказании услуг работники Исполнителя должны иметь удостоверение по электробезопасности 3 группы.
3.5.4. Работниками Исполнителя должны быть соблюдены требования по мерам безопасности при работе с электроустановками, находящимися под напряжением до 1000 В.
3.5.5. Исполнитель самостоятельно информирует своих работников о правилах и нормах поведения при выполнении услуг на объекте Заказчика.
Подраздел 3.6 Требования по обучению персонала Заказчика
Требования не установлены
Подраздел 3.7 Требования к составу технического предложения участника
Техническое предложение участника должно содержать полное описание всех этапов работ по аттестации АСЗИ Заказчика.
Подраздел 3.8 Специальные требования
Не устанавливаются
РАЗДЕЛ 4. РЕЗУЛЬТАТ ОКАЗАННЫХ УСЛУГ
Подраздел 4.1 Описание конечного результата оказанных услуг
4.1.1. На АСЗИ Управления СЗЦ “СевРАО” - филиала ФГУП “РосРАО” должен быть выдан Аттестат соответствия по соответствующему классу защищенности.
4.1.2. При оказании услуг должен быть получен следующий комплект документов:
4.1.2.1. Проект комплекта организационно-распорядительных документов:
Акт классификации АСЗИ;
Акт об определении уровня защищённости персональных данных;
Таблица разграничения доступа (Матрицы доступа);
Перечень защищаемых ресурсов АСЗИ;
Описание технологического процесса обработки информации в АСЗИ;
Технический паспорт АСЗИ;
Положение о разрешительной системе доступа пользователей к ресурсам АСЗИ;
Инструкция администратору безопасности АСЗИ
Инструкция пользователю АСЗИ;
Инструкции по антивирусной защите;
Инструкция по эксплуатации СЗИ;
Инструкция по организации парольной защиты в АСЗИ.
Инструкция по организации работы с отчуждаемыми носителями информации
4.1.2.2.Комплект отчетных документов по результатам проведения аттестационных испытаний:
Отчет об обследовании целевой АС;
Аналитическое обоснование необходимости создания СЗИ;
Технический проект на создание СЗИ;
Модель угроз АСЗИ;
Модель нарушителя АСЗИ;
Акт приема-передачи средств защиты информации;
Акт настройки СЗИ;
Протокол испытаний СЗИ;
Акт настройки МЭ
Перечень правил фильтрации МЭ
Программа и методика проведения аттестационных испытаний;
Протокол аттестационных испытаний;
Заключение по результатам проведения аттестационных испытаний;
Предписание на эксплуатацию объекта информатизации;
Аттестат соответствия требованиям по безопасности информации.
Подраздел 4.2 Требования по приёмке услуг
Прием оказанных услуг осуществляют представители Заказчика и Исполнителя с подписанием Акта сдачи-приемки оказанных услуг.
Подраздел 4.3 Требования по передаче заказчику технических и иных документов (оформление результатов оказанных услуг)
4.3.1. Вся проектная и отчетная документация по результатам работ должна быть оформлена в строгом соответствии с требованиями ГОСТ и нормативными документами, указанными в разделе 3.2.1.
4.3.2. Вся отчетная документация должна быть представленная в адрес Заказчика на бумажном носителе формата А4, в двух экземплярах, проекты ОРД также в электронном виде (в форматах, используемых пакетом MS Office).
4.3.3. Отчетные документы, содержащие в себе сведения ограниченного распространения (в соответствии с перечнями ДСП и КТ ГК “Росатом”), должны быть соответствующим образом промаркированы. Доставка (отправка) таких документов Исполнителем в адрес Заказчика должна производиться способом, исключающим возможность ознакомления с этой информацией третьих лиц (доставка нарочным, отправка экспресс - почтой).
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ
5.1. Общие требования
5.1.1. Используемое контрольно-измерительное и испытательное оборудование/программное обеспечение, средства контроля защищенности, необходимые для оказания услуг должны находиться в собственности у Исполнителя (необходимо представить документы, подтверждающие наличие оборудования/программного обеспечения в собственности, документы (сертификат о поверке/калибровке), подтверждающие проведение поверки оборудования, копии лицензий ФСТЭК на применяемое оборудование /программное обеспечение).
5.1.2. Применяемые при проведении аттестационных работ программные средства защиты информации должны иметь действующую лицензию на право использования и действующий сертификат соответствия ФСТЭК России.
Исполнитель должен обладать необходимым практическим опытом выполнения работ, оказания услуг в сфере информационной безопасности, что должно подтверждаться сведениями о реализованных им проектах в этой области за последние три года;
Исполнитель не вправе привлекать к выполнению работ третьих лиц и сторонние организации;
Исполнитель должен обладать всеми необходимыми для выполнения работ ресурсами, иметь штат квалифицированных сотрудников;
Исполнитель осуществляет доставку своих сотрудников к месту проведения работ самостоятельно;
Ознакомление Исполнителя с содержанием отраслевых РД, имеющих пометку “Для служебного пользования” (“ДСП”) осуществляется только на территории Заказчика, после подписания Исполнителем Соглашения о конфиденциальности, являющегося приложением к Договору.
Подраздел 5.2. Квалификационные требования к персоналу, оказывающему
услуги
5.2.1. Специалисты должны иметь профильное образование по направлению защиты информации.
5.2.2. Исполнителю необходимо представить Заказчику список специалистов, привлекаемых к оказанию услуг, копии дипломов (свидетельств о повышении квалификации).
5.2.3. Специалисты, привлекаемые к выполнению работ, должны иметь российское гражданство (наличие двойного гражданства не допускается).
Подраздел 5.3. Требования к наличию лицензий
Исполнитель обязан иметь:
Лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в области:
контроля защищённости конфиденциальной информации от утечки по техническим каналам в: средствах и системах информатизации; технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещённых в помещениях, где она обрабатывается; помещениях со средствами (системами), подлежащими защите; защищаемых помещениях;
контроля защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации;
аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещениях;
проектирование в защищённом исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещениях;
установка, монтаж, испытания, ремонт средств защиты информации: технических средств защиты информации; защищённых технических средств обработки информации; программных (программно-технических) средств защиты информации; защищённых программных (программно-технических) средств обработки информации.
РАЗДЕЛ 6. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
№ п/п
|
Сокращение
|
Расшифровка сокращения
|
1
|
ИБ
|
Информационная безопасность
|
2
|
ЗИ
|
Защита информации
|
3
|
АРМ
|
Автоматизированное рабочее место
|
4
|
АС
|
Автоматизированная система
|
5
|
АСЗИ
|
Автоматизированная система в защищенном исполнении
|
6
|
КЗ
|
Контролируемая зона
|
7
|
НСД
|
Несанкционированный доступ
|
8
|
ОС
|
Операционная система
|
9
|
ПО
|
Программное обеспечение
|
10
|
ПЭВМ
|
Персональная электронно-вычислительная машина
|
11
|
РД
|
Руководящий документ
|
12
|
ОРД
|
Организационно-распорядительная документация
|
13
|
СЗИ
|
Система защиты информации
|
14
|
СЗИ от НСД
|
Система защиты информации от НСД
|
15
|
Регулятор
|
ФСБ, ФСТЭК, ГК “Росатом”, Роскомнадзор
|
16
|
МЭ
|
Межсетевой экран
|
17
|
ГК
|
Государственная корпорация “Росатом”
|
18
|
ФСТЭК
|
Федеральная служба по техническому и экспортному контролю
|
19
|
Гостехкомиссия
|
Государственная техническая комиссия при Президенте
Российской Федерации
|
20
|
ЗАТО
|
Закрытое Административное Территориальное Образование
|
|
