Приложение №2 к мониторингу цен
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
ВЫПОЛНЕНИЕ РАБОТ ПО ПОДГОТОВКЕ И АТТЕСТАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ «ПРОПУСКА» НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Санкт-Петербург
2016г.
СОДЕРЖАНИЕ
Общие сведения 3
Требования к выполнению работы 3
Состав и содержание работы 6
Состав исполнительной документации 6
Порядок контроля и приемки 7
Порядок оплаты 7
Приложение 1
Приложение 2
Приложение 3
-
Общие сведения.
Предмет выполнения работ: выполнение работ по подготовке и аттестации информационной системы персональных данных (ИСПДн) «ПРОПУСКА» на соответствие требованиям по защите конфиденциальной информации.
Основание выполнения работ: план оборотных средств на 2016 год.
Цель работ: приведение в соответствие с требованиями законодательных и подзаконных актов информационной системы персональных данных «ПРОПУСКА», в которой обрабатываются конфиденциальная информация; аттестация ИСПДн «ПРОПУСКА» по требованиям безопасности информации.
Достигаемые результаты работ: защищенная от НСД и аттестованная по требованиям безопасности конфиденциальной информации ИСПДн «ПРОПУСКА».
Источник финансирования: собственные средства метрополитена.
Вид работ: монтаж, установка и настройка средств защиты информации, аттестационные испытания ИСПДн «ПРОПУСКА», разработка эксплуатационной документации.
Характеристика объекта работ: ИСПДн «ПРОПУСКА» представляет собой клиент-серверную систему, в которую на момент разработки ТЗ входит один сервер ИСПДн и 51клиентский терминал (КТ). Кроме того, в ИСПДн входит также сервер антивирусной защиты и межсетевой экран CiscoASA 5505.
Места выполнения работ на территории заказчика указаны в Приложении № 1 (ознакомление с материалами с грифом ДСП производится по наличию у исполнителя служебного делопроизводства п. 2.4.3).
Cроки начала и окончания работ: 24.10.2016 - 24.11.2016.
Выполнение работ предусматривать в дневное время (с 9-00 до 17-00).
Работы выполняются по ТЗ, без проекта.
-
Требования к выполнению работы
Работы проводятся на основании требований следующих документов:
Федеральный Закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002 № 282;
«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России;
«Временная методика оценки защищенности конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы их коммуникации», Гостехкомиссия России;
РД «Защита от НСД к информации, ч. 1 «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, 1999 г.;
РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 г.;
РД «Средства вычислительной техники. Защита от НСД к информации. Показатели защищённости от НСД к информации». Гостехкомиссия России, 1998 г.;
РД «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищённости от НСД к информации». Гостехкомиссия России, 1998 г.;
другими действующими нормами, СНиП и другими документами предусмотренными законодательством РФ.
Работы должны производиться в соответствие с утвержденными программами и методиками аттестационных испытаний (далее - ПМАИ) в соответствии с требованиями действующих руководящих документов п. 2.1. ПМАИ должны быть согласованы заместителем начальника метрополитена.
Срок предоставления ПМАИ на согласование в отдел безопасности должен составлять не более 5-ти(пяти) рабочих дней с момента заключения договора. Срок исправления замечаний к ПМАИ и повторного предоставления проекта производства работ на согласование в подразделение метрополитена должен составлять не более 2-х (двух) рабочих дней с момента получения замечаний. Срок направления на согласование ПМАИ заместителем начальника метрополитена должен составлять не более 2-х (двух) рабочих дней с момента получения согласования с подразделением.
ПМАИ согласовывается в 2-х экземплярах в сроки согласованные с подразделением - заказчиком в зависимости от сложности выполняемой работы не более 10-ти (десяти) рабочих дней.
Работы должны производиться в соответствие с утвержденным проектом производства работ (далее - ППР):
срок предоставления ППР на согласование в подразделение метрополитена должен составлять не более 7-ми (семи) рабочих дней с момента заключения договора;
срок исправления замечаний к ППР и повторного предоставления проекта на согласование в подразделение метрополитена должен составлять не более 2-х (двух) рабочих дней с момента получения замечаний;
срок направления на согласования ППР в следующее подразделение метрополитена должен составлять не более 2-х (двух) рабочих дней с момента получения согласования предыдущим подразделением;
срок предоставления согласованного ППР всеми подразделениями метрополитена, указанными в техническом задании, должен составлять не более 2-х (двух) рабочих дней с момента получения согласования всем подразделениями.
-
Требования к исполнителю работ.
Исполнитель должен иметь следующие действующие лицензии:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации, дающую право на осуществление деятельности, предусмотренной абзацами 1-2 подпункта «а», подпунктом «б», абзацем1 подпункта «г», абзацем 1 подпункта «д» и подпунктом «е» (в части установки, монтажа, испытаний технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации) пункта 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации», утверждённого Постановлением Правительства РФ от 03.02.2012 № 79;
Лицензия ФСБ России на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), с указанием следующих видов работ согласно Постановлению Правительства РФ от 16.04.2012 № 313пп.2, 3, 12, 13, 14, 15, 24, 28.
-
Перед проведением работ предоставляются документы, подтверждающие наличие служебного делопроизводства.
Исполнитель в течение всего срока действия договора обязан привлекать только лиц, имеющих гражданство РФ, или лиц, имеющих официальное разрешение на работу на территории РФ. Работы выполняются без привлечения субподрядчиков.
На исполнителя возлагается ответственность за привлечение к выполнению работ лиц, которые в соответствии со ст. 10 Федерального закона от 09.02.2007 № 16-ФЗ «О транспортной безопасности», в связи с установленными ограничениями, не принимаются на работу, связанную с обеспечением транспортной безопасности.
Сотрудники подрядной организации при производстве работ должны соблюдать технику безопасности. Работы должны производиться в полном соответствии с требованиями «Инструкции о порядке производства работ сторонними организациями в эксплуатируемых сооружениях Петербургского метрополитена» (приказ от 18.04.2014№ 422), «Инструкции о пропускном и внутриобъектовом режимах на объектах ГУП «Петербургский метрополитен» (приказ от 23.12.2014 № 1625) и действующего природоохранного законодательства РФ.
Выдача постоянных пропусков для допуска на объекты метрополитена при выполнении работ осуществляется по согласованию с уполномоченными подразделениями федерального органа исполнительной власти в области обеспечения безопасности Российской Федерации, федерального органа исполнительной власти, осуществляющего функции по выработке государственной политики и нормативно-правовому регулированию в сфере внутренних дел (п. 6.32.15 «Требований по обеспечению транспортной безопасности, учитывающих уровни безопасности для различных категорий объектов метрополитена» утвержденных Приказом Минтранса РФ от 29.04.2011№ 130).
Объем выполняемых работ может быть изменен исключительно по дополнительному соглашению сторон, при условии, что общий объем и стоимость договора не изменяется более чем на 10 %.
Условия производства работ: производство работ в эксплуатируемых зданиях и сооружениях метрополитена, на площадках электродепо в дневное время.
Специальные требования к содержанию выполняемых работ изложены в Приложении № 1(ознакомление с материалами с грифом ДСП производится по наличию у исполнителя служебного делопроизводства п. 2.4.3).
Требования к подсистеме криптографической защиты и к генерации ключевых документов:
на элементах (серверах, АРМ и сетевом оборудовании) ИСПДн «ПРОПУСКА», на которых применяются или, согласно проекту системы технической защиты персональных данных, должны применяться средства криптографической защиты информации (далее - СКЗИ), Исполнитель работ должен обеспечить корректную установку и настройку используемых СКЗИ, а также обеспечить работоспособность данных СКЗИ;
на элементах (серверах, АРМ и сетевом оборудовании) ИСПДн «ПРОПУСКА», на которых применяются или, согласно проекту системы технической защиты персональных данных, должны применяться механизмы двухфакторной аутентификации по персональному сертификату пользователя, Исполнитель работ своими силами должен обеспечить генерацию (создание) пользовательских сертификатов, используемых в процессе аутентификации.
-
Состав и содержание работы
Ведомости объемов работ представлены в Приложении № 2 (ознакомление с материалами с грифом ДСП производится по наличию у исполнителя служебного делопроизводства п. 2.4.3).
Поставка СЗИ от НСД «ARMlock» (право на использование на 51 КТ+ дистрибутив).
Работы выполняются в 1 этап.
Состав исполнительной документации
По окончании работ Заказчику передается исполнительная документация:
Акты классификации ИСПДн «ПРОПУСКА».
Акты установки СЗИ от НСД.
Бланк простой (неисключительной) лицензии на СЗИ НСД «ARMlock», дающий право использования на 51 КТ.
Технический проект системы защиты ИСПДн «ПРОПУСКА»
Технический паспорт на ИСПДн «ПРОПУСКА».
Инструкции по эксплуатации средств защиты информации.
Инструкции по антивирусному контролю.
Инструкция администратору безопасности ИСПДн «ПРОПУСКА».
Инструкции пользователям ИСПДн «ПРОПУСКА».
Инструкции пользователям ИСПДн «ПРОПУСКА», обрабатывающим информацию с применением криптосредств.
Разграничительную систему доступа.
Описания технологического процесса обработки информации.
Программу и методику проведения аттестационных испытаний ИСПДн «ПРОПУСКА».
Протоколы контроля защищенности ИСПДн «ПРОПУСКА» от НСД.
Предписания на эксплуатацию ИСПДн «ПРОПУСКА».
Заключения по результатам проведения аттестационных испытаний.
Аттестат соответствия требованиям по безопасности информации.
Документация должна быть передана Заказчику в 1-ом экземпляре с описью предоставляемых документов в сопроводительном письме и на машинном носителе DVD-R в 1-ом (одном) экземпляре с грифом ДСП.
-
Порядок контроля и приемки
Технический надзор выполняет: Отдел безопасности Управления.
«Программы и методики проведения аттестационных испытаний ИСПДн «ПРОПУСКА» разрабатываются Исполнителем и согласовываются с Заказчиком.
При нарушении технологии производства работ, отступлений от Технического задания, применения материалов, не соответствующих ГОСТам и ТУ, работы прекращаются по указанию лица, осуществляющего технический надзор, и устанавливается срок устранения нарушения. Указания являются обязательными и подлежат беспрекословному выполнению.
Контролируются: сроки выполнения работ, качество, объёмы, технология и номенклатура работ, обеспечение безопасных условий труда, сохранности оборудования, сооружений и устройств.
Приемка выполненных работ по настройке и функциональности средств защиты информации производится на месте проведения работ совместно с представителями Заказчика работ и Исполнителя, с оформлением акта приемки выполненных работ по установке и настройке СЗИ.
-
Порядок оплаты
Оплата выполненной работы, осуществляется заказчиком в порядке и сроки, установленные договором, но не позднее 45-ти (сорока пяти) календарных дней с даты подписания документа о приемке выполненной работы (ее результатов) с даты подписания акта(Приложение № 3), при условии предоставления счета-фактуры.
Авансирование не предусмотрено.
Приложение 3
АКТ
приема-сдачи выполненных работ
по договору от «___» ________ .2016 г. № ________
Санкт-Петербург «____»___________ 2016 г.
Мы, нижеподписавшиеся, представитель Исполнителя XXX с одной стороны и представитель Заказчика XXX, действующий на основании доверенности № XX от XX января 201_ г., с другой стороны, составили настоящий Акт в том, что работы подоговору от__.__.2016 г. № XXXвыполнены Исполнителем в установленные сроки и в полном объеме в соответствии с техническим заданием и условиями договора.
№
п/п
|
Объект (наименование основного средства или наименование работ)
|
Наименование работ и перечень оборудования
|
Стоимость, руб.
|
1.
|
Корректировка технического проекта системы защиты ИСПДн «ПРОПУСКА»
|
- Внесение изменений в Технический проект системы защиты ИСПДн «ПРОПУСКА» в соответствии с требованиями ТЗ и уточненным перечнем КТ.
|
|
2.
|
Аттестация ИСПДн «ПРОПУСКА» по требованиям безопасности конфиденциальной информации АСк
|
- Разработка организационных документов регламентирующих техническую защиту информации в ИСПДн «ПРОПУСКА»,
- Разработка программы и методики проведения аттестационных испытаний ИСПДн «ПРОПУСКА»,
- Проведение аттестационных испытаний по требованиям безопасности конфиденциальной информации ИСПДн «ПРОПУСКА», оформление отчетных документов
|
|
3.
|
Средства защиты информации (СЗИ) от несанкционированного доступа (НСД) «ARMlock»
|
- Поставка СЗИ от НСД «ARMlock» (право на использование на 51 КТ+ дистрибутив);
- Установка и настройка СЗИ и СКЗИ
|
|
|
ВСЕГО:
|
|
|
Цена работы составляет –XX(прописью) рублей XX копеек, в том числе НДС – 18% - XX(прописью) рубль XX копеек.
Сумма перечисленного аванса – 0 (Ноль) рублей 00 копеек.
Следует к перечислению – XX(прописью) рублей XX копеек, в том числе НДС – 18%- XX(прописью) рубль XX копеек.
Работу принял
от Заказчика
ГУП «Петербургский метрополитен»
«____»__________2016 г.______________ Ф. И. О.
|
Работу сдал
от Исполнителя
«____»__________2016 г.______________ Ф. И. О.
|
|
