СОГЛАСОВАНО
Заместитель генерального директора
по безопасности и режиму
В.В. Мальцев
“___” ___________ 2015 г.
|
УТВЕРЖДАЮ
Директор СЗЦ «СевРАО» -
филиала ФГУП «РосРАО»
В.Н. Пантелеев
“___” ___________ 2015 г.
|
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на оказание услуг по аттестации автоматизированной системы физической защиты Центра по обращению с РАО - отделения Гремиха СЗЦ “СевРАО” - филиала ФГУП “РосРАО” на соответствие требованиям по безопасности информации
СОГЛАСОВАНО
Начальник отдела технической защиты информации
Д.С. Максимов
“___” ___________ 2015 г.
|
Разработал
Начальник отдела
Д.А. Оранский
“___” ___________ 2015 г.
|
Помощник директора по безопасности
В.А. Григорьев
“___” ___________ 2015 г.
|
|
г. Мурманск
2015 г.
ПЕРЕЧЕНЬ ВИДОВ УСЛУГ на основе справочника ОКДП, для закупки которых применяется настоящее техническое задание
Код
|
Вид услуги
|
7492070
|
Услуги по защите информации в компьютерных и технических средствах прочих от копирования и несанкционированного доступа
|
СОДЕРЖАНИЕ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГ
Подраздел 2.1 Состав (перечень) оказываемых услуг
Подраздел 2.2 Описание оказываемых услуг
Подраздел 2.3 Объём оказываемых услуг
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1 Общие требования
Подраздел 3.2 Требования к качеству оказываемых услуг
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
Подраздел 3.4 Требования к конфиденциальности
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
Подраздел 3.6 Требования по обучению персонала заказчика
Подраздел 3.7 Требования к составу технического предложения участника
Подраздел 3.8 Специальные требования
РАЗДЕЛ 4. Результат оказанных услуг
Подраздел 4.1 Описание конечного результата оказанных услуг
Подраздел 4.2 Требования по приёмке услуг
Подраздел 4.3 Требования по передаче заказчику технических и иных документов (оформление результатов оказанных услуг)
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ТЕХНИЧЕСКОМУ ОБУЧЕНИЮ ПЕРСОНАЛА ЗАКАЗЧИКА
РАЗДЕЛ 6. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
РАЗДЕЛ 7. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ
РАЗДЕЛ 1. НАИМЕНОВАНИЕ УСЛУГИ
Оказание услуг по аттестации автоматизированной системы физической защиты Центра по обращению с РАО - отделения Гремиха СЗЦ “СевРАО” - филиала ФГУП “РосРАО” на соответствие требованиям по безопасности информации.
РАЗДЕЛ 2. ОПИСАНИЕ УСЛУГ
Подраздел 2.1 Состав (перечень) оказываемых услуг
Предпроектное обследование (аудит) АСФЗ, в составе:
Физический Сервер – 8 шт. (без применения технологии виртуализации);
АРМ – 4шт;
Применяемое ПО:
ОС семейства MS Windows;
специализированное ПО системы видеонаблюдения;
специализированное ПО СКУД;
антивирусное ПО;
наложенное программно-аппаратное СЗИ от НСД
Адаптация комплекта организационно-распорядительных документов;
Поставка и внедрение средств защиты информации;
Аттестация АСЗИ.
Подраздел 2.2 Описание оказываемых услуг
№ п/п
|
Состав услуг
|
Отчетные материалы
|
Сроки выполнения
|
1. Предпроектное обследование (аудит) АСФЗ
|
1)
|
Сбор информации о АСФЗ.
|
Отчет об обследовании АСФЗ.
|
в течение 10 рабочих дней после заключения договора.
|
2)
|
Разработка аналитического обоснования на систему защиты в АСФЗ Заказчика.
|
Аналитическое обоснование
|
|
Разработка технического задания на создание СЗИ в АСФЗ Заказчика.
|
Техническое задание
|
3)
|
Разработка проекта на создание комплексной системы защиты информации в АСФЗ Заказчика.
|
Рабочий проект
|
2. Разработка комплекта организационно-распорядительных документов
|
1)
|
Разработка и согласование с Заказчиком проектов комплектов организационно - распорядительных документов
|
Проект комплекта ОРД согласно п.4.1.2.1
|
в течение 15 рабочих дней после заключения договора.
|
3. Поставка и внедрение средств защиты информации
|
1)
|
Поставка средств защиты информации в объёмах, определенных техническим заданием на создание СЗИ в АСФЗ Заказчика
|
Акт приема-передачи средств защиты информации
|
в течение 20 рабочих дней после заключения договора.
|
2)
|
Установка и настройка средств защиты информации в соответствии с классом АСФЗ
|
Акты установки и настройки СЗИ
|
3)
|
Проверка работоспособности средств защиты информации и отсутствия их негативного влияния на повседневную работоспособность АСФЗ Заказчика
|
Протокол испытаний
|
|
4.Аттестация АСЗИ
|
1)
|
Анализ и оценка полученных исходных данных.
|
Программа и методики проведения аттестационных испытаний.
|
в течение 30 календарных дней после заключения договора
|
2)
|
Аттестация АСЗИ в соответствии с отраслевыми требованиями по обеспечению безопасности информации в АСФЗ (приказ ГК «Росатом» от 08.08.2011 № 1/669-П-ДСП)
|
Протокол,
Заключение,
Предписание,
Аттестат соответствия
|
Подраздел 2.3 Объём оказываемых услуг
Услуги должны быть оказаны в полном объеме в соответствии с настоящим техническим заданием.
РАЗДЕЛ 3. ТРЕБОВАНИЯ К УСЛУГАМ
Подраздел 3.1Общие требования
3.1.1. Место оказания услуг:
184641,Мурманская область, ЗАТО п. Островной пл. Якорная д.1
3.1.2. Сроки оказания услуг:
дата начала оказания услуг — с момента заключения договора;
дата окончания оказания услуг - в течение 30 дней с момента подписания договора, не позднее 31.09.2015.
3.1.3. Требования к Исполнителю:
Исполнитель должен обладать необходимым практическим опытом выполнения работ, оказания услуг в сфере информационной безопасности, что должно подтверждаться сведениями о реализованных им проектах в этой области за последние три года;
Исполнитель должен обладать всеми необходимыми для выполнения работ ресурсами, иметь штат квалифицированных сотрудников;
Исполнитель не вправе привлекать к выполнению работ третьих лиц и сторонние организации;
Исполнитель работ самостоятельно оформляет пропуска на территорию ЗАТО Мурманской области в соответствии с “Положением об обеспечении особого режима в ЗАТО”, утвержденным постановлением Правительства Российской Федерации № 655 от 26.06.1998 года;
Исполнитель осуществляет доставку своих сотрудников к месту проведения работ самостоятельно;
Ознакомление Исполнителя с содержанием отраслевых РД, имеющих пометку “Для служебного пользования” (“ДСП”) осуществляется только на территории Заказчика, после подписания Исполнителем Соглашения о конфиденциальности, являющегося приложением к Договору.
Подраздел 3.2 Требования к качеству оказываемых услуг
3.2.1. Услуги должны соответствовать требованиям нормативных документов:
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 г. N 282;
Отраслевой РД “Системы физической защиты ядерных объектов. Автоматизированные системы физической защиты. Защита информации от НСД. Требования безопасности информации ”, утв. Приказом от 08.08.2011 г. № 1\669-П-Дсп;
Отраслевой РД “Рекомендации по обеспечению безопасности информации при совместной автоматизированной обработке информации, отнесенной к различным видам тайн”, (письмо ДЗГТИ от 01.07.2011 г. № 1-5.1\22430-Дсп);
ГОСТ Р51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении.Общие требования
ГОСТ Р 6.30-2003. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов;
Подраздел 3.3 Требования к гарантийным обязательствам оказываемых услуг
3.3.1. Исполнитель несет ответственность перед Заказчиком и Регуляторами за качество выполненных работ, а также за их соответствие требованиям законодательства РФ в области защиты информации в течение всего срока действия аттестата соответствия, выданного на АСЗИ.
3.3.2. В течение всего срока действия аттестата соответствия Исполнитель бесплатно оказывает Заказчику методические и консультационные услуги по эксплуатации внедренных СЗИ (как программных, так и аппаратных).
3.3.3. В случае нарушений Исполнителем требований руководящих стандартов или иных нормативных документов по безопасности информации, утвержденных ФСТЭК России, выявленных Регулятором при контроле и надзоре, все расходы по устранению нарушений и повторной аттестации возлагаются на Исполнителя.
Подраздел 3.4 Требования к конфиденциальности
3.4.1. Устанавливаются соглашением о конфиденциальности, являющимся приложением к Договору.
Подраздел 3.5 Требования к безопасности оказания услуг и безопасности результата оказанных услуг
3.5.1. Исполнитель самостоятельно и за свой счет обеспечивает охрану труда своих работников.
3.5.2. Исполнитель самостоятельно и за свой счет обеспечивает выполнение необходимых мероприятий по технике безопасности, противопожарной безопасности, а также иные требования действующего законодательства Российской Федерации во время оказания услуг.
3.5.3. При оказании услуг работники Исполнителя должны иметь удостоверение по электробезопасности 3 группы.
3.5.4. Работниками Исполнителядолжны быть соблюдены требования по мерам безопасности при работе с электроустановками, находящимися под напряжением до 1000 В.
3.5.5. Исполнитель информирует своих работников о правилах и нормах поведения при выполнении услуг на объекте Заказчика.
Подраздел 3.6 Требования по обучению персонала Заказчика
Требования не установлены
Подраздел 3.7 Требования к составу технического предложения участника
Техническое предложение участника должно содержать полное описание всех этапов работ по аттестации АСЗИ Заказчика.
Подраздел 3.8 Специальные требования
Не устанавливаются
РАЗДЕЛ 4. РЕЗУЛЬТАТ ОКАЗАННЫХ УСЛУГ
Подраздел 4.1 Описание конечного результата оказанных услуг
4.1.1. На АСФЗ Центра по обращению с РАО отделения Гремиха СЗЦ “СевРАО”- филиала ФГУП “РосРАО” должен быть выдан Аттестат соответствия по соответствующему классу защищенности.
4.1.2. При оказании услуг должен быть получен следующий комплект документов:
4.1.2.1. Проект комплекта организационно-распорядительных документов:
Таблицы разграничения доступа (Матрицы доступа);
Перечень защищаемых ресурсов;
Описание технологического процесса обработки информации в АСФЗ;
Технический паспорт АСФЗ;
Положение о разрешительной системе доступа пользователей к ресурсам АСФЗ;
Инструкция оператору АСФЗ
Инструкция системному администратору АСФЗ;
Инструкция администратору безопасности АСФЗ;
Инструкция по антивирусной защите;
Инструкция по эксплуатации СЗИ;
4.1.2.2. Комплект отчетных документов по результатам проведения аттестационных испытаний:
Отчет об обследовании целевой АСФЗ;
Аналитическое обоснование необходимости создания СЗИ;
Техническое задание на создание СЗИ;
Рабочий проект на создание комплексной СЗИ в АСФЗ;
Акт приема-передачи средств защиты информации;
Акт настройки СЗИ;
Протокол испытаний СЗИ;
Программа и методика проведения аттестационных испытаний;
Протокол аттестационных испытаний;
Заключение по результатам проведения аттестационных испытаний;
Предписание на эксплуатацию объекта информатизации;
Аттестат соответствия требованиям по безопасности информации.
Подраздел 4.2 Требования по приёмке услуг
Прием оказанных услуг осуществляют представители Заказчика и Исполнителя с подписанием Акта сдачи-приемки оказанных услуг.
Подраздел 4.3 Требования по передаче заказчику технических и иных документов (оформление результатов оказанных услуг)
4.3.1. Вся проектная и отчетная документация по результатам работ должна быть оформлена в строгом соответствии с требованиями ГОСТ и нормативными документами, указанными в разделе 3.2.1.
4.3.2. Вся документация должна быть представленная в адрес Заказчика на бумажном носителе формата А4, в двух экземплярах, а проекты организационно-распорядительных документов также в электронном виде (в форматах, используемых пакетом MS Office).
4.3.3. Отчетные документы, содержащие в себе сведения ограниченного распространения (в соответствии с перечнями ДСП и КТ ГК “Росатом”), являющиеся информацией, должны быть соответствующим образом промаркированы. Доставка (отправка) таких документов Исполнителем в адрес Заказчика должна производить способом, исключающим возможность ознакомления с этой информацией третьих лиц (доставка нарочным, отправка экспресс - почтой).
РАЗДЕЛ 5. ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ
5.1. Общие требования
5.1.1. Используемое контрольно-измерительное и испытательное оборудование/программное обеспечение, средства контроля защищенности, необходимые для оказания услуг должны находиться в собственности у Исполнителя (необходимо представить документы, подтверждающие наличие оборудования/программного обеспечения в собственности, документы (сертификат о поверке/калибровке), подтверждающие проведение поверки оборудования, копии лицензий ФСТЭК на применяемое оборудование /программное обеспечение).
5 1.2. Применяемые при проведении аттестационных работ программные средства защиты информации должны иметь действующую лицензию на право использования и действующий сертификат соответствия ФСТЭК России.
Исполнитель должен обладать необходимым практическим опытом выполнения работ, оказания услуг в сфере информационной безопасности, что должно подтверждаться сведениями о реализованных им проектах в этой области за последние три года;
Исполнитель не вправе привлекать к выполнению работ третьих лиц и сторонние организации;
Подраздел 5.2. Квалификационные требования к персоналу, оказывающему
услуги
5.2.1. Специалисты должны иметь профильное образование по направлению защиты информации.
5.2.2. Исполнителю необходимо представить Заказчику список специалистов, привлекаемых к оказанию услуг, копии дипломов (свидетельств о повышении квалификации).
Подраздел 5.3. Требования к наличию лицензий
Исполнитель обязан иметь:
Лицензию ФСБ России на работу со сведениями, составляющими ГТ, так как в сведения о системе физической защиты ядерно-опасного объекта попадают по действие “Перечня сведений подлежащих засекречиванию в ГК “Росатом”, введенным в действие приказом от 30.03.2012 г. №0026;
Лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в области:
контроля защищённости конфиденциальной информации от утечки по техническим каналам в: средствах и системах информатизации; технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещённых в помещениях, где она обрабатывается; помещениях со средствами (системами), подлежащими защите; защищаемых помещениях;
контроля защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации;
аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещениях;
проектирование в защищённом исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещениях;
установка, монтаж, испытания, ремонт средств защиты информации: технических средств защиты информации; защищённых технических средств обработки информации; программных (программно-технических) средств защиты информации; защищённых программных (программно-технических) средств обработки информации.
РАЗДЕЛ 6. ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ
№ п/п
|
Сокращение
|
Расшифровка сокращения
|
1
|
ИБ
|
Информационная безопасность
|
2
|
ЗИ
|
Защита информации
|
3
|
АРМ
|
Автоматизированное рабочее место
|
4
|
АС
|
Автоматизированная система
|
5
|
АСЗИ
|
Автоматизированная система в защищенном исполнении
|
6
|
КЗ
|
Контролируемая зона
|
7
|
НСД
|
Несанкционированный доступ
|
8
|
ОС
|
Операционная система
|
9
|
ПО
|
Программное обеспечение
|
10
|
ПЭВМ
|
Персональная электронно-вычислительная машина
|
11
|
РД
|
Руководящий документ
|
12
|
ОРД
|
Организационно-распорядительная документация
|
13
|
СЗИ
|
Система защиты информации
|
14
|
СЗИ от НСД
|
Система защиты информации от НСД
|
15
|
Регулятор
|
ФСБ, ФСТЭК, ГК “Росатом”
|
16
|
ГК
|
Государственная корпорация “Росатом”
|
17
|
ФСТЭК
|
Федеральная служба по техническому и экспортному контролю
|
18
|
Гостехкомиссия
|
Государственная техническая комиссия при Президенте
Российской Федерации
|
19
|
ЗАТО
|
Закрытое Административное Территориальное Образование
|
20
|
СКУД
|
Система контроля и управления доступом
|
|