Том 2 «ТЕХНИЧЕСКАЯ ЧАСТЬ»
Техническое задание на выполнение работ (оказание услуг).
1. Предмет задания и договора: право заключения договора на аттестацию объекта информатизации требованиям по безопасности информации для АСЗИ по классу защищенности 1Г.
2. Место выполнения работ (услуг): г. Саров (ОАО «Обеспечение РФЯЦ-ВНИИЭФ»).
3. Срок выполнения работ (услуг):
Начало: 09 сентября 2013 г.
Окончание: 20 декабря 2013 г
4. Характеристика (описание) объектов, на которых будут выполняться работы (услуги):
Объекты информатизации состоят из рабочих мест и различного уровня ЛВС. В ЛВС общее количество серверов и АРМ 500 штук, для аттестации сегмент ЛВС из 25 АРМ. Часть объектов имеют подключения к сетям общего доступа, включая сеть «Интернет». Вид обрабатываемой информации: ПДн, КТ. Поставка оборудования и программного обеспечения и услуги выполняются в целях обеспечения защиты информации, обрабатываемой на объектах информатизации Заказчика.
5. Вид (описание) выполняемых работ (услуг):
Проведение необходимых мероприятий по аттестации, автоматизированных рабочих мест и локальной вычислительной сети и выдача аттестата соответствия требованиям по безопасности информации для АСЗИ по классу защищенности 1Г, в том числе:
По всей ЛВС (500 АРМ):
подготовка объектов к вводу в действие системы защиты информации (СЗИ);
подготовка персонала к вводу в действие СЗИ;
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
анализ имеющихся у Заказчика организационно-технических, организационно-режимных и организационных мер защиты объектов информатизации;
разработка необходимой рабочей документации на СЗИ, технических решений, организационно-распорядительной документации для подготовки ЛВС к аттестации по классу 1Г согласно приложения №2;
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого Подрядчиком и Заказчиком;
анализ экспертного обследования и оформление отчетных документов;
консультирование Заказчика по вопросам, составляющим предмет услуг.
По сегменту ЛВС 25 АРМ:
поставка средств защиты информации для аттестации объекта информатизации в соответствии с Приложением №1;
оформление заключения по результатам аттестационных испытаний о соответствии сегмента ЛВС 25 АРМ требованиям действующего законодательства и нормативно-методических документов ФСТЭК России и выдача аттестата соответствия по классу 1Г;
анализ экспертного обследования и комплексных аттестационных испытаний и 0оформление необходимых отчетных документов.
6. Особые условия выполняемых работ (оказываемых услуг):
В соответствии с действующими руководящими документами Российской Федерации, в том числе:
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
Указ Президента Российской Федерации от 17.03.2008 N351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Постановление Правительства Российской Федерации от 03.11.1994 №1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
Постановление Правительства Российской Федерации от 15.08.2006 №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
Нормативно-методический документ Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденный приказом Гостехкомиссии России от 30.08.2002 г. № 282;
«Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, Москва, 1997;
Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», Гостехкомиссия России, Москва, 1992;
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы (АС). АС. Стадии создания;
ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС;
ГОСТ Р 51624-2000. Защита информации. АС в защищенном исполнении. Общие требования;
ГОСТ Р 51583-2000. Защита информации. Порядок создания АС в защищенном исполнении. Общие положения;
ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
ГОСТ Р 50752-95. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний;
«Сборник методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)». Утвержден приказом ФСТЭК России от 30.12.2005;
«Сборник норм по защите информации от утечки за счет ПЭМИН» Гостехкомиссия России, 1998;
«Положение об аттестации объектов информатизации по требованиям безопасности информации», Гостехкомиссия России, 1994.
7. Требования к качеству работ (услуг):
в поставку должно входить оборудование и программное обеспечение в соответствии со спецификацией настоящего технического задания;
участник аукциона должен включить в предложение детальную спецификацию поставляемого оборудования и программного обеспечения, включая наименования позиций, а также перечень услуг по аттестации передачи данных в соответствии с требованиями, указанными в настоящем техническом задании.
оборудование должно быть новым, заводского производства (должно выпускаться серийно), то есть не восстановленным и не собранным из восстановленных компонентов, с годом выпуска не ранее 2012 года. В комплект поставки должны входить: техническая документация на оборудование, дистрибутивы программного обеспечения, необходимого для эксплуатации оборудования, перечень сопроводительной документации на комплектующие изделия и иная эксплуатационная документация;
оборудование должно поставляться в заводской упаковке, исключающей его повреждение, порчу;
на все поставляемое оборудование должна распространяться гарантия производителя сроком не менее 12 мес.;
Оборудование должно быть упаковано и маркировано в соответствии с условиями и требованиями торгового оборота. Упаковка должна обеспечивать полную сохранность оборудования от повреждений при перевозке его смешанным видом транспорта с учетом нескольких перегрузок в пути, а также длительного хранения.
гарантия должна распространяться на все поставляемое оборудование.
гарантийное обслуживание поставляемого оборудования должно осуществляться без затрат со стороны Заказчика и включать в себя вывоз, ремонт или замену и доставку Заказчику оборудования, вышедшего из строя в течение установленного гарантийного срока;
все работы по аттестации объектов информатизации проводятся с применением только поверенной и технически исправной контрольно-измерительной аппаратуры и инструментов (Исполнитель обязан предоставить Заказчику свидетельства о поверке аппаратуры);
СЗИ объектов информатизации должна соответствовать требованиям законодательства Российской Федерации и обеспечить блокировку потенциальных технических каналов утечки информации, а также защиту объектов от НСД;
аттестованные Подрядчиком объекты информатизации должны соответствовать требованиям документов, указанных в пункте 6 настоящего ТЗ;
проводимые Подрядчиком мероприятия по аттестации объектов информатизации должны быть безопасны для Заказчика и его имущества;
Подрядчик обязан иметь действующие нормативные правовые акты, руководящие, нормативно-методические и методические документы, ГОСТ, регламентирующие требования по вопросам технической защиты информации, и использовать их для информационного обеспечения проводимых работ;
Подрядчик обязан использовать с соблюдением требований законодательства Российской Федерации и эксплуатационной документации исправные и поверенные приборы, средства измерений, инструменты, вспомогательное оборудование, программное обеспечение и тестирующие средства;
Подрядчик осуществляет самостоятельно перемещение сотрудников и необходимых материальных средств к месту проведения аттестации;
Подрядчик организует выполнение работ без привлечения сторонних организаций.
Заказчик по согласованию обязан обеспечить установленным порядком необходимый доступ сотрудников Подрядчика в помещения и к техническим средствам для проведения работ;
Подрядчик обязан предоставить в согласованные сроки необходимые документы на сотрудников для обеспечения их допуска к работам;
все мероприятия по аттестации объектов информатизации Подрядчик проводит в соответствии с регламентом рабочего времени Заказчика;
все расходы, связанные с проведением мероприятий по аттестации объектов информатизации, несет Подрядчик;
Отчетная документация по каждому объекту информатизации разрабатывается Подрядчиком и согласовывается с Заказчиком;
все документы должны соответствовать требованиям «Положения об аттестации объектов информатизации по требованиям безопасности информации»;
на стадии ввода в действие СЗИ оформляются:
«Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний»;
«Протокол испытаний на соответствие требованиям по защите информации от НСД и утечки по техническим каналам»;
«Заключение по результатам аттестационных испытаний»;
«Аттестат соответствия требованиям по безопасности информации» (в случае положительного заключения).
вся документация должна быть выполнена на русском языке и представлена Заказчику на бумажном носителе в формате А4 в двух экземплярах, в электронном виде на оптическом носителе (текстовые документы в формате MS Word, схемы в формате MS Visio) в одном экземпляре;
в период проведения работ и после их окончания Подрядчик обязан соблюдать все правила конфиденциальности проводимых мероприятий и обеспечить сохранность сведений, содержащих конфиденциальную информацию, принадлежащую Заказчику, которая может стать ему известной в ходе оказания услуг, не допускается передача сведений об объектах информатизации Заказчика и проводимых мероприятиях сторонним организациям и посторонним лицам, подрядчик несет ответственность за соблюдение этого требования в соответствии с законодательством Российской Федерации.
8. Требования к участникам размещения заказа:
Устанавливаются следующие обязательные требования к Участникам запроса предложений:
-
соответствие участников требованиям, устанавливаемым в соответствии с законодательством Российской Федерации к лицам, осуществляющим поставки товаров, выполнение работ, оказание услуг, являющихся предметом торгов.
не проведение ликвидации участника - юридического лица и отсутствие решения арбитражного суда о признании участника аукциона - юридического лица, индивидуального предпринимателя банкротом и об открытии конкурсного производства;
не приостановление деятельности участника аукциона в порядке, предусмотренном Кодексом Российской Федерации об административных правонарушениях, на день подачи заявки на участие в запросе предложений;
наличие действующей лицензии Федеральной службы по техническому и экспортному контролю России (ФСТЭК) на деятельность по технической защите конфиденциальной информации - (подпункт 1) п.1 ст.11 Федерального закона от 21.07.2005 №94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (с изм. от 12.11.2011), подпункт 11 п. 1 ст.17 Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности»);
наличие действующей лицензии Федеральной службы безопасности России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств - (подпункт 1) п.1 ст.11 Федерального закона от 21.07.2005 №94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (с изм. от 12.11.2011), подпункт 5 п. 1 ст.17 Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности»). Лицензия должна распространяться на следующие виды работ (услуг), выполняемых (оказываемых) в составе лицензируемого вида деятельности в соответствии с частью 2 статьи 12 Федерального закона «О лицензировании отдельных видов деятельности» - работы, предусмотренные пунктами 2, 3, 7, 8, 9, 11, 12, 13, 14, 15, 17, 18, 20, 21, 22, 23, 24, 25, 26, 27, 28;
отсутствие у участника запроса предложений задолженности по начисленным налогам, сборам и иным обязательным платежам в бюджеты любого уровня или государственные внебюджетные фонды за прошедший календарный год, размер которой превышает двадцать пять процентов балансовой стоимости активов участника размещения заказа по данным бухгалтерской отчетности за последний завершенный отчетный период. Участник аукциона считается соответствующим установленному требованию в случае, если он обжалует наличие указанной задолженности в соответствии с законодательством Российской Федерации и решение по такой жалобе на день рассмотрения заявки на участие в запросе предложений не принято;
наличие в собственности программно-аппаратных комплексов для проведения специальных исследований техники на ПЭМИН, а также для замеров электрических наводок и для замеров утечек информации по акустическим и вибро-акустическим каналам;
Все работы по аттестации объектов информатизации проводятся с применением только поверенной и технически исправной контрольно-измерительной аппаратуры и инструментов (Исполнитель обязан предоставить Заказчику свидетельства о поверке аппаратуры).
9. Объем и сроки предоставления гарантий качества на выполняемые работы (услуги):
подрядчик обязан предоставить на оказанные услуги полную гарантию сроком действия 3 года с момента выдачи аттестатов соответствия;
в случае нарушений Подрядчиком требований стандартов или иных нормативных документов по безопасности информации, утвержденных ФСТЭК России, выявленных при контроле и надзоре и приведшие к повторной аттестации, расходы по устранению нарушений и повторной аттестации несет Подрядчик;
выдача Подрядчиком документов, осуществляется в течение 10 дней с момента проведения мероприятий по аттестации объекта информатизации;
10. Предельная стоимость расходов, подлежащая возмещению (с НДС): 3 000 000 рублей.
11. Контроль за выполняемыми работами (услугами): контроль за выполняемыми работами осуществляют ответственные сотрудники Службы безопасности и Департамента IT-технологий.
12. Порядок сдачи-приемки работ (услуг): приём выполненных работ осуществляет Комиссия, создаваемая приказом руководителя организации Заказчика. В состав Комиссии включаются представители Заказчика и Подрядчика. Комиссия при приеме работ должна руководствоваться требованиями настоящего Технического задания и требованиями руководящих, нормативно-правовых и нормативно-методических документов Российской Федерации в области защиты информации. Протоколы комиссии, утвержденные Председателем комиссии, и акт приемки работы являются основанием для оплаты работ.
13. Условия, порядок, сроки и размер оплаты товаров (работ, услуг): Оплата за услуги будет производиться путем перечисления денежных средств на расчетный счет Поставщика услуг в течение 15 дней со дня подписания актов приемки работ.
Приложение №1
Требования к оборудованию и программному обеспечению
Оборудование и программное обеспечение должны отвечать требованиям, приведенным в таблице 1.
Таблица 1 – Требования к оборудованию и программному обеспечению
№
|
Название
|
Описание
|
Ед.изм (шт.)
|
1
|
Центральное программное средство управления программно-аппаратными средствами защиты каналов передачи информации
|
Центральное программное средство управления программно-аппаратными средствами защиты каналов передачи информации должно отвечать следующим требованиям:
состоять из центра управления сетью и ключевого удостоверяющего центра;
совместимо (полностью) с программным обеспечением, реализующим функции криптографического шлюза и клиента;
выработка ключей, соответствующих ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р34.10-2001;
создание узлов защищенной сети (криптографические шлюзы и клиенты), удаление узлов защищенной сети, определение политик связей защищённых узлов между собой, определение политики безопасности и формирование списков прикладных задач для узлов защищенной сети;
автоматическая рассылка справочной и ключевой информации;
проведение автоматического обновления программного обеспечения криптошлюзов и криптографических клиентов;
формирование симметричных ключей связи узлов (криптошлюзы и криптографические клиенты) между собой;
формирование сертификатов электронно-цифровой подписи формата X.509 v.3;
ведение списков отозванных сертификатов электронно-цифровой подписи;
наличие модуля гарантированной доставки обновления справочной-ключевой информации на криптошлюзы и криптографические клиенты;
поддержка операционных систем:
Windows XP Home/Professional;
Windows 7 Home/Professional;
Windows 2003 Server;
Windows Server 2008 R2
Требования к сертификации: наличие сертификата соответствия ФСБ России на соответствие изделия требованиям к СКЗИ класса КС3.
|
1
|
2
|
Программно-аппаратный комплекс, реализующий функции криптографического шлюза типа 1
|
Программно-аппаратный комплекс, реализующий функции криптографического шлюза типа 1, должен отвечать следующим требованиям:
совместимо (полностью) с программным обеспечением, реализующим функции управления защищённой сетью, представленным в настоящем техническом задании: обновление программного обеспечения, обновление справочно-ключевой информацией, управлением политиками безопасности;
совместимо (полностью) с программно-аппаратным комплексом, реализующим функции криптографического клиента, представленным в настоящем техническом задании: шифрование/дешифрование направляемого/принимаемого IP-трафика;
встроенная операционная система: адаптированная ОС Linux;
не менее четырех сетевых интерфейсов 100/1000 Mbit;
наличие в составе программного обеспечения, имеющего сертификат ФСТЭК России по требованиям к межсетевым экранам по 3 классу, отсутствию недекларируемых возможностей по 3 уровню, в АС до класса 1В включительно;
осуществление функции прокси-сервера защищенных соединений;
наличие сертификата ФСБ России на соответствие требованиям к СКЗИ по классу КС3.
предоставление функции туннелирующего сервера;
предоставление функции сервера IP-адресов;
криптошлюз должен использовать IP-адресацию для организации зашищённых каналов связи с другими криптошлюзами и криптографическими клиентами, основанную на шестнадцатеричных индентификаторах;
программное обеспечение, реализующее функции криптографического шлюза, должно шифровать каждый IP-пакет на уникальном ключе, основанном на паре симметричных ключей связи с другими криптографическими шлюзами и клиентами, выработанных в программном обеспечении, реализующем функции управления защищённой сетью.
|
3
|
3
|
Комплект дистрибутивов комплекса программного обеспечения, предназначенного для создания защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления
|
В комплект дистрибутивов должны входить:
дистрибутив центрального программного средства управления программно-аппаратными средствами защиты каналов передачи информации;
дистрибутив программного средства реализующего функции криптографического шлюза;
дистрибутив программного средства реализующего функции криптографического клиента;
дистрибутив с регистрационными файлами.
|
1
|
4
|
Устройство защиты от утечек по ПЭМИН
|
Должно отвечать следующим требованиям:
Диапазон рабочих частот, МГц: не хуже 0,01-2000
Глубина регулирования интегрального уровня, дБ: 10
Нормализованный коэффициент качества шума: 0,9
Продолжительность непрерывной работы: возможность круглосуточной эксплуатации
Потребляемая мощность, Вт: не более 10
Электропитание: 220 В 50 Гц
Стандартные варианты монтажа:
1)на кронштейнах подвеса на вертикальной поверхности;
2)на спец. подставке на горизонтальной поверхности.
Наличие сертификата ФСТЭК, подтверждающего, что устройство является техническим средством защиты информации, обрабатываемой на объектах информатизации до 1 категории включительно, от утеки за счет ПЭМИ и может устанавливаться в выделенных помещениях до 1 категории включительно.
|
6
|
Услуги по созданию единой защищенной корпоративной сети передачи должны быть оказаны в соответствии с таблицей 2.
Таблица 2 – Услуги по созданию единой защищенной корпоративной сети передачи
№
|
Название
|
Описание
|
Ед. изм. (шт.)
|
1
|
Услуги по установке и настройке центрального программного средства управления программно-аппаратными средствами защиты каналов передачи информации
|
1
|
2
|
Услуги по установке и настройке программно-аппаратного комплекса, реализующего функции криптографического шлюза типа 1
|
3
|
Требования к безопасности товара, работ, услуг: В соответствии с Техническим заданием
Требования к упаковке, отгрузке товара: Оборудование должно быть упаковано и маркировано в соответствии с условиями и требованиями торгового оборота. Упаковка должна обеспечивать полную сохранность оборудования от повреждений при перевозке его смешанным видом транспорта с учетом нескольких перегрузок в пути, а также длительного хранения.
|
