Федеральное государственное унитарное предприятия «Предприятие по обращению с радиоактивными отходами «РосРАО»
ДОКУМЕНТАЦИЯ ПО ПРОВЕДЕНИЮ ОТКРЫТОГО ЗАПРОСА ПРЕДЛОЖЕНИЙ В ЭЛЕКТРОННОЙ ФОРМЕ
Открытый запрос предложений в электронной форме на право заключения договора
на выполнение работ
«Аттестация автоматизированной системы в защищенном исполнении Центра по обращению с РАО - отделения губа Андреева СЗЦ “СевРАО” – филиала ФГУП “РосРАО на соответствие требованиям по безопасности информации»
Официальный государственный сайт
www.zakupki.gov.ru,
от «___» ____________ 2014 года № _________________________
Официальный сайт
www.zakupki.rosatom.ru
от «___» ____________ 2014 года № _________________________
Электронная торговая площадка Аукционный Конкурсный Дом
http://a-k-d.ru/
от «___» ____________ 2014 года № _________________________
ТОМ 2 «ТЕХНИЧЕСКАЯ ЧАСТЬ»
Мурманск, 2014 год
Общие сведения
Наименование работ - аттестация автоматизированной системы в защищенном исполнении Центра по обращению с РАО отделения губа Андреева на соответствие требованиям по безопасности информации
Заказчиком работ является ФГУП «РосРАО» в лице И.о. директора СЗЦ “СевРАО” – филиала ФГУП “РосРАО” Пантелеева Валерия Николаевича, действующего на основании Доверенности № 23\Ф-08 от 19.08.2014 г.
Исполнитель работ определяется Заказчиком по результатам проведения конкурсных процедур.
Место проведения работ – Мурманская область, ЗАТО г. Заозерск, ул. Чумаченко д.10
Сроки проведения работ – в соответствии с условиями заключаемого договора 1
Контактное лицо со стороны Заказчика: Начальник отдела по защите информации Оранский Д.А. т (8152) 48 84 64
Цель и задачи выполнения работ
2.1 Цель выполнения работ:
Основной целью выполнения работ является обеспечение безопасности информации ограниченного распространения, обрабатываемой в АСЗИ Центра по обращению с РАО - отделения губа Андреева СЗЦ “СевРАО” – филиала ФГУП “РосРАО” в соответствие с “Отраслевыми требованиями по информационной безопасности ГК “Росатом”, утв. Приказом от 23.09.2014 г. № 1\910-П-Дсп;
2.2 Задачи выполнения работ
При выполнении работ Исполнителем должны быть решены следующие задачи:
проведено предпроектное обследование (аудит) целевой АС Заказчика;
Проведен анализ существующей организационно – распорядительной документации и разработан проект комплекта документов в соответствии с действующими отраслевыми типовыми организационно - распорядительными и нормативно - методическими документами ГК «Росатом»;
проведена адаптация существующих на отделении технических решений по обеспечению информационной безопасности в соответствии с типовыми отраслевыми техническими решениями ГК «Росатом».
выполнена поставка средств защиты информации в соответствии с отраслевым стандартом, утвержденным приказом ГК от 18.10.2013 г. № 1\1113-П. (Стоимость поставки СЗИ должна входить в стоимость работ по аттестации АС).
проведены работы по внедрению средств защиты информации в соответствии с типовыми отраслевыми техническими решениями ГК «Росатом»;
подготовлен комплект документов, необходимых для представления АСЗИ отделения к аттестации на соответствие требованиям безопасности информации;
проведена аттестация АСЗИ по классу защищенности 1Г в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» Гостехкомиссии России (ФСТЭК России).
проведена аттестация АСЗИ как ИСПДН по уровню защищённости УЗ4 в соответствии с "Требованиями к защите персональных данных при их обработке в информационных системах персональных данных", утверждённых постановлением правительства от 1 ноября 2012 г. N 1119.
Требования к организационно-методическому обеспечению работ
При выполнении работ необходимо строго руководствоваться требованиями следующих нормативно-правовых и методических документов в области защиты информации:
Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон РФ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
Постановление Правительства РФ от 01.11.2012 № 1119 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 г. N 282;
РД ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1998 г.);
Отраслевой РД “Отраслевые требования по информационной безопасности и использованию средств защиты информации для автоматизированных систем, обрабатывающих информацию, составляющую коммерческую тайну, служебную информацию ограниченного распространения (с пометкой “Для служебного пользования”), а также персональные данные в Госкорпорации “Росатом” и ее организациях”, утв. Приказом от 23.09.2014 г. № 1\910-П-Дсп;
Отраслевой РД “Стандарт оснащения автоматизированных систем Госкорпорации “Росатом” обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну, программным обеспечением и средствами защиты информации”, утв. приказом от 18.10.2013 года № 1\1113-П;
ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения;
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении.
ГОСТ 2.106-96. ЕСКД. Текстовые документы;
ГОСТ 2.004-88. ЕСКД. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ;
ГОСТ 2.104-68. ЕСКД. Основные надписи;
ГОСТ Р 6.30-2003. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов;
ГОСТ 21.1101-2009. СПДС. Основные требования к рабочей документации;
Характеристика объекта автоматизации. Категории обрабатываемой в АС информации
Целевая АС располагается на 1 – 3 этажах отельностоящего здания по адресу ЗАТО Заозерск Мурманской области, ул. Чумаченко, д.10, принадлежащего ФГУП “РосPAO” на праве хозяйственного ведения.
Основным элементом АС является ЛВС, построенная на базе полноценной СКС (стандарт ANSI/TIA/EIA 568-В), имеющей топологию “звезда”, с главным кроссом в специально выделенном и оборудованном серверном помещении.
В ЛВС реализована доменная структура на базе Microsoft Windows Server 2008 R2. В качестве общесистемного ПО на АРМ входящих в состав АС используются ОС Windows XP, Windows 7 (как 32 так и 64 разрядные).
АС располагаемся внутри контролируемой зоны отделения
АС имеет подключение к сети Интернет посредством аппаратного МЭ 4 класса StoneSoft FW-315 L 2
АС насчитывает в своем составе 3 сервера (Raid) и 35 рабочих станции (технология виртуализации не используется)
Режим использования АС – многопользовательский, с разными правами доступа.
В АС планируется обрабатывать как общедоступную информацию, так и информацию ограниченного распространения, такую как:
• служебная информация ограниченного распространения (с пометкой «Для служебного пользования»);
• сведения, составляющие коммерческую тайну ГК «Росатом»;
• персональные данные работников отделения
• персональные данные контрагентов
Технология обработки информации в АС подразумевает использование отторгаемых машинных носителей информации (флэш накопители, компакт диски)
Технология обработки персональных данных подразумевает их обработку в терминальном режиме на серверах, находящихся за пределами целевой АС. Сегмент сети, из которого производится подключение к терминальным ресурсам, насчитывает 15 рабочих станций. В качестве средства криптографической защиты используется ПО Крипто Про CSP.
С точки зрения безопасности информации основную угрозу представляет несанкционированный доступ к защищаемым ресурсам АС. В виду отсутствия в АС сведений, составляющих государственную тайну РФ, угрозы безопасности информации, связанные с утечками по техническим каналам, не рассматриваются.
Мероприятия по обеспечению физической защиты компонентов и узлов АС обеспечиваются размещением компонентов АС в помещениях, исключающих доступ посторонних лиц в нерабочее время, наличием в задании охранной и пожарной сигнализации, наличием на входе в здание круглосуточного поста ведомственной охраны.
Требования к составу и содержанию работ
Ход Работ по проведению аттестационных мероприятий на соответствие требованиям по безопасности информации для АСЗИ должен разделяться на следующие этапы:
этап 1 - предпроектное обследование (аудит) АСЗИ;
этап 2 - адаптация комплекта организационно-распорядительных документов;
этап 3 - адаптация комплекта имеющихся в АСЗИ технических решений;
этап 4 - поставка СЗИ;
этап 5 - внедрение СЗИ;
этап 6 - аттестация АСЗИ
Порядок и конкретные сроки выполнения этапов работ определяются на этапе заключения договора.
Требования к составу и содержанию работ по первому этапу
В рамках данного этапа требуется выполнить следующие работы:
сбор информации об АС, в которой планируется осуществлять автоматизированную обработку информации ограниченного распространения определения;
анализ технологического процесса обработки информации, реализованного в целевой АС
сбор информации о реализованных технических и организационных мерах по защите информации – как в целевой АС, так и в целом в организации Заказчика;
анализ и оценка полученных исходных данных с оформлением отчета об обследовании АС Заказчика
разработка аналитического обоснования на создание СЗИ в АСЗИ Заказчика
разработка технического задания на создание СЗИ в АСЗИ Заказчика
создание рабочего проекта на разработку СЗИ в АСЗИ Заказчика
Требования к составу и содержанию работ по второму этапу
В рамках данного этапа требуется Исполнителю выполнить работы по анализу существующей эксплуатационной и организационно-распорядительной документации и разработать проект комплекта ОРД для АСЗИ в соответствии с действующими отраслевыми типовыми организационно - распорядительными и нормативно - методическими документами ГК «Росатом».
В ходе выполнения данного этапа Исполнителю необходимо разработать, согласовать и передать Заказчику проект следующего комплекта документов:
модель угроз и модель нарушителя АСЗИ;
акт классификации АСЗИ по требованиям безопасности информации;
акт об определении уровня защищённости персональных данных;
таблица разграничения доступа (Матрица доступа);
перечень защищаемых в АСЗИ ресурсов;
описание технологического процесса обработки информации в АСЗИ;
положение о порядке организации и проведения работ по защите конфиденциальной информации в АСЗИ;
технический паспорт АСЗИ;
положение о разрешительной системе доступа пользователей к ресурсам АСЗИ;
политика в отношении обработки персональных данных, включающая порядок осуществления субъектом ПДн своих прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке
перечень правил фильтрации МЭ;
инструкция администратору АСЗИ;
инструкция пользователю АСЗИ;
инструкция по антивирусной защите;
инструкция по эксплуатации СЗИ.
Требования к составу и содержанию работ по третьему этапу
В рамках данного этапа Исполнителю требуется выполнить следующие работы:
выделение АРМ пользователей, с которых планируется осуществлять подключение к централизованным ресурсам ГК, в отдельный сегмент АСЗИ;
интеграция имеющегося в наличии МЭ для организации подключения целевой АСЗИ к сети Интернет с созданием демилитаризованной зоны между интегрируемым МЭ и существующим прокси-сервером. Разработка перечня правил межсетевого экранирования в соответствии с требованиями отраслевых документов. Согласование перечня с Заказчиком.
Развертывание средства централизованного управления антивирусными продуктами Kaspersky Security Center
Требования к составу и содержанию работ по четвертому этапу
В рамках данного этапа Исполнителю требуется выполнить поставку Заказчику СЗИ в соответствии со спецификацией, приведенной в Приложении № 1.
Требования к составу и содержанию работ по пятому этапу
В рамках данного этапа Исполнителю требуется выполнить следующие работы:
интеграция поставляемых средств защиты информации в целевую АСЗИ Заказчика;
настройка средств защиты информации в соответствии с рабочим проектом на разработку СЗИ;
проверка работоспособности средства СЗИ и отсутствия их негативного влияния на работоспособность действующих систем Заказчика.
оформление Акта установки СЗИ на объекте Заказчика.
Требования к составу и содержанию работ по шестому этапу
В рамках данного этапа требуется выполнить следующие работы:
разработка Программы и методики проведения аттестационных испытаний;
аттестационные испытания, выражающиеся в контроле эффективности внедренных СЗИ, с оформлением протокола испытаний АСЗИ на соответствие требованиям по защите информации от НСД;
аттестационные испытания АСЗИ на соответствие требованиям Приказа ФСТЭК России № 21 от 18.02.2013 г. как ИСПДН по уровню защищённости УЗ4;
оформление отчетной документации, в ходе которого заказчику представляется:
заключение по результатам аттестационных испытаний;
предписание на эксплуатацию;
аттестат соответствия объекта информатизации (при положительном заключении).
Требования к оформлению документации
Вся проектная и отчетная документация по результатам работ должна быть оформлена в строгом соответствии с требованиями ГОСТ и нормативными документами, указанными в разделе 3.
Вся документация должна быть представленная в адрес Заказчика на бумажном носителе формата А4, в двух экземплярах, а также в электронном виде (в форматах, используемых пакетом MS Office).
Эксплуатационная документация на поставляемые СЗИ, а так же специализированное ПО, должна быть выполнена на русском языке (или иметь перевод на русский язык).
Отчетные документы, содержащие в себе сведения ограниченного распространения (в соответствии с перечнями ДСП и КТ ГК “Росатом”), являющиеся информацией, должны быть соответствующим образом промаркированы. Доставка (отправка) таких документов Исполнителем в адрес Заказчика должна производить способом, исключающим возможность ознакомления с этой информацией третьих лиц (доставка нарочным, отправка экспресс - почтой).
Гарантийные обязательства
Исполнитель несет ответственность перед заказчиком и регуляторами за качество выполненных работ, а также за их соответствие требованиям законодательства РФ в области защиты информации в течение всего срока действия аттестата соответствия, выданного на АСЗИ
В течение всего срока действия аттестата соответствия исполнитель бесплатно оказывает заказчику методические и консультационные услуги (удаленно, без выезда на территорию заказчика) по эксплуатации внедренных СЗИ (как программных, так и аппаратных).
Гарантия на аппаратные СЗИ устанавливается Исполнителем работ в соответствии с гарантийными обязательствами фирмы изготовителя СЗИ. В случае их выхода из строя в период установленного гарантийного срока все затраты на приобретение и установку нового СЗИ, в том числе затраты на проезд, командировочные, транспортные и иные расходы ложатся на Исполнителя работ.
Требования к исполнителю работ
Исполнитель должен обладать необходимым практическим опытом выполнения работ, оказания услуг в сфере информационной безопасности, что должно подтверждаться сведениями о реализованных им проектах в этой области за последние три года (опыт выполнения работ для организаций ГК “Росатом” является дополнительным преимуществом).
Исполнитель должен обладать всеми необходимыми для выполнения работ ресурсами, иметь штат квалифицированных сотрудников.
Исполнитель работ обязан иметь лицензии ФСБ России на следующие виды деятельности:
Лицензия на работу со сведениями, составляющими ГТ;
Лицензия на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств
Исполнитель работ обязан иметь лицензии и разрешающие документы ФСТЭК России на следующие виды деятельности:
Лицензия на проведение работ, связанных с созданием средств защиты информации;
Лицензия на деятельность по технической защите конфиденциальной информации;
Аттестат аккредитации органа по аттестации;
Исполнитель работ самостоятельно оформляет пропуска на территорию ЗАТО Мурманской области в соответствии с “Положением об обеспечении особого режима в ЗАТО”, утвержденным постановлением Правительства Российской Федерации № 655 от 26.06.1998 года.
Привлечение Исполнителем субподрядчиков осуществляется только по согласованию с Заказчиком, при этом субподрядчики должны соответствовать всем требованиям, предъявляемым к Исполнителю работ.
Приложение № 1
к Техническому Заданию
Спецификация поставляемых СЗИ.
№
п/п
|
Наименование
|
Кол-во
|
1
|
Установочный комплект. Средство защиты информации Secret Net 7 (сетевой).
|
2
|
2
|
Право на использование Средства защиты информации Secret Net 7. Сервер безопасности класса A.
|
1
|
3
|
Право на использование Средства защиты информации Secret Net 7. Клиент (сетевой режим работы).
|
39
|
4
|
Право на использование Средства защиты информации Secret Net 7. Модуль блокировки НСД к жёсткому диску.
|
39
|
|
