Техническое задание на оказание услуг по выделению обособленного серверного сегмента DMZ,

Техническое задание
на оказание услуг по выделению обособленного серверного сегмента DMZ,
установки и настройке VPN канала.
2014
Содержание
- Общие сведения;
- Требования к оказанию услуг;
- Особые условия
- Состав и содержание услуг;
- Порядок контроля и приемки;
- Состав документации;
Общие сведения
Предмет оказания услуг
Выделение обособленного серверного сегмента DMZ серверов системы SAP,
установка и настройка VPN канала между площадками ГУП «Петербургский
Метрополитен» (далее - Метрополитен).
Сведения об источнике и порядке финансирования
собственные средства ГУП «Петербургский метрополитен»
Характеристика объекта оказания услуг
Услуги оказываются в рамках реализации этапов проекта «Система защиты
информационной системы персональных данных «SAP ERP» ГУП «Петербургский
метрополитен». Технический проект.СЗПДн», разработанного в 2013г.
Система «SAP ERP» является информационной системой персональных данных
(далее – ИСПДн) согласно ФЗ от 27.07.06 №152-ФЗ «О персональных данных».
Система функционирует во внутренней сети метрополитена. Автоматизированные
рабочие места (АРМ) расположены на площадках метрополитена в черте города
Санкт-Петербург. Серверная часть состоит из нескольких серверов на базе ОС HP-UX
и ОС Windows Server и расположена в Доме Связи-2 в выделенной аппаратной.
Вычислительная инфраструктура ВС ДС-2 поделена на логические подсети,
соединённые подключениями типа TRUNK.
Плановые сроки начала и окончания оказания услуг
Начало оказания услуг – 10.11.2014 г., окончание оказания услуг – 28.11.2014 г.
Требования к оказанию услуг
Услуги оказываются на базе существующей вычислительной сети метрополитена и
оборудования, предоставляемого Заказчиком.
Серверный сегмент необходимо организовать на базе межсетевых экранов Cisco ASA,
имеющих сертификаты соответствия требованиям безопасности информации ФСТЭК
России или ФСБ, объединённых в отказоустойчивый кластер. Правила фильтрации
должны включать только минимально необходимые разрешения для нормального
функционирования системы SAP ERP.
Защищенный канал связи (VPN канал) организовывается согласно Технического
проекта СЗПДн, с применением аппаратных криптокомплексов «Ideco МагПро ГОСТ
VPN», имеющих действующие сертификаты соответствия требованиям по
безопасности информации ФСБ.
Должны быть учтены особенности функционирования других подсистем
метрополитена.
Услуги должны оказываться в строгом соответствии с проектом «Система защиты
информационной системы персональных данных «SAP ERP» ГУП «Петербургский
метрополитен». Технический проект .СЗПДн» и «Инструкции о порядке оказания услуг
сторонними организациями в эксплуатируемых сооружениях Петербургского
метрополитена».
В случае нарушения представителем Исполнителя противопожарного режима,
действующего на территории метрополитена, Заказчик вправе требовать уплаты
Исполнителем штрафа в размере 5000 (пять тысяч) рублей за каждый случай нарушения.
Выдача постоянных пропусков для допуска на объекты метрополитена при
оказании услуг осуществляется по согласованию с уполномоченными подразделениями
федерального округа исполнительной власти в области обеспечения безопасности
Российской Федерации, федерального органа исполнительной власти, осуществляющего
функции по выработке государственной политики и нормативно-правовому
регулированию в сфере внутренних дел (п. 6.32.15. Требование по обеспечению
транспортной безопасности, учитывающих уровни безопасности для различных категорий
объектов метрополитена, утвержденных Приказом Минтранса РФ № 130 от29.04.2011
года).
Требования к Исполнителю:
- Исполнитель должен при оказании услуг использовать свои материалы, должен оказать
услуги своими силами и средствами; инструмент, оборудование складировать в
помещении, указанном Заказчиком;
- Исполнитель должен привлекать в течение срока действия договора на оказание услуг
лиц, имеющих гражданство РФ и/или лиц, имеющих официальное разрешение на работу
на территории РФ;
- Исполнитель несет ответственность за привлечение к оказанию данных услуг
лиц, которые в соответствии со ст. 10 ФЗ от 09.02.2007 года № 16-ФЗ «О транспортной
безопасности», в связи с установленными ограничениями, не принимаются на работу,
связанную с обеспечением транспортной безопасности.
Исполнитель гарантирует организовать оказание услуг таким образом, чтобы не
вызвать перерывов в работе вычислительной сети Метрополитена, системы «SAP ERP»,
срывов штатного функционирования подразделений Метрополитена. Исполнитель должен
обеспечить, в случае сбоя в информационных системах в период выполнения работ
восстановление работоспособности систем.
Особые условия
Организация-исполнитель должна иметь следующие лицензии:
1. Лицензию ФСТЭК России на деятельность по технической защите
конфиденциальной информации.
2. Лицензию на деятельность по разработке, производству, распространению
шифровальных(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области
шифрования информации, техническому обслуживанию шифровальных
(криптографических)средств,
информационных
систем
и
телекоммуникационных
систем,
защищенных
с
использованием
шифровальных(криптографических) средств в части видов деятельности
определенных пунктами 8, 13, 14, 20, 28 Приложения «Перечень выполняемых
работ и оказываемых услуг, составляющих лицензируемую деятельность, в
отношении шифровальных (криптографических) средств» к Постановлению
Правительства РФ от 16.04.2012 N 313.
Применяемые средства защиты информации должны иметь действующие
сертификаты соответствия требованиям по безопасности информации ФСТЭК России или
ФСБ.
Гарантийный срок на аппаратные средства защиты информации должен составлять
не менее 1 года с момента их ввода в эксплуатацию.
Состав и содержание услуг
Услуги должны включать:
 Выделение IP-подсети класса "C" для серверного сегмента;
 Инвентаризацию IP-адресов АРМ ИСПДн "SAP ERP" (с установленным
прикладным ПО SAP ERP);
 Выделение отдельного сегмента VLAN для серверов SAP ERP и сервера
обновлений САВЗ, настройка сетевого оборудования для отнесения сетевых
портов, относящихся к серверам SAP ERP в данный сегмент;
 Установку МСЭ Cisco ASA 5540 на границе канального сегмента вновь
выделенного VLAN;Настройку правил фильтрации МСЭ, обеспечивающих
минимально необходимые разрешения для функционирования информационной
системы SAP ERP;
 Настройка программных и аппаратных средств SAP ERP для функционирования во
вновь выделенных сегменте VLAN и диапазоне IP-адресов;
 Установка на объектах Заказчика в г. Зеленогорск и ДС-2 аппаратных
криптокомплексов «Ideco МагПро ГОСТ VPN»;
 Настройка установленных средств криптографической защиты информации и
организация защищенного канала связи (VPN-туннеля) по арендованным Заказчиком у
ЗАО «Метроком» каналам связи;
 Пусконаладочные
работы
(том
числе
проверка
работоспособности
пользовательского ПО, функционирующего в Метрополитене).
Порядок контроля и приемки
Контроль за оказанием услуг осуществляется Заказчиком в соответствии с
приведёнными требованиями оказания услуг.
Приемка услуг производится путем проведения приемочных испытаний.
Приемочные испытания осуществляются приемочной комиссией, в которую входят
уполномоченные представители Заказчика и Исполнителя. По результатам работы
оформляется Акт сдачи-приемки работ.
Цель приемочных испытаний состоит в подтверждении объема и качества
выполненных работ. Приемочные испытания проводятся после окончания опытной
эксплуатации.
Виды, состав и объем испытаний определяются Программой и методикой
испытаний.
Технический надзор за работами осуществляется специалистами Службы
Информационных технологий и коммуникаций.
Состав документации, передаваемой Заказчику
- Программа и методика испытаний;
- Массив входных данных;
- Протокол настройки правил фильтрации межсетевого экрана;
- Журнал учета ключевых носителей;
- Журнал учета средств криптографической защиты информации;
- Эксплуатационная документация на применяемы средства криптографической
защиты информации и межсетевые экраны.
Состав документации.
Исполнитель по окончании оказания услуг, не позднее 10 (десятого) числа месяца
следующего за отчетным месяцем, предоставляет Заказчику следующую
документацию:
- акт об оказанных услугах, в 2 (двух) экземплярах, подписанный сторонами;
- счет, счет-фактуру.
Порядок оплаты.
Оплата фактически оказанных услуг производится Заказчиком на основании акта об
оказанных услугах, подписанных Заказчиком и Исполнителем, в течение 20 (двадцати)
банковских дней с даты подписания акта, при условии предоставления счета-фактуры.