ТЕХНИЧЕСКОЕ ЗАДАНИЕ ПОДГОТОВКА И АТТЕСТАЦИЯ

ТЕХНИЧЕСКОЕ ЗАДАНИЕ
ПОДГОТОВКА И АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
Санкт-Петербург
2013 г.
СОДЕРЖАНИЕ
1.
2.
3.
4.
5.
Общие сведения ................................................................................................................. 3
Требования к выполнению работы .................................................................................. 3
Порядок контроля и приемки ........................................................................................... 4
Порядок оплаты ................................................................................................................. 4
Приложение 1
1. Общие сведения.
1.1. Предмет выполнения работ: автоматизированные системы и помещение
находящиеся на территории объектов ГУП «Петербургский метрополитен», Санкт-Петербург.
1.2. Основание выполнения работ: план оборотных средств на 2013 год, инвестиционная
заявка №
.
1.3. Цель работ: приведение в соответствие с требованиями законодательных и
подзаконных актов объектов информатизации, обрабатывающих конфиденциальную
информацию.
1.4. Достигаемые результаты работ: защищенные от НСД и аттестованные объекты
информатизации по требованиям безопасности конфиденциальной информации.
1.5. Источник финансирования: собственные средства метрополитена.
1.6. Вид работ: монтаж, установка и настройка средств защиты информации,
аттестационные испытания объектов информатизации.
1.7. Характеристика объекта работ: 123 (сто двадцать три) автоматизированные
системы, 1 (одно) помещение.
1.8. Плановые сроки начала и окончания работ: 15.11.2013 г. - 25.12.2013 г.
1.9. Выполнение работ предусматривать в дневное время (с 9-00 до 17-00).
1.10. Работы выполняются по ТЗ, без проекта.
1.11. С приложением к техническому заданию можно ознакомится у Ведущего
специалиста группы информационной безопасности Отдела безопасности Фирзина
Александра Юрьевича (812) 301-98-99 доб. 15-07.
2. Требования к выполнению работы
2.1. Работы проводятся на основании требований следующих документов:
- Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных
технологиях и защите информации»;
- «Специальные требования и рекомендации по технической защите конфиденциальной
информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282;
- «Временная методика оценки защищенности основных технических средств и систем,
предназначенных для обработки, хранения и (или) передачи по линиям связи
конфиденциальной информации», Гостехкомиссия России;
- «Временная методика оценки защищенности конфиденциальной информации,
обрабатываемой основными техническими средствами и системами, от утечки за счет наводок
на вспомогательные технические средства и системы их коммуникации», Гостехкомиссия
России;
- «Временная методика оценки защищенности помещений от утечки речевой
конфиденциальной информации по акустическому и виброакустическому каналам»,
Гостехкомиссия России;
- «Временная методика оценки защищенности помещений от утечки речевой
конфиденциальной информации по каналам электроакустических преобразований во
вспомогательных технических средствах и системах», Гостехкомиссия России
- РД «Защита от НСД к информации, ч. 1 «Программное обеспечение средств защиты
информации. Классификация по уровню контроля отсутствия недекларированных
возможностей», Гостехкомиссия России, 1999 г.;
- РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС
и требования по защите информации», Гостехкомиссия России, 1998 г.;
- РД «Средства вычислительной техники. Защита от НСД к информации. Показатели
защищённости от НСД к информации». Гостехкомиссия России, 1998 г.;
- РД «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к
информации. Показатели защищённости от НСД к информации». Гостехкомиссия России,
1998 г.;
- другими действующими нормами, СНиП и другими документами предусмотренными
законодательством РФ.
2.2. Требования к исполнителю работ.
Исполнитель должен иметь следующие действующие аттестат аккредитации и
лицензии:
- Аттестат аккредитации органа по аттестации объектов информатизации в системе
сертификации средств защиты информации по требованиям безопасности информации;
- Лицензия ФСТЭК России на деятельность по разработке и (или) производству
средств защиты конфиденциальной информации;
- Лицензия ФСТЭК России на деятельность по технической защите
конфиденциальной информации;
- Лицензия ФСБ России на осуществление разработки, производства,
распространения
шифровальных
(криптографических)
средств,
защищенных
с
использованием шифровальных (криптографических) средств информационных и
телекоммуникационных систем;
- Лицензия ФСБ России на осуществление разработки и (или) производства средств
защиты конфиденциальной информации;
- Лицензия ФСБ России на осуществление распространение шифровальных
(криптографических) средств;
- Лицензия ФСБ России на осуществление технического обслуживания
шифровальных (криптографических) средств.
2.3. Требования к системам защиты конфиденциальной информации от НСД на объектах
информатизации.
2.3.1. Подсистема управления доступом:
- идентификация и аутентификация пользователей, являющихся сотрудниками
Заказчика;
- идентификация и аутентификация устройств, в том числе стационарных,
мобильных, портативных;
- управление идентификаторами, в том числе создание, присвоение, уничтожение
идентификаторов;
- управление средствами аутентификации, в том числе хранение, выдача,
инициализация, блокирование средств аутентификации и принятие мер в случае утраты и
(или) компрометации средств аутентификации;
- защита обратной связи при вводе аутентификационной информации;
- идентификация и аутентификация пользователей, не являющихся работниками
оператора (внешних пользователей);
- управление (заведение, активация, блокирование и уничтожение) учетными
записями пользователей, в том числе внешних пользователей;
- реализация необходимых методов (дискреционный, мандатный, ролевой или иной
метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
- управление
(фильтрация,
маршрутизация,
контроль
соединений,
однонаправленная передача и иные способы управления) информационными потоками между
устройствами, сегментами информационной системы, а также между информационными
системами;
- разделение полномочий (ролей) пользователей, администраторов и лиц,
обеспечивающих функционирование информационной системы;
- назначение минимально необходимых прав и привилегий пользователям,
администраторам и лицам, обеспечивающим функционирование информационной системы;
- ограничение неуспешных попыток входа в информационную систему (доступа к
информационной системе);
- блокирование сеанса доступа в информационную систему после установленного
времени бездействия (неактивности) пользователя или по его запросу;
- разрешение (запрет) действий пользователей, разрешенных до идентификации и
аутентификации;
- регламентация и контроль использования в информационной системе технологий
беспроводного доступа;
- регламентация и контроль использования в информационной системе мобильных
технических средств;
- управление взаимодействием с информационными системами сторонних
организаций (внешние информационные системы);
- обеспечение доверенной загрузки средств вычислительной техники;
- управление установкой (инсталляцией) компонентов программного обеспечения,
в том числе определение компонентов, подлежащих установке, настройка параметров
установки компонентов, контроль за установкой компонентов программного обеспечения;
- управление доступом к машинным носителям конфиденциальной информации;
- размещение устройств вывода (отображения) информации, исключающее ее
несанкционированный просмотр.
2.3.2. Подсистема регистрации и учета:
- уничтожение (стирание) конфиденциальной информации на машинных носителях
при их передаче между пользователями, в сторонние организации для ремонта или
утилизации, а также контроль уничтожения (стирания) или обезличивания;
- определение событий безопасности, подлежащих регистрации, и сроков их
хранения;
- определение состава и содержания информации о событиях безопасности,
подлежащих регистрации;
- сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения;
- мониторинг (просмотр, анализ) результатов регистрации событий безопасности и
реагирование на них;
- защита информации о событиях безопасности;
- регистрация входа (выхода) пользователя в систему (из системы), либо
регистрацию загрузки и инициализации операционной системы и ее программного останова,
регистрация выхода из системы или останова не проводится в моменты аппаратного
отключения информационной системы (в параметрах регистрации указываются: дата и время
входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы,
результат попытки входа (успешная или неуспешная).
2.3.3. Подсистема обеспечения целостности:
- контроль целостности программного обеспечения, включая программное
обеспечение средств защиты информации;
- обнаружение и реагирование на поступление в информационную систему
незапрашиваемых электронных сообщений (писем, документов) и иной информации, не
относящихся к функционированию информационной системы (защита от спама);
- контроль и управление физическим доступом к техническим средствам, средствам
защиты информации, средствам обеспечения функционирования, а также в помещения и
сооружения, в которых они установлены, исключающие несанкционированный физический
доступ к средствам обработки информации, средствам защиты информации и средствам
обеспечения функционирования информационной системы, в помещения и сооружения, в
которых они установлены;
- определение лиц, которым разрешены действия по внесению изменений в
конфигурацию информационной системы и системы защиты конфиденциальной
информации;
- управление изменениями конфигурации информационной системы и системы
защиты конфиденциальной информации;
- анализ потенциального воздействия планируемых изменений в конфигурации
информационной системы и системы защиты конфиденциальной информации на обеспечение
защиты конфиденциальной информации и согласование изменений в конфигурации
информационной системы с должностным лицом (работником), ответственным за
обеспечение безопасности конфиденциальной информации;
- документирование информации (данных) об изменениях в конфигурации
информационной системы и системы защиты конфиденциальной информации;
- периодическое тестирование функций системы защиты информации при
изменении программной среды и пользователей информационной системы;
- наличие
средств
восстановления
системы
защиты
информации,
предусматривающих ведение двух копий программных компонентов средств защиты
информации, их периодическое обновление и контроль работоспособности.
2.3.4. Подсистема межсетевого экранирования:
- обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том
числе для защиты от подмены сетевых устройств и сервисов, а также осуществлять разбиение
информационной системы на сегменты (сегментирование информационной системы) и
обеспечивать защиту периметров сегментов информационной системы;
- фильтрация на сетевом уровне, решение по фильтрации должно приниматься для
каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя
и получателя или на основе других эквивалентных атрибутов;
- фильтрация пакетов служебных протоколов, служащих для диагностики и
управления работой сетевых устройств;
- фильтрация с учетом входного и выходного сетевого интерфейса как средство
проверки подлинности сетевых адресов;
- фильтрация с учетом любых значимых полей сетевых пакетов.
- обеспечение возможности регистрации и учета фильтруемых пакетов. В
параметры регистрации включаются адрес, время и результат фильтрации;
- обеспечение идентификации и аутентификации администратора межсетевого
экрана при его локальных запросах на доступ. Межсетевые экраны должны предоставлять
возможность для идентификации и аутентификации по идентификатору (коду) и паролю
условно-постоянного действия;
- обеспечение регистрации входа (выхода) администратора межсетевого экрана в
систему (из системы) либо загрузки и инициализации системы и ее программного останова1, в
моменты аппаратурного отключения межсетевого экрана регистрация выхода из системы не
проводится;
- обеспечивать регистрацию запуска программ и процессов (заданий, задач);
- должны быть средства контроля за целостностью своей программной и
информационной части;
- должна быть предусмотрена процедура восстановления после сбоев и отказов
оборудования, которые должны обеспечивать восстановление свойств межсетевого экрана.
2.4. Специальные требования к содержанию выполняемых работ изложены в
Приложении 1.
3. Порядок контроля и приемки
3.1. Технический надзор выполняет: Отдел безопасности Управления.
3.2. «Программы и методики проведения аттестационных испытаний объектов
информатизации» разрабатываются Исполнителем и согласовываются с Заказчиком.
3.3. При нарушении технологии производства работ, отступлений от Технического
задания, применения материалов, не соответствующих ГОСТам и ТУ, работы прекращаются
по указанию лица, осуществляющего технический надзор, и устанавливается срок устранения
нарушения. Указания являются обязательными и подлежат беспрекословному выполнению.
3.4. Контролируются: сроки выполнения работ, качество, объёмы, технология и
номенклатура работ, обеспечение безопасных условий труда, сохранности оборудования,
сооружений и устройств.
3.5. Приемка выполненных работ по настройке и функциональности средств защиты
информации производится на месте проведения работ совместно с представителями Заказчика
работ и Подрядчика, с оформлением акта приемки выполненных работ по установке и
настройке СЗИ.
4. Порядок оплаты
4.1. Оплата фактически выполненных работ производится Заказчиком на основании
актов приемки выполненных работ, подписанных Заказчиком и Подрядчиком, в течение
20-и (двадцати) банковских дней с даты подписания акта, при условии предоставления
счета-фактуры.
4.2. Авансирование не предусмотрено.