ЗАКУПОЧНАЯ ДОКУМЕНТАЦИЯ по проведению открытого запроса предложений на право заключения договора по оказанию услуг по проведению аудита информационной безопасности дочерних и зависимых компаний в ОАО АФК «Система» Настоящая документация является неотъемлемой частью Уведомления о проведении закупочной процедуры г. Москва 2015 г. 1 Оглавление 1. ОБЩИЕ ПОЛОЖЕНИЯ ........................................................................................................ 3 2. 2.1. 2.2. ПРЕДМЕТ ЗАКУПКИ ....................................................................................................... 5 Техническая часть .................................................................................................. 5 Коммерческая часть .............................................................................................. 5 3. ТРЕБОВАНИЯ К УЧАСТНИКАМ И ДОКУМЕНТЫ, ПОДЛЕЖАЩИЕ ПРЕДОСТАВЛЕНИЮ................................................................................................................ 6 3.1. 3.2. 4. 4.1. 4.2. 4.3. 4.4. Требования к Участникам .................................................................................... 6 Требования к документам .................................................................................... 6 ПОДГОТОВКА ПРЕДЛОЖЕНИЙ ................................................................................. 8 Общие требования к Предложению .................................................................... 8 Требования к языку Предложения ..................................................................... 8 Разъяснение закупочной Документации............................................................ 8 Продление срока окончания приема Предложений ........................................ 9 5. ПОДАЧА ПРЕДЛОЖЕНИЙ И ИХ ПРИЕМ ............................................................... 10 6. ОЦЕНКА ПРЕДЛОЖЕНИЙ И ПРОВЕДЕНИЕ ПЕРЕГОВОРОВ ......................... 11 6.1. 6.2. 6.3. 6.4. Общие положения................................................................................................. 11 Отборочная стадия ............................................................................................... 11 Оценочная стадия ................................................................................................. 11 Проведение переговоров ..................................................................................... 13 7. ОБРАЗЦЫ ОСНОВНЫХ ФОРМ ДОКУМЕНТОВ, ВКЛЮЧАЕМЫХ В ПРЕДЛОЖЕНИЕ ................................................................................................................... 14 7.1. 7.2. 7.3. Письмо о подаче оферты (Форма №1) .............................................................. 14 Коммерческое предложение (Форма №2) ........................................................ 16 Пояснительная записка (Форма №3)................................................................ 17 ПРИЛОЖЕНИЕ №1. ТЕХНИЧЕСКОЕ ЗАДАНИЕ ............................................................ 18 ПРИЛОЖЕНИЕ №2. МЕТОДИКА ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДОЧЕРНИХ И ЗАВИСИМЫХ КОМПАНИЙ ОАО «АФК «СИСТЕМА» .............................................................................................................................. 20 2 1. Общие положения 1.1 Заказчик - ОАО АФК «Система» - юридический адрес: 125009 г. Москва, ул. Моховая 13, стр.1. 1.2 Организатор - Департамент по безопасности и информационным технологиям. Контактные лица: Козлов Георгий Владимирович +7 (495) 228-00-13 доб. 50393, e-mail: G.Kozlov@sistema.ru, Никитин Алексей Владимирович +7 (495) 692-21-21, e-mail: nikitin@sistema.ru. 1.3 Срок окончания приема предложений Предложения, оформленные в соответствии с требованиями закупочной документации, должны быть доставлены по адресу Заказчика не позднее 19.00 часов (местное время) 04.06.2015г. ВНИМАНИЕ!!! Конверты подаются через окно "Канцелярия", которое находится во внутреннем дворе здания. 1.4 Предоставление Закупочной документации 1.4.1. Закупочная документация размещена на официальном сайте Организатора по адресу www.sistema.ru в разделе «Закупки». 1.4.2. Порядок предоставления Закупочной документации на последующие этапы, в случае их проведения, будет доведен до сведения Участников, изъявивших принять участие в открытом запросе предложений, дополнительно. 1.5 Правовой статус процедур и документов 1.5.1. Открытый запрос предложений (далее по тексту запрос предложений) не является конкурсом, и его проведение не регулируется статьями 447—449 части первой Гражданского кодекса Российской Федерации. Данная процедура запроса предложений также не является публичным конкурсом и не регулируется статьями 1057—1061 части второй Гражданского кодекса Российской Федерации. Таким образом, данная процедура запроса предложений не накладывает на Организатора соответствующего объема гражданско-правовых обязательств. 1.5.2. Направленное Участникам уведомление о проведении запроса предложений вместе с его неотъемлемым приложением – настоящей Документацией, являются приглашением делать оферты и должны рассматриваться Участниками с учетом этого. 1.5.3. Предложение Участника имеет правовой статус оферты и будет рассматриваться Организатором в соответствии с этим, однако Организатор оставляет за собой право разрешать или предлагать Участникам вносить изменения в их Предложения по мере проведения этапов запроса предложений. Организатор оставляет за собой право на последнем (финальном) этапе запроса предложений установить, что Предложения Участников, поданные на данный этап, должны носить характер твердой оферты, не подлежащей в дальнейшем изменению. 1.5.4. Заключенный по результатам запроса предложений Договор фиксирует все достигнутые сторонами договоренности. 1.5.5. При определении условий Договора с Победителем используются следующие документы с соблюдением указанной иерархии (в случае их противоречия): Протоколы преддоговорных переговоров между Организатором и Победителем (по условиям, не оговоренным ни в настоящей Документации по запросу предложений, ни в Предложении Победителя); Уведомление о проведении запроса предложений, и настоящая Документация по запросу предложений по всем проведенным этапам со всеми дополнениями и разъяснениями; Предложение Победителя со всеми дополнениями и разъяснениями, соответствующими требованиям Организатора. 1.5.6. Иные документы Организатора и Участников не определяют права и обязанности сторон в связи с данным запросом предложений. 3 1.5.7. Во всем, что не урегулировано Уведомлением о проведении запроса предложений и настоящей Документацией, стороны руководствуются Гражданским кодексом Российской Федерации. 1.6 Обжалование 1.6.1. Все споры и разногласия, возникающие в связи с проведением запроса предложений, в том числе, касающиеся исполнения Организатором и Участниками своих обязательств, должны решаться в претензионном порядке. Для реализации этого порядка заинтересованная сторона в случае нарушения ее прав должна обратиться с претензией к другой стороне. Сторона, получившая претензию, должна направить другой стороне мотивированный ответ на претензию в течение 10 рабочих дней с момента ее получения. 1.6.2. Если претензионный порядок, не привел к разрешению разногласий, Участники имеют право оспорить решение или поведение Организатора на Тендерном комитете ОАО АФК «Система». 1.6.3. Вышеизложенное не ограничивает права сторон на обращение в суд в соответствии с действующим законодательством. 1.7. Прочие положения 1.7.1. Участники самостоятельно несут все расходы, связанные с подготовкой и подачей Предложения, а Организатор по этим расходам не отвечает и не имеет обязательств, независимо от хода и результатов данного запроса предложений. 1.7.2. Организатор обеспечивает разумную конфиденциальность относительно всех полученных от Участников сведений, в том числе содержащихся в Предложениях. Предоставление этой информации другим Участникам или третьим лицам возможно только в случаях, прямо предусмотренных действующим законодательством Российской Федерации или настоящей Документацией. 1.7.3. Организатор вправе отклонить Предложение, если он установит, что Участник прямо или косвенно дал, согласился дать или предложил служащему Организатора вознаграждение в любой форме: работу, услугу, какую-либо ценность, в качестве стимула, который может повлиять на принятие Закупочной комиссией решения по определению Победителя. 1.7.4. Организатор вправе отклонить Предложения Участников, заключивших между собой какое-либо соглашение с целью повлиять на определение Победителя Запроса предложений. 4 2. Предмет закупки Предметом закупки является выбор компании на право заключения договора по оказанию услуг по проведению аудита информационной безопасности дочерних и зависимых компаний ОАО «АФК «Система». Требования к работам: 2.1. Техническая часть Технические и функциональные требования к работам по проведению аудита информационной безопасности дочерних и зависимых компаний ОАО «АФК «Система» перечислены в Техническом задании (Приложение №1). 2.2. Коммерческая часть В коммерческом предложении Участника должны быть указаны, в т.ч.: (а) (б) (в) сумма вознаграждения Участника за услуги, включая применимые налоги, сборы, накладные расходы и другие платежи, связанные с оказанием услуг по предмету настоящего Закрытого запроса предложений в полном объеме в соответствии с техническими и функциональными требованиями, указанными в Техническом задании, максимальная стоимость услуг и связанных расходов (далее «CAP») с указанием САР по каждой из 25-ти перечисленных в Техническом задании Компаний с учетом скидки за общий объем услуг, условия оплаты и иные сведения, относящиеся к коммерческим условиям реализации проекта. Предложения Участников должны быть оформлены в соответствии с Формами, приведенными в разделе 7 настоящей Закупочной документации. 5 3. Требования к Участникам и документы, подлежащие предоставлению 3.1. Требования к Участникам Подтверждение соответствия предъявляемым требованиям 3.1.1. Участвовать в данной процедуре может юридическое лицо, получившее адресное приглашение на участие в запросе предложений. Чтобы претендовать на победу в данной процедуре на право заключения Договора, Участник на момент подачи Предложения должен отвечать следующим требованиям: организация должна быть зарегистрирована в установленном порядке и иметь соответствующие лицензии на выполнение видов деятельности в рамках Договора, в т.ч. лицензию Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации и лицензию ФСБ России на осуществление работ, связанных с использованием сведений, составляющих государственную тайну; иметь соответствующие ресурсные возможности для исполнения договора (финансовые, материально-технические, производственные, трудовые); организация не должна находиться под процедурой банкротства, в процессе ликвидации или реорганизации, на ее имущество не должен быть наложен арест; иметь проектную команду для реализации проекта в количестве не менее 4-х специалистов со 100% занятостью в рамках проекта; иметь в штате сертифицированных консультантов по информационной безопасности с международной сертификацией - не менее 3 CISSP или CISA, а также сертифицированных инженеров по аудируемым техническим решениям; иметь в штате специалистов с высшим юридическим образованием для юридической оценки нормативной базы в части вопросов информационной безопасности; иметь подтвержденный практический опыт оказания консалтинговых и технических услуг по аудиту информационной безопасности в крупных холдинговых структурах. 3.2. Требования к документам Подтверждение соответствия Участника установленным требованиям 3.2.1. Участник должен включить в состав Предложения следующие документы, подтверждающие его соответствие вышеуказанным требованиям: нотариально заверенные копии учредительных документов; нотариально заверенную копию свидетельства о государственной регистрации; копии действующих лицензий на виды деятельности, связанные с выполнением Договора, с приложениями, заверенные подписью руководителя и печатью организации; информацию о выполнении аналогичных по характеру и объему проектов, отзывы заказчиков по прилагаемой форме: Проекты Наименование Компании Контактное лицо и его контактная информация (телефон, e-mail) Возможность проведения референсвизита (да/нет) 6 Краткое описание целей и задач проекта Сроки реализации проекта Достигнутые результаты пояснительная записка (презентация) с указанием методов, способов и вариантов реализации проекта, его эффективности и обоснованности, подробном (детальном) описании порядка и срока реализации проекта для обеспечения ожидаемых результатов в соответствии с Требованиями к настоящей Документации (Приложение №1); справку о составе проектной команды, предлагаемой Участником для реализации проекта с указанием квалификации (CV должен быть приложен), ролей, функциональных обязанностей в рамках проектной группы, сведений о прохождении участниками проектной команды обучения по сертифицированным курсам (копии свидетельств должны быть приложены) по прилагаемой форме: Сведения о проектной команде Ф.И.О. Исполнителя Образование Программа обучения и наименование сертифицированного курса обучения Опыт участия в аналогичных по характеру и объему проектах с указанием наименования проекта, роли Исполнителя и описанием функциональных обязанностей Роль и функциональные обязанности Исполнителя в проекте Заказчика иные документы, которые, по мнению Участника, подтверждают его соответствие установленным требованиям, с соответствующими комментариями, разъясняющими цель представления этих документов. 3.2.2. Все указанные документы прилагаются Участником к Предложению. 3.2.3. В случае если по каким-либо причинам Участник не может предоставить требуемый документ, он должен приложить составленную в произвольной форме справку, объясняющую причину отсутствия требуемого документа, а также содержащую заверения Организатору в соответствии Участника данному требованию. 7 4. Подготовка Предложений 4.1. Общие требования к Предложению 4.1.1. Участник должен подготовить Предложение, включающее: Письмо о подаче оферты по форме и в соответствии с инструкциями, приведенными в настоящей Документации (Форма № 1, п.7.1); Коммерческое предложение по форме и в соответствии с инструкциями, приведенными в настоящей Документации (Форма № 2, п.7.2); Пояснительная записка (презентация) по форме и в соответствии с инструкциями, приведенными в настоящей Документации (Форма №3, п.7.3.); Документы, подтверждающие соответствие Участника требованиям настоящей Документации (п.3). 4.1.2. Участник имеет право подать только одно Предложение. В случае нарушения этого требования все Предложения такого Участника отклоняются без рассмотрения по существу. 4.1.3. Каждый документ, входящий в Предложение, должен быть подписан лицом, имеющим право в соответствии с законодательством Российской Федерации действовать от лица Участника без доверенности, или надлежащим образом уполномоченным им лицом на основании доверенности. В последнем случае оригинал доверенности прикладывается к Предложению. 4.1.4. Каждый документ, входящий в Предложение, должен быть скреплен печатью Участника. 4.1.5. Требования пунктов 4.1.3. и 4.1.4. не распространяются на нотариально заверенные копии документов или документы, переплетенные типографским способом. 4.1.6. Документы (листы и информационные конверты), входящие в Предложение, должны быть скреплены или упакованы таким образом, чтобы исключить случайное выпадение или перемещение страниц и информационных конвертов. 4.1.7. Участник также должен подготовить одну полную копию Предложения и одну копию коммерческой части Предложения. 4.1.8. Никакие исправления в тексте Предложения не имеют силу, за исключением тех случаев, когда эти исправления заверены рукописной надписью «исправленному верить» и собственноручной подписью уполномоченного лица, расположенной рядом с каждым исправлением. 4.2. Требования к языку Предложения Все документы, входящие в Предложение, должны быть подготовлены на русском языке за исключением нижеследующего. Документы, оригиналы которых выданы Участнику третьими лицами на ином языке, могут быть представлены на языке оригинала при условии, что к ним приложен перевод этих документов на русский язык (в специально оговоренных случаях – апостилированный). При выявлении расхождений между русским переводом и оригиналом документа на ином языке Организатор будет принимать решение на основании перевода. Организатор вправе не рассматривать документы, не переведенные на русский язык. 4.3. Разъяснение закупочной Документации Участники вправе обратиться к Организатору за разъяснениями настоящей закупочной Документации. Запросы на разъяснение Документации по запросу предложений должны подаваться в письменной форме за подписью руководителя организации или иного ответственного лица Участника. Организатор в разумный срок ответит на любой вопрос, который он получит не позднее, чем за 2 дня до истечения срока подачи Предложений (п.1.4). Если, по мнению Организатора, ответ на данный вопрос будет интересен всем Участникам, копия ответа 8 (без указания источника запроса) будет направлена всем Участникам, официально получившим настоящую Документацию. 4.4. Продление срока окончания приема Предложений При необходимости Организатор имеет право продлевать срок окончания приема Предложений, установленный в п.1.4, с уведомлением всех участников. Все Участники, официально получившие настоящую Документацию, незамедлительно уведомляются об этом с использованием средств оперативной связи (телефон, факс, электронная почта). 9 5. Подача предложений и их прием 5.1 Оригинал и копия предложения должны быть запечатаны во внешний и внутренние конверты следующим образом: - внешний конверт с оригиналом и копией Предложения должен содержать следующую информацию: ___________________________________ ___________________________________ [наименование, адрес Организатора] для ____________________________________ [ФИО контактного лица, указанного в Извещении] НЕ ВСКРЫВАТЬ ДО «__»_______2015г. На участие в __________________________________________________________________________ [Наименование закупочной процедуры и предмета закупки как звучит в Уведомлении] Предложение поступило: дата «___» _______ 2015 г. Время ____ час. _____ мин. (заполняется Организатором) - внутренние конверты с оригиналом и копией коммерческого Предложения должны содержать следующую информацию: Адрес: ОРИГИНАЛ (или КОПИЯ) КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ Для________________________________ [ФИО ответственного сотрудника] НЕ ВСКРЫВАТЬ ДО «___»______2015г. На участие в __________________________________________________________________________ [Наименование закупочной процедуры и предмета закупки как звучит в Уведомлении] 10 6. Оценка Предложений и проведение переговоров 6.1. Общие положения Оценка Предложений осуществляется Закупочной комиссией Департамента по безопасности и информационным технологиям. Оценка Предложений включает отборочную стадию, оценочную стадию, проведение переторжки и переговоров. 6.2. Отборочная стадия 6.2.1. В рамках отборочной стадии проверяется: a) правильность оформления Предложений и их соответствие требованиям настоящей документации по существу; b) соответствие Участников требованиям настоящей документации; c) соответствие коммерческого предложения требованиям настоящей документации. В рамках отборочной стадии Организатор может запросить у Участников разъяснения или дополнения их Предложений, в том числе представления отсутствующих документов. При этом Организатор не вправе запрашивать разъяснения или требовать документы, меняющие суть Предложения. 6.2.2. По результатам проведения отборочной стадии Организатор имеет право отклонить Предложения, которые: a) в существенной мере не отвечают требованиям к оформлению настоящей документации; b) поданы Участниками, которые не отвечают требованиям настоящей документации; c) содержат предложения, по существу не отвечающие техническим, коммерческим или договорным требованиям настоящей документации; d) содержат очевидные арифметические или грамматические ошибки, с исправлением которых не согласился Участник. 6.3. Оценочная стадия В рамках оценочной стадии оцениваются и сопоставляются Предложения, в том числе с учетом результатов переторжки и переговоров, и проводит их ранжирование по степени предпочтительности для Заказчика, исходя из следующих критериев и их значимости: № п/п 1. 2. 2.1 Значимость, % Значение в баллах Критерий 70 30 Показатель 20 2.2. 60 2.3. 20 100 Наименование Цена предложения участника. Квалификация участника Опыт реализации аналогичных по характеру и объему завершенных проектов за последние 3 года к моменту вскрытия конвертов с предложениями на участие в открытом запросе предложений. Проектная команда по реализации проекта, предлагаемая Участником Пояснительная записка (презентация) с указанием методов, способов и вариантов реализации проекта, его эффективности и обоснованности, подробном (детальном) описании порядка и срока реализации проекта для обеспечения ожидаемых результатов 100 Цена (Ц), вес критерия - 70% 11 Квалификация участника (К), вес критерия – 30% Рейтинг участника R по критерию «Цена» (R(Цi)) определяется по следующей формуле: Ц𝑚𝑖𝑛 𝑅(Ц𝑖 ) = ( ) ∗ 100 Ц𝑖 где: 𝑅(Ц𝑖 )- рейтинг, присуждаемый i-ому предложению по указанному критерию; Цmin - минимальная цена предложения, предоставленного в рамках запроса предложений; Цi - предложение i-го участника по цене. Рейтинг предложения по критерию «квалификация участника» рассчитывается как сумма рейтингов по формуле R(Ki )= R(O i ) + R(P i )+ R(KK i ), в соответствии со следующими подкритериями: 1) Успешно реализованные аналогичные проекты за последние 3 года к моменту вскрытия конвертов с предложениями на участие в запросе предложений, максимальный балл – 20 баллов, определяется по формуле: Roi Oi 20 Omax где: Roi - балл, присуждаемый i-му предложению по указанному подкритерию; Omax – максимальное количество успешно реализованных проектов; Оi - количество проектов успешно реализованных i-м участником. 2) Оценка компетенций проектной команды Участника по итогам собеседования определяется как среднее арифметическое оценок в баллах всех членов Рабочей группы по формуле ККi=((КК1+КК2+КК3+…+ККn)/n), максимальный балл – 40, где: 0 баллов – сведения о проектной команде не персонифицированы, экспертная оценка компетенций команды – низкая или недостаточная; 10 баллов – приведены персональные сведения о составе проектной команды, экспертная оценка компетенций команды достаточная; 20 баллов – приведены персональные сведения о составе проектной команды, экспертная оценка компетенций команды выше хорошая; 30 баллов - приведены персональные сведения о составе проектной команды, экспертная оценка компетенций команды отличная; 40 баллов - приведены персональные сведения о составе проектной команды, экспертная оценка компетенций команды выше ожидаемого уровня. 3) Качество поданного предложения, максимальный балл – 20, где: 0 баллов- предложение не соответствует перечню работ, указанном в техническом задании, 12 10 баллов – предложение не полностью соответствует перечню объема работ, указанному в техническом задании,, 20 баллов – предложение полностью соответствует перечню объема работ, указанному в техническом задании. Для оценки предложений осуществляется расчет итогового рейтинга (Ri) по каждому предложению. Итоговый рейтинг предложения рассчитывается путем сложения рейтингов по каждому критерию оценки заявки, установленному в закупочной документации, умноженных на их вес: Ri = R(Ц i ) * 70% + R(Кi)*30% Дробное значение рейтинга округляется до двух десятичных знаков после запятой по математическим правилам округления. По результатам расчета итогового рейтинга по каждому предложению производится итоговое ранжирование. Присуждение каждому предложению порядкового номера по мере уменьшения степени выгодности содержащихся в ней условий исполнения договора производится по результатам расчета итогового рейтинга по каждому предложению. Предложение Участника, набравшего наибольший итоговый рейтинг, присваивается первый номер, следующему второй номер и т.д. 6.4. Проведение переговоров 6.4.1. После рассмотрения и оценки Предложений Организатор вправе провести переговоры с любым из Участников по любому положению его Предложения. 6.4.2. Переговоры могут проводиться в один или несколько туров. Очередность переговоров устанавливает Организатор. При проведении переговоров Организатор будет избегать раскрытия другим Участникам содержания полученных Предложений, а также хода и содержания переговоров, т.е.: любые переговоры между Организатором и Участником носят конфиденциальный характер; ни одна из сторон переговоров не раскрывает никакому другому лицу никакой технической, ценовой или иной рыночной информации, относящейся к этим переговорам, без согласия другой стороны. Организатор в результате переговоров может предложить: выступить любому из Участников в качестве генерального исполнителя и привлечь в качестве соисполнителя как любого из Участников, так и стороннюю организацию; объединиться нескольким конкретным Участникам в коллективного участника. Любой из Участников вправе отказаться от этого предложения без каких-либо последствий и участвовать в дальнейшей процедуре Запроса предложений самостоятельно. 13 7. Образцы основных форм документов, включаемых в Предложение 7.1. Письмо о подаче оферты (Форма №1) начало формы «____»___________ 2015 г. №_______________________ Уважаемые господа! Изучив Уведомление о проведении открытого запроса предложений и Закупочную документацию по открытому запросу предложений, и принимая установленные в них требования и условия, ___________________________________________________________________________ (полное наименование Участника с указанием организационно-правовой формы) зарегистрированное по адресу ___________________________________________________________________________ (юридический адрес Участника) предлагает заключить Договор на __________________________________________________________________________ (краткое описание поставляемой продукции, выполняемых работ, оказываемых ус луг) _____________________________________________________________________________ на условиях и в соответствии с коммерческим предложением, являющимся неотъемлемым приложением к настоящему письму и составляющим вместе с настоящим письмом Предложение, на общую сумму Итоговая стоимость Предложения, ___________________________________ (итоговая стоимость, руб. с НДС) руб. с НДС Настоящее Предложение имеет правовой статус оферты и действует до «____»______________ 2015 г. Настоящее Предложение дополняется следующими документами, включая неотъемлемые приложения: 1. Коммерческое предложение (Форма № 2) – на ____ листах; ____________________________________ (подпись, М.П.) ____________________________________ (фамилия, имя, отчество подписавшего, должность) конец формы 7.1.1 Инструкции по заполнению Формы №1 1. Письмо следует оформить на официальном бланке Участника. Участник присваивает письму дату и номер в соответствии с принятыми у него правилами документооборота. 2. Участник должен указать свое полное наименование (с указанием организационноправовой формы) и юридический адрес. 3. Если закупка осуществляется по лотам, то помимо краткого описания продукции, работ, услуг должны быть указаны номера лотов, на которые подается Предложение. 4.Участник должен указать стоимость оказания услуг цифрами и словами, в рублях, с НДС. 5. Предложение должно быть действительно в течение срока, достаточного для завершения процедуры выбора Победителя и заключения Договора – не менее двух месяцев. 14 6. Письмо должно быть подписано и скреплено печатью в соответствии с требованиями закупочной документации. 15 7.2. Коммерческое предложение (Форма №2) начало формы Приложение 1 к письму о подаче оферты от «___»____________ 2015 г. №__________ Сметный расчет 1 Наименование и адрес Участника: ________________________________________________ Наименование этапов Стоимость с НДС, (руб.) НДС (руб.) Условия оплаты (авансирование не предусмотрено) ____________________________________ (подпись, М.П.) ____________________________________ (фамилия, имя, отчество подписавшего, должность) конец формы 7.2.1 Инструкции по заполнению Формы №2 1. Участник указывает дату и номер Предложения в соответствии с письмом о подаче оферты. 2. Участник указывает свое фирменное наименование (в т.ч. организационно-правовую форму) и свой адрес. 3. В коммерческом предложении описываются все позиции раздела 2 с учетом предлагаемых условий Договора. Участник вправе указать, что он согласен на проект Технического задания, изложенного в разделе 2. 1 По каждой ДЗК отдельно 16 7.3. Пояснительная записка (Форма №3) начало формы «____»___________ 2015 г. №_______________________ ПОЯСНИТЕЛЬНАЯ ЗАПИСКА 1. Наименование проекта ______________________________________________________. 2. Цель реализации проекта работы, решаемые задачи (приводится краткое изложение цели, существующих проблем в предметной области проекта, задачи, решаемые в данном проекте, степень решения проблем). 3. Описание основных планируемых работ (поэтапно) (приводится календарный план реализации проекта с указанием этапов и сроков реализации проекта, перечня достигаемых результатов по итогам выполнения каждого этапа).2 4. Обоснование достижения требуемых функциональных целей реализации проекта, качества работ (приводятся технические функциональные характеристики предлагаемых решений, технологии и методы выполнения работ, информация о системе менеджмента и др.). ____________________________________ (подпись, М.П.) ____________________________________ (фамилия, имя, отчество подписавшего, должность) конец формы 7.3.1 Инструкции по заполнению Формы №3 1. Пояснительную записку следует оформить на официальном бланке Участника. Участник присваивает письму дату и номер в соответствии с принятыми у него правилами документооборота. 2. Участник может подтвердить содержащиеся в данной форме сведения, приложив к ней любые необходимые, по его мнению, документы, повышающие степень привлекательности его предложения. 3. Письмо должно быть подписано и скреплено печатью в соответствии с требованиями закупочной документации. Проводимые работы должны быть расположены в логической связи и хронологической последовательности; последующие работы должны, основываться на результатах предыдущих, и, в итоге, приводить к достижению цели. 2 17 Приложение №1. Техническое задание 1. Общие сведения 1.1.Полное наименование работ и ее условное обозначение Проведение работ по проведению аудита информационной безопасности в дочерних и зависимых компаниях ОАО АФК «Система». 1.2.Шифр темы AFKAZ 1.3.Плановые сроки начала и окончания работ Дата начала работ: с момента подписания договора Дата окончания работ: 60 рабочих дней с момента начала работ60 рабочих дней с момента начала работ Календарные сроки выполнения этапов, а также порядок их документального оформления определяются договором. 1.4.Порядок оформления и предъявления результатов работ По окончании выполнения работ Исполнителем составляется и направляется Заказчику на рассмотрение Акт выполненных работ, в котором должен быть указан состав выполненных работ и их стоимость. А также отчетные документы, предусмотренные договором. Заказчик в течение 10 дней с момента получения Акта подписывает акт или направляет Исполнителю мотивированный отказ с перечнем необходимых доработок, составленный в письменном виде. Ненаправление Заказчиком Исполнителю разногласий к Акту не является принятием работ со стороны Заказчика. В случае мотивированного отказа от приемки выполненных работ стороны в течение 10 календарных дней оформляют Протокол согласования необходимых доработок, порядка и сроков их выполнения. В случае изменения объемов и/или сроков выполняемых работ, указанные изменения оформляются путем подписания обеими сторонами дополнительных соглашений. 2. Цели и задачи проведения работ Целью работы является подготовка корпоративных документов, регламентирующих оценку текущего уровня информационной безопасности, уровня менеджмента информационной безопасности и уровня осознания информационной безопасности с учетом динамики их изменения на основании лучших практик, мировых и отечественных стандартов в области информационной безопасности. 3. Состав и содержание работ В рамках работ Исполнитель оказывает Заказчику услуги по проведению аудита информационной безопасности в соответствии с Методикой проведения аудита (Приложение 2), следующих дочерних и зависимых компаний ОАО «АФК «Система»: - ОАО «МТС»; 18 - ПАО «МТС-Банк»; - АО «Энвижн Груп»; - АО «СГ-Транс»; - ОАО «МГТС»; - ОАО «Детский мир»; - ПАО «НИС»; - ОАО «РТИ»; - ЗАО «Бизнес-Недвижимость»; - ОАО «Реестр»; - ЗАО «Группа компаний «Медси»; - ОАО «ГК «Космос»; - ОАО «Система Масс Медиа»; - ООО «Стрим»; - АО «Мосдачтрест»; - АО «Биннофарм»; - ООО «Таргин»; - АО «Интеллект Телеком»; - ОАО «БЭСК»; - АО «Лидер-Инвест»; - ОАО «СГ-Трейдинг»; - ООО «ЛесИнвест»; - ООО «Русская Земля»; - АО «Краснодар-Агро»; - ОАО ВАО «Интурист». Работы должны быть проведены в один этап. 19 Приложение №2. Методика проведения аудита информационной безопасности дочерних и зависимых компаний ОАО «АФК «Система» ОБЩИЕ СВЕДЕНИЯ Практически все бизнес-процессы дочерних и зависимых компаний (ДЗК) ОАО «АФК «Система» используют информационные технологии (ИТ) и становятся зависимыми от их безопасности. В результате возникновения инцидентов информационной безопасности (ИБ) (реализации угроз) может быть нарушена работа информационных систем (ИС) ДЗК, поддерживающих работу бизнес-процессов, что может привести к прерыванию самих бизнес-процессов и повлечь возникновение ущерба как для ДЗК, так и для ОАО «АФК «Система», который может быть оценен, например, в финансовом выражении или в виде ущерба репутации. Аудит ИБ независимым консультантом предоставляет преимущество использования формализованных процедур и обеспечения единообразного подхода к оценке состояния ИБ ДЗК ОАО «АФК «Система». Проведение аудита ИБ позволяет определить направления развития комплекса средств ИБ ДЗК ОАО «АФК «Система», основываясь на анализе угроз ИБ, и получить максимальную отдачу от средств, инвестируемых в развитие систем ИБ ДЗК ОАО «АФК «Система». 1.1 Цель и задачи аудита ИБ Целями аудита ИБ ДЗК ОАО «АФК «Система» являются: получение объективной и независимой оценки текущего уровня защищенности информационных активов ДЗК, а также соответствия действующему законодательству РФ в сфере защиты конфиденциальной информации, в том числе персональных данных; определение основных (приоритетных) направлений совершенствования в области ИБ; обеспечение осведомленности руководства ОАО «АФК «Система» о наличии и уровне угроз ИБ в ДЗК. Задачами аудита ИБ являются: сбор и анализ исходных данных об организационной и функциональной структуре системы обеспечения ИБ; анализ применимых требований по защищенности информационных активов ДЗК, требований нормативных и законодательных документов, а также информационных и технических характеристик информационных систем; оценка соответствия требованиям действующего законодательства; анализ достаточности и корректности реализованных организационных и технических мер защиты информации; 1 20 разработка предложений и рекомендаций по реализации новых и повышению эффективности существующих механизмов обеспечения информационной безопасности. 1.2 Ожидаемые результаты аудита Результатом аудита является Заключение, включающее в себя: сведения о выполнении требований нормативных актов и законодательства в области обеспечения ИБ; рекомендации по разработке/доработке политик и процедур по обеспечению информационной безопасности; предложения по технической модернизации системы ИБ для повышения уровня надежности и безопасности информационных активов. 1.3 Нормативно-правовая база для выполнения работ Работы по аудиту ИБ ДЗК проводятся в соответствии с требованиями, установленными следующими нормативными и руководящими документами: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный № 6382). Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, №149/6/6-622, 2008). Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, № 149/5 144, 2008). «Базовая модель угроз безопасности ПДн при их обработке в информационных системах персональных данных», утвержденная ФСТЭК России от 15 февраля 2008 г. 21 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная ФСТЭК России от 14 февраля 2008 г. ISO/IEC 27001 27001-2013 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности». ГОСТ Р ИСО/МЭК 27007-2014 «Информационные технологии. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности»; ISO/IEC TR 27008:2011 «Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности». 1.4 Критерии проведения аудита ИБ Аудит ИБ ДЗК должен проводиться на соответствие требованиям и рекомендациям: действующего российского законодательства в области защиты информации (персональных данных, другой конфиденциальной информации) на базе руководящих документов ФСТЭК и ФСБ; действующих в ДЗК и ОАО «АФК «Система» политик и процедур обеспечения и управления ИБ; международных стандартов и лучших практик обеспечения и управления ИБ; рекомендаций производителей средств защиты информации. 1.5 Область аудита ИБ В границы проведения аудита ИБ входят 25 ДЗК ОАО «АФК «Система». МЕТОДОЛОГИЯ ПРОВЕДЕНИЯ РАБОТ ПО АУДИТУ ИБ ДЗК ОАО «АФК «СИСТЕМА» Работы по аудиту ИБ ДЗК ОАО «АФК «Система» проводятся в один этап общей продолжительностью 60 рабочих дней, включающий следующие подэтапы: Предварительные работы по подготовке к проведению аудита в ДЗК. Проведение аудита ИБ каждого из 25 ДЗК ОАО «АФК «Система». Анализ результатов аудита и разработка Заключения по результатам аудита. 2.1 Предварительные работы по подготовке к проведению аудита ДЗК Предварительные работы по подготовке к проведению аудита ИБ в ДЗК включают: Проведение установочного совещания; Разработка и согласование Планов проведения аудитов ИБ в ДЗК. 2 2.1.1 Проведение установочного совещания Проведение установочного совещания необходимо для уточнения: 22 области применения аудита ИБ и критериев аудита ИБ в ДЗК (в том числе содержание и границы аудита, месторасположение, структурные подразделения, деятельность и процессы, которые подвергаются аудиту, а также сроки аудита в каждой ДЗК); порядок сбора необходимых свидетельств аудита; определение каналов обмена информацией с представителями проверяемых ДЗК; порядок взаимодействия представителей ДЗК и аудитора; предоставление информации по предлагаемому графику аудита и составу группы по аудиту; получение разрешения на доступ к соответствующим документам; требований к форме Заключения по результатам аудита. По итогам установочного совещания составляется протокол. 2.1.2 Формирование команды проекта Команда проекта состоит из двух рабочих групп: Рабочая группа ОАО «АФК «Система», включающая ответственных сотрудников ДЗК; Рабочая группа Исполнителя. Исполнитель имеет возможность оперативно варьировать профессиональный состав и численность рабочей группы. В качестве первоначального варианта предлагается следующий состав рабочей группы (без указания численности специалистов по указанным ролям): Роль Руководитель проекта Ответственность – Общий контроль за ходом работ – Решение организационных вопросов – Взаимодействие с представителями Заказчика – Планирование работ – Решение вопросов выделения ресурсов – Предоставление отчетности 23 Роль Главный проекта Ответственность – Выполнение проектного плана инженер – Постановка локальных задач для аудиторов – Контроль качества исполнения технической и нормативной документации – Решение организационных и технических проблем, связанных с проведением аудита – Обоснование методик проведения аудита – Написание и согласование Заключений по результатам аудита Аудитор (аналитик) информационной безопасности – Предоставление отчетности Руководителю проекта – Обследование действующих процессов, регламентов ИБ, технических средств их обеспечения – Сбор и анализ существующей документации – Интервьюирование участников процессов обеспечения и управления ИБ – Анализ процессов обеспечения и управления ИБ – Анализ системных требований по обеспечению ИБ и степени их выполнения Технический писатель – Написание документации Рабочая группа ОАО «АФК «Система» формируется из сотрудников с достаточным уровнем компетенции в вопросах ИБ и наделенных организационнораспорядительными полномочиями по вопросам проведения аудита ИБ. Рабочая группа ОАО «АФК «Система» определяет представителей проверяемых ДЗК. Назначенные представители ДЗК должны оказывать содействие команде Исполнителя в решении организационных задач и выполнять следующие обязанности: обеспечение контактов и назначение времени для встреч; исполнение функций лиц, свидетельствующих в ходе аудита от имени проверяемой ДЗК; предоставление разъяснений или оказание помощи при сборе информации. 2.1.3 Разработка и согласование Планов проведения аудитов ИБ в ДЗК На основании результатов установочного совещания Исполнителем будет подготовлен План проведения аудита для согласования с ОАО «АФК «Система», который доводится до сведения представителям ДЗК. На основании плана уточняются сроки и объем выполняемых работ в отдельных ДЗК. 24 К Плану проведения аудита будут прилагаться контрольные листы (опросные листы, чеклисты) и формы регистрации данных аудита (подтверждающие организационно-распорядительные документы, свидетельства, наблюдения аудита, конфигурации средств защиты). Примеры контрольных листов приведены в Приложении к настоящей Методике. Использование контрольных листов и форм не будет ограничивать объем проверок при аудите, который может измениться в результате анализа собранных во время аудита данных, в связи с чем контрольные листы аудита могут быть скорректированы в ходе работ. В согласованный Планом проведения аудита срок сотрудники Исполнителя прибывают по указанным адресам и проводят обследование и интервьюирование сотрудников. 2.2 Проведение аудита ИБ в ДЗК ОАО «АФК «Система» При проведении аудита ИБ в ДЗК будут использоваться следующие методы сбора информации: интервьюирование сотрудников ДЗК по согласованным контрольным листам (опросные листы, чеклисты), включая сбор необходимых свидетельств аудита; сбор и анализ документации ДЗК в части обеспечения ИБ (проводится параллельно с интервьюированием сотрудников ДЗК). В ходе проведения аудита на месте в ДЗК аудитор собирает свидетельства аудита в соответствии с Планом проведения аудита и контрольными листами, например путем опроса сотрудников, менеджеров и других заинтересованных субъектов связанных с процессами обеспечения и управления ИБ (свидетельством аудита может быть только информация, которая может быть верифицирована). Сотрудники Исполнителя анализируют документы, записи, журналы, включающие в себя сведения о процессах обеспечения и управления ИБ в ДЗК, проводят проверки конфигураций системы ИБ и т.д. В начале проведения аудита на месте при интервьюировании сотрудников ДЗК будет осуществлен сбор и подробный анализ документации по процессам обеспечения и управления ИБ в ДЗК. Сотрудники Исполнителя проанализируют документы (например, Положение о применимости, план обработки рисков, политики, процедуры ИБ и т.д.) и частично заполнят контрольные листы. Документация по аудиту включает в себя свидетельства аудита. В случае выявления по результатам анализа документации необходимости проведения специальных тестов сотрудниками Исполнителя будет проведен анализ конфигураций оборудования, ПО и используемых средств защиты информации, для определения фактического выполнения требований, процедур и политик, связанных с процессами обеспечения и управления ИБ в ДЗК. Результаты тестов будут отражены в контрольных листах. При проведении работ по аудиту ИБ в ДЗК будет сохраняться штатный режим работы обследуемых объектов. 25 2.2.1 Интервьюирование сотрудников Заказчика Метод интервьюирования заключается в опросе сотрудников в ДЗК ОАО «АФК «Система» сотрудниками Исполнителя. Интервьюирование будет проводиться параллельно со сбором документации. К основным интервьюируемым сотрудникам относятся: - руководитель подразделения, отвечающего за обеспечение информационной безопасности: вопросы организации процессов ИБ, анализ ОРД, реализованные проекты в направлении ИБ; - сотрудник подразделения, отвечающего за эксплуатацию информационных систем: общие сведения об архитектуре ИС, используемых механизмах (средствах) защиты, связью с публичными сетями (удаленный доступ); - сотрудник подразделения, отвечающего за эксплуатацию корпоративной сети передачи данных: сведения о сетевой топологии, сегментации, используемых технологиях защиты, принципах построения. При обсуждении некоторых вопросов может быть запрошено документальное подтверждение. Так, если доступ к ИС предоставляется по заявкам – будет запрошена форма заявки. Примеры контрольных листов, по которым будет проводиться интервьюирование, приведены в Приложении к настоящей Методике. 2.2.2 Сбор и анализ документации Метод сбора и анализа действующей документации заключается в сборе и анализе: - технической документации в областях обеспечения и управления ИБ (проектная, рабочая, эксплуатационная), описывающей обследуемые объекты, системы обеспечения обработки данных, ИТ-инфраструктуру, системы обеспечения и управления ИБ, и используемые технические и программные СЗИ; - нормативно-методической и организационно-распорядительной документации (положения, регламенты, инструкции) Заказчика, в том числе устанавливающих требования к ИС ДЗК и действующих политик ИБ, регламентирующих: порядок администрирования и поддержки работоспособности ИТинфраструктуры, систем обеспечения и управления ИБ, регламентирующей порядок обработки и защиты информации у Заказчика, регламентирующей действия персонала для определения степени участия сотрудников Заказчика в процессах обеспечения и управления ИБ. В ходе анализа документации будут проанализированы организационнораспорядительные и нормативно-правовые документы в области защиты информации на их соответствие следующим критериям: - комплектность (полнота) и достаточность; - соответствие реальным условиям эксплуатации; 26 соответствие реальным процессам обработки информации; соответствие действующему законодательству РФ, руководящим документам ФСТЭК, ФСБ России. Задача анализа документации заключается также в выявлении уязвимостей в применяемых организационных мерах обеспечения и управления ИБ, и включает подзадачи: - изучение и оценка процессов систем обеспечения и управления ИБ, включая, но, не ограничиваясь, процессами разработки и ввода в действие политик безопасности, управления событиями и инцидентами, ознакомления и обучения пользователей и т.п.; - анализ политик ИБ; - анализ инструкций, регламентирующих использование средств и методов защиты информации (инструкции по организации парольной защиты, антивирусной защиты, резервного копирования, доступа к информации и ресурсам сети Интернет, и др.); - анализ организационной структуры обслуживающего персонала и должностных инструкций. - 2.2.3 Инструментальное обследование Дополнительно к предлагаемым работам по аудиту ИБ при установлении такой необходимости может быть проведен выборочный инструментальный анализ защищенности и поиск уязвимостей ИБ в ДЗК по согласованию сторон. Инструментальное обследование заключается в: - анализе конфигурационных настроек сетевого оборудования и сетевой топологии с точки зрения ИБ; - анализе конфигурационных настроек общесистемного и прикладного программного обеспечения с точки зрения ИБ; - инструментальном поиске уязвимостей. 2.3 Анализ результатов аудита и разработка Заключения об аудите После завершения очного обследования в ДЗК осуществляется разработка отчетных материалов, включающая: 1) обработку полученных сведений. После завершения предыдущих этапов осуществляется: - структуризация и анализ полученной информации с целью выявления соответствий/несоответствий предъявляемым требованиям, сильных/слабых мест системы защиты, проблем в организации процессов обеспечения ИБ; - выработка предложений по повышению уровня информационной безопасности, включающих в себя как организационную, так и техническую составляющую; 2) разработка Заключения по результатам обследования. Анализ результатов аудитов заключается в: 27 оценке соответствия требованиям действующего законодательства в области защиты информации, в том числе в части защиты персональных данных. - анализе выявленных недостатков в процессах и технологиях обеспечения ИБ; - анализе эффективности мер и средств защиты информации, реализуемых в ДЗК; - формировании применимых требований к СОИБ ДЗК; - разработке итогового Заключения о результатах аудита. В Заключении об аудите должны быть приведены заполненные контрольные листы по каждому проверяемому ДЗК, а также разделы, включающие: - сведения о выполнении требований нормативных актов и законодательства в области обеспечения ИБ; - рекомендации по разработке/доработке политик и процедур по обеспечению информационной безопасности; - предложения по технической модернизации системы защиты информации для повышения уровня надежности и безопасности информационной системы; - другие выводы и рекомендации по аудиту. - Степень соответствия ИБ в ДЗК требованиям ИБ будет оцениваться по каждому из направлений ИБ (в соответствии с прилагаемыми контрольными листами). Степень соответствия по каждому направлению ИБ (𝑉𝑖 ) в ДЗК оценивается по шкале от 0 до 1. Показатели ИБ входят в направления ИБ и представлены в виде вопросов, ответы на которые дают возможность определить оценки Vij, которые затем формируют оценки Vi по направлениям ИБ. Направления ИБ оцениваются по следующей формуле: 𝑉𝑖 = ∑𝐽𝑗=1 𝑉𝑖𝑗 ∙ 𝑘𝑖𝑗 , где J – количество показателей ИБ в контрольном листе по i-му направлению (i = 1…13), 𝑘𝑖𝑗 - коэффициент значимости показателя ij в соответствии с контрольным листом, 𝑉𝑖𝑗 – оценка показателя ij. Значение показателя ИБ (𝑉𝑖𝑗 ) будет выбираться в соответствии с критериями, приведенными в таблице ниже: Значение Критерий выставления значения показателя ИБ в показателя контрольном листе ИБ 0 Требования показателя ИБ не выполняются 0,5 1 Требования показателя ИБ выполняются в неполном объеме Требования показателя ИБ выполняются в полном объеме 28 В случае если показатель ИБ неприменим к ДЗК, то значением показателя ИБ принимается равным «1» (например, если технология беспроводного доступа к ресурсам ДЗК не используется, то значение показателя V7.15 в ДЗК будет «1»). 3 ГРАФИК ВЫПОЛНЕНИЯ АУДИТОРСКИХ РАБОТ № Наименование Наименование работ, Результаты работ и Срок выполнения п/п подэтапа проводимых в рамках отчетные работ, рабочие этапа документы дни Предваритель ные работы по подготовке к проведению аудита ДЗК 2. Проведение аудита ИБ в ДЗК ОАО «АФК «Си стема» Интервьюирование Заполненные сотрудников ДЗК контрольные по согласованным листы по каждому ДЗК. контрольным листам; Сбор и анализ документации ДЗК в части обеспечения ИБ. 3. Разработка Заключения по аудиту. Завершение аудита ИБ 1. 4. Консультиров ание ИТОГО Проведение установочного совещания; Разработка и согласование Планов проведения аудитов ИБ в ДЗК. Протокол установочного совещания. План проведения аудитов ИБ в ДЗК (с контрольными листами) 10 дней 35 дней с даты завершения работ по подэтапу 1 (работы в ДЗК проводятся параллельно) Заключение по 15 рабочих Подготовка, результатам дней с даты утверждение и проведения аудита завершения работ рассылка по подэтапу 2 Заключений по аудиту ИБ; Презентация выводов об аудите. Консультирование Заказчика по вопросам, составляющим предмет работ На протяжении всего срока действия договора 60 рабочих дней 29 4 ПРИЛОЖЕНИЕ. ПРИМЕРЫ КОНТРОЛЬНЫХ ЛИСТОВ 1. Организационная структура обеспечения информационной безопасности № Показатель ИБ Коэффи Выполнение п/п циент ДЗК значимости 1. Существует ли в организации служба ИБ (ответственный за ИБ)? 0,30 Организационная структура и подчиненность службы ИБ. Количество сотрудников, занятых в ИБ 2. Существуют ли документы, утвержденные руководством 0,15 организации, определяющие перечень целей и задач службы ИБ? 3. Обеспечена ли служба ИБ организации необходимыми и достаточными 0,15 полномочиями для выполнения установленных целей и задач? 4. Существует ли документ «Политика 0,10 ИБ»? 5. Существует ли документ, 0,05 регламентирующий регулярный пересмотр Политики ИБ ? 6. Существует ли документ, 0,05 подтверждающий участие высшего руководства в управлении ИБ ? 7. Существует ли орган, 0,05 координирующий управление ИБ ? 8. Как организован процесс 0,15 распределения обязанностей по обеспечению ИБ ? 2. Обеспечение ИБ при управлении ресурсами, организация конфиденциального делопроизводства № Показатель ИБ Коэффи Выполнение п/п циент ДЗК значимости 1. Определено ли руководством, какая информация подлежит защите, и 0,2 классифицирована ли данная в в 30 № Показатель ИБ п/п 2. 3. 4. 5. 6. 7. 8. 9. 10. информация? Определены ли владельцы информационных ресурсов? Проводилась ли классификация ИС с точки зрения их защиты? Определены ли требования по защите информации (ИС) различных классов в соответствии с установленной схемой классификации? Введен ли и какими документами определяется режим коммерческой тайны в организации? Производится ли и каким образом производится маркирование конфиденциальных документов? Определены ли процедуры передачи конфиденциальной информации? Производится ли обмен данными между организациями на основе формальных соглашений о конфиденциальности? Определены ли меры безопасности информации при хранении (сервера, рабочие станции, ноутбуки, съемные носители, бумажные копии)? Определены ли процедуры уничтожения носителей конфиденциальной информации данных? Коэффи циент значимости Выполнение в Выполнение в ДЗК 0,1 0,05 0,05 0,15 0,05 0,1 0,15 0,1 0,05 3. Обработка персональных данных в организации № Показатель ИБ Коэффи п/п циент значимости 1. Ведется ли в организации обработка 0,01 персональных данных (далее — ПДн)? 2. Назначено ли в организации лицо, 0,06 ответственное за организацию обработки ПДн? 3. Установлены ли руководством 0,05 организации полномочия лица, ДЗК 31 № Показатель ИБ п/п 4. 5. 6. 7. 8. 9. 10. 11. 12. ответственного за организацию обработки ПДн, а также его права и обязанности? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации процедуры учета ресурсов, в том числе учета ИСПДн? Осуществлена ли классификация ИСПДн в соответствии с Постановлением Правительства РФ № 1119? Разработаны ли Модели угроз и нарушителей безопасности ПДн при их обработке в ИСПДн организации в соответствии с требованиями ФСТЭК и ФСБ России? Документирован ли перечень обрабатываемых ПДн с установлением цели обработки ПДн, сроков хранения ПДн и условий прекращения их обработки? Обеспечено ли для каждой ИСПДн определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн)? Обеспечено ли для каждой ИСПДн соответствие содержания и объема обрабатываемых ПДн установленным целям обработки? Регламентированы ли форма и порядок получения согласия субъектов ПДн? Обеспечено ли выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо? Обеспечено ли выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо? Коэффи циент значимости Выполнение в ДЗК 0,03 0,03 0,03 0,05 0,01 0,01 0,02 0,005 0,005 32 № Показатель ИБ п/п 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. Определена ли, выполняется ли и контролируется ли в организации политика в отношении обработки ПДн, а также в случае необходимости установлены ли порядки обработки ПДн для отдельных ресурсов ПДн? Определяет ли политика в отношении обработки ПДн процедуры предоставления доступа к ПДн? Определяет ли политика в отношении обработки ПДн процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур? Определяет ли политика в отношении обработки ПДн процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн? Определяет ли политика в отношении обработки ПДн процедуры передачи ПДн третьим лицам? Определяет ли политика в отношении обработки ПДн процедуры работы с материальными носителями ПДн? Определяет ли политика в отношении обработки ПДн необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними (под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая организацией с целью сбора ПДн)? Обеспечен ли организацией неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности ПДн? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации процедуры учета лиц, имеющих доступ к ПДн? Определены ли, выполняются ли, Коэффи циент значимости Выполнение в ДЗК 0,06 0,04 0,015 0,01 0,03 0,03 0,01 0,04 0,05 0,1 33 № Показатель ИБ п/п 23. 24. 25. 26. 27. 28. 29. регистрируются ли и контролируются ли в организации процедуры ознакомления работников организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами организации, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа работников организации и иных лиц в помещения, в которых ведется обработка ПДн? Обеспечен ли при работе со съемными носителями ПДн их учет? Обеспечено ли при работе со съемными носителями ПДн хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях? Обеспечено ли при работе со съемными носителями ПДн назначение работников, ответственных за организацию их хранения? Обеспечено ли при работе со съемными носителями ПДн установление и выполнение порядка уничтожения (стирания) информации на съемных носителях ПДн? Создаются ли и публикуются ли организацией общедоступные источники ПДн? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации процедуры публикации ПДн в общедоступных источниках ПДн? Осуществляется ли на основании договора поручение обработки ПДн третьему лицу (далее — обработчик)? Определен ли в указанном договоре Коэффи циент значимости Выполнение в ДЗК 0,05 0,05 0,01 0,03 0,03 0,02 0,07 34 № Показатель ИБ п/п 30. 31. перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки? Установлена ли в указанном договоре обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн? Получено ли организацией согласие субъекта ПДн, если иное не предусмотрено федеральным законом, при поручении обработки персональных данных обработчику? Определены ли, выполняются ли, регистрируются ли и контролируются ли в организации процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи ПДн? Коэффи циент значимости Выполнение в ДЗК 0,005 0,04 4. Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу № Показатель ИБ Коэффи Выполнение в п/п циент ДЗК значимости 1. Определены ли в документах 0,08 организации роли ее работников ? 2. Персонифицированы ли роли в 0,08 организации с установлением ответственности за их выполнение? 3. Отсутствуют ли в организации роли, совмещающие функции разработки, 0,08 сопровождения и эксплуатации системы/ПО? 4. Отсутствуют ли в организации роли, совмещающие функции администратора 0,05 системы и администратора информационной безопасности? 35 № Показатель ИБ п/п 5. 6. 7. 8. 9. 10. 11. 12. Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения? Определены ли в документах организации процедуры приема на работу, влияющую на обеспечение ИБ, включающие: – проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; - проверку в части профессиональных навыков и оценку профессиональной пригодности? Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников? Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии? Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов? Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ? Определены ли в трудовых контрактах (соглашениях, договорах) и (или) должностных инструкциях обязанности персонала по выполнению требований ИБ? Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных Коэффи циент значимости Выполнение в ДЗК 0,08 0,1 0,05 0,1 0,15 0,15 0,05 0,03 36 № Показатель ИБ п/п Коэффи циент значимости Выполнение в Выполнение в ДЗК обязанностей и приводит ли как минимум к дисциплинарной ответственности? 5. Обеспечение ИБ при управлении доступом № Показатель ИБ Коэффицие п/п нт значимости 1. Определена ли в организации 0,1 политика и процедуры контроля доступа к защищаемым ресурсам? 2. Документирован ли процесс регистрации в ИС новых 0,08 пользователей или изменения профиля пользователя? 3. Назначаются ли права доступа к информации подразделением, 0,01 ответственным за эту информацию (владельцем информационного актива)? 4. Формируются ли уникальные идентификаторы для всех 0,02 пользователей, задействованных в технологических процессах? 5. Определена ли в документах организации и выполняется ли процедура пересмотра прав доступа при увольнении или изменении должностных обязанностей 0,05 работников организации, имевших доступ к информации, необходимой для идентификации, аутентификации и (или) авторизации пользователей ИС организации? 6. Применяются ли в составе ИС встроенные механизмы защиты 0,2 информации и/или дополнительные средства защиты информации от НСД? 7. Определены ли правила парольной защиты (длина пароля, сложность, 0,1 периодичность смены, чем контролируются, проводятся ли аудиты паролей)? 8. Применяется ли усиленная 0,03 ДЗК 37 № Показатель ИБ п/п 9. 10. 11. 12. 13. 14. 15. 16. 17. (двухфакторная) аутентификация (для каких ИС)? Имеется ли система, реализующая централизованное управление доступом к разнородным активам (системам) (identity and access management)? Обладают ли пользователи правами локальных администраторов на АРМ? Производится ли контроль и управление доступом пользователей к сетевым ресурсам и сервисам (файловые ресурсы, печать)? Производится ли контроль и управление доступом пользователей к ресурсам АРМ? Производится ли контроль и управление доступом пользователей к информации прикладных систем? Используются ли специализированные программные и (или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций? Осуществляется ли хранение учетных данных пользователей централизовано (какое средство для этого используется (LDAP каталог, СУБД?), какая версия ПО, на каких серверах развернуто ? Для доступа к сетевому оборудованию используются локальные пароли или централизованное управление? Разрешено ли использование для доступа к ресурсам организации мобильных технических устройств (планшеты, смартфоны, ноутбуки)? Как регламентировано и чем контролируется их использование? Коэффицие нт значимости Выполнение в ДЗК 0,03 0,05 0,05 0,05 0,05 0,08 0,01 0,01 0,08 38 6. Обеспечение ИБ средствами антивирусной защиты № Показатель ИБ Коэффицие п/п нт значимости 1. Применяются ли на всех АРМ и серверах ИС организации, если иное не предусмотрено технологическим процессом, средства антивирусной защиты (какие средства 0,2 используются)? 2. Определены ли в документах организации процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных 0,05 рабочих местах и серверах ИС? 3. Осуществляются ли установка и регулярное обновление средств антивирусной защиты (версий и баз данных) на автоматизированных 0,15 рабочих местах и серверах ИС? 4. Организован ли автоматический режим установки обновлений антивирусного программного 0,05 обеспечения и его баз данных? 5. Контролируются ли установка и обновление антивирусных средств представителями подразделения (лицами) в организации, 0,02 ответственными за обеспечение ИБ? 6. Организовано ли функционирование постоянной антивирусной защиты в 0,08 автоматическом режиме? 7. Разработаны и введены ли в действие инструкции по 0,02 антивирусной защите? 8. Проводится ли антивирусная фильтрация всего трафика 0,05 электронного почтового обмена? 9. Построена ли в организации эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих 0,08 станциях, почтовых серверах и Выполнение в ДЗК 39 № Показатель ИБ п/п 10. 11. 12. 13. 14. 15. межсетевых экранах? Определены ли в документах организации и выполняются ли процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов? Проводится ли антивирусная проверка после установки и изменения программного обеспечения? Документируются ли результаты установки, изменения программного обеспечения и антивирусной проверки? Определены ли в документах организации процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых зафиксированы: — необходимые меры по отражению и устранению последствий вирусной атаки; — порядок официального информирования руководства; — порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки)? Определены ли в документах организации и выполняются ли процедуры контроля за отключением и обновлением антивирусных средств на всех автоматизированных рабочих местах и серверах ИС? Возложена ли обязанность по выполнению предписанных мер антивирусной защиты на каждого работника организации, имеющего доступ к ИС, а ответственность за выполнение требований инструкции по антивирусной защите — на руководителей функциональных подразделений организации? Коэффицие нт значимости Выполнение в ДЗК 0,01 0,05 0,03 0,08 0,08 0,05 40 7. Обеспечение ИБ при сетевом взаимодействии и использовании ресурсов сети Интернет № Показатель ИБ Коэффицие Выполнение п/п нт значимости ДЗК 1. Используются ли средства 0,1 межсетевого экранирования? 2. Контролируются ли подключения к 0,1 сети Интернет? 3. Осуществляется ли контроль и 0,09 фильтрация всего входящего/ исходящего трафика? 4. Используются ли при 0,1 взаимодействии с сетью Интернет средства обнаружения вторжений? 5. Используется ли для защиты 0,1 периметра технология DMZ для всех доступных извне сервисов? 6. Используется ли для защиты 0,03 периметра технология сокрытия топологии защищаемой сети (NAT)? 7. Как выполняется защита от атак второго уровня ? Выполнена ли сегментация сети на vlan и подсети ? Разделены ли пользователи, сервера и 0,06 администраторы ? Настройки коммутаторов: применяются ли «слепые vlan-ы» ? применяются ли ACL ? Применяется ли технология 802.1x для защиты доступа в сеть ? 8. Предусматривает ли политика безопасности регулярный анализ 0,05 логов IDS/IPS и правил настройки межсетевых экранов? 9. Определены ли разрешенные виды работ, классификация информации, которая может обрабатываться 0,06 удаленно, системы и сетевые службы (web, e-mail, FTP, telnet), к которым разрешен удаленный доступ? 10. Определены ли требования к сотрудникам, работающим удаленно (определение объектов и сервисов, к которым требуется предоставлять 0,05 удаленный доступ, а также групп пользователей, которым разрешен доступ к ним; процедура авторизации удаленного доступа)? 11. Используются ли при 0,09 в 41 № Показатель ИБ п/п 12. 13. 14. 15. взаимодействии с удаленными сотрудниками и филиалами средства организации VPN? Определены ли процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей? Определена ли политика использования сервисов мгновенного обмена сообщениями? Используются ли средства по контролю содержимого трафика? Используется беспроводной доступ для доступа к ресурсам организации? Как регламентируется и контролируется использование технологий беспроводного доступа? Какие используются меры защиты беспроводных соединений? Коэффицие нт значимости 3. 4. Развернута ли инфраструктура PKI? Определена ли политика использования СКЗИ, согласованная со схемой классификации информации, принятой в организации? Определены ли процедуры работы с СКЗИ? в Выполнение в ДЗК 0,02 0,05 0,05 0,05 8. Обеспечение ИБ при использовании СКЗИ № Показатель ИБ Коэффициен п/п т значимости 1. Какие СКЗИ используются? 0,45 2. Выполнение ДЗК 0,05 0,05 0,45 9. Обеспечение ИБ на различных стациях жизненного цикла ИС № Показатель ИБ Коэффициен Выполнение п/п т значимости ДЗК 1. Всегда ли ввод в действие, 0,05 в 42 № Показатель ИБ п/п 2. 3. 4. 5. 6. 7. эксплуатация, снятие с эксплуатации ИС осуществляются при участии подразделений (лиц) в организации, ответственных за обеспечение ИБ? В случае введения в эксплуатацию новых ИС (подсистем), существуют ли обязательные требования по их тестированию и проверке на соответствие существующей политики безопасности? Определены ли процедуры контроля за изменением конфигурации ИС организации? Существует ли в организации политика управления обновлениями? Имеется ли централизованная система управления обновлениями ОС серверов, АРМ, ПО активного сетевого оборудования, общесистемного и прикладного ПО)? Регулярно ли отслеживаются новые уязвимости и устанавливаются исправления в используемом программном обеспечении? Контролируется ли установка обновлений представителями подразделений или лицами, ответственными за ИБ? 10. Обеспечение непрерывности бизнеса № Показатель ИБ п/п 1. Существует ли в организации политика управления созданием резервных копий? Какие средства резервного копирования используются? 2. Осуществляется ли резервирование аппаратуры и каналов связи (какое оборудование зарезервировано, какие каналы связи зарезервированы)? 3. Существует ли в организации документ, содержащий план Коэффициен Выполнение т значимости ДЗК в 0,05 0,15 0,2 0,1 0,4 0,05 Коэффициен Выполнение т значимости ДЗК в 0,4 0,2 0,15 43 4. 5. восстановления бизнеса после прерываний? Определены ли в организации роли, обязанности и полномочия персонала и подразделений в части обеспечения непрерывности бизнеса? Реализована ли в организации программа обучения пользователей и персонала по обеспечению непрерывности бизнес-процессов и их восстановлению после сбоев? 0,15 0,1 11. Организация обнаружения и реагирования на инциденты безопасности № Показатель ИБ Коэффициен Выполнение п/п т значимости ДЗК 1. Существуют ли документы, в которых определены процедуры обнаружения и регистрации, анализа 0,42 и реагирования на инциденты ИБ? (сбои и неисправности систем; слабые места в системе безопасности; утечка информации). 2. Сформирована и поддерживается ли в актуальном состоянии 0,05 централизованная база инцидентов ИБ? 3. Осведомлены ли сотрудники о порядке действий при обнаружении 0,1 нетипичных событий ИБ и порядке информирования о данных событиях? 4. Определены ли роли и 0,1 ответственность при реагировании на инциденты? 5. Используются ли средства защиты 0,33 от утечек конфиденциальной информации (DLP)? 12. Мониторинг и контроль защитных мер № Показатель ИБ п/п 1. Осуществляется ли регистрация событий штатными средствами сетевого Коэффици ент значимости в Выполнение в ДЗК 0,05 44 № Показатель ИБ п/п 2. 3. 4. 5. 6. 7. 8. оборудования (как осуществляется контроль настроек, сколько хранятся журналы)? Осуществляется ли регистрация событий штатными средствами серверов (как осуществляется контроль настроек, сколько хранятся журналы)? Осуществляется ли регистрация событий штатными средствами сетевого оборудования (как осуществляется контроль настроек, сколько хранятся журналы)? Осуществляется ли регистрация событий штатными средствами СУБД (как осуществляется контроль настроек, сколько хранятся журналы)? Осуществляется ли регистрация событий штатными средствами средств защиты (как осуществляется контроль настроек, сколько хранятся журналы)? Осуществляется ли регистрация событий штатными средствами рабочих станций (как осуществляется контроль настроек, сколько хранятся журналы)? Настроены ли подсистемы регистрации ОС на контроль следующих действий и событий: удачные/неудачные попытки доступа анализ сеанса входа в систему на предмет выявления несанкционированного использования или восстановленных пользовательских идентификаторов выделение и использование ресурсов с привилегированным доступом отслеживание отдельных действий использование конфиденциальных ресурсов Осуществляется ли регистрация событий штатными средствами прикладных систем (как осуществляется Коэффици ент значимости Выполнение в ДЗК 0,05 0,05 0,02 0,08 0,05 0,07 0,07 45 № Показатель ИБ п/п 9. 10. 11. 12. 13. 14. 15. 16. 17. контроль настроек, сколько хранятся журналы)? Настроены ли подсистемы регистрации критичных прикладных систем на контроль и регистрацию действий и событий: старт и останов системы удачные/неудачные попытки входа в систему неудачные попытки доступа к ресурсам изменение конфигурации выделение и использование ресурсов с привилегированным доступом использование конфиденциальных ресурсов запись на носители или передача на печать и др. Организован ли регулярный просмотр и анализ логов и их архивирование? Ограничен и контролируется ли доступ к журналам регистрации событий? Определен ли документально порядок проведения внутреннего аудита ИБ в организации? Осуществляется ли в организации внешний аудит ИБ? Осуществляется ли периодический контроль наличия уязвимостей в программных и технических средствах ИС? Какие средства анализа защищенности и поиска уязвимостей используются? Существует ли процедура для корректировки выявленных уязвимостей и несоответствия конфигурации и проверки выполнения корректировки? Используются ли системы сбора и корреляции событий ИБ? Имеется ли централизованная система управления средствами сетевой защиты? Каким сетевым оборудованием Коэффици ент значимости Выполнение в ДЗК 0,08 0,02 0,02 0,05 0,01 0,15 0,05 0,1 0,04 46 № Показатель ИБ п/п 18. оно управляет ? Осуществляется ли оценка рисков ИБ? Коэффици ент значимости Выполнение в ДЗК 0,04 13. Физическая безопасность № Показатель ИБ Коэффициен Выполнение п/п т значимости ДЗК 1. Производится ли контроль доступа 0,15 в здание организации? 2. Разграничен ли доступ сотрудников в помещения, где располагаются 0,2 сервера и рабочие станции, управляющие критичными информационными процессами? 3. Установлены ли в офисе организации дополнительные 0,15 средства контроля и управления доступом (СКУД)? 4. Применяется ли видеонаблюдение? 0,05 5. Принимаются ли средства пожарно0,1 охранная сигнализации (какие помещения защищены)? 6. Имеется ли система кондиционирования и контроля 0,07 температуры в серверных помещениях? 7. Существует ли план действий в аварийных ситуациях, включающий в себя процедуры резервного 0,06 копирования и подготовку резервного оборудования для преодоления чрезвычайной ситуации? 8. Выполняется ли требование по расположению компьютерной техники с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с 0,07 обслуживанием этого оборудования, и исключающем визуальное наблюдение информации, отображаемой на экранах мониторов и выводящейся на принтеры, посторонними лицами? в 47 № п/п 9. 10. 11. 12. Показатель ИБ Оборудованы ли сервера и критичные рабочие станции источниками бесперебойного электропитания, либо другим оборудованием, предназначенным для обеспечения средств вычислительной техники автономным электропитанием? Производится ли регулярный осмотр и дистанционный контроль оборудования для обнаружения признаков, которые могут повлечь за собой отказ системы? Определены и выполняются ли процедуры по безопасному уничтожению отработавшего оборудования? Принимаются ли меры защиты кабельной разводки? Коэффициен Выполнение т значимости ДЗК в 0,07 0,02 0,05 0,01 48