WWW.INFO.Z-PDF.RU
БИБЛИОТЕКА  БЕСПЛАТНЫХ  МАТЕРИАЛОВ - Интернет документы
 


«по требованиям безопасности информации 1. Общие сведения 1.1. Перечень используемых сокращений АРМ Автоматизированное рабочее место ИС Информационная система ЛВС Локальная вычислительная сеть НСД ...»

Техническое задание

на оказание услуг по аттестации типового автоматизированного рабочего места регионального сегмента единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и дополнительным общеобразовательным программам в Ростовской области

по требованиям безопасности информации

1. Общие сведения

1.1. Перечень используемых сокращений

АРМ Автоматизированное рабочее место

ИС Информационная система

ЛВС Локальная вычислительная сеть

НСД Несанкционированный доступ

ПО Программное обеспечение

СЗИ Средство (средства) защиты информации

Система Региональный сегмент единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и дополнительным общеобразовательным программам в Ростовской области

СрАВЗСредства антивирусной защиты информации

СКЗИ Средство (средства) криптографической защиты информации

ТАРМ Типовое автоматизированное рабочее место

ФСТЭК Федеральная служба по техническому и экспортному контролю

ФСБ Федеральная служба безопасности

ЭП Электронная подпись

1.2. Перечень документов, на основании которых оказываются услуги

Исполнитель должен оказать услуги в соответствии с требованиями и рекомендациями следующих нормативных документов:

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федерального закона от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности».

Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25.11.1994 г.).

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Методический документ «Меры защиты информации в государственных информационных системах» (утв. Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г.).





«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.;

«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.

Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

ГОСТ РО 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. –дсп.

ГОСТ РО 0043-003-2012. Защита информации. Аттестация объектов информатизации. Общие положения. –дсп.

иные нормативные правовые акты Российской Федерации в области защиты информации в государственных информационных системах и персональных данных.

Цели оказания услуг

2.1. Целями оказания услуг являются:

Обеспечение соответствия обработки персональных данных, а также информации ограниченного доступа, не составляющей государственную тайну, содержащейся в государственных информационных системах, требованиям законодательства РФ в области защиты информации.

Выполнение требований к типовым автоматизированным рабочим местам регионального сегмента единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и дополнительным общеобразовательным программам в Ростовской области (далее – Требования к ТАРМ) для распространения действия аттестата соответствия Системы, выданного в результате оказания услуг по Договору, заключенному по итогам процедуры закупок №31604116134 от 20.09.2016 г., опубликованной в Единой информационной системе в сфере закупок (https://zakupki.gov.ru/).

2.2. Для достижения целей Заказчик предоставляет Исполнителю доступ к основным техническим средствам, в том числе АРМ и телекоммуникационному оборудованию, а также установленное системное программное обеспечение, в том числе дистрибутивы и лицензии на него. Основные технические средства должны быть исправны.

Объекты оказания услуг

3.1. Исполнитель должен оказать услуги на объекте Системы, расположенном по адресу: ______________________________________________________________________.

На объектах Системы обрабатывается информация (в том числе персональные данные), не содержащая сведений, составляющие государственную тайну.

Состав и структура объектов Системы (перечень помещений, состав комплекса технических средств, входящих в объекты информатизации, в которых обрабатывается информации и другие необходимые исходные данные) определяются и уточняются Исполнителем в ходе оказания услуг.

При исполнении Договора, заключенного по итогам процедуры закупок №31604116134 от 20.09.2016 г., опубликованной в Единой информационной системе в сфере закупок (https://zakupki.gov.ru/), был определен класс защищенности государственной информационной системы – К2 и уровень защищенности персональных данных – УЗ2.

Требования к составу, содержанию и результатам оказываемых услуг

4.1. Исполнитель должен оказать услуги в следующем порядке и объеме:

4.1.1. Исполнитель должен произвести поставку сертифицированных средств защиты информации их установку, настройку и ввод в эксплуатацию.

4.1.1.1. Перечень и объем поставляемых сертифицированных средств защиты информации представлен в Таблице 1.

Таблица 1

№ п/п Наименование Количество

1. Программное обеспечение, реализующее функции средства защиты информации от несанкционированного доступа Secret Net 7 или эквивалент__ шт.

2. Программное обеспечение, реализующее функции средства антивирусной защиты информации Kaspersky Endpoint Security 10 Стандартный или эквивалент __ шт.

3. ViPNet Client 4.x защищенной сети № ____ __ шт.

4.1.1.2. Требования к поставляемым сертифицированным средствам защиты информации:

4.1.1.2.1. Требования к программному обеспечению, реализующему функции средства защиты информации от несанкционированного доступа (СЗИ от НСД):

Должно осуществлять:

защиту серверов и рабочих станций от НСД;

контроль входа пользователей в систему, в том числе и с использованием дополнительных аппаратных средств защиты;

разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации;

разграничение доступа пользователей к информации;

контроль утечек информации;

регистрацию событий безопасности и аудит.

Требования к сертификации и применению в информационных системах:

СЗИ от НСД должны соответствовать требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – не ниже 3 класса защищенности. Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларируемых возможностей» (Гостехкомиссия России, 1999) – не ниже 2 уровня контроля.

СЗИ от НСД должно допускать использование в следующих информационных системах:

автоматизированные системы - до класса защищенности 1Б (включительно);

государственные информационные системы – до 1 класса защищенности (включительно);

информационных системах персональных данных – до систем 1 уровня защищенности (включительно);

автоматизированные системы управления производственными и технологическими процессами – до систем 1 класса защищенности включительно.

СЗИ от НСД должно поддерживать защиту систем терминального доступа, а также допускать применение для защиты не только физических компьютеров, но и виртуальных машин.

Требования к операционной платформе и аппаратной части:

СЗИ от НСД должно функционировать на следующих платформах (должны поддерживаться и 32-х, и 64-х разрядные платформы):

Windows 8/8.1;

Windows 7;

Windows Vista;

Windows XP;

Windows Server 2012/2012 R2;

Windows Server 2008/2008 R2;

Windows Server 2003/2003 R2.

СЗИ от НСД должно поддерживать работу в системах терминального доступа, построенных на базе терминальных служб сетевых ОС MS Windows или ПО Citrix.

СЗИ от НСД должно поддерживать работу на виртуальных машинах.

Возможность работы на однопроцессорных и многопроцессорных ЭВМ.

Наличие устройства, считывающего DVD (для чтения установочного диска – хотя бы на одном компьютере в информационной системе).

Требования к функциональности СЗИ от НСД:

СЗИ от НСД должно выполнять следующие функции по защите информации.

Контроль входа пользователей в систему и работа пользователей в системе:

проверка пароля пользователя при входе в систему;

поддержка персональных идентификаторов iButton; USB-ключей eToken PRO, eToken PRO (Java), JaCarta PKI, JaCarta ГОСТ, iKey 2032, Rutoken/Rutoken S, Rutoken ЭЦП, Rutoken Lite; смарт-карт eToken PRO, eToken PRO (Java), JaCarta PKI, JaCarta ГОСТ, ESMART Token для входа в систему и разблокировки компьютера;

возможность блокировки сеанса работы пользователя при отключении персонального идентификатора;

возможность использования персональных идентификаторов для входа в систему и разблокировки в системах терминального доступа и инфраструктуре виртуальных рабочих станций (VDI);

однократное указание учетных данных пользователей при доступе к терминальному серверу и к инфраструктуре виртуальных рабочих станций (VDI);

возможность блокирования входа в систему локальных пользователей;

возможность блокирования операций вторичного входа в систему в процессе работы пользователей;

возможность блокировки сеанса работы пользователя по истечению интервала неактивности;

поддержка возможности входа в систему по сертификатам;

возможность проверки принадлежности аппаратного идентификатора в процессе управления аппаратными идентификаторами пользователей.

Избирательное (дискреционное) управление доступом:

возможность назначения прав доступа на файлы, каталоги, принтеры, устройства;

возможность наследования прав доступа для файлов и каталогов;

возможность установки индивидуального аудита доступа для объектов, указания учетных записей пользователей или групп, чей доступ подвергается аудиту.

Полномочное (мандатное) управление доступом:

возможность выбора уровня конфиденциальности сессии для пользователя;

возможность назначения мандатных меток файлам, каталогам, внешним устройствам, принтерам, сетевым интерфейсам;

возможность изменения количества мандатных меток в системе и их названий;

контроль потоков конфиденциальной информации в системе;

возможность контроля потоков информации в системах терминального доступа при передаче информации между клиентом и сервером по протоколу RDP.

Контроль вывода конфиденциальных данных на печать:

возможность ограничить перечень мандатных меток информации для печати на заданном принтере;

теневое копирование информации, выводимой на печать;

автоматическая маркировка документов, выводимых на печать;

управление грифами (видом маркировки) при печати конфиденциальных и секретных документов. При этом должна быть возможность задать:

отдельный вид грифа для каждой мандатной метки;

отдельный вид маркировки для 1 страницы документа;

отдельный вид маркировки для последней страницы документа;

вид маркировки для оборота последнего листа.

поддержка печати через интерфейсы автоматизации MS Word и Excel (автоматизированная печать документов из скриптов);

поддержка функции печати в файл;

поддержка управления запретом перенаправления принтеров в терминальных (RDP) сессиях.

Контроль аппаратной конфигурации компьютера и подключаемых устройств:

Должны контролироваться следующие устройства:

последовательные и параллельные порты;

локальные устройства;

сменные, физические и оптические диски;

программно-реализованные диски;

USB-устройства;

PCMCIA – устройства;

IEEE1394 (FireWire) – устройства;

устройства, подключаемые по шине Secure Digital;

должна быть возможность задать настройки контроля на уровне шины, класса устройства, модели устройства, экземпляра устройства;

должен осуществляться контроль неизменности аппаратной конфигурации компьютера с возможностью блокировки при нарушении аппаратной конфигурации;

должна быть возможность присвоить устройствам хранения информации мандатную метку. Если метка устройства не соответствует сессии пользователя – работа с устройством хранения должна блокироваться;

должен осуществляться контроль вывода информации на внешние устройства хранения с возможностью теневого копирования отчуждаемой информации;

в инфраструктуре виртуальных рабочих станций (VDI) должны контролироваться устройства, подключаемые к виртуальным рабочим станциям с рабочего места пользователя;

при терминальном подключении (RDP) должна быть возможность управления запретом подключения устройств, COM и LPT портов, локальных дисков и PnP-устройств.

Контроль сетевых интерфейсов:

Должна быть возможность включения/выключения явно заданного сетевого интерфейса или интерфейса, определяемого типом – Ethernet, WiFi, IrDA, Bluetooth, FireWire (IEEE1394).

Должна быть возможность управления сетевыми интерфейсами в зависимости от уровня сессии пользователя.

Создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера. При этом должны контролироваться исполняемые файлы (EXE-модули), файлы загружаемых библиотек (DLL – модули), запуск скриптов по технологии Active Scripts.

Список модулей, разрешенных для запуска, должен строиться:

с помощью явного указания модулей;

по информации об установленных на компьютере программах;

по зависимостям исполняемых модулей;

по ярлыкам в главном меню;

по событиям журнала безопасности.

Контроль целостности файлов, каталогов, элементов системного реестра:

Должна быть возможность проведения контроля целостности до загрузки операционной системы (при применении со аппаратными средствами доверенной загрузки), в процессе загрузки ОС, в фоновом режиме при работе пользователя.

Должна быть возможность блокировки компьютера при обнаружении нарушения целостности контролируемых объектов.

Должна быть возможность восстановления исходного состояния контролируемого объекта.

Должна быть возможность контроля исполняемых файлов по встроенной ЭП, чтобы избежать дополнительных перерасчетов контрольных сумм при обновлении ПО со встроенной ЭП.

Требования к комплекту поставки:

СЗИ от НСД должно поставляться в составе:

Лицензия на право пользования.

Дистрибутив, сертифицированный ФСТЭК России, с указанием заводского номера и знака соответствия ФСТЭК России.

Формуляр.

Сертификат соответствия ФСТЭК России.

4.1.1.2.1. Требования к программному обеспечению, реализующему функции средства антивирусной защиты информации (СрАВЗ).

Требования к сертификации:

СрАВЗ должно быть сертифицировано по требованиям Руководящих документов (РД) ФСТЭК России по типам Б, В и Г второго класса защиты профиля защиты средств антивирусной защиты.

Требования по функциональности:

Защита от вредоносного ПО;

Механизмы самозащиты;

Сетевой экран.

Требования к комплекту поставки:

СЗИ от НСД должно поставляться в составе:

Лицензия на право пользования.

Дистрибутив, сертифицированный ФСТЭК России, с указанием заводского номера и знака соответствия ФСТЭК России.

Формуляр.

Сертификат соответствия ФСТЭК России.

4.1.2. Исполнитель должен произвести установку, настройку, ввод в эксплуатацию сертифицированных средств защиты информации, а также проверить работоспособность соединения ТАРМ с РИС.

4.1.2.1. Требования к установке, настройке и вводу в эксплуатацию сертифицированных средств защиты информации.

Заказчик предоставляет Исполнителю исправные АРМ и серверы в количестве, соответствующем количеству поставляемых сертифицированных средств защиты информации, подробную информацию о распределении и количестве установок сертифицированных средств защиты информации по всем объектам Системы, установленное системное программное обеспечение, дистрибутивы и лицензии на него, другие документы и сведения необходимые для оказания услуг.

В ходе оказания услуг Исполнитель должен:

провести установку, настройку и ввод в эксплуатацию сертифицированных средств защиты информации.

Услуги по установке, настройке и вводу в эксплуатацию сертифицированных средств защиты информации должны включать в себя:

установку и настройку сертифицированных средств защиты информации;

пуско-наладку сертифицированных средств защиты информации;

опытную эксплуатацию сертифицированных средств защиты информации.

По окончанию оказания услуг Исполнитель должен предоставить акты ввода в эксплуатацию сертифицированных средств защиты информации.

4.1.2.2. Требования к проверке работоспособности соединения ТАРМ с РИС.

В ходе оказания услуг Исполнитель должен:

произвести проверку работоспособности сетевого соединения ТАРМ с серверной частью РИС по защищенному каналу связи.

4.1.3. Исполнитель должен провести оценку соответствия выполнения требований к ТАРМ для распространения ранее выданного аттестата Системы.

Должны быть собраны сведения об объекте информатизации:

Состав основных и вспомогательных технических средств, с указанием типа, наименования, модели, серийного (инвентарного) номера технического средства.

Состав системного и программного обеспечения, с указанием версии программного обеспечения и номера лицензии (при наличии).

Состав установленных средств защиты с указанием серийных номеров и знаков соответствия ФСТЭК.

План-схема места расположения объекта информатизации относительно границы контролируемой зоны, с указанием линий электропитания и заземления.

Должны быть проведены аттестационные испытания объекта информатизации Системы в соответствии с программой и методикой аттестационных испытаний (разработана при выполнении Договора, заключенного по итогам процедуры закупок №31604116134 от 20.09.2016 г., опубликованной в Единой информационной системе в сфере закупок, предоставляется Заказчиком), результатом которых является:

Инструкция пользователя информационной системы.

Технический паспорт объекта информатизации.

Протокол аттестационных испытаний объекта информатизации.

Акт соответствия объекта информатизации требованиям к ТАРМ для распространения действия аттестата соответствия, выданного в результате оказания услуг по договору, заключенному по итогам процедуры закупок №31604116134 от 20.09.2016 г., опубликованной в Единой информационной системе в сфере закупок.

Требования к срокам оказания услуг

Услуги должны быть оказаны Исполнителем не позднее 31 октября 2016 г.

Требования к Исполнителю

6.1. Услуги должны оказываться организацией, отвечающей следующим требованиям:

наличие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;

наличие лицензии ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) с разрешенными видами деятельности: 12, 13, 20, 21, 22.

7. Требования к обеспечению безопасности в ходе оказания услуг

7.1. Все сведения о составе и характеристиках объектов информатизации Системы являются конфиденциальной информацией.

7.2. Исполнитель обязуется:

не проводить противозаконные действия по сбору, использованию и передаче третьей стороне информации, циркулирующей и хранящейся на объектах информатизации;

не осуществлять несанкционированный доступ к информационным ресурсам объектов информатизации;

не проводить незаконное копирование информации, циркулирующей или хранящейся на объектах информатизации;

не предпринимать манипулирование информацией, циркулирующей или хранящейся на объектах информатизации (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию);

не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации;

не внедрять на объектах информатизации программы-вирусы (загрузочные, файловые и др.);

не устанавливать программные и аппаратные закладные устройства в технические средства объектов информатизации;

не устанавливать в технические средства объектов информатизации программное обеспечение, зараженное вирусами.

7.3. Нарушение настоящих требований влечет за собою гражданско-правовую, административную или уголовную ответственность в соответствии с законом Российской Федерации.

8. Требования к документированию

8.1. Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов Российской Федерации.

8.2. Язык оформления документации – русский, за исключением общепринятых названий и оригинальных наименований программно-аппаратных средств импортного производства.

8.3. Вся документация должна быть оформлена следующим образом: на бумажных носителях в одном экземпляре.

9. Порядок контроля и приемки оказываемых услуг

9.1. Сдача-приёмка оказываемых услуг должна производиться в соответствии с контрактом.



Похожие работы:

«Приложение № 1 Сведения о федеральном государственном бюджетном учреждении "Федеральный научно-технический центр геодезии, картографии и инфраструктуры пространственных данных" и ег...»

«Утверждаю: Генеральный директор ООО "ТЕХСТРОЙ " _В.Л. Крючков Проектная декларация Проектная декларация – строительство многоквартирного жилого дома с помещениями общественного назначения и автостоянкой, т...»

«Министерство образования и науки Российской Федерации федеральное государственное автономное образовательное учреждение высшего образования "Национальный исследовательский Томский политехнический университет"УТВЕРЖДАЮ Проректор по научной р...»

«УЧРЕЖДЕНИЕ ОБРАЗОВАНИЯ "БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ" О. М. БерёзкоЛАНДШАФТНОЕ ОБУСТРОЙСТВО ТЕРРИТОРИЙ Тексты лекций по одноименному курсу для студентов специальности 1-75 02 01 "Садово-парковое строительство" Минск...»

«"УТВЕРЖДАЮ" Председатель Комиссии по вопросам градостроительства, землепользования и застройки при Правительстве Москвы в Северо-Восточном административном округе города Москвы (подпись на оригинале) В.Ю. Виног...»

«Техническое задание на поставку бытовой техники для нужд ОАО "Энергосервисная компания Ленэнерго" ОБЩИЕ СВЕДЕНИЯНазначение документаНастоящий документ представляет собой техническое задание для проведения закупочной процедуры по выбору поставщика Обо...»

«Особенности современной динамики мирового хозяйства Стремительное, по историческим меркам, изменение соотношения сил в мировом хозяйстве представляется наиболее важной особенностью современного мирового развития, с которым связаны как достижения, так и...»

«Стандарт организации "Положение о порядке выдачи молока, равноценных пищевых продуктов или осуществления компенсационной выплаты". Разработан технической инспекцией труда Федерации профсоюзов Республики Саха (Якутия) Общие положения.1.1. Настоящее Положение разработано в соответствии с требованиями законода...»








 
2018 www.info.z-pdf.ru - «Библиотека бесплатных материалов - интернет документы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 2-3 рабочих дней удалим его.