Договор № г. Королев _______________2012 г. «__________________», именуемое в дальнейшем «Исполнитель», в лице ____________________________, действующего на основании ____________, с одной стороны, и ОАО «Корпорация «Тактическое ракетное вооружение», именуемое в дальнейшем «Заказчик», в лице Генерального директора Обносова Бориса Викторовича, действующего на основании Устава, с другой стороны, совместно именуемые как «Стороны» и каждый в отдельности - «Сторона», в соответствии с протоколом закупочной комиссии №__ от ________ заключили настоящий договор о нижеследующем: 1. Предмет договора 1.1.Исполнитель обязуется поэтапно выполнить работы по созданию системы защиты персональных данных и приведению процессов обработки персональных данных в соответствие требованиям законодательства РФ по защите персональных данных в информационной системе Заказчика (далее Работы), поставить и установить необходимые для системы защиты персональных данных Заказчика программно-технические средства (далее Оборудование и ПО). Заказчик обязуется принять и оплатить исполненное по настоящему Договору в соответствии с его условиями. 1.2. Место выполнения работ: Московская область, г. Королев, ул. Ильича д.7. 1.3. Общие, технические и иные требования к выполняемой Работе, а также этапы ее выполнения определены в Техническом задании- Приложение №1 к настоящему Договору. 1.4. Исчерпывающий перечень, наименование, комплектация и технические характеристики и сроки поставки Оборудования и ПО подлежащего передаче в собственность Заказчику содержатся в Спецификации (приложение №2 к настоящему Договору). 2. Порядок и сроки выполнения работ 2.1. Заказчик не позднее 3-х рабочих дней с момента заключения настоящего Договора передает Исполнителю по Акту приема –передачи необходимую техническую документацию, рабочие материалы согласно перечня дополнительно согласованного сторонами (далее -исходные данные). 2.2. Исполнитель приступает к выполнению работ по настоящему Договору не позднее рабочего дня, следующего за днем получения исходных данных. 2.3. Точные сроки, этапы выполнения работ и их стоимость определены в Календарном плане выполнения работ (приложение № 3 к настоящему Договору). 2.4. Разработка, контроль и приемка этапов работ проводится в порядке установленном в Техническом задании. 2.5. Датой окончания выполнения работ по отдельным этапам, является дата подписания Акта сдачи-приемки по этапу. Заказчик в течение 10 рабочих дней со дня получения Акта сдачи-приемки выполненных работ обязан подписать его или дать мотивированный отказ. В случае мотивированного отказа Сторонами составляется двусторонний акт с перечнем недостатков, сроками и способами их устранения. 2.6. Все недостатки и недоработки, выявленные в процессе использования системы защиты персональных данных Заказчика, Исполнитель обязуется устранить за свой счет в сроки дополнительно согласованные сторонами. 2.7. Заказчик вправе внести изменения в предоставленные Исполнителю исходные данные. Если такие изменения влекут необходимость проведения дополнительных работ, стороны заключают дополнительное соглашение о стоимости и объеме таких работ. 3. Условия поставки оборудования и лицензионного программного обеспечения 3.1. Пунктом поставки и установки Оборудования и ПО, по настоящему Договору является юридический адрес Заказчика: Московская область, г. Королев, ул. Ильича д. 7; 3.2. Отгрузка, транспортировка и установка Оборудования и ПО осуществляется силами и за счет Исполнителя. 3.3. При приеме Оборудования и ПО Заказчик проверяет их соответствие сведениям, указанным в транспортных и сопроводительных документах по наименованию, количеству, комплектности. 3.4. Исполнитель гарантирует качество и надежность поставляемого Оборудования в течение 2 лет, с момента подписания сторонами акта выполненных работ по соответствующему этапу. 3.5. При обнаружении дефектов в Оборудовании при приемке, установке или эксплуатации в период гарантийного срока, Исполнитель обязан за свой счет осуществить замену дефектного оборудования в сроки дополнительно согласованные Сторонами. 3.6. Исполнитель гарантирует, что Оборудование, которое будет отчуждено по настоящему Договору, принадлежит ему на праве собственности и до его передачи Заказчику никому не продано, не заложено, в споре и под арестом не состоит. 3.7. Порядок ввода в эксплуатацию Оборудования и ПО содержится в Техническом задании. 7.3. Исполнитель гарантирует, что поставляемое по настоящему договору ПО является лицензионным. Исполнитель гарантирует наличие у него прав на использование и распространение ПО. 3.8. Датой поставки Оборудования и ПО является дата подписания акта Приемапередачи оборудования. Датой пуска Оборудования и ПО в эксплуатацию, является дата подписания Акта выполненных работ по соответствующему этапу. 4.Цена 4.1. Общая стоимость настоящего Договора составляет _______________ рублей (сумма прописью). 4.2. Общая стоимость оплачивается Заказчиком по выставленному Исполнителем счету, путем перечисления денежных средств в течение 30 календарных дней, с момента подписания акта выполненных работ по последнему этапу. 4.3. Датой осуществления платежа считается дата списания денежных средств со счета Заказчика в пользу Исполнителя. 5. Ответственность сторон 5.1. За неисполнение или ненадлежащее исполнение своих обязательств, Стороны несут ответственность согласно действующему законодательству РФ. 5.2. В случае нарушения сроков оплаты выполненных работ по настоящему Договору Исполнитель вправе потребовать от Заказчика уплату неустойки в размере 0,1% от суммы просроченных платежей за каждый день просрочки. 5.3. В случае нарушения конечного срока и /или этапов выполнения работ Исполнитель уплачивает Заказчику неустойку в размере 0,1% от стоимости невыполненных в срок работ за каждый день просрочки. Неустойка подлежит взысканию как в период невыполнения Исполнителем своих обязанностей, так и после выполнения работ просроченных к выполнению. 5.4. Стороны освобождаются от ответственности за неисполнение обязательств, если это вызвано следствием обстоятельств непреодолимой силы (форс-мажор). Под форс-мажором стороны понимают находящиеся вне контроля явления, которые препятствуют выполнению ими своих обязательств по настоящему Договору, полностью или частично, а именно: природные явления, военные действия, и другие, не зависящие от воли сторон обстоятельства, препятствующие выполнению ими своих обязательств. Стороны освобождаются от выполнения обязательств по настоящему Договору, если одна из сторон немедленно уведомит другую сторону о наступлении форс-мажорных обстоятельств. Стороны согласились, что при наступлении форс-мажорных обстоятельств они приложат максимум усилий для устранения их последствий. Достаточным подтверждением наличия и продолжительности действия непреодолимой силы, является свидетельство, выданное торгово-промышленной палатой или иным компетентным органом. 6. Конфиденциальность 6.1. Каждая из сторон согласилась считать текст настоящего Договора, а также весь объем информации, переданной и передаваемой сторонами друг другу при заключении настоящего Договора и в ходе исполнения обязательств, возникающих из настоящего Договора, конфиденциальной информацией (а в пределах, допускаемых действующим законодательством, – коммерческой тайной) другой стороны. 6.2. Каждая из сторон принимает на себя обязательство никакими способами не разглашать (делать доступной любым третьим лицам) конфиденциальную информацию другой стороны, кроме случаев наличия у третьих лиц соответствующих полномочий в силу прямого указания закона, либо случаев, когда другая сторона в письменной форме даст согласие на предоставление конфиденциальной информации третьим лицам. Настоящее обязательство исполняется сторонами в пределах срока действия настоящего Договора и в течение 3-х лет после прекращения действия Договора. 6.3. Каждая из сторон обязуется возместить другой стороне в полном объеме все убытки, причиненные последней, разглашением ее конфиденциальной информации в нарушение п.п. 6.1. и 6.2. настоящего Договора. 7. Особые условия 7.1. Исключительные права на результаты интеллектуальной деятельности, в том числе право на получение охранных документов на потенциально охраноспособные результаты интеллектуальной деятельности, полученные в результате выполнения работ по настоящему Договору, принадлежат Заказчику. Исполнитель в дальнейшем не имеет права использовать результаты интеллектуальной деятельности, полученные в результате выполнения работ по настоящему Договору, без согласования с Заказчиком. 7.2. Исполнитель гарантирует передачу Заказчику результатов работ, не нарушающих исключительные права третьих лиц. 7.4.В случае несоответствия заявленных гарантий Исполнитель обязуется возместить Заказчику причиненные убытки в полном объеме. 7.3. Права на исходные данные принадлежат Заказчику 8. Порядок разрешения споров 8.1. В случаях непредусмотренных настоящим Договором, Стороны руководствуются действующим законодательством РФ. 8.2. В случае возникновения разногласий и споров между Сторонами по настоящему Договору или в связи с ним, Стороны примут все меры для их разрешения путем переговоров. 8.3. В случае невозможности разрешения возникших разногласий и споров путем переговоров, они подлежат рассмотрению в Арбитражном суде Московской области. 9. Срок действия договора 9.1. Договор вступает в силу с момента его подписания и действует до полного выполнения сторонами своих обязанностей. 9.3. Приложения к настоящему Договору: - Техническое задание- Приложение №1 - Спецификация - Приложение №2; - Календарный план выполнения работ- Приложение №3; 9.4. Все приложения, изменения и дополнения к настоящему Договору являются его неотъемлемой частью и действительны лишь в том случае, если они оформлены в письменной форме, подписаны уполномоченными представителями сторон, а также скреплены их печатями. 9.5. Договор составлен и подписан в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из сторон. 10. Юридические адреса и банковские реквизиты сторон Заказчик Исполнитель ОАО «Корпорация «Тактическое ракетное вооружение» Адрес: 141080, Московская обл., г. Королев, ул. Ильича, д.7 ИНН 5099000013; КПП 997850001 Р/с. 40502810208010001305 К/с. 30101810100000000716 В ЗАО «ВТБ 24» г. Москва БИК 044525716 Генеральный директор __________________Б.В. Обносов _____________________ Приложение № 1 к договору от «___»________________201_ г. №______________ ТЕХНИЧЕСКОЕ ЗАДАНИЕ Перечень документов, на основании которых выполняются работы В процессе выполнения работ по созданию системы защиты персональных данных и организации защиты персональных данных в ОАО «Корпорация «Тактическое ракетное вооружение», предусмотренных настоящим ТЗ, используются следующие нормативные документы: Федеральный закон Российской Федерации от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон Российской Федерации от 27 июля 2006г. № 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 17 ноября 2007г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства РФ № 687 от 15 сентября 2008г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; Приказ ФСТЭК России от 5 февраля 2010г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»; Приказ Гостехкомиссии России от 30 августа 2002г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»; Приказ ФСБ РФ от 9 февраля 2005г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)»; Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Цели и задачи проведения работ Целью проведения работ является создание системы защиты персональных данных и приведение процессов обработки персональных данных в соответствие требованиям законодательства РФ по защите персональных данных в информационной системе ОАО «Корпорация «Тактическое ракетное вооружение» Для реализации указанных целей будут выполнены следующие работы: 1. Проведение обследования информационных систем и потоков ПДн в информационных системах ОАО «Корпорация «Тактическое ракетное вооружение». В ходе обследования анализируются процессы обработки ПДн и организационно-распорядительная база Корпорации на предмет ее соответствия требованиям законодательства Российской Федерации в области обработки ПДн. Будут выполнены следующие работы: Определение состава, содержания и объема обрабатываемых ПДн; Анализ структуры, состава и топологии информационных систем, в рамках которых обрабатываются ПДн; Определение наличия подключений информационных систем к сетям связи общего пользования и (или) сетям международного информационного обмена; Анализ организации информационного обмена с иными операторами ПДн; Определение местонахождения технических средств обработки ПДн; Анализ необходимости обеспечения безопасности ПДн с использованием средств криптографической защиты информации; По результатам выполнения работ будет разработан следующий комплект документов: Отчет об обследовании, включающий отчет об анализе нормативной базы; Отчет по логическому структурированию; Модель угроз безопасности ПДн при их обработке в ИСПДн (для каждой специальной ИСПДн); Проекты актов классификации ИСПДн (для каждой ИСПДн); Техническое задание на создание СЗПДн. 2. Разработка организационно-распорядительной документации. На основании данных, полученных в результате анализа организационно-распорядительной базы Корпорации на соответствие требованиям руководящих документов по организации обработки и защиты ПДн, производится разработка проектов организационно-распорядительных документов, регламентирующих обработку ПДн у Заказчика. В рамках выполнения работ по этапу разрабатываются проекты документов, необходимые и достаточные для соответствия требованиям законодательства в области ПДн. 3. Проектирование системы защиты персональных данных. Будут выполнены следующие работы: Разработка вариантов проектных решений при создании СЗПДн (Технический проект); Разработка рабочей документации на СЗПДн. Выбор способов и мер защиты производится в соответствии с требованиями, определенными на этапе предпроектного обследования информационной системы. При проектировании СЗПДн Исполнитель придерживается принципа возможной минимизации изменения программно-аппаратного комплекса Заказчика. При реализации функций защиты информации в качестве основных механизмов защиты планируется использование штатных средств операционных систем и специального (общего) программного обеспечения. По результатам выполнения работ будет разработан следующий комплект документов: Технорабочий проект на создание СЗПДн, включающий проектные решения (варианты проектных решений), а также рабочую документацию на СЗПДн. Рабочая документация должна содержать достаточные сведения для эксплуатации и поддержания необходимого уровня эксплуатационных характеристик системы защиты в соответствии с принятыми проектными решениями. Перечень и состав рабочей документации определяется при разработке Технического задания. В качестве минимального пакета документации принимается следующий: Руководство администратора СЗПДн; Руководство пользователя СЗПДн. 4. Внедрение системы защиты. Должны быть выполнены следующие работы: Подготовка ИСПДн к внедрению СЗПДн; Комплектация СЗПДн поставляемыми программно-техническими средствами; Пусконаладочные работы; Проведение опытной эксплуатации; Проведение приёмочных испытаний. Поставляемые программно-технические средства для комплектации СЗПДн должны пройти в установленном порядке процедуру оценки соответствия средств защиты информации. Отчетными документами по этапу являются акты принятия СЗПДн в эксплуатацию. 5. Аттестация. Должны быть выполнены следующие работы: Разработка документации; Аттестационные испытания. Разрабатываемая аттестационная документация должна включать в себя: Протокол аттестационных испытаний; Технический паспорт объекта информатизации; Описание конфигурации и топологии ИСПДн, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки персональных данных; Программу и методику аттестационных испытаний. До начала аттестационных работ в составе ИСПДн должны быть установлены средства защиты информации, указанные в п. 3.4. и прошедшие в установленном порядке процедуру оценки соответствия по требованиям безопасности информации. Поставку данных средств выполняет Исполнитель. Данные средства должны быть настроены в соответствии с требованиями к классу системы и документацией на данные средства. В рамках аттестации должна быть произведена комплексная проверка (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требованиям, предъявляемым к установленному классу ИСПДн. Аттестационные испытания должны включают в себя: анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации; определение правильности классификации ИСПДн, выбора и применения сертифицированных средств и систем защиты информации; проверку уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации; проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации. По результатам аттестационных испытаний должны быть оформлены протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений (в случае выявления таковых). После утверждения заключения по результатам аттестации должен быть оформлен и выдан «Аттестат соответствия» Этапность и длительность выполнения работ. Этапность и состав работ указана в таблице. Наименование работ Этап 1: Предпроектное обследование Анализ обработки ПДн Обследование информационных систем Разработка моделей угроз Разработка проектов Актов классификации ИСПДн Разработка технического задания на создание СЗПДн Наименование работ Этап 2: Разработка ОРД Разработка проектов организационно-распорядительной документации Этап 3: Проектирование СЗПДн Разработка технического проекта Разработка рабочей документации на СЗПДн Этап 4: Внедрение системы защиты Поставка средств защиты информации Установка и настройка Security Studio Endpoint Protection Установка и настройка Secret-Net 6 Сертификация, установка и настройка Cisco ASA 5550 Настройка Symantec Endpoint Protection Предварительные испытания Опытная эксплуатация Приемочные испытания Этап5: Проведение работ по аттестации ИСПДн Разработка программы и методики аттестационных испытаний Подготовка ИСПДн к аттестационным испытаниям Проведение аттестационных испытаний объекта информатизации Оформление результатов испытаний Итого Все работы должны быть выполнены без остановки информационных систем заказчика. В рабочее время. Заказчик ОАО «Корпорация «Тактическое ракетное вооружение» Исполнитель Генеральный директор ___________________Б.В. Обносов ___________________ Приложение №2 к Договору №___ от __________________ Спецификация Наименование оборудования, комплектация Security Studio Endpoint Protection Право на использование Средств защиты информации Security Studio Endpoint Protection: Antivirus, Personal Firewall, HIPS Установочный комплект Security Studio Endpoint Protection. Ключ активации сервиса технической поддержки Security Studio Endpoint Protection Secret Net 6 Вариант К Право на использование Средства защиты информации Secret Net 6 (версия 6.5). Сервер безопасности класса B. Право на использование Средства защиты информации Secret Net 6 (версия 6.5). "Клиент" (сетевой режим), Вариант-К. Установочный комплект. Средство защиты информации Secret Net 6 (версия 6.5, сетевой). Вариант-К. Ключ активации сервиса технической поддержки Системы защиты информации Secret Net на один год Ед. измерения Кол-во шт 50 Комплект 2 1 шт 1 шт 54 комплект 2 комплект 1 Цена за шт Срок поставки 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора Наименование оборудования, комплектация Идентификатор Rutoken S (32 КБ) «Ревизор Сети» 2.0 Система анализа программного и аппаратного обеспечения TCP/IP сетей (сетевой сканер «Ревизор Сети» версия 2.0) - лицензия на 10 IP-адресов Система анализа программного и аппаратного обеспечения TCP/IP сетей (сетевой сканер «Ревизор Сети» версия 2.0) - установочный комплект Symantec Endpoint Protection SYMC ENDPOINT PROTECTION 12.1 PER USER BNDL VER UG LIC EXPRESS BAND D BASIC 12 MONTHS SYMC ENDPOINT PROTECTION 11.0 RU CD MEDIA PACK Acronis Backup And Recovery версия 10 Пакет сертификации для Acronis Backup & Recovery Advanced Workstation Неисключительное право на использование версии Acronis Backup & Recovery 11 Advanced Workstation с возможностью downgrade до Acronis Backup & Recovery 10 Advanced Workstation сертифицированной версии "новая лицензия на сертифицированную версию" Ед. измерения Кол-во комплект 54 шт 1 комплект 1 Шт 100 Шт 1 Шт 50 Шт 50 Цена за шт Срок поставки 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора Наименование оборудования, комплектация Dr.Web Enterprise Security Suite Dr.Web Enterprise Security Suite + Центр Управления v.7.0 Установочный комплект Dr.Web ФСТЭК России ESET NOD32 Business Edition ESET NOD32 Business Edition v.5.0 Комплект Platinum Pack 4.0 ПАК "КриптоПро УЦ" 1.5 КС2 -500 users, расширенная конфигурация ПАК CSP VPN Gate 7000 Standard Заказчик Ед. измерения Кол-во Цена за шт Шт Шт 100 1 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора шт Комплект шт 100 1 1 шт 1 10 рабочих дней с момента подписания сторонами Акта приема-передачи Технической документации, в соответствии с п.2.1. Договора Исполнитель ОАО «Корпорация «Тактическое ракетное вооружение» Генеральный директор ___________________Б.В. Обносов Срок поставки ___________________ Приложение №3 К Договору № __ от ___________ Календарный план выполнения работ Наименование работ Этап 1: Предпроектное обследование Этап 2: Разработка ОРД Этап 3: Проектирование СЗПДн Этап 4: Внедрение системы защиты Этап5: Проведение работ по аттестации ИСПДн Итого: Заказчик ОАО «Корпорация «Тактическое ракетное вооружение» Длительнос ть* (рабочих дней) 10 10 10 35 20 Цена этапа 85 Исполнитель Генеральный директор ___________________Б.В. Обносов ___________________