Приложение № 1 к документации по открытому запросу предложений от 13.03.2013 № 4/Б Услуги по техническому сопровождению системы обеспечения информационной безопасности информационных систем персональных данных (ИСПДн) и модернизированной корпоративной сети передачи данных (первого и второго пусковых комплексов) ООО «Газпром межрегионгаз Краснодар» Наименование организации ТЕХНИЧЕСКОЕ ЗАДАНИЕ Действует с «___» _____________2016 г. 2 Аннотация В настоящем ТЗ приведены описание, назначение и цели проведения работ по техническому сопровождению информационных систем системы обеспечения персональных данных информационной (ИСПДн) и безопасности модернизированной корпоративной сети передачи данных (первого и второго пусковых комплексов) ООО «Газпром межрегионгаз Краснодар». Документ разработан в соответствии с ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении», Специальными требованиями и рекомендациями по технической защите конфиденциальной информации1 и Положением о методах и способах защиты информации в информационных системах персональных данных2. 1 2 утверждены приказом Гостехкомиссии России от «30» августа 2002 года № 282 утверждено приказом ФСТЭК России № 58 от 5 февраля 2010 года. 3 Содержание 1 Общие сведения ..................................................................................................................... 5 1.1 Полное наименование услуг ........................................................................................ 5 1.2 Заказчик ......................................................................................................................... 5 1.3 Объекты информатизации ........................................................................................... 5 1.4 Основные направления проведения работ ................................................................. 6 1.5 Основание проведения работы .................................................................................... 7 2 Требования к аудиту информационной безопасности ....................................................... 7 3 Требования к документального обеспечению деятельности по информационной безопасности Общества ................................................................................................................ 7 4 Требования к обслуживанию средств криптографической защиты информации ........... 8 5 Требования к обслуживанию средств межсетевого экранирования и защиты каналов связи ................................................................................................................................................ 8 6 Требования к консультациям сотрудников в части информационной безопасности Общества ........................................................................................................................................ 8 7 Требования к обслуживанию серверной стойки ................................................................. 9 8 Требования к обслуживанию маршрутизаторов ................................................................. 9 9 Требования к обслуживанию коммутаторов ..................................................................... 10 10 Требования к обслуживанию телефонных станций ......................................................... 10 11 Требования к времени нахождения специалиста на объектах Заказчика....................... 11 12 Требования к Исполнителю ................................................................................................ 12 13 Источники разработки ......................................................................................................... 18 5 1 Общие сведения 1.1 Полное наименование услуг Услуги по техническому сопровождению системы обеспечения информационной безопасности информационных систем персональных данных (ИСПДн) и модернизированной корпоративной сети передачи данных (первого и второго пусковых комплексов) ООО «Газпром межрегионгаз Краснодар». 1.2 Заказчик ООО «Газпром межрегионгаз Краснодар» (далее - Общество). Адрес: 350000, г. Краснодар, ул. Ленина, 40/1. 1.3 Объекты информатизации В состав объектов информатизации входят: центральный офис; 27 участков типа «А»: Динской участок; Армавирский участок; Темрюкский участок; Сочинский участок; Отрадненский участок; Павловский участок; Приморо-Ахтарский участок; Староминской участок; Тбилисский участок; Тихорецкий участок; Щербиновский участок; Успенский участок; Каневской участок; Апшеронский участок; Белоглинский участок; Белореченский участок; Геленджикский участок; Горячеключевской участок; Калининский участок; 6 Кропоткинский участок; Крыловской участок; Курганенский участок; Лабинский участок; Мостовской участок; Новопокровский участок; Северский участок; Краснодарский участок; 14 участков типа «Б»: Апшеронский участок; Белоглинский участок; Белореченский участок; Геленджикский участок; Горячеключевской участок; Калининский участок; Кропоткинский участок; Крыловской участок; Курганенский участок; Лабинский участок; Мостовской участок; Новопокровский участок; Северский участок; Краснодарский участок. 1.4 Основные направления проведения работ Основными направлениями проведения работ должны быть: аудит информационной безопасности; документальное обеспечение деятельности по информационной безопасности организации; обслуживание криптографических средств защиты информации (СКЗИ); обслуживание оборудования межсетевого экранирования и защиты каналов связи; консультации сотрудников в части информационной безопасности Общества; обслуживание серверной стойки; обслуживание маршрутизаторов; 7 обслуживание коммутаторов; обслуживание телефонных станций. 1.5 Основание проведения работы Основаниями проведения настоящей работы являются: наличие в информационной системе Общества ИСПДн, осуществляется обработка персональных данных сотрудников в которых Общества и граждан, пользующихся услугами Общества (далее – субъекты персональных данных); требования законодательства Российской Федерации в области защиты персональных данных; требования законодательства Российской Федерации в области применения средств криптографической защиты информации; необходимость обслуживания КСПД и серверов Общества. Работы по документальному и техническому обеспечению проводятся Исполнителем в соответствии с настоящим Техническим Заданием и договором. 2 Требования к аудиту информационной безопасности Аудит информационной безопасности должен производится в центральном офисе Общества и включать в себя: проверку наличия и контроля исполнения руководящих документов организации по вопросам информационной безопасности; контроль распределения полномочий и ответственности за защиту информации в организации; инструментальный контроль защищенности информационных ресурсов; разработку отчёта об аудите, включая рекомендации по устранению выявленных недостатков. 3 Требования к документального обеспечению деятельности по информационной безопасности Общества Документального обеспечение деятельности по информационной безопасности Общества должно проводиться в центральном офисе Общества и включать в себя: разработку документов в области информационной безопасности; согласование внутренних документов организации в части информационной безопасности; 8 корректировку моделей угроз, моделей нарушителя и других документов. 4 Требования к обслуживанию средств криптографической защиты информации Обслуживание средств криптографической защиты информации должно проводиться в центральном офисе Общества и включать в себя: разработку комплекса документов по обслуживанию средств криптографической защиты информации; контроль исполнения документов, описывающих работу с СКЗИ; генерацию ключевой информации. 5 Требования к обслуживанию средств межсетевого экранирования и защиты каналов связи Обслуживание средств криптографической защиты информации должно проводиться в центральном офисе Общества и в участках типа «А», «Б» и включать в себя: актуализация имеющихся правил фильтрации; добавление новых правил фильтрации при внедрении новых сервисов; анализ журналов НСД, аудита, фильтрации трафика; выявление фактов НСД; изменение настоек маршрутизации, IP адресации, VPN соединения при изменении параметров подключения к публичным каналам связи; создание ключевой информации для удаленных пользователе; разработка правил доступа для удаленных пользователей; плановая смена ключей шифрования. 6 Требования к консультациям сотрудников в части информационной безопасности Общества Консультации сотрудников в части информационной безопасности Общества должны включать в себя: организацию семинарских занятий по вопросам информационной безопасности; консультации по вопросам информационной безопасности (по электронной почте); дистанционное обучение и информационной безопасности. контроль знаний сотрудников в области 9 7 Требования к обслуживанию серверной стойки Обслуживание серверной стойки должно проводиться в центральном офисе Общества и включать в себя: обеспечение бесперебойной работы вверенного серверного оборудования; обеспечение целостности и актуальности данных; обеспечение бесперебойного подключения удаленных подразделений к данному оборудованию; устранение сбоев в подключении филиалов к вверенному оборудованию, посредством VPN соединений; настройка отказоустойчивый кластер Microsoft SQL Server; обеспечение функционирования отказоустойчивого кластера Microsoft SQL Server; настройка отказоустойчивой фермы Remote Desktop Services; обеспечение функционирования отказоустойчивой фермы Remote Desktop Services; обеспечение функционирования баз 1С развернутых с использованием Microsoft SQL Server; настройка ежедневной архивации баз 1С средствами SQL; настройка ежечасной архивации файла транзакции средствами SQL; обеспечение ежедневной архивации баз 1С, средствами Microsoft SQL Server; обеспечение ежечасной архивации файлов транзакции Microsoft SQL Server. 8 Требования к обслуживанию маршрутизаторов Обслуживание маршрутизаторов должно проводиться в центральном офисе и в участках типа «А» и включать в себя: настройка маршрутизации; настройка правил трансляции ip адресов, публикация сервисов; актуализация имеющихся листов доступа; создание новых листов доступа при внедрении новых сервисов; изменение правил маршрутизации голосового IP трафика при изменении бизнес процессов; плановый анализ системных журналов; обеспечение бесперебойной работы вверенного оборудования; 10 обеспечение целостности и актуальности данных; плановое обновление системного ПО; ежемесячную архивацию файлов конфигурации. 9 Требования к обслуживанию коммутаторов Обслуживание коммутаторов должно проводиться в центральном офисе в участках типа «А» и включать в себя: настройка ролей портов, правил безопасности портов доступа и режима работы; настройка QoS; анализ системных журналов; плановое обновление системного ПО; обеспечение бесперебойной работы вверенного оборудования; обеспечение целостности и актуальности данных; ежемесячную архивацию файлов конфигурации. 10 Требования к обслуживанию телефонных станций Обслуживание телефонных станций должно проводиться в центральном офисе и в участках типа «А» и включать в себя: изменение плана нумерации; изменение стратегий маршрутизации звонков; изменение настроек групп обзвона, групп перехвата; изменение настроек портов; создание шаблонов настроек системных телефонов; анализ системных журналов; обеспечение бесперебойной работы вверенного оборудования; обеспечение целостности и актуальности данных; ежемесячную архивацию файлов конфигурации плановое обновление системного ПО. 11 11 Требования к времени нахождения специалиста на объектах Заказчика Нахождение специалистов на объекте Заказчика должно быть регламентировано утверждённым графиком. Время нахождения специалистов по каждому направлению работ (раздел 1.4) в центральном офисе Общества должно составлять не менее 4 часов в день и не менее 20 часов в неделю. Время нахождения специалистов на участках Общества должно составлять не менее 4 дней в месяц для каждого участка. Также должны быть предусмотрены внеплановые выезды специалиста на объект в случае форс-мажорной ситуации. В случае инцидентов связанных с информационной безопасностью, внеплановый выезд и прибытие специалиста в центральный офис должно осуществляться в течение 30 минут, в участок в течение 3 часов. 12 12 Требования к Исполнителю Квалификационные требования: Исполнитель должен обладать партнёрскими статусами Microsoft в компетенциях: Identity and Access, OEM и Server Platform не ниже уровня Gold. Исполнитель должен иметь в штате не менее одного специалиста, обладающего знаниями технологий безопасности Microsoft не ниже уровня администратора безопасности: MCSA: Security (Microsoft Windows Server 2003), и имеющего опыт работы в области защиты информации не менее 5 лет. Исполнитель должен иметь в штате: не менее десяти специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server® 2008 Active Directory, Configuration; не менее девяти специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server® 2008 Network Infrastructure, Configuration; не менее восьми специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCITP: Enterprise Administrator on Windows Server® 2008; не менее восьми специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCSA: Windows Server® 2008; не менее шести специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server® 2008 Applications Infrastructure, Configuration; не менее шести специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows® 7, Configuration; не менее четырех специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Forefront Identity Manager 2010, Configuration; не менее четырех специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server® 2008 R2, Server Virtualization; 13 не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCITP: Server Administrator on Windows Server® 2008; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 2.0, Windows® Applications; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Forefront Endpoint and Application Protection, Configuration; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Microsoft Windows Vista®, Configuration; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server 2008 Active Directory, Configuration; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server 2008 Applications Infrastructure, Configuration; не менее двух специалистов, обладающих сертификатами и статусами Microsoft на уровне не ниже: MCTS: Windows Server 2008 Network Infrastructure, Configuration; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCAD: For Microsoft .NET; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCITP: Enterprise Desktop Administrator on Windows 7; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCITP: Enterprise Desktop Support Technician on Windows 7; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCITP: Virtualization Administrator on Windows Server 2008 R2; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCP: MCP 2.0 – Certified Professional; 14 не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCPD: Enterprise Application Developer; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCPD: Enterprise Application Developer 3.5; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCPD: Windows® Developer; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCSA: Microsoft Windows Server 2003; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCSD: For Microsoft .NET; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCT: MCT 2012 Enrollment; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 2.0, Distributed Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 2.0, Web Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 3.5, ADO.NET Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 3.5, ASP.NET Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 3.5, Windows Communication foundation Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: .NET Framework 3.5, Windows Forms Applications; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: Microsoft Internet Security and Acceleration ﴾ISA﴿ Server 2006, Configuration; 15 не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже: MCTS: Microsoft Office SharePoint® Server 2007, Configuration; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже MCTS: SharePoint 2010, Application Development; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже MCTS: SQL Server 2008, Business Intelligence Development and Maintenance; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже MCTS: SQL Server 2008, Database Development; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже MCTS: Windows 7, Configuration; не менее одного специалиста, обладающего сертификатами и статусами Microsoft на уровне не ниже MCTS: Windows Server® 2008 R2, Desktop Virtualization. Исполнитель должен иметь в штате специалиста, обладающего знаниями корпоративных сетевых технологий на уровне не ниже Сертифицированного эксперта по сетям Cisco (CCIE - Cisco Certified Internetwork Expert). Исполнитель должен иметь в штате не менее одного специалиста, обладающего международным статусом по управлению проектами PMP – Project Management Professional. Исполнитель должен иметь в штате не менее двух специалистов, обладающих квалификацией администраторов средств криптографической защиты информации. Исполнитель должен иметь в штате сертифицированных специалистов по курсу «Безопасность информационных технологий и сетей на базе TCP/IP». Исполнитель должен иметь в штате сертифицированных специалистов в области аттестации объектов информатизации по требованиям безопасности информации, а так же в области защиты информации от несанкционированного доступа. Исполнитель должен иметь следующие лицензии: ФСТЭК России на право осуществления деятельности по технической защите конфиденциальной информации. Исполнитель должен иметь в наличии и представить заказчику выданный уполномоченным органом власти документ, свидетельствующий о наличии у него прав на осуществление следующих видов деятельности, предусмотренных Приложением к 16 Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) телекоммуникационных систем, средств, защищенных информационных с использованием систем и шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных (криптографических) юридического систем, средств, защищенных осуществляется лица или с использованием для обеспечения шифровальных собственных индивидуального нужд предпринимателя), утвержденного Постановлением Правительства РФ от 16.04.2012 № 313: монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств; монтаж, установка (инсталляция), наладка защищённых с использованием шифровальных (криптографических) средств телекоммуникационных систем; монтаж, установка (инсталляция), наладка средств изготовления ключевых документов; ремонт, сервисное обслуживание защищённых с использованием шифровальных (криптографических) средств информационных систем; ремонт, сервисного обслуживания защищённых с использованием шифровальных (криптографических) средств телекоммуникационных систем; проведение работ по обслуживанию шифровальных (криптографических) средств, предусмотренных технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей; предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных 17 (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей; предоставление юридическим и физическим лицам защищённых с использованием шифровальных (криптографических) средств каналов связи для передачи информации. 18 13 Источники разработки Выполнение работ, предусмотренных настоящим техническим заданием, должно производиться с учётом требований указанных ниже документов. 1. 2. 4. 5. Конвенция стран Евросоюза «О защите физических лиц при автоматизированной обработке персональных данных», ETS-108, Страсбург, 1981; Федеральный закон от 19.12.2005 №160 "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных"; 3. Федеральный закон №152 «О персональных данных» от 27.07.2006 в ред. Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ; Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 09 сентября 2000 года № Пр.-1895; 6. 7. 8. 9. 10. 11. Постановление Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Приказ ФСТЭК России, ФСБ России, Мининформсвязи от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; Гостехкомиссия России (ФСТЭК России) – «Специальные требования и рекомендации по технической защите конфиденциальной информации». Одобрены решением коллегии Гостехкомиссии России от 02 марта 2001 года № 7.2.; ФСТЭК России - «Положение о методах и способах защиты информации в информационных системах персональных данных». Утверждено директором ФСТЭК России 05 февраля 2010 года; ФСБ России РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144; ФСБ России РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622; 19 12. Постановление Правительства Российской Федерации № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; 13. ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения»; 14. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»; 15. ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем; 16. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы; 17. ГОСТ Р 54869–2011 «Проектный менеджмент. Требования к управлению проектом»; 18. ГОСТ Р 54870—2011 «Проектный менеджмент. Требования к управлению портфелем проектов»; 19. ГОСТ Р 54871—2011 «Проектный менеджмент. Требования к управлению программой»; 20. РД 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»; 21. РД Гостехкомиссии РФ. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992; 22. РД Гостехкомиссии РФ. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации», 1997; 23. РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», Гостехкомиссия России, Москва, 1999; 24. РД Гостехкомиссии РФ. «Защита от несанкционированного доступа к информации. Термины и определения», Гостехкомиссия России, Москва, 1992.