Приложение № 4 к Документации о запросе цен к уведомлению о закупке № 22-ОЗЦ от 02.10.2013г. Техническое задание на проведение запроса цен по приобретению системы защиты конфиденциальной информации, от несанкционированного доступа, в процессе её хранения и обработки Программный комплекс - систему защиты конфиденциальной информации, от несанкционированного доступа, в процессе её хранения и обработки. Программный комплекс должен предоставлять следующие возможности: 1. В соответствии со своим назначением, комплекс запрещает посторонним лицам доступ к ресурсам ПК и позволяет разграничивать права зарегистрированных в системе защиты пользователей при работе на компьютере. Разграничения касаются прав доступа к объектам файловой системы, доступ к сети, сменным накопителям, аппаратным ресурсам. Для облегчения администрирования возможно объединение пользователей в группы. Контролируются права доступа для локальных, доменных, сетевых и терминальных пользователей. 2. В качестве средства идентификации пользователей служат индивидуальные пароли пользователей и, при необходимости, аппаратные идентификаторы: USB-флэш-накопители (флешки); электронные ключи Touch Memory (iButton); USB-ключи Aladdin eToken Pro/Java; смарт-карты Aladdin eToken PRO/SC; USB-ключи Rutoken (Рутокен) и Rutoken ЭЦП. Тем самым в комплекс должна быть реализована двухфакторная аутентификация, присущая системам с повышенной защитой. В тоже время аппаратная идентификация обязательной быть не должна. 3. Для решения проблемы «простых паролей» комплекс должен иметь гибкие настройки сложности паролей. Нужна возможность задать минимальную длину пароля, необходимость обязательного наличия в пароле цифр, специальных символов, строчных и прописных букв, степень отличия нового пароля от старого и прочее. Кроме того, в комплексе должен быть механизм генерации паролей, соответствующих всем установленным параметрам сложности. 4. Необходимо наличие дискреционного принципа контроля доступа. Он обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа). В соответствии с содержимым списка вычисляются права на доступ к объекту для каждого пользователя (открытие, запись, чтение, удаление, переименование, запуск, копирование и прочие). Причем каждое право должно находиться в состоянии «запретить»/«разрешить» на разных уровнях. 5. Также необходимо ограничение круга доступных для пользователя объектов файловой системы (дисков, папок и файлов под FAT и NTFS), а также аппаратных устройств. Должен применяется полностью независимый от ОС механизм определения прав доступа пользователя к ресурсам. Комплекс должен анализировать назначенные политики доступа согласно иерархии назначенных параметров на объекты снизу вверх, то есть при попытке пользователя совершить с объектом ФС или программно-аппаратной среды компьютера любую операцию, проверка должна происходить, начиная с локальных параметров объекта; глобальные параметры проверяются в последнюю очередь. При этом локальные настройки имеют приоритет над глобальными. Также и для предотвращения утечки информации с использованием сменных накопителей (таких как USB-Flash Drive, дискета, внешний жесткий диск и других) комплекс должен позволять разграничивать доступ, как к отдельным типам накопителей, так и к конкретным экземплярам. 6. Согласно требованиям к показателям защищенности, в СЗИ НСД должен быть реализован механизм контроля целостности параметров компьютера, который обеспечивает: контроль целостности программно-аппаратной среды при загрузке компьютера; контроль целостности файлов при загрузке компьютера; контроль целостности ресурсов файловой системы и программноаппаратной среды по расписанию; контроль целостности ресурсов файловой системы и программноаппаратной среды через заданные интервалы времени (периодический контроль); блокировку загрузки компьютера при выявлении изменений. Для контроля целостности должны использоваться контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГОСТ Р 34.11-94. 7. Также должна быть включена подсистема очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных. 8. Согласно требованиям подсистемы регистрации и учета, в комплексе должно быть реализовано ведение 6-ти журналов регистрации событий, реализованных независимыми от ОС средствами: 9. Журнал входов. В журнал заносятся все входы (или попытки входов с указанием причины отказа) и выходы пользователей ПК, включая как локальные, так и сетевые, в том числе терминальные входы и входы для удаленного администрирования. 10. Журнал доступа к ресурсам. В журнал заносятся обращения к объектам файловой системы, для которых назначен аудит. Можно гибко настраивать для каждого объекта, какие события нужно заносить в журнал, а какие – нет. 11. Журнал запуска процессов. В журнал заносятся события запуска и завершения процессов. 12. Журнал управления политиками безопасности. В журнал заносятся все события связанные с изменением конфигурации СЗИ. Так же в этот журнал заносятся события запуска/завершения модулей администрирования и события запуска/завершения работы комплекса. 13. Журнал управления учетными записями. В журнал заносятся все события связанные с созданием или удалением учетных записей, изменением их параметров. 14. Журнал печати. В журнал заносятся все события, связанные с распечаткой документов на локальных или сетевых принтерах. Для облегчения работы с журналами должна быть возможность фильтрации и экспортирования записей. 15. В системе защиты должен быть реализован механизм преобразования информации, который обеспечивает кодирование и декодирование данных в файлах-контейнерах для защиты данных при их хранении на внешних носителях либо при передаче по различным каналам связи. В качестве ключа преобразования используется пароль и по желанию пользователя, аппаратный идентификатор. «Распаковать» такой контейнер можно на любом компьютере, защищенном подобным комплексом, при условии знания пароля и наличии аппаратного идентификатора, используемых при преобразовании. Должно быть организовано использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, например, сертифицированного «КриптоПро». 16. Комплекс защиты должен позволять настраивать «Замкнутую программную среду» (ЗПС) - режим, в котором пользователь может запускать только программы, определенные администратором. Для облегчения настройки ЗПС должен иметься дополнительный механизм. 17. Также для облегчения настройки замкнутой программной среды и не только, должен быть осуществлён «мягкий режим» – режим, при работе в котором при обращении к ресурсу, доступ к которому запрещен, доступ все равно разрешается, но в журнал доступа заносится сообщение об ошибке. 18. При использовании защищенных программным комплексом компьютеров в ЛВС необходимо иметь удаленный доступ и удаленное администрирование. Средствами удаленного администрирования должно осуществляться изменение политик безопасности, создание и удаление пользователей, назначение прав доступа к объектам файловой системы, просмотр журналов и управление аудитом и контролем целостности, то есть сам процесс удаленного администрирования визуально ничем не должен отличаться от локального администрирования. 19. При использовании нескольких защищенных комплексом компьютеров в ЛВС нужна возможность централизованного управление ими. Это должно быть осуществимо с использованием специального дополнительного модуля – «Сервер безопасности» (СБ). Этот модуль должен быть установлен на отдельный компьютер, защищенный системой. Остальные компьютеры, введенные под контроль данного СБ, становятся его клиентами и образуют Домен безопасности. Сервер безопасности должен осуществлять централизованное управление политиками безопасности, просмотр состояния, сбор журналов, создание/удаление/редактирование параметров пользователей и другие операции. Кроме того, с помощью еще одного дополнительного модуля централизованного управления «Менеджер серверов безопасности» должна быть возможность объединить несколько серверов безопасности в так называемый «Лес безопасности». 20. Также на «сервере безопасности» должен быть реализован механизм сигнализации событий НСД на клиентах с возможностью отправки сообщений на электронную почту. 21. Ещё комплекс должен содержать подсистему самодиагностики, что соответствует требованию Руководящих документов периодического тестирования с помощью тест-программ, имитирующих попытки НСД. Самодиагностика должна позволять выполнить автоматическое тестирование основного функционала системы (создание/удаление пользователя, назначение/снятие параметров доступа к ресурсам и прочее). 22. Для удобства администрирования системы, нужна возможность задание списка расширений файлов, работа с которыми будет блокирована. Это позволяет, запретить сотрудникам работу с файлами, не имеющими отношения к их профессиональным обязанностям (mp3, avi и прочие). 23. В комплексе должна быть реализована функция, позволяющая получать отчеты с упорядоченными по выбранному параметру списками пользователей и соответствующими правами на определенные ресурсы системы, - инвентаризация. В данном отчете описываются все ресурсы, на которые назначены права комплекса с учетом наследования прав. Это может быть полезным для проверки соответствия настроек системы. Отчет может быть создан по завершению настроек, и, впоследствии, результаты этого отчета могут быть сверены с текущими настройками системы в любой момент, путем сверки сохраненной версии отчета и создания отчета в момент проведения проверки. 24. В системе защиты должен быть реализован механизм создания и сохранения резервной копии файлов комплекса. Функция сохранения резервной копии файлов предназначена для ведения нескольких копий программных компонентов средства защиты информации, с возможностью последующей сверки с файлами, используемыми в системе, обнаружения несоответствий (проверяется не только совпадение размера, но и содержимое файлов) и возможностью восстановления. 25. Для ускорения внедрения комплекса должен быть предусмотрен механизм удаленной установки средствами сервера безопасности или групповых политик Active Directory. Программный комплекс должен работать под управлением операционных систем: Windows XP (SP 3); Windows Server 2003 (R2) (SP 2); Windows Vista (SP 2); Windows Server 2008 (SP 2); Windows 7 (SP 1); Windows Server 2008 R2 (SP 1); Windows 8; Windows Server 2012; как 32 так и 64 битных версий. Программный комплекс должен иметь сертификат ФСТЭК России на соответствие СЗИ от НСД 4-му уровню контроля отсутствия НДВ и 5-му классу защищенности от НСД. И на возможность использования при создании защищенных АС до класса защищенности 1Г включительно и в ИСПДн до 1 класса включительно, для указанных OC. В комплект поставки должно входить: 1. Инсталляционный CD-диск 2. Комплект документации по инсталляции и работе с системой: – «Описание применения»; – «Руководство по эксплуатации»; – «Руководство оператора»; – (в электронном виде); 3. Формуляр 4. Регистрационная карточка 5. Краткое руководство пользователя 6. Лицензионное соглашение 7. Копия сертификата Количество копий программного комплекса необходимого ОАО «ТОСК» 17 шт. Компания, поставляющая программный комплекс должна иметь лицензию ФСБ на осуществление деятельности по распространению шифровальных (криптографических) средств. Начальник отдела АСУ и связи ОАО «ТОСК» Д.Н. Кулагин