ТЕХНИЧЕСКОЕ ЗАДАНИЕ на оказание услуг по сертификации комплекса программ информационной безопасности 2014

ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на оказание услуг по сертификации комплекса программ информационной безопасности
2014
1
1. Общие сведения
Предмет:
Сертификация комплекса программ информационной безопасности (далее КПИБ).
Описание объекта:
КПИБ состоит из программ для ЭВМ:
 «Система контроля целостности и доступа к ресурсам сети АСКОПМ»;
 «Система регистрации и учета»;
 «Очистка модулей памяти»;
 «Система регистрации событий входа eToken».
Программа для ЭВМ «Система контроля целостности и доступа к ресурсам сети
АСКОПМ» состоит из модулей:
 Клиентские службы «Check_sum», «Readevent_XP», «Readevent_V»;
 серверная служба «KPIB_main»;
 объектов базы данных (далее – БД);
 консоль администратора.
Программа для ЭВМ «Система регистрации и учета» состоит из модулей:
 клиентские службы«Print_watch», «PControl», «USB_Device_Control»;
 серверные службы«KPIB_main», «KPIB_ctrl», «KPIB_ Device»;
 объектов базы данных (далее – БД);
 консоль администратора.
Программа для ЭВМ «Очистка модулей памяти» состоит из модулей:
 клиентские службы«Ram_cleaner», «DiskClear_XP», «DiskClear_V»,
«
ClearF »;
 серверная служба «KPIB_main»;
 объектов базы данных (далее – БД);
 консоль администратора.
Программа для ЭВМ «Система регистрации событий входа eToken» состоит из модулей:
 клиентская служба «eToken_read»;
 серверная служба «KPIB_main»;
 объектов базы данных (далее – БД);
 консоль администратора.
Объекты баз данных консолидированы в единую базу данных с программой для ЭВМ
«Служба сбора информации» (далее – ССИ) с отображением и анализом входных данных на
программно-аппаратном комплексе.
Программы построены с применением среды разработки Delphi2010, функционирует под
управлением операционной системы (далее ОС) Windows XP,Windows 7.Программауровня
2
центрального вычислительного комплекса (далее – ЦВК) функционирует под управлением ОС
Windows Server 2008 с использованием платформы баз данных Microsoft SQL Server 2008.
Взаимодействие между модулями и ПО уровня ЦВК осуществляется с использованием сетевого
протокола TCP/IP. Взаимодействие между модулями реализовано на базе службы сообщений
Microsoft.
Цель оказания услуг:
Сертификация комплекса программ информационной безопасности по системе
сертификации ФСТЭК России на соответствие третьему уровню защищенности персональным
данным приказа ФСТЭК России от 18 февраля 2013 г. N 21.
Источник финансирования:
- собственные средства метрополитена.
Плановые сроки начала и окончания:
Начало оказания услуг: 01 декабря 2014 года.
Окончание оказания услуг: 14 августа 2015 года.
Требования
2.1. Услуги по сертификации должны оказываться Исполнителем, имеющим опыт работы с
конфиденциальной информацией и/или по защите информации не менее двух лет,
подтвержденный заключенными договорами.
2.2. Для выполнения услуг необходимо наличие лицензий на деятельность по технической защите
конфиденциальной информации, выданной Федеральной службой по техническому и
экспортному контролю, с указанием следующих видов работ:
- контроль защищенности конфиденциальной информации от утечки по техническим каналам
в:
- средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную
информацию, но размещенных в помещениях, где она обрабатывается;
- помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров (далее защищаемые помещения);
- контроль защищенности конфиденциальной информации от несанкционированного доступа
и ее модификации в средствах и системах информатизации;
- установка, монтаж, испытания, ремонт средств защиты информации (технических
средств защиты информации, защищенных технических средств обработки информации,
технических средств контроля эффективности мер защиты информации, программных
(программно-технических) средств защиты информации, защищенных программных
(программно-технических) средств обработки информации, программных (программнотехнических) средств контроля защищенности информации).
2.3. При выполнении работ должны строго соблюдаться технологии оказания услуг.
2.4. Исполнитель должен иметь сертификат соответствия требованиям ГОСТ ISO 9001-2011 (ISO
9001:2008) или более поздних требований в области информационных технологий.
2.5. Исполнитель должен иметь сертификат соответствия требованиям ГОСТ Р ИСО/МЭК 270012006 (ISO/IEC 27001:2005) или более поздних требований в области создания, внедрения и
сопровождения систем информационной безопасности.
2.6. Исполнитель должен иметь специалистов, имеющих сертификат, подтверждающий обучение
по программе «Внедрение и сопровождение службы сбора информации».
2.7. При оказании услуг возможно внесение изменений в исходные коды по требованиям
испытательной лаборатории без изменений функциональности программ.
3
2.8. Эксплуатационная документация КПИБ находится у контактного лица: начальника Отдела
систем электронных платежей Службы информационных технологий и коммуникаций
Дмитриева Сергея Валерьевича, адрес: г. Санкт-Петербург, ул. Одоевского, д.29, каб.707,
т.301-98-99, доб.51-51.
2.9. Выдача постоянных пропусков для допуска на объекты метрополитена при оказании услуг
осуществляется по согласованию с уполномоченными подразделениями федерального округа
исполнительной власти в области обеспечения безопасности Российской Федерации,
федерального органа исполнительной власти, осуществляющего функции по выработке
государственной политики и нормативно-правовому регулированию в сфере внутренних дел
(п. 6.32.15. Требование по обеспечению транспортной безопасности, учитывающих уровни
безопасности для различных категорий объектов метрополитена, утвержденных Приказом
Минтранса РФ № 130 от29.04.2011 года).
2.10. Требования к Исполнителю:
- Исполнитель должен при оказании услуг использовать свои материалы, должен оказать
услуги своими силами и средствами; инструмент, оборудование складировать в помещении,
указанном Заказчиком;
- Исполнитель должен привлекать в течение срока действия договора на оказание услуг лиц,
имеющих гражданство РФ и/или лиц, имеющих официальное разрешение на работу на
территории РФ;
- Исполнитель несет ответственность за привлечение к оказанию данных услуг лиц, которые
в соответствии со ст. 10 ФЗ от 09.02.2007 года № 16-ФЗ «О транспортной безопасности», в
связи с установленными ограничениями, не принимаются на работу, связанную с
обеспечением транспортной безопасности.
2.11. В случае нарушения представителем Исполнителя противопожарного режима, действующего
на территории метрополитена, Заказчик вправе требовать уплаты Исполнителем штрафа в размере
5000 (пять тысяч) рублей за каждый случай нарушения.
2.12. Гарантийный срок на оказание услуг должен составлять не менее 3 (трех) месяцев с
момента подписания сторонами акта приёмки оказанных услуг (в полном объёме).
2.13. Исполнитель должен соблюдать требования «Инструкции о порядке оказания услуг
сторонними организациями в эксплуатируемых сооружениях Петербургского метрополитена» и
«Правил пожарной безопасности в Российской Федерации» и других действующих нормативных
документов.
4
Состав и содержание работ
Состав и содержание услуг определены ведомостью объемов услуг:
Ведомость объемов услуг.
№
п/п.
1.
2.
Наименование услуги
«Система контроля целостности и доступа к ресурсам сети
АСКОПМ»:
1. внесение изменений в алгоритмы работы в соответствии с
требованиями приказа ФСТЭК России N 21:
 внесение изменений в модули «Check_sum»,
«Readevent_XP», «Readevent_V»;
 внесение изменения в серверную службу
«KPIB_main»;
 внесения изменений в структуру и процедуры БД;
 внесение изменений в интерфейс администратора.
2. внесение изменений в алгоритмы работы в соответствии с
требованиями испытательной лаборатории;
3. сборка инсталляционного пакета;
4. проверка объектов БД, изменений прав и условий доступа;
5. конфигурирование и настройка служб «Check_sum»,
«Readevent_XP», «Readevent_V»;
6. ограничение доступа к администрированию служб
«Check_sum», «Readevent_XP», «Readevent_V»;
7. согласование изменений с Заказчиком.
«Система регистрации и учета»:
1. внесение изменений в алгоритмы работы в соответствии с
требованиями приказа ФСТЭК России N 21:
 внесение изменений в модули «Print_watch»,
«PControl», «USB_Device_Control»;
 внесение
изменения
в
серверные
службы«KPIB_main»,
«KPIB_ctrl»,
«KPIB_
Device»;
 внесения изменений в структуру и процедуры БД;
 внесение изменений в интерфейс администратора.
2. внесение изменений в алгоритмы работы в соответствии с
требованиями испытательной лаборатории;
3. сборка инсталляционного пакета;
4. проверка объектов БД, изменений прав и условий доступа
5. конфигурирование и настройка служб «Print_watch»,
«PControl», «USB_Device_Control»;
6. ограничение доступа к администрированию служб
«Print_watch», «PControl», «USB_Device_Control»;
7. согласование изменений с Заказчиком.
Место
оказания
услуги
Удаленно
и ДС-2
Удаленно
и ДС-2
Периодичность
Единовременно
Единовременно
5
№
п/п.
3.
4.
5.
6.
Наименование услуги
«Очистка модулей памяти»:
1. внесение изменений в алгоритмы работы в соответствии с
требованиями приказа ФСТЭК России N 21:
 внесение изменений в модули «Ram_cleaner»,
«DiskClear_XP», «DiskClear_V», « ClearF »;
 внесение изменения в серверную службу
«KPIB_main»;
 внесения изменений в структуру и процедуры БД;
 внесение изменений в интерфейс администратора.
2. внесение изменений в алгоритмы работы в соответствии с
требованиями испытательной лаборатории;
3. сборка инсталляционного пакета;
4. проверка объектов БД, изменений прав и условий доступа;
5. конфигурирование и настройка службы «Ram_cleaner»,
«DiskClear_XP», «DiskClear_V», « ClearF »;
6. ограничение доступа к администрированию службы
«Ram_cleaner», «DiskClear_XP», «DiskClear_V», « ClearF »;
7. согласование изменений с Заказчиком;
«Система регистрации событий входа eToken»:
1. внесение изменений в алгоритмы работы в соответствии с
требованиями приказа ФСТЭК России N 21:
 внесение изменений в модуль «eToken_read»;
 внесение изменения в серверную службу
«KPIB_main»;
 внесения изменений в структуру и процедуры БД;
 внесение изменений в интерфейс администратора.
2. внесение изменений в алгоритмы работы в соответствии с
требованиями испытательной лаборатории;
3. сборка инсталляционного пакета;
4. проверка объектов БД, изменений прав и условий доступа;
5. конфигурирование и настройка службы«eToken_read»;
6. ограничение
доступа
к
администрированию
службы«eToken_read»;
7. согласование изменений с Заказчиком.
1. Разработка
документа
«Технические
условия»,
соответствующего
ГОСТ
2.114-95,
содержащего
требования к Изделию и описание методов контроля их
выполнения.
2. Разработка заявки на сертификацию.
3. Разработка сопроводительного письма.
1. Согласование с Заказчиком документа «Технические
условия».
2. Согласование с заказчиком заявки на сертификацию.
3. Согласование с заказчиком сопроводительного письма.
Место
оказания
услуги
Периодичность
Удаленно
и ДС-2
Единовременно
Удаленно
и ДС-2
Единовременно
Удаленно
Единовременно
удаленно
Единовременно
6
№
п/п.
7.
8.
Наименование услуги
Разработать документы:
1. Руководство администратора по использованию защитных
механизмов Изделия с описанием способов использования
комплекса средств защиты (КСЗ и описанием интерфейса
пользователя), включающее разделы:
 описание контролируемых функций;
 руководство по генерации КСЗ;
 описание старта и процедур проверки
правильности старта.
2. Руководство пользователя по использованию защитных
механизмов Изделия с описанием способов использования
комплекса средств защиты (КСЗ и описанием интерфейса
пользователя).
3. Конструкторская документация, содержащая описание
принципов работы Изделия, общую схему КСЗ, описание
интерфейсов КСЗ с пользователем и интерфейсов КСЗ
между собой, описание механизмов идентификации и
аутентификации и т.д.
4. Тестовая документация (описание тестов и испытаний).
5. Описание
программных
утилиты
(процедур),
используемых для компиляции Изделия из исходных
текстов программных модулей (в электронном виде).
6. Спецификация (ГОСТ 19.202-78).
7. Формуляр (ГОСТ 19.501-78)
8. Описание программы (ГОСТ 19.402-78).
9. Описание применения (ГОСТ 19.502-78).
10. Пояснительная записка (ГОСТ 19.404-79).
11. Руководство оператора (ГОСТ 19.505-79).
12. Руководство системного программиста (ГОСТ 19.503-79).
13. Программа и методика испытаний (ГОСТ 19.301-79).
14. Текст программы (ГОСТ 19.401-78).
1. Подача в ФСТЭК ТУ, заявки на сертификацию и
сопроводительного письма.
2. Внесение исправлений в документацию или в алгоритмы
работы КПИБ, в случаи несоответствия требованиям
ФСТЭК.
Место
оказания
услуги
Периодичность
удаленно
Единовременно
7
№
п/п.
Наименование услуги
Место
оказания
услуги
Периодичность
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
1. Подача в испытательную лабораторию (далее по тексту
9.
10.
11.
12.
13.
14.
ИЛ) бинарных исполняемых файлов.
2. Подача в ИЛ файлов с исходными текстами.
3. Подача в ИЛ пакета документации требуемой для
сертификации.
4. Подача в ИЛ пакета документов:
 спецификация (ГОСТ 19.202-78);
 формуляр (ГОСТ 19.501-78);
 описание программы (ГОСТ 19.402-78);
 описание применения (ГОСТ 19.502-78);
 пояснительная записка (ГОСТ 19.404-79);
 руководство оператора (ГОСТ 19.505-79);
 руководство системного программиста (ГОСТ 19.50379);
 программа и методика испытаний (ГОСТ 19.301-79);
 текст программы (ГОСТ 19.401-78).
Получение от ИЛ актов и испытательной документации:
1. акт отбора и идентификации;
2. акт готовности испытательного стенда;
3. программы проведения сертификационных испытаний;
4. методики проведения сертификационных испытаний;
5. протоколы проведения сертификационных испытаний;
6. техническое
заключения
по
результатам
сертификационных испытаний.
1. Подача в сертификационный орган (назначенный
ФСТЭКом) пакета документов:
1. технические условия;
2. формуляр;
3. акт отбора и идентификации;
4. акт готовности испытательного стенда;
5. программы проведения сертификационных испытаний;
6. методики проведения сертификационных испытаний;
7. протоколы проведения сертификационных испытаний;
8. техническое
заключения
по
результатам
сертификационных испытаний.
Получение от сертификационного органа экспертного
заключения.
Получение сертификата от федерального сертификационного
органа (ФСТЭК).
Передача сертификата Заказчику
ДС-2
3.2. В ходе оказания услуг Исполнитель согласует промежуточные результаты на территории
Заказчика по адресу:199155, г. Санкт-Петербург, ул. Одоевского д. 29, ГУП «Петербургский
метрополитен»Служба информационных технологий и коммуникаций.
4. Порядок контроля и приемки.
4.1. Оплата услуги производится после выполнения работ на основании оказанных услуг в
соответствии с актом об оказании услуг.
8
4.2. Услуги должны оказываться в соответствии с инструкцией «О порядке производства работ
сторонними организациями в эксплуатируемых сооружениях метрополитена» и Правил
пожарной безопасности РФ.
4.3. Вход работников в эксплуатируемые сооружения должен осуществляться по специальным
пропускам.
4.4. Контроль над сроками и качеством оказания услуг производится представителем Заказчика.
4.5. Сдача-приемка выполненных услуг производится представителями Сторон с подписанием
Акта об оказанных услугах.
5. Состав документации.
5.1. Перечень документов, оформляемых при приемке и входе оказания услуги:
- акт об оказанных услугах, в 2-ух экз.;
- счет-фактура и счет;
- документация, перечисленная в ведомости объемов услуг.
5.2. Один экземпляр всей документации подготовленной в ходе выполнения работ передается
Заказчику.
6.Порядок оплаты.
6.1.Оплата фактически оказанных услуг производится Заказчиком после оказания услуг на
основании акта об оказанных услугах, подписанных Заказчиком и Исполнителем, в течение 20
(двадцати) банковских дней с даты подписания акта, при условии предоставления счета-фактуры.
6.2. Авансирование не предусмотрено.
9