техническое задание на сертификацию комплекса программ

ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на сертификацию комплекса программ информационной безопасности
1
Общие сведения
Предмет:
сертификация комплекса программ информационной безопасности (далее
КПИБ).
Описание объекта:
КПИБ состоит из программ для ЭВМ:
- «Система регистрации и учета»,
- «Система контроля целостности и доступа к ресурсам сети АСКОПМ»,
- «Очистка модулей памяти»,
- «Система регистрации событий входа eToken»,
Программа для ЭВМ «Система регистрации и учета» состоит из модулей:
- служба «RegModule»,
- объектов базы данных (далее – БД);
- консоль администратора.
Программа для ЭВМ «Очистка модулей памяти» состоит из модулей:
- служба «RamCleaner»;
- объектов базы данных (далее – БД);
- консоль администратора.
Программа для ЭВМ «Система регистрации событий входа eToken» состоит из
модулей:
- служба «Регистрация и учет событий входа/выхода»;
- служба «eToken_Srv»;
- объектов базы данных (далее – БД);
- консоль администратора.
Программа для ЭВМ «Система контроля целостности и доступа к ресурсам сети
АСКОПМ» состоит из модулей:
- служба «Integrity»;
- объектов базы данных (далее – БД);
- консоль администратора.
Объекты баз данных консолидированы в единую БД под управлением
платформы баз данных MS SQL Server 2008.
Консоли администратора доступны для работы из единого визуального
интерфейса автоматизированного рабочего места администратора безопасности.
Программы построены с применением среды разработки Delphi2010,
функционирует под управлением операционной системы (далее ОС) Windows
XP,Windows 7. Программа уровня центрального вычислительного комплекса (далее –
ЦВК) функционирует под управлением ОС Windows Server 2008 с использованием
платформы баз данных Microsoft SQL Server 2008. Взаимодействие между модулями и
ПО уровня ЦВК осуществляется с использованием сетевого протокола TCP/IP.
Взаимодействие между модулями реализовано на базе службы сообщений Microsoft.
Цель выполнения работ:
Сертификация комплекса программ информационной безопасности по системе
сертификации ФСТЭК России на соответствие первому уровню защищенности
персональным данным (в соответствии с Приказом ФСТЭК № 21 от 18.02.2013 4-му
уровню контроля отсутствия недекларированных возможностей).
2
Источник финансирования:
- собственные средства метрополитена.
Плановые сроки начала и окончания:
Начало оказания услуг: 17 июля 2014 года.
Окончание оказания услуг: 30 апреля 2015 года.
Требования
2.1. Работы по сертификации должны оказываться Исполнителем, имеющим опыт
работы с конфиденциальной информацией и по защите данных не менее двух лет.
2.2. Для выполнения работ необходимо наличие лицензий на деятельность по
технической защите конфиденциальной информации. В случае получения
лицензии после 03.02.2012, в соответствии с постановлением №79 от 03.02.2012
Правительства Российской Федерации, с указанием следующих видов работ:
- контроль защищенности конфиденциальной информации от утечки по
техническим каналам в:
- средствах и системах информатизации;
- технических средствах (системах), не обрабатывающих конфиденциальную
информацию, но размещенных в помещениях, где она обрабатывается;
-помещениях со средствами (системами), подлежащими защите;
- помещениях, предназначенных для ведения конфиденциальных переговоров
(далее - защищаемые помещения);
контроль
защищенности
конфиденциальной
информации
от
несанкционированного доступа и ее модификации в средствах и системах
информатизации;
- установка, монтаж, испытания, ремонт средств защиты информации
(технических средств защиты информации, защищенных технических средств
обработки информации, технических средств контроля эффективности мер
защиты информации, программных (программно-технических) средств защиты
информации, защищенных программных (программно-технических) средств
обработки информации, программных (программно-технических) средств
контроля защищенности информации).
2.3. При выполнении работ должны строго соблюдаться технологии оказания услуг.
2.4. При выполнении работ возможно внесение изменений в исходные коды по
требованиям испытательной лаборатории без изменений функциональности
программ.
2.5. Эксплуатационная документация всех программ КПИБ находится у контактного
лица:
начальника
Отдела
систем
электронных
платежей
Службы
информационных технологий и коммуникаций Дмитриева Сергея Валерьевича,
адрес: г. Санкт-Петербург, ул. Одоевского, д.29, каб.707, т.301-98-99, доб.51-51.
Состав и содержание работ
Состав и содержание работ определены ведомостью объемов работ:
Ведомость объемов работ.
№
п/п.
Наименование работ
1.
«Система регистрации и учета»:
1.Внесение изменений в алгоритмы работы в
соответствии
с
требованиями
испытательной
лаборатории.
2.Проверка объектов БД, изменений прав и условий
доступа
Место
выполнения
работ
Периодичность
Удаленно
и ДС-2
Единовременно
3
3.Конфигурирование и настройка службы RegModule.
4. Ограничение доступа к администрированию службы
RegModule
5. Согласование изменений с Заказчиком.
2.
3.
4
3
2
3
4
«Очистка модулей памяти»:
1.Внесение изменений в алгоритмы работы в
соответствии
с
требованиями
испытательной
лаборатории.
2. Проверка объектов БД, изменений прав и условий
доступа
3. Конфигурирование и настройка службы RamCleaner.
4. Ограничение доступа к администрированию службы
RamCleaner
5. Согласование изменений с Заказчиком.
«Система контроля целостности и доступа к ресурсам
сети АСКОПМ»:
1.Внесение изменений в алгоритмы работы в
соответствии
с
требованиями
испытательной
лаборатории.
2. Проверка объектов БД, изменений прав и условий
доступа
3. Конфигурирование и настройка службы Integrity.
4. Ограничение доступа к администрированию службы
Integrity
5. Согласование изменений с Заказчиком.
«Система регистрации событий входа eToken»:
1.Внесение изменений в алгоритмы работы в
соответствии
с
требованиями
испытательной
лаборатории.
2. Проверка объектов БД, изменений прав и условий
доступа
3. Конфигурирование и настройка служб eToken_Srv,
«Регистрация и учет событий входа/выхода».
4. Ограничение доступа к администрированию служб
eToken_Srv.
5. Согласование изменений с Заказчиком.
1. Разработка документа «Технические условия»,
соответствующего
ГОСТ
2.114-95,
содержащего
требования к Изделию и описание методов контроля их
выполнения.
2.Разработка заявки на сертификацию.
1.Согласование с Заказчиком документа «Технические
условия».
2. Согласование с заказчиком заявки на сертификацию.
1. Подача в ФСТЭК ТУ, заявки на сертификацию.
2. Внесение исправлений в документацию или в
исходные коды КПИБ, в случаи несоответствия
требованиям.
1. Подача в испытательную лабораторию (далее по
тексту ИЛ) бинарных исполняемых файлов.
2. Подача в ИЛ файлов с исходными текстами.
3. Подача в ИЛ пакета документации требуемой для
сертификации.
4. Подача в ИЛ пакета документов:
1. Руководство пользователя по использованию
Удаленно
и ДС-2
Удаленно
и ДС-2
Единовременно
Единовременно
Удаленно
и ДС-2
Единовременно
Удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
4
защитных механизмов Изделия с описанием
способов использования комплекса средств
защиты
(КСЗ и описанием интерфейса
пользователя).
2. Конструкторская документация, содержащая
описание принципов работы Изделия, общую
схему КСЗ, описание интерфейсов КСЗ с
пользователем и интерфейсов КСЗ между собой,
описание
механизмов
идентификации
и
аутентификации и т.д.
3. Тестовая документация (описание тестов и
испытаний).
4. Описание программных утилит (процедур),
используемых для компиляции Изделия из
исходных текстов программных модулей (в
электронном виде).
5. Спецификация (ГОСТ 19.202-78).
6. Описание программы (ГОСТ 19.402-78).
7. Описание применения (ГОСТ 19.502-78).
8. Пояснительная записка (ГОСТ 19.404-79).
9. Текст программы (ГОСТ 19.401-78).
10. Формуляр (ГОСТ 19.501-78).
5
6
7
8
9
Получение от ИЛ актов и испытательной документации:
1. Акт отбора и идентификации.
2. Акт готовности испытательного стенда.
3. Программы
проведения
сертификационных
испытаний.
4. Методики
проведения
сертификационных
испытаний.
5. Протоколы
проведения
сертификационных
испытаний.
6. Техническое заключения по результатам
сертификационных испытаний.
1. Подача в сертификационный орган (назначенный
ФСТЭКом) пакета документов:
1. Технические условия.
2. Формуляр.
3. Акт отбора и идентификации.
4. Акт готовности испытательного стенда.
5. Программы
проведения
сертификационных
испытаний.
6. Методики
проведения
сертификационных
испытаний.
7. Протоколы
проведения
сертификационных
испытаний.
8. Техническое заключения по результатам
сертификационных испытаний.
Получение от сертификационного органа экспертного
заключения.
Получение
сертификата
от
федерального
сертификационного органа.
Передача сертификата Заказчику
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
удаленно
Единовременно
ДС-2
5
3.2. В ходе выполнения работ Исполнитель согласует промежуточные результаты на
территории Заказчика по адресу:199155, г. Санкт-Петербург, ул. Одоевского д. 29,
ГУП «Петербургский метрополитен» Служба информационных технологий и
коммуникаций.
4. Порядок контроля и приемки.
4.1. Оплата услуги производится после выполнения работ на основании оказанных
услуг в соответствии с актом об оказании услуг.
4.2. Услуги должны оказываться в соответствии с инструкцией «О порядке
производства работ сторонними организациями в эксплуатируемых сооружениях
метрополитена» и Правил пожарной безопасности РФ.
4.3. Вход работников в эксплуатируемые сооружения должен осуществляться по
специальным пропускам.
4.4. Контроль над сроками и качеством оказания услуг производится представителем
Заказчика.
4.5. Сдача-приемка выполненных услуг производится представителями Сторон с
подписанием Акта об оказанных услугах.
5. Состав документации.
5.1. Перечень документов, оформляемых при приемке и входе выполнения работ:
- акт об оказанных услугах;
- счет-фактура и счет;
- документация, перечисленная в ведомости объемов услуг.
5.2. Один экземпляр всей документации подготовленной в ходе выполнения работ
передается Заказчику.
6.Порядок оплаты.
6.1.Оплата фактически оказанных услуг производится Заказчиком после выполнения
работ на основании акта об оказанных услугах, подписанных Заказчиком и
Исполнителем, в течение 20 (двадцати) банковских дней с даты подписания акта, при
условии предоставления счета-фактуры.
6.2. Авансирование не предусмотрено.
6