4.3 Внедрение системы защиты персональных данных

ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на выполнение работ по созданию системы защиты персональных данных и оценке
эффективности реализованных в рамках системы защиты персональных данных
мер по обеспечению безопасности персональных данных АО «ЕИРЦ Калужской
области»
Москва
2015 г.
2
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ
АРМ
Автоматизированное рабочее место
ИСПДн
Информационная система персональных данных
НСД
Несанкционированный доступ к информации
ПДн
Персональные данные
ПО
Программное обеспечение
РФ
Российская Федерация
СЗИ
Средство (-а) защиты информации
СЗПДн
Система защиты персональных данных
ФСБ России
Федеральная служба безопасности Российской Федерации
ФСТЭК России
Федеральная служба по техническому и экспортному контролю
Российской Федерации
3
1
ОБЩИЕ СВЕДЕНИЯ
Настоящий документ содержит техническое задание на выполнение работ по
созданию системы защиты персональных данных и оценке эффективности реализованных
в рамках системы защиты персональных данных мер по обеспечению безопасности
персональных данных ОАО «ЕИРЦ Калужской области».
Полное наименование и обозначение системы: Система защиты персональных
данных АО «ЕИРЦ Калужской области».
Сокращенное наименование системы: СЗПДн АО «ЕИРЦ Калужской области»
Заказчик - Акционерное общество «Единый информационно-расчетный центр
Калужской области».
Юридический адрес: 249034, Калужская обл., г. Обнинск, ул. Гагарина, 7.
Места оказания услуг:





249034, Калужская обл., г. Обнинск, ул. Ленина 152, пом.4;
249037, Калужская обл., г. Обнинск, ул. Шацкого, 13;
249032, Калужская обл., г. Обнинск, ул. Курчатова, 41В.
Сроки начала и окончания предоставления услуг:
Датой начала работ является дата заключения договора.
Дата окончания работ: 30 рабочих дней со дня подписания договора.
2
НАЗНАЧЕНИЕ, ЦЕЛИ И ЗАДАЧИ СОЗДАНИЯ СЗПДн
Назначением СЗПДн ОАО «ЕИРЦ Калужской области» является обеспечение
защиты
персональных
данных
от неправомерного
доступа,
уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а
также от иных неправомерных действий в отношении такой информации, обрабатываемой
в информационных системах персональных данных ОАО «ЕИРЦ Калужской области».
Основными целями создания системы защиты персональных данных являются:
 выполнение требований нормативных правовых актов Российской Федерации,
руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы
защиты персональных данных;
 защита информации, содержащейся в информационных системах
персональных данных АО «ЕИРЦ Калужской области» от несанкционированного доступа,
4
результатом которого может стать хищение, утрата, утечка, уничтожение, изменение,
блокирование, копирование, распространение персональных данных;
 создание системы безопасного доступа к персональным данным и средствам их
обработки.
Задачи, подлежащие решению при оказании услуг:
 разработка и внедрение системы защиты персональных данных, разработка
необходимой организационно-распорядительной и технической документации;
 поставка, установка и настройка средств защиты информации (согласно
требованиям, приведенным в приложении № 1 к настоящему Техническому заданию);
 оценка эффективности реализованных в рамках системы защиты персональных
данных мер по обеспечению безопасности персональных данных АО «ЕИРЦ Калужской ;
 выдача заключения по результатам оценки эффективности реализованных в
рамках системы защиты персональных данных мер по обеспечению безопасности
персональных данных АО «ЕИРЦ Калужской.
3
ХАРАКТЕРИСТИКА ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Обработка ПДн в АО «ЕИРЦ Калужской области» осуществляется в рамках,
следующих ИСПДн:
- ИСПДн «СиАР ЖКХ»;
- ИСПДн «АЦК-Капитальный ремонт»;
- ИСПДн «СПУ ВТК»;
- ИСПДн «Бухгалтерский и кадровый учет».
Обработка, хранение и передача ПДн в информационных системах персональных
данных АО «ЕИРЦ Калужской области» происходит с использованием программных и
технических средств.
Аппаратной платформой для программных средств обработки ПДн являются
серверное оборудование и рабочие станции пользователей информационных систем
персональных данных АО «ЕИРЦ Калужской области».
Всего в состав информационных систем персональных данных АО «ЕИРЦ
Калужской области» входит 34 АРМ пользователей и 3 сервера.
Расположение технических средств ИСПДн представлено в таблице 1.
Таблица 1 – Расположение ИСПДн
№
Наименование
Адрес места расположения
п/п
ИСПДн
1
ИСПДн
ЖКХ»
«СиАР 249034, Калужская обл., г. Обнинск, ул. Ленина
152, пом.4
249037, Калужская обл., г. Обнинск, ул.
Шацкого, 13
249032, Калужская обл., г. Обнинск, ул.
Курчатова, 41В
5
2
ИСПДн
«АЦК- 249037, Калужская обл., г. Обнинск, ул.
Капитальный
Шацкого, 13
ремонт»
3
ИСПДн «СПУ ВТК»
4
ИСПДн
«Бухгалтерский
кадровый учет»
249037, Калужская обл., г. Обнинск, ул.
Шацкого, 13
249037, Калужская обл., г. Обнинск, ул.
и Шацкого, 13
Калуга
Калуга
4 ИСПДн АО «ЕИРЦ Калужской области» построены на базе
распределенной вычислительной сети. В вычислительной сети АО «ЕИРЦ
Калужской области» применяются проводные и беспроводные технологии связи для
взаимодействия между рабочими станциями и серверами ИСПДн. ТРЕБОВАНИЯ К
ОБЪЕМУ ОКАЗЫВАЕМЫХ УСЛУГ
Оказание услуг по созданию системы защиты персональных данных и оценке
эффективности реализованных в рамках системы защиты персональных данных мер по
обеспечению безопасности персональных данных , а также ее дальнейшему техническому
сопровождению включает в себя следующие этапы:
4.1 Предпроектное обследование
Данных этап включает в себя уточнение исходных данных об информационных
системах персональных данных АО «ЕИРЦ Калужской области», определение актуальных
угроз безопасности ПДн, разработку для каждой ИСПДн Модели угроз и модели
нарушителя безопасности персональных данных при их обработке в ИСПДн, разработку
перечня мер защиты ПДн с учетом актуальных угроз безопасности, проекта Акта
определения уровня защищенности ПДн при их обработке в ИСПДн Заказчика.
Разработка Модели угроз и модели нарушителя безопасности персональных
данных при их обработке в ИСПДн должна производится Исполнителем в соответствие с
требованиями ФСТЭК России и ФСБ России.
4.2 Разработка технического проекта на создание СЗПДн
На этапе разработки технического проекта СЗПДн Исполнитель должен провести
разработку технических решений по построению СЗПДн информационных систем
персональных данных, осуществить выбор средств защиты информации для
использования в составе СЗПДн.
Результатом работ на данном этапе является технический проект на создание
СЗПДн, включающий в себя следующие документы:
6
 Пояснительная записка к техническому проекту;
 Схема структурная комплекса технических средств СЗПДн;
 Описание комплекса технических средств СЗПДн;
 Спецификация оборудования и ПО СЗПДн.
Документация технического проекта и эксплуатационная документация
разрабатываются в соответствии с РД 50-34.698-90.
Перечень разрабатываемой документации, регламентирующей вопросы защиты
ПДн может дополняться по согласованию между Заказчиком и Исполнителем.
4.3 Внедрение системы защиты персональных данных
Исполнитель выполняет поставку, установку и настройку средств защиты
информации на 28 АРМ и 3 серверах Заказчика в соответствии с Приложением 1 к
настоящему Техническому заданию). Заказчик предоставляет ПЭВМ с лицензионным
общесистемным программным обеспечением и прикладным программным обеспечением,
антивирусными средствами.
Настройка средств защиты информации осуществляется Исполнителем в
соответствии с требованиями нормативных документов ФСТЭК России к ИСПДн, а также
в соответствии с эксплуатационной документацией на средства защиты информации. По
окончанию установки Исполнитель предоставляет Заказчику для каждой ИСПДн акты
установки СЗИ, акты ввода СЗПДн в опытную эксплуатацию, акты вывода СЗПДн из
опытной эксплуатации и ввода в промышленную эксплуатацию.
По результатам внедрения системы защиты персональных данных на объекте
информатизации Заказчика Исполнитель предоставляет Заказчику следующую
техническую и организационно-распорядительную документацию:
Модель угроз безопасности персональных данных (в том числе и модель
нарушителя и модель угроз ФСБ)
Приказ (распоряжение) о мерах по реализации отдельных положений
Федерального закона № 152-ФЗ «О персональных данных»
Приказ (распоряжение) об утверждении положения об обеспечении безопасности
персональных данных;
Инструкция администратора безопасности информационных систем персональных
данных;
инструкция системного администратора информационных систем персональных
данных;
Инструкции пользователя информационных систем персональных данных;
Приказ (распоряжение) об утверждении политики антивирусной защиты
информации;
Приказ (распоряжение) об утверждении инструкции по проведению антивирусного
контроля (защиты) информационных систем персональных данных;
Приказ (распоряжение) об утверждении инструкции по организации парольной
защиты в информационных системах персональных данных;
Приказ об утверждении регламента резервного копирования
Разрешительная система доступа пользователей ИСПДн к информационным
ресурсам
7
Приказ (распоряжение) о создании комиссии по уничтожению документов и
носителей информации, содержащих конфиденциальную информацию, в том числе
персональные данные;
Журнал учета обращений граждан (субъектов персональных данных) по вопросам
обработки персональных данных
Журнал учета материальных носителей информации (персональных данных)
Приказ (распоряжение) об утверждении перечня должностей работников
(сотрудников), замещение которых предусматривает осуществление обработки
персональных данных либо осуществление доступа к персональным данным;
Приказ об утверждении перечня лиц, имеющих доступ в помещения
Технический паспорт ИСПДн
План внутренних проверок (по согласованию с заказчиком)
Инструкция по применению машинных носителей информации;
Приказ (распоряжение) о назначении ответственного за организацию обработки
персональных данных
Приказ (распоряжение) о назначении ответственного за обеспечение безопасности
персональных данных и администратора безопасности информационной системы
Приказ (распоряжение) об утверждении перечня обрабатываемых персональных
данных;
Приказ (распоряжение) о создании комиссии по классификации государственных
информационных систем и информационных систем персональных данных;
Приказ (распоряжение) об утверждении перечня должностей работников
(сотрудников), замещение которых предусматривает осуществление обработки
персональных данных либо осуществление доступа к персональным данным;
Приказ о вводе в эксплуатацию объектов информатизации
Уведомление в Роскомнадзор об обработке ПДн
Памятка пользователя информационных систем персональных данных, общие
обязанности пользователей по обеспечению информационной безопасности при работе в
информационных системах персональных данных;
Приказ (распоряжение) об утверждении перечня помещений, предназначенных для
обработки персональных данных
Приказ (распоряжение) об утверждении мест хранения материальных носителей
информации (персональных данных)
Приказ (распоряжение) о назначении ответственного пользователя средств
криптографической защиты информации
Приказ (распоряжение) об утверждении политики обработки персональных данных
(обязательно для опубликования на сайте, проверяется Роскомнадзором)
Приказ (распоряжение) о создании комиссии по уничтожению документов и
носителей информации, содержащих конфиденциальную информацию, в том числе
персональные данные;
Приказ (распоряжение) об утверждении списка лиц, допущенных к работе со
средствами криптографической защиты информации, а также об утверждении
регламентирующих документов при работе со средствами криптографической защиты
информации;
8
Приказ (распоряжение) об утверждении перечня должностей сотрудников,
ответственных за проведение мероприятий по обезличиванию персональных данных;
Приказ (распоряжение) об утверждении перечня информационных систем
персональных данных
Приказ (распоряжение) об утверждении форм журналов, необходимых для
выполнения требований законодательства РФ в сфере обработки и защиты информации,
не составляющую государственную тайну, в том числе персональных данных;
Журнал поэкземплярного учета криптосредств, эксплуатационной и технической
документации к ним, ключевых документов
Журнал учета мероприятий по контролю над соблюдением режима защиты
информации (персональных данных):
Журнал учета средств защиты информации, эксплуатационной и технической
документации к ним;
Инструкция ответственного за организацию обработки персональных данных
Инструкция ответственного за обеспечение безопасности персональных данных в
информационной системе персональных данных;
Инструкция по порядку использования и организации работы со средствами
криптографической защиты информации
Инструкция ответственного пользователя средств криптографической защиты
информации
Инструкция пользователя средств криптографической защиты информации;
Описание технологического процесса обработки информации (персональных
данных) на сегментах объекта информатизации;
Приказ (распоряжение) об уровне подготовки кадров, обеспечивающих защиту
информации.
Весь комплект документов должен быть выполнен на русском языке и
предоставляется Исполнителем в электронном виде на носителе CD. Ксерокопии
документов не допускаются.
4.4 Проведение оценки эффективности реализованных в рамках системы
защиты персональных
персональных данных
данных
мер
по
обеспечению
безопасности
Исполнителем производятся комплексная оценка эффективности реализованных в
рамках системы защиты персональных данных мер по обеспечению безопасности
персональных данных АО «ЕИРЦ Калужской области» на соответствие требованиям по
безопасности информации ФСТЭК России и/или ФСБ России. Оценка эффективности
производится в соответствии с утвержденной Исполнителем и согласованной Заказчиком
Программой .
По результатам оценки эффективности реализованных в рамках системы защиты
персональных данных мер по обеспечению безопасности персональных данных
информационных систем персональных данных ОАО «ЕИРЦ Калужской области»
Исполнителем оформляются Протокол и Заключение с выводом о результатах оценки
эффективности реализованных мер по обеспечению безопасности.
9
5
ТРЕБОВАНИЯ К СЗПДн
Для ИСПДн АО «ЕИРЦ Калужской области» предварительно определены
требуемые уровни защищенности ПДн:
- ИСПДн «СиАР ЖКХ» - УЗ3;
- ИСПДн «АЦК-Капитальный ремонт» - УЗ3;
- ИСПДн «СПУ ВТК» - УЗ4;
- ИСПДн «Бухгалтерский и кадровый учет» - УЗ4.
Так как ИСПДн имеют общее подключение технических средств, для обеспечения
безопасности ПДн необходимо обеспечение высшего уровня защищенности УЗ3.
В ходе выполнения работ по созданию СЗПДн АО «ЕИРЦ Калужской области»
уровни защищенности ПДн могут уточняться.
5.1 Общие требования
СЗПДн не должна накладывать каких-либо функциональных ограничений на
ИСПДн.
Для обеспечения защиты информации, содержащейся в ИСПДн, должны
применяться сертифицированные по требованиям безопасности информации средства
защиты информации, в том числе средства криптографической защиты информации.
СЗПДн должна обеспечивать реализацию функций безопасности на всех
технологических этапах эксплуатации ИСПДн, в том числе при проведении технического
обслуживания и ремонта.
Эффективность СЗПДн должна достигаться комплексным применением различных
средств и методов, и направлена на исключение неправомерного доступа, копирования,
предоставления, распространения, уничтожения, модифицирования, блокирования
информации.
СЗПДн должна предусматривать возможность масштабирования в случае
расширения ИСПДн.
Состав и конфигурация средств защиты информации в СЗПДн должны выбираться
исходя из возможности взаимодействия «ЕИРЦ Калужской области» в перспективе, с
информационными системами:
 АО «УЭК», с сетью ViPNet № 1488;
 Органов социальной защиты Калужской области;
 МФЦ государственных и муниципальных услуг Калужской области.
5.2 Требования к мерам защиты информации, реализуемые в рамках СЗПДн
Организационные и технические меры защиты информации в зависимости от угроз
безопасности информации, используемых информационных технологий, структурнофункциональных характеристик и класса защищенности ИСПДн должны обеспечивать:
 идентификацию и аутентификацию субъектов доступа и объектов доступа;
 управление доступом субъектов доступа к объектам доступа;
 защиту машинных носителей информации;
10





регистрацию событий безопасности;
антивирусную защиту;
контроль (анализ) защищенности информации;
защиту технических средств;
защиту информационной системы, ее средств, систем связи и передачи
данных;
 управление конфигурацией информационной системы и системы защиты
персональных данных.
Требования к мерам защиты ПДн должны уточняться исходя из разработанной
модели угроз и актуальных угроз безопасности ИСПДн.
5.2.1
Меры идентификации и аутентификации субъектов доступа и
объектов доступа
Меры по идентификации и аутентификации субъектов доступа и объектов доступа
должны обеспечивать присвоение субъектам и объектам доступа уникального признака
(идентификатора), сравнение предъявляемого субъектом (объектом) доступа
идентификатора с перечнем присвоенных идентификаторов, а также проверку
принадлежности субъекту (объекту) доступа предъявленного им идентификатора
(подтверждение подлинности).
Данный набор мер должен обеспечивать:
 идентификацию и аутентификацию пользователей;
 управление идентификаторами, в том числе создание, присвоение,
уничтожение идентификаторов управление средствами аутентификации, в
том числе хранение, выдача, инициализация, блокирование средств
аутентификации и принятие мер в случае утраты и (или) компрометации
средств аутентификации;
 управление средствами аутентификации, в том числе хранение, выдача,
инициализация, блокирование средств аутентификации и принятие мер в
случае утраты и (или) компрометации средств аутентификации;
 защиту обратной связи при вводе аутентификационной информации;
 идентификацию и аутентификацию пользователей, не являющихся
работниками оператора (внешних пользователей)
Применяемые технические меры защиты информации должны быть
сертифицированы органами по сертификации уполномоченных федеральных органов
исполнительной власти в соответствии с их компетенцией.
5.2.2 Меры управления доступом субъектов доступа к
объектам доступа
Меры по управлению доступом субъектов доступа к объектам доступа должны
обеспечивать управление правами и привилегиями субъектов доступа, разграничение
доступа субъектов доступа к объектам доступа на основе совокупности установленных в
информационной системе правил разграничения доступа, а также обеспечивать контроль
соблюдения этих правил.
11
Данный набор мер должен обеспечивать:
 управление учетными записями пользователей;
 реализацию дискреционного метода разграничения доступа;
 управление информационными потоками между устройствами, сегментами
информационной системы, а также между информационными системами;
 разделение полномочий (ролей) пользователей, администраторов и лиц,
обеспечивающих функционирование информационной системы
 назначение минимально необходимых прав и привилегий пользователям,
администраторам
и
лицам,
информационной системы;
обеспечивающим
функционирование
 ограничение неуспешных попыток входа в информационную систему;
 блокирование сеанса доступа в информационную систему после
установленного времени бездействия (неактивности) пользователя или по
его запросу;
 разрешение
(запрет)
действий
идентификации и аутентификации;
пользователей,
разрешенных
до
 реализацию защищенного удаленного доступа субъектов доступа к
объектам доступа через внешние информационно-телекоммуникационные
сети;
 регламентацию и контроль использования в информационной системе
технологий беспроводного доступа;
 управление взаимодействием с информационными системами сторонних
организаций (внешние информационные системы).
Технические меры защиты информации должны реализоваться посредством
применения средств защиты информации, имеющих необходимые функции безопасности,
которые должны быть установлены на защищаемые АРМ и сервера.
Применяемые средства защиты информации должны быть сертифицированы
органами по сертификации уполномоченных федеральных органов исполнительной
власти и удовлетворять требованиям безопасности для средства вычислительной техники
не ниже 5 класса.
5.2.3 Меры защиты машинных носителей информации
Меры по защите машинных носителей информации (средства обработки (хранения)
информации, съемные машинные носители информации) должны исключать возможность
несанкционированного доступа к машинным носителям и хранящейся на них информации
(ПДн), а также несанкционированное использование съемных машинных носителей
информации.
Данный набор мер должен обеспечивать:
 уничтожение (стирание) или обезличивание персональных данных на
машинных носителях при их передаче между пользователями, в сторонние
организации для ремонта или утилизации, а также контроль уничтожения
(стирания) или обезличивания
12
5.2.4 Меры регистрации событий безопасности
Меры по регистрации событий безопасности должны обеспечивать сбор, запись,
хранение и защиту информации о событиях безопасности в информационной системе, а
также возможность просмотра и анализа информации о таких событиях и реагирование на
них.
Данный набор мер должен обеспечивать:
 определение событий безопасности, подлежащих регистрации, и сроков их
хранения;
 определение состава и содержания информации о событиях безопасности,
подлежащих регистрации;
 сбор, запись и хранение информации о событиях безопасности в течение
установленного времени хранения;
 защиту информации о событиях безопасности.
5.2.5 Меры антивирусной защиты
Меры по антивирусной защите должны обеспечивать обнаружение в
информационной системе компьютерных программ либо иной компьютерной
информации, предназначенной для несанкционированного уничтожения, блокирования,
модификации, копирования компьютерной информации или нейтрализации средств
защиты информации, а также реагирование на обнаружение этих программ и информации.
Данные технические меры защиты информации должны реализоваться посредством
применения программных средств защиты информации, имеющих необходимые функции
безопасности, которые должны быть установлены на защищаемые АРМ и сервера.
Данный набор мер должен обеспечивать:
 обновление базы данных признаков вредоносных компьютерных программ
(вирусов).
Применяемые средства защиты должны быть сертифицированы органами по
сертификации уполномоченных федеральных органов исполнительной власти.
5.2.6
Обнаружение вторжений
Меры по обнаружению вторжений должны обеспечивать обнаружение действий в
информационной системе, направленных на преднамеренный несанкционированный
доступ к информации, специальные воздействия на информационную систему и (или)
информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к
информации, а также реагирование на эти действия.
Данные технические меры защиты информации должны реализоваться посредством
применения средств защиты информации, имеющих необходимые функции безопасности,
которые должны быть установлены на защищаемые АРМ и сервера, имеющих выход в
сети связи международного информационного обмена.
Применяемые средства защиты должны быть сертифицированы органами по
сертификации уполномоченных федеральных органов исполнительной власти.
13
5.2.7 Меры
информации
контроля
(анализа)
защищенности
Меры по анализу защищенности информации должны обеспечивать контроль
уровня защищенности информации, содержащейся в информационной системе, путем
проведения мероприятий по анализу защищенности информационной системы и
тестированию ее системы защиты информации.
Данный набор мер должен обеспечивать:
 выявление, анализ уязвимостей информационной системы и оперативное
устранение уязвимостей;
 контроль установки обновлений программного обеспечения, включая
обновление программного обеспечения средств защиты информации;
 контроль работоспособности, параметров настройки и правильности
функционирования
информации;
программного
обеспечения
и
средств
защиты
 контроль состава технических средств, программного обеспечения и средств
защиты информации.
Технические меры защиты информации должны реализоваться посредством
применения программных средств защиты информации, имеющих необходимые функции
безопасности, которые должны быть установлены на АРМ администратора на объекте
информатизации.
Применяемые средства защиты должны быть сертифицированы органами по
сертификации уполномоченных федеральных органов исполнительной власти
5.2.8 Меры защиты технических средств
Меры по защите технических средств должны исключать несанкционированный
доступ к стационарным техническим средствам, обрабатывающим информацию,
средствам, обеспечивающим функционирование информационной системы (далее –
средства обеспечения функционирования), и в помещения, в которых они постоянно
расположены.
Данный набор мер должен обеспечивать:
 организацию контролируемой зоны, в пределах которой постоянно
размещаются стационарные технические средства, обрабатывающие
информацию, и средства защиты информации, а также средства обеспечения
функционирования;
 контроль и управление физическим доступом к техническим средствам,
средствам защиты информации, средствам обеспечения функционирования,
а также в помещения и сооружения, в которых они установлены,
исключающие несанкционированный физический доступ к средствам
обработки информации, средствам защиты информации и средствам
обеспечения функционирования информационной системы и помещения и
сооружения, в которых они установлены;
 Размещение устройств вывода (отображения) информации, исключающее ее
несанкционированный просмотр.
14
5.2.9 Меры защиты информационной системы, ее средств,
систем связи и передачи данных
Меры по защите информационной системы, ее средств, систем связи и передачи
данных должны обеспечивать защиту информации при взаимодействии информационной
системы или ее отдельных сегментов с иными информационными системами и
информационно-телекоммуникационными сетями посредством применения архитектуры
информационной системы, проектных решений по ее системе защиты информации,
направленных на обеспечение защиты информации.
Данный набор мер должен обеспечивать:
 защиту персональных данных от раскрытия, модификации и навязывания
(ввода ложной информации) при ее передаче (подготовке к передаче) по
каналам связи, имеющим выход за пределы контролируемой зоны, в том
числе беспроводным каналам связи;
 защиту беспроводных соединений, применяемых в информационной
системе.
Технические меры защиты информации должны реализоваться посредством
применения аппаратных средств защиты информации, имеющих необходимые функции
безопасности, которые должны быть установлены между компонентами, относящимися к
информационной системе (внутренняя сеть) и оборудованием выхода во внешнюю сеть
общего пользования.
Применяемые средства защиты должны быть сертифицированы органами по
сертификации уполномоченных федеральных органов исполнительной власти и
удовлетворять требованиям межсетевых экранов не ниже 3 класса и средств
криптографической защиты не ниже класса КС3.
5.2.10 Управление
конфигурацией
информационной
системы и системы защиты персональных данных
Меры по управлению конфигурацией информационной системы и системы
защиты персональных данных должны обеспечивать управление изменениями
конфигурации информационной системы и системы защиты персональных данных,
анализ потенциального воздействия планируемых изменений на обеспечение
безопасности персональных данных, а также документирование этих изменений.
Данный набор мер должен обеспечивать:
 определение лиц, которым разрешены действия по внесению изменений в
конфигурацию информационной системы и системы защиты персональных
данных;
 управление изменениями конфигурации информационной системы и
системы защиты персональных данных;
 анализ
потенциального воздействия планируемых изменений в
конфигурации информационной системы и системы защиты персональных
данных на обеспечение защиты персональных данных и согласование
изменений в конфигурации информационной системы с должностным
лицом (работником), ответственным за обеспечение безопасности
персональных данных;
15
 документирование информации (данных) об изменениях в конфигурации
информационной системы и системы защиты персональных данных.
5.2.11 Требования к режимам функционирования
Аппаратно-программные средства СЗПДн должны удовлетворять условию
круглосуточной работы, а также иметь возможность осуществления резервирования
настроек, резервного копирования файлов конфигураций и восстановления в случаях
сбоев.
5.2.12 Требования
сертификации
по
стандартизации,
унификации
и
Разработка СЗПДн должна проводиться с соблюдением действующих
государственных стандартов в соответствии с областью их распространения.
Комплексная защита информации и информационных ресурсов должна
обеспечиваться с помощью общесистемных и специализированных, программных и
аппаратно-программных средств и систем защиты, сертифицированных ФСТЭК и ФСБ,
включая криптографические средства защиты.
Используемые в составе СЗПДн средства защиты информации должны иметь
соответствующие сертификаты ФСТЭК России и (или) ФСБ России (если будут
применяться средства криптографической защиты).
5.2.13 Требования к патентной чистоте
Программные и аппаратно-программные средства, приобретаемые у сторонних
организаций, должны сопровождаться документацией, подтверждающей правомочность
этих организаций поставлять данную продукцию и сопровождаться лицензионным
соглашением.
Исполнитель должен иметь соответствующие полномочия на используемые
программные продукты от правообладателей, и передать Заказчику неисключительные
(ограниченные) права программы для ЭВМ и базы данных, используемые для создания
системы защиты информации.
5.2.14 Требования к гарантии
На все поставляемые средства защиты информации должна быть предоставлена
гарантия, сроком не менее 12 месяцев, но не менее срока гарантии предоставляемой
производителем.
5.2.15 Требования к совместимости
Применяемые средства для создания СЗИ должны быть совместимы с сетевой,
канальной инфраструктурой ИСПДн АО «ЕИРЦ Калужской области», используемым
оборудованием и программным обеспечением и не накладывать ограничений на
функционирование ИСПДн.
Применяемые средства защиты информации и режимы их функционирования не
должны противоречить установленным средствам защиты, общесистемному и
прикладному ПО в части их касающейся.
16
6 ТРЕБОВАНИЯ
ОКАЗАНИИ УСЛУГ
К
ОРГАНИЗАЦИОННОМУ
ОБЕСПЕЧЕНИЮ
ПРИ
Все услуги по установке, настройке СЗИ, а также по вводу в эксплуатацию СЗПДн
информационных систем персональных данных АО «ЕИРЦ Калужской области»
производятся с обязательным выездом Исполнителя на объект Заказчика.
Исполнитель обязан использовать исправные и поверенные приборы, инструменты
и средства измерений.
Исполнитель обязан оказывать услуги в соответствии с требованиями
эксплуатационной документации на приборы, инструменты и средства измерений с
соблюдением норм и правил техники безопасности.
Исполнитель устанавливает и настраивает средства защиты информации в
соответствии с требованиями текущего законодательства по защите информации, а также
в соответствии с эксплуатационной документацией на средства защиты информации.
Все
организационно-распорядительные
документы,
разрабатываемые
Исполнителем в процессе оказания услуг, должны соответствовать технологии обработки
информации в ИСПДн. Пользователи и администраторы должны быть ознакомлены с
разработанными и предлагаемыми к внедрению документами. Организационнораспорядительные документы должны создавать условия для обеспечения защиты
персональных данных от угроз несанкционированного доступа, инсайдерских угроз, угроз
хищения носителей информации.
Исполнитель принимает на себя все затраты, связанные с выездом специалистов на
объект Заказчика, в том числе, но не только: транспортные расходы, командировочные
расходы, оплата проживания.
6
ГАРАНТИЙНЫЕ ОБЯЗАТЕЛЬСТВА
Исполнитель должен обеспечить гарантийное обслуживание поставленного
оборудования на следующих условиях:
- Исполнитель гарантирует, что поставляемое оборудование соответствует
настоящим Техническим требованиям, а также свободно от дефектов материалов и
изготовления.
- Срок гарантии производителя на все поставленное оборудование должен
составлять не менее 12 месяцев.
8
ТРЕБОВАНИЯ К ЛИЦЕНЗИРОВАНИЮ ИСПОЛНИТЕЛЯ
В соответствии с подпунктом 5 пункта 1 статьи 12 Федерального закона № 99-ФЗ
«О лицензировании отдельных видов деятельности» от 04 мая 2011 года Исполнитель
обязуется предоставить документы, подтверждающие соответствие оказываемых услуг
требованиям:
-Копия действующей лицензии ФСБ России на деятельность по разработке,
производству,
распространению
шифровальных
(криптографических)
средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, выполнению работ,
оказанию услуг в области шифрования информации, техническому обслуживанию
17
шифровальных
(криптографических)
средств,
информационных
систем
и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое обслуживание
шифровальных
(криптографических)
средств,
информационных
систем
и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя.
- Копия действующей лицензии ФСТЭК России на деятельность по технической
защите конфиденциальной информации.
7
ТРЕБОВАНИЯ К КАЧЕСТВУ УСЛУГ
Услуги должны оказываться с соблюдением требований Федерального закона
№ 152-ФЗ от 27 июля 2006 года «О персональных данных» и принятыми в соответствии с
ним нормативно-методическими документами, устанавливающими требования к защите
персональных данных.
Качество и комплектность СЗИ и ПО должны соответствовать требованиям,
предъявляемым к техническим характеристикам товара в стране производителя, а также
действующим в РФ стандартам и техническим условиям. Упаковка, в которой
поставляется программное обеспечение, должна обеспечивать ее сохранность при
транспортировке и хранении. Маркировка на упаковке должна соответствовать
действующим стандартам.
8
ИСТОЧНИКИ РАЗРАБОТКИ
При внедрении СЗПДн информационных систем персональных данных АО «ЕИРЦ
Калужской области» необходимо руководствоваться официальными документами фирмпроизводителей применяемых аппаратных средств и программного обеспечения.
Исполнитель при оказании услуг должен обеспечивать соблюдение следующих
федеральных законов, постановлений Правительства Российской Федерации и
нормативных актов:
− Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных
данных»;
− Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
− Постановления Правительства Российской Федерации от 01 ноября 2012 года
№ 1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
− Приказ Федеральной службы по техническому и экспортному контролю от 18
февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных»;
− Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденная ФСТЭК России
15 февраля 2008 года;
− Методика определения актуальных угроз безопасности персональных данных
18
при их обработке в информационных системах персональных данных, утвержденная
заместителем директора ФСТЭК России 14 февраля 2008 года;
− Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации, утвержденные 8 Центром
ФСБ России 21 февраля 2008 г. № 149/54-144;
− Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты информации,
не содержащей сведений, составляющих государственную тайну в случае их
использования для обеспечения безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденные 8 Центром ФСБ России
21 февраля 2008 г. №3149/6/6-622;
− Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных с использованием средств криптографической защиты информации, необходимых
для выполнения установленных правительством российской федерации требований к
защите персональных данных для каждого из уровней защищенности»;
− Руководящий документ «Защита от несанкционированного доступа к
информации. Термины и определения», утвержденный решением председателя
Гостехкомиссии России от 30 марта 1992 года;
− ГОСТ Р 51583-2014 «Порядок создания автоматизированных систем в
защищенном исполнении»;
 ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на
информацию. Общие положения»;
 Руководящий документ Гостехкомиссии России «Средства вычислительной
техники. Защита от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации»;
 Руководящий документ Гостехкомиссии России «Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации»;
 ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Термины и определения»;
 ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов при
создании автоматизированных систем»;
 ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадии создания»;
 ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на
автоматизированные системы. Техническое задание на создание автоматизированной
системы»;
 ГОСТ 34.603-92
«Информационная
технология.
Виды
испытаний
автоматизированных систем»;
 ГОСТ Р 51624–2000 «Защита информации. Автоматизированные системы в
защищенном исполнении. Общие требования».
19
9 ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ ПРИ
ОКАЗАНИИ УСЛУГ
В период оказания услуг и после их окончания Исполнитель не должен разглашать
и использовать конфиденциальную информацию, принадлежащую Заказчику, которая
может стать ему известной в ходе оказания услуг. Исполнитель несет ответственность за
соблюдение этого требования в соответствии с законодательством Российской Федерации.
20
Приложение №1
к Техническому заданию
Перечень программных продуктов и аппаратного
обеспечения системы защиты ПДн АО «ЕИРЦ Калужской области»
№
п/п
1.
Наименование
программного
продукта
Средство защиты
информации от
несанкционированного
доступа (СЗИ от НСД)
Dallas Lock 8.0-K
Функциональные характеристики программных
продуктов
Колво,
шт.
СЗИ от НСД должно представлять собой
программный комплекс средств защиты информации
в операционных системах семейства Windows с
возможностью
подключения
аппаратных
идентификаторов.
СЗИ от НСД должно устанавливаться на АРМ и
серверы ИСПДН под управлением операционных
систем Windows Server 2003, Windows Server 2008,
Windows 7, Windows Server 2008 R2, Windows 8,
Windows Server 2012, Windows 8.1, Windows Server
2012 R2 в многопользовательском режиме их
эксплуатации.
СЗИ от НСД должно поддерживать 32- и 64-битные
версии операционных систем.
СЗИ от НСД должно быть предназначено для
использования на персональных компьютерах,
портативных компьютерах (ноутбуках, планшетах),
серверах (в том числе контроллерах домена и
терминального доступа).
СЗИ от НСД должно быть сертифицировано по
требованиям Руководящих документов (РД) ФСТЭК
России (Гостехкомиссии России) по 5-му классу
защиты от НСД для СВТ и 4-му уровню контроля
отсутствия НДВ, разрабатываться и производиться на
основании лицензии органов, имеющих федеральные
полномочия в указанной сфере.

Сертификат
соответствия
должен
позволять использовать СЗИ от НСД для
обеспечения 3 уровня защищенности
персональных данных.
СЗИ от НСД должно обеспечивать:
1. Регистрацию
различных
пользователей:
локальных, доменных, сетевых. Определение
количества
одновременных
сеансов
для
пользователя.
Возможность
ограничения
количества терминальных сессий на одном
компьютере.
2. Идентификацию
и
проверку
подлинности
28
21
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
пользователей при входе в операционную
систему.
Возможность
двухфакторной
идентификации по паролю и аппаратному
идентификатору.
Возможность
записи
авторизационных данных в идентификатор.
Возможность
определить
принадлежность
аппаратного
идентификатора
конкретному
пользователю. Поддержку входа в ОС по
сертификату
смарт-карты,
выданному
удостоверяющим центром Windows.
3. Реализацию настроек сложности паролей и
механизм генерации пароля, соответствующего
настройкам.
4. Должен быть реализован независимый от
механизмов ОС механизм разграничения прав
доступа к объектам файловой системы, к запуску
программ и к печати документов. Разграничения
должны касаться доступа к объектам файловой
системы (FAT и NTFS), доступа к сети, доступа к
сменным накопителям. Разграничения должны
касаться всех пользователей – локальных,
сетевых, доменных, терминальных.
5. Должен выполняться контроль аппаратной
конфигурации компьютера и подключаемых
устройств:
















Android-устройства;
Bluetooth-устройства;
DVD- и CD-ROM-дисководы;
устройства HID, MTD, PCMCIA, IEEE
1394, Secure Digital;
USB-контроллеры;
беспроводные
устройства
(Wireless
Communication Devices);
биометрические устройства;
дисководы магнитных дисков;
звуковые, видео- и игровые устройства;
инфракрасные устройства (IrDA);
контроллеры магнитных дисков;
ленточные накопители;
модемы;
переносные устройства;
порты (COM и LPT);
сенсоры;
Колво,
шт.
22
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов



сетевые адаптеры;
сканеры и цифровые фотоаппараты;
сменные накопители (CD-ROM, FDD,
USB-Flash-диски).
6. Для предотвращения утечки информации с
использованием сменных накопителей СЗИ от
НСД должна позволять разграничивать доступ
как к отдельным типам накопителей, так и к
конкретным экземплярам.
7. В соответствии с требованиями к СЗИ от НСД
должен использоваться дискреционный принцип
контроля доступа:

обеспечивает доступ к защищаемым
объектам
(дискам,
каталогам,
файлам) в соответствии со списками
пользователей (групп) и их правами
доступа (матрица доступа).
8. Возможность ограничивать средствами СЗИ от
НСД круг доступных сетевых ресурсов (с
точностью до отдельных удаленных рабочих
станций и отдельных папок общего доступа).
9. Регистрация
и
учет
(аудит)
действий
пользователей независимыми от ОС средствами
(включение ПЭВМ, вход/выход пользователей,
доступ к ресурсам, запуск/остановка процессов,
администрирование).
Должны
вестись
непрерывные журналы (т. е. новые записи не
должны затирать более старые) с возможностью
сортировки и архивации записей.
10. Возможность
локального
и
удаленного
администрирования
(управление
учетными
записями, политиками безопасности, правами
доступа, аудитом, просмотр журналов).
11. Возможность
самодиагностики
основного
функционала СЗИ от НСД с возможностью
сохранения отчета.
12. Возможность сохранения конфигурации для
последующего восстановления СЗИ от НСД.
13. Ведение двух копий программных средств
защиты информации и возможность возврата к
настройкам по умолчанию.
14. Реализация СЗИ от НСД должна быть полностью
программной, но с возможностью подключения
аппаратных средств считывания индивидуальных
Колво,
шт.
23
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
Колво,
шт.
идентификаторов
пользователей,
включая
идентификаторы USB-flash-накопители, Touch
Memory (iButton), eToken Pro/Java (в том числе
смарт-карты eToken), Rutoken, Rutoken ЭЦП,
JaCarta ГОСТ/PKI (в том числе смарт-карты и
Flash).
2.
Средство
централизованного
управления СЗИ от
НСД Dallas Lock 8.0-K
(сервер безопасности)
Средство централизованного управления СЗИ от
НСД должно устанавливаться на выделенный
сервер и обеспечивать:
1. Централизованное управление защищенными не
менее чем 35 рабочими станциями и серверами
при помощи специального модуля. С помощью
этого
модуля
должно
осуществляться
централизованное
управление
учетными
записями пользователей, политиками, правами
пользователей. Также этим модулем должен
осуществляться периодический сбор журналов со
всех
защищенных
рабочих
станций.
Возможность
блокировки
компьютера,
завершения сеанса работы пользователя по
команде администратора.
2. Возможность сигнализации администратору
безопасности о ситуациях несанкционированного
доступа на клиентских рабочих станциях:

нарушение контроля целостности объекта;

попытка работы после блокировки при
нарушении целостности;

попытка входа на клиентскую рабочую
станцию с неправильным паролем;

блокировка
многократного
пароля;

СЗИ от НСД на клиенте не отвечает
пользователя
после
ввода
неправильного
несанкционированная
системы защиты);
деактивация

клиент недоступен долгое время (с
возможностью задания периода времени);

попытки монтирования и попытка работы
с запрещенными для пользователей на
клиенте устройствами.
3. Возможность настройки всех параметров СЗИ от
1
24
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
Колво,
шт.
НСД из единой консоли администрирования.
4. Возможность создания отчета по назначенным
правам, формирование паспорта программного
обеспечения,
установленного
на
ПЭВМ,
формирование паспорта аппаратной части
ПЭВМ.
5. Возможность
использования
механизма
удаленной установки и обновления СЗИ от НСД
средствами
модуля
централизованного
управления самой СЗИ или средствами
групповых политик Active Directory.
6. Возможность визуализации сети защищаемых
компьютеров.
3.
4.
Установочный
комплект. Средство
защиты информации
от НСД Dallas Lock
8.0-K
Средство защиты
информации
«Программноаппаратный комплекс
«Соболь». Версия 3.0»
РСI-е
Требования к составу:
Установочный диск, копия сертификата соответствия
(в печатном виде), формуляр (в печатном виде).
Должен осуществлять:
- идентификацию и аутентификацию пользователей;
- доверенную загрузку;
- контроль целостности программной и аппаратной
среды;
- функции сторожевого таймера;
- ведение журнала регистрации событий
Требования к аппаратной части:
- Возможность исполнения АПМДЗ на платах PCI
или
PCI-Express
- возможность работы с идентификаторами
следующих типов: iButton DS 1992, 1993, 1994, 1995
и 1996; iKey 2032; eToken Pro; eToken PRO (Java);
Rutoken, Rutoken S; смарт-карты eToken PRO через
USB-считыватель Athena ASEDrive IIIe USB V2/V3.
Требования к функциональности:
- идентификация пользователей должна
производиться по персональному идентификатору, а
аутентификация - по вводимому с клавиатуры
паролю;
- защита от несанкционированной загрузки
нештатной операционной системы (ОС);
АПМДЗ должен иметь возможность контролировать
целостность:
- файлов и физических секторов жесткого диска;
- элементов системного реестра;
- журнала транзакций NTFS, EXT3 и EXT4;
1
1
25
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
- PCI-устройств;
- структур SMBIOS;
- таблиц ACPI;
- конфигурации оперативной памяти;
- механизм контроля целостности должен
функционировать в среде следующих ОС:
- Windows 8;
- Windows 7/7 x64 Edition;
- Windows Vista/Vista x64 Edition;
- Windows XP Professional/XP Professional x64 Edition;
- Windows Server 2012;
- Windows Server 2008/2008 x64 Edition/2008 R2;
- Windows Server 2003/Server 2003 x64 Edition/Server
2003 R2/Server 2003 R2 x64 Edition;
- МСВС 3.0 x86;
- Альт Линукс СПТ 6.0.0 х86/х64;
- ALT Linux Desktop 4.0.2 Secure Edition x86/Lite x86;
- ALT Linux Server 4.0.0 Secure Edition x86/x64;
- Astra Linux Special Edition "Смоленск" х64;
- ContinentOS 1.0;
- Debian 6.0.3 x86/х64, Debian 5.0.3 x86/5.0.5 x86;
- Mandriva ROSA Desktop 2011.0 x86/x64;
- Mandriva 2008 Spring x86/x64;
- Red Hat Enterprise Linux 6.0 x86/x64;
- Red Hat Enterprise Linux 4.1 Update 1 Secure Edition
x64
- FreeBSD 6.2/6.3/7.2/;
- поддержка файловых систем NTFS, FAT32, FAT16,
UFS2, UFS, EXT4, EXT3, EXT2;
- реализация функции сторожевого таймера;
- функционирование журнала событий безопасности
и его хранение в энергонезависимой памяти платы
АПМДЗ;
- совместная работа с АПКШ «Континент», СЗИ
Secret Net, СКЗИ «Континент-АП» и СКЗИ
«КриптоПро CSP» ;
- возможность программной инициализации АПМДЗ
(без вскрытия системного блока);
- возможность предоставления права загрузки
операционной системы с внешнего носителя
администратору комплекса.
Требования по сертификации:
- должен иметь возможность использования на
компьютерах, на которых предусмотрено штатное
использование криптографических средств,
имеющих класс КС1 или КС2
- должен быть сертифицирован по требованиям ФСБ
на соответствие аппаратно-программным комплексам
Колво,
шт.
26
№
п/п
5.
Наименование
программного
продукта
Средство межсетевого
экранирования и
криптографической
защиты сети ViPNet
HW1000
Функциональные характеристики программных
продуктов
доверенной загрузки ЭВМ до класса 1Б
включительно
- должен иметь возможность применения для защиты
информации, содержащей сведения, составляющие
государственную тайну
Должно отвечать следующим требованиям:
 должно быть совместимо (по ключевой системе и
средствам управления сети) с программным
обеспечением, реализующим функции управления
защищённой сетью, использующемся в центральном
узле системы:
- обновление программного обеспечения,
- обновление справочно-ключевой информацией,
- управлением политиками безопасности;
 должен быть совместим (по протоколам, ключевой
системе, встроенному программному обеспечению
защиты) с криптографическим клиентом и другими
программно-аппаратными
комплексами,
реализующим функции межсетевого экрана и
криптографического шлюза, использующимися в
защищенной сети;
 шифрование/расшифрование;
 направляемого/принимаемого IP-трафика;
 организация защищённой виртуальной частной
сети (VPN);
 встроенная операционная система GNU/Linux;
 встроенный жёсткий диск;
 форм-фактор 19” (для установки в стойку
глубиной от 480 мм и более) 430х43х380 (ШхВхГ);
 должен иметь не менее 4 (четырёх) сетевых
интерфейсов 10/100/1000 Mbit/sec с разъёмом RJ45;
 должно обеспечиваться предоставление функции
туннелирующего сервера без ограничений на число
лицензий для туннелируемых IP-адресов;
 должно обеспечиваться предоставление функции
сервера IP-адресов;
 программное обеспечение, реализующее функции
криптографического шлюза, должно шифровать
каждый IP-пакет на уникальном ключе, основанном
на паре симметричных ключей связи с другими
криптографическими
шлюзами
и
клиентами
защищенной сети, выработанных в программном
обеспечении, реализующем функции управления
защищённой сетью;
 должен обеспечивать подключение VPN-клиентов,
присутствующих в сети без ограничений по числу
лицензий для одного ПАК;
 в состав и стоимость комплекса должна входить
Колво,
шт.
1
27
№
п/п
6.
Наименование
программного
продукта
Средство межсетевого
экранирования и
криптографической
защиты сети ViPNet
HW100С
Функциональные характеристики программных
продуктов
java-программа для удаленного управления и
мониторинга
настройками
криптошлюза
и
встроенного межсетевого экрана;
 должно
обеспечиваться
автоматическое
распределение симметричной ключевой информации
при появлении в сети новых пользователей,
добавлении
новых
связей
или
удалении
существующих связей, компрометации ключей или
штатных процедурах смены ключевой информации
на ПАК.
Требования по сертификации:
− должно иметь сертификат ФСТЭК России в
соответствии с руководящим документом «Средства
вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к
информации.
Показатели
защищенности
от
несанкционированного доступа к информации»
(Гостехкомиссия России, 1997) не ниже, чем по 3-му
классу защищенности;
− должно иметь сертификат, подтверждающий
соответствие требованиям ФСБ России к средствам
криптографической защиты информации класса не
ниже КС3;
− должно соответствовать: классификация по
уровню
отсутствия
недекларированных
возможностей (Гостехкомиссия России, 1999) не
ниже, чем по 4-му уровню контроля.
Должно отвечать следующим требованиям:
 должно быть совместимо (по ключевой системе и
средствам управления сети) с программным
обеспечением, реализующим функции управления
защищённой сетью, использующемся в центральном
узле системы:
- обновление программного обеспечения,
- обновление справочно-ключевой информацией,
- управлением политиками безопасности;
 должен быть совместим (по протоколам, ключевой
системе, встроенному программному обеспечению
защиты) с криптографическим клиентом и другими
программно-аппаратными
комплексами,
реализующим функции межсетевого экрана и
криптографического шлюза, использующимися в
защищенной сети;
 шифрование/расшифрование;
 направляемого/принимаемого IP-трафика;
 организация защищённой виртуальной частной
сети (VPN);
 встроенная адаптированная ОС Linux;
Колво,
шт.
4
28
№
п/п
7.
Наименование
программного
продукта
Центр управления
защищённой сетью
Функциональные характеристики программных
продуктов
 встроенный жёсткий диск;
 должен иметь не менее 4 (четырёх) сетевых
интерфейсов 10/100/1000 Mbit/sec с разъёмом RJ45;
 должно обеспечиваться предоставление функции
туннелирующего сервера на 10 туннелируемых IPадресов;
 должно обеспечиваться предоставление функции
сервера IP-адресов;
 программное обеспечение, реализующее функции
криптографического шлюза, должно шифровать
каждый IP-пакет на уникальном ключе, основанном
на паре симметричных ключей связи с другими
криптографическими
шлюзами
и
клиентами
защищенной сети, выработанных в программном
обеспечении, реализующем функции управления
защищённой сетью;
 должен обеспечивать подключение VPN-клиентов,
присутствующих в сети;
 в состав и стоимость комплекса должна входить
java-программа для удаленного управления и
мониторинга
настройками
криптошлюза
и
встроенного межсетевого экрана;
 должно
обеспечиваться
автоматическое
распределение симметричной ключевой информации
при появлении в сети новых пользователей,
добавлении
новых
связей
или
удалении
существующих связей, компрометации ключей или
штатных процедурах смены ключевой информации
на ПАК.
Требования по сертификации:
− должно иметь сертификат ФСТЭК России в
соответствии с руководящим документом «Средства
вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к
информации.
Показатели
защищенности
от
несанкционированного доступа к информации»
(Гостехкомиссия России, 1997) не ниже, чем по 3-му
классу защищенности;
− должно иметь сертификат, подтверждающий
соответствие требованиям ФСБ России к средствам
криптографической защиты информации класса не
ниже КС3;
− должно соответствовать: классификация по
уровню
отсутствия
недекларированных
возможностей (Гостехкомиссия России, 1999) не
ниже, чем по 4-му уровню контроля.
Требования к функциональности:
- должен состоять из центра управления сетью и
Колво,
шт.
1
29
№
п/п
8.
Наименование
программного
продукта
ViPNet Administrator
3.2 КС3
Комплект дисков
дистрибутивами
Функциональные характеристики программных
продуктов
ключевого удостоверяющего центра;
- должен обладать совместимостью (полностью) с
программным обеспечением, реализующим функции
криптографического шлюза и клиента;
- выработка ключей, соответствующих ГОСТ 2814789, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;
- создание узлов защищенной сети
(криптографические шлюзы и клиенты), удаление
узлов защищенной сети, определение политик связей
защищённых узлов между собой, определение
политики безопасности и формирование списков
прикладных задач для узлов защищенной сети;
- автоматическая рассылка справочной и ключевой
информации;
- проведение автоматического обновления
программного обеспечения криптошлюзов и
криптографических клиентов;
- формирование симметричных ключей связи узлов
(криптошлюзы и криптографические клиенты) между
собой;
- формирование сертификатов электронно-цифровой
подписи формата X.509 v.3;
- ведение списков отозванных сертификатов
электронно-цифровой подписи;
- наличие модуля гарантированной доставки
обновления справочной-ключевой информации на
криптошлюзы и криптографические клиенты;
- поддержка операционных систем MS Windows: XP /
Server 2003 / Vista /Server 2008/ Windows 7 /Server
2008 R2.
Требования по сертификации:
- должно иметь сертификат, подтверждающий
соответствие требованиям ФСБ России к средствам
криптографической защиты информации класса не
ниже КС3.
- должно иметь сертификат ФСТЭК России,
подтверждающий соответствие требованиям
руководящих документов «Средства вычислительной
техники. Межсетевые экраны. Защита от
несанкционированного доступа к информации.
Показатели защищенности от несанкционированного
доступа к информации» — не ниже 3 класса
защищенности.
- должно иметь ФСТЭК России, подтверждающий
возможность
использования
для
защиты
информационных систем персональных данных до 1
класса включительно.
с
Требования к составу:
Установочный диск, копия сертификата (в печатном
Колво,
шт.
3
30
№
п/п
9.
10.
Наименование
Функциональные характеристики программных
программного
продуктов
продукта
ViPNet
3.x виде), формуляр (в печатном виде).
(Administrator
КС3, Coordinator КС3,
Client КС3, Custom)
xSpider на 32 IP-адрес
на 1 год
Должно осуществлять:
 полную идентификацию сервисов на случайных
портах с возможностью
 проверки на уязвимость серверов со сложной
нестандартной конфигурацией, когда сервисы имеют
произвольно выбранные порты;
 эвристический метод определения типов и имен
серверов (HTTP, FTP, SMTP,POP3, DNS, SSH);
 обработку RPC-сервисов (Windows и *nix) с их
полной идентификацией;
 возможность определения RPC-сервисов и поиска
уязвимостей вних, а также определения детальной
конфигурации компьютера в целом;
 проверку слабости парольной защиты;
 выявление слабых паролей;
 глубокий анализ контента WEB-сайтов;
 анализ всех скриптов HTTP-серверов (в первую
очередь, пользовательских) и поиск в них
разнообразных
уязвимостей:
SQL
инъекций,
инъекций кода, запуска произвольных программ,
получения файлов, межсайтовый скриптинг (XSS),
HTTP ResponseSplitting;
 анализ структуры HTTP-серверов;
 поиск и анализ директорий доступных для
просмотра и записи, с обеспечением возможности
нахождения слабых мест в конфигурации;
 проведение проверок на нестандартные DoSатаки;
 возможность включения проверок "на отказ в
обслуживании", основанных наопыте предыдущих
атак и хакерских методах;
 применение
специальных
механизмов,
уменьшающих вероятность ложных срабатываний;
 ежедневное добавление новых уязвимостей и
проверок.
Должно реализовать следующие функции:
 использование концепций "задач" и "профилей"
для
эффективного
управления
процессом
мониторинга безопасности;
 наличие
планировщика
заданий
для
автоматизации работы;
Колво,
шт.
31
№
п/п
11.
Наименование
программного
продукта
ПО ViPNet Client 3.x
(КС3)
Функциональные характеристики программных
продуктов
Колво,
шт.
 одновременное сканирование большого числа
компьютеров
(ограничивается,
как
правило,
скоростью сетевого канала);
 ведение полной истории проверок;
 генерация отчетов с детализацией;
 наличие встроенной документации, включающей
контекстную справку и учебник;
работа под управлением Windows
2000/XP/2003/Vista/7.Требования по сертификации:
− должно быть сертифицировано на соответствие
требованиям руководящих документов ФСТЭК
России по четвертому уровню контроля на
отсутствие недекларированных возможностей. ;
− должно быть сертифицировано на соответствие
ТУ, указывающий на применимость ПО для
реализации мер защиты ОПС.2, РСБ.3, РСБ.5, АНЗ.1,
АНЗ.2, АНЗ.3, АНЗ.4, ОЦЛ.1, УКФ.2, УКФ.4
согласно «Составу и содержанию организационных и
технических мер по обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных данных»
(утверждённым приказом ФСТЭК России № 21 от
18.02.2013).
−
Требования к функциональности:
Должно реализовать следующие функции:
 функцию персонального сетевого экрана,
защищающего
рабочую
станцию/сервер
от
возможных сетевых атак не хуже 4 класса
защищенности по требованиям ФСБ России и не
хуже 3 класса защищенности по требованиям
ФСТЭК России;
 фильтрацию защищенного и открытого IPтрафика по различным параметрам («белый» и
«черный» списки IP-адресов, порты, протоколы,
типы сервисов и приложений);
 наличие режима инициативных соединений,
позволяющего сделать невидимым компьютер
защищенной сети из открытой сети;
 наличие системы обнаружения вторжений (IDS);
 мониторинг сетевой активности приложений, с
возможностью
обнаружить
и
блокировать
несанкционированную
активность
программ,
обращающихся к ресурсам сети;
 шифрование TCP/IP трафика, обеспечивающее
защиту (конфиденциальность, подлинность и
1
32
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
целостность) любого вида трафика (приложений,
систем
управления
и
служебного
трафика
операционной системы), передаваемого между
любыми объектами сети (рабочие станции,
информационные серверы, серверы приложений,
сетевые устройства и узлы);
 возможность в реальном времени обеспечивать
защиту трафика служб голосовой и видеосвязи в
сетях TCP/IP;
 прозрачная работа через устройства статической и
динамической NAT/PAT маршрутизацией;
 функцию чата - клиента, с возможностью обмена
защищенными сообщениями и организации чат конференций между объектами сети, на которых
установлены клиентские и серверные модули;
 функцию обмена файлами, позволяющую
обмениваться между объектами сети файлами
произвольного размера и типа без установки
дополнительного ПО или использования функций
ОС по общему доступу к файлам через сеть. Обмен
файлами должен производиться через защищенную
транспортную сеть с гарантированной доставкой и
досылкой файлов в случае обрыва связи;
 функцию контроля приложений. Указанная
функция должна позволять контролировать сетевую
активность приложений и компонент операционной
системы, с возможностью формировать «черный» и
«белый» списки приложений, которым запрещено
или разрешено работать с ресурсами сети, а также
задавать
реакцию
на
сетевую
активность
неизвестных приложений;
 функцию почтового клиента защищенной
почтовой службы, функционирующей в рамках
защищенной сети. Указанная функция должна
позволять:
 формировать и отсылать письма адресатам сети
через
простой
графический
интерфейс
пользователя, с возможностью многоадресной
рассылки;
 использовать встроенные механизмы ЭЦП для
подписи, в том числе множественной, текста
письма и его вложений;
 контролировать все этапы доставки письма;
 иметь доступ к истории удаления писем;
 вести архивы писем;
 использовать
механизм
автоматической
обработки входящих писем и файлов - задавать
Колво,
шт.
33
№
п/п
Наименование
программного
продукта
Функциональные характеристики программных
продуктов
правила обработки входящих писем, а также
правила по автоматическому формированию и
отправке писем с заданными файлами.
Должно отвечать следующим требованиям:
 иметь полную совместимость с программным
модулем, реализующего функции управления
защищённой сетью, представленным в настоящей
документации:
централизованное
обновление
программного обеспечения, обновление справочноключевой информацией;
 иметь полную совместимость с программноаппаратным комплексом, реализующим функции
серверного модуля системы защиты, представленным
в
настоящей
документации:
шифрование/дешифрование
направляемого/принимаемого
IP-трафика,
выполнение функций персонального сетевого экрана;
 программное
обеспечение
должно
быть
сертифицировано по требованиям ФСБ России к
средствам криптозащиты информации не ниже
класса КС3 возможности использования для
криптографической защиты IP-трафика;
 программное
обеспечение
должно
соответствовать 3 уровню контроля отсутствия
недекларированных возможностей руководящему
документу «Защита от несанкционированного
доступа к информации. Часть 1. Программное
обеспечение
средств
защиты
информации.
Классификация по уровню контроля отсутствия
недекларированных
возможностей»
(Гостехкомиссия, 1999);
 программное
обеспечение
должно
соответствовать
3
классу
защищенности
руководящему документу «Средства вычислительной
техники.
Межсетевые
экраны.
Защита
от
несанкционированного
доступа.
Показатели
защищенности от несанкционированного доступа к
информации» (Гостехкомиссия, 1997);
 программное обеспечение должно работать под
управлением операционной системы Windows 2000
(32 бит)/XP (32 бит)/2003 Server (32 бит)/Vista (32
бит/64 бит)/Seven(32 бит/64 бит)/Server 2008 (32
бит/64 бит)/Server 2008 R2.
Программное обеспечение должно быть
укомплектовано эксплуатационной документацией
Колво,
шт.
34
№
п/п
12.
Наименование
программного
продукта
Сертифицированный
ФСТЭК России
дистрибутив
антивирусного
программного
обеспечения
(установочный
комплект) DrWeb
Enterprise Security
Suite версия 6.0
Функциональные характеристики программных
продуктов
(описание системы, руководство пользователя
системы, руководство администратора системы) на
носителях (компакт-дисках), формулярами,
сертификатами соответствия ФСТЭК и ФСБ России,
заверенными производителями.
Требования к составу:
− Компакт-диск
с
размещенными
на
нем
дистрибутивами ПО DrWeb Enterprise Security Suite
версия 6.0 и документацией;
− Формуляр;
− Лицензионный сертификат;
− Копия Сертификата соответствия, выданного
Федеральной
службой
по
техническому
и
экспортному контролю (ФСТЭК) России;
− Специальный
защитный
знак
Системы
сертификации средств защиты информации по
требованиям
безопасности
информации
(свидетельство № РОСС RU.0001.01БИ00);
− Упаковочная коробка с наклейкой, разрываемой
при вскрытии коробки;
− Картонный конверт для хранения компакт-диска.
Колво,
шт.
1