Ответ на запрос по разъяснению положений документации о закупке. Вопрос:
advertisement
Ответ на запрос по разъяснению положений документации о закупке. Вопрос: «1) Признаны ли эти их объекты официально КВО (критически важный объект) с КСИИ (ключевая система информационной инфраструктуры)?». Разъяснение: Нет, объекты, не признаны КВО с КСИИ. Объекты официально признаны потенциальноопасными объектами ТЭК средней категории опасности. Вопрос: «2) Перечень установок включает в себя 152 объекта, а перечень АСУ ТП – 84. Правильно ли мы понимаем что часть АСУ ТП управляет сразу несколькими установками/участками/отделениями? Или на части установок просто нет АСУ ТП и мы их не рассматриваем?». Разъяснение: Объектом аудита должны быть все установки, имеющие степень потенциальной опасности «средняя» и выше. В приложении указан перечень установок (на дату размещения закупки) и тип АСУТП. Вопрос: «3) Если наименования АСУ ТП состоят из наименований контроллеров без наименований SCADA (например, PLC Allen Bradley, PLC Siemens S7-400) – означает ли это что там нет АРМ и серверов? Если да – то передаётся ли куда-то информация от них? Если да – то куда?». Разъяснение: Получение ответов на данные вопросы являются одними из целей проведения аудита, необходимую информацию должны собрать и обобщить представители Исполнителя в рамках выполнения аудита. Вопрос: «4) Предоставят ли нам обобщенные технические схемы по каждой установке? 5) Что именно подразумевается под электро-технической схемой (схема соединений и подключений, релейная схема и т.д.)? Потребуется ли ее разрабатывать или она будет предоставлена? 6) Будет ли предоставлены полные описания каждой АСУ ТП? 7) Обычно под человеко-машинным взаимодействием при работе с АСУТП подразумеваются видеокадры SCADA с описанием. Что здесь имеется ввиду?». Разъяснение: Необходимость составления подробной организационно-технической схемы каждой АСУТП продиктовано требованиями приказа ФСТЭК России от 14 марта 2014 г. N 31 «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» в части п.II. «Требования к организации защиты информации в автоматизированной системе управления» пп.7, устанавливающего многоуровневость структуры АСУТП – от исполнительных устройств до уровня операторского управления, и определяющего необходимость защиты АСУТП на всех уровнях её структуры. Перечисленные данные в объеме проектной документации (при их наличии) будут переданы Исполнителю Заказчиком и должны быть в унифицированном виде приобщены к отчетным материалам. При отсутствии данной информации у Заказчика, создание перечисленных документов осуществляется Исполнителем в объеме, необходимом для формирования моделей угроз и разработки детальных требований по защите. Вопрос: «8) Можно ли получить внутренние нормативные документы Общества на которые идет ссылка в п.8 ТТ «Разработанные модель угроз и модель нарушителя для каждой АСУТП должны соответствовать требованиям государственных регулирующих органов и внутренним нормативным документам Общества»?». Разъяснение: Данное требование, в части соответствия внутренним нормативным документам Общества, связано с необходимостью оформления документов в соответствии с корпоративными стандартами (визуальное оформление, следование корпоративным шаблонам). Образцы данных документов будут предоставлены после заключения договора. Вопрос: «9) Правильно ли мы понимаем, что требуется разработать Модель угроз для каждой АСУ ТП или возможна типизация? 10) Правильно ли мы понимаем, что требуется разработать документ по оценке рисков для каждой АСУ ТП или возможна типизация?». Разъяснение: Типизация возможна, если это будет обосновано результатами аудита. Вопрос: «11) По п.8 ТТ «При разработке технического задания на приведение системы ЗИ АСУТП в соответствие с требованиями государственных регулирующих органов в качестве вариантов компенсации выявленных уязвимостей ИБ АСУТП необходимо рассмотреть два варианта компенсации – технический и организационный». В общем случае варианты компенсации – не тема для ТЗ, собственно варианты выбираются в проектной документации. Можно задавать требования без уточнения, какими именно способами это может быть реализовано. Как вариант, возможно дописывать «при наличии технической возможности», «может быть выполнено организационными мерами» или «на этапе проектирования определить целесообразность реализации техническими или организационными мерами». Допускается ли такой вариант?». Разъяснение: ТЗ на приведение системы ЗИ АСУТП в соответствие с требованиями государственных регулирующих органов является основным результатом аудита. В рамках ТЗ должен быть детально расписаны конкретные организационные и технические требования по приведению существующей системы ЗИ в соответствие требованиям государственных регулирующих органов. Таким образом, меры компенсации угроз являются неотъемлемой частью ТЗ. В связи со спецификой АСУТП, не всегда использование эффективного технического решения возможно, т.к. это может создавать помехи основному процессу управления. Поэтому все компенсационные меры должны быть представлены в двух вариантах (если это возможно): техническом и организационном. Вопрос: «12) Примечание к Части 1 - Исходная информация для запроса сведений у участника закупки по требованиям ОТ, ПБ и Э прописано: Данная часть Анкеты заполняется Инициатором закупки до размещения документации о закупке по согласованию со Службой ОТ, ПБ и Э Общества, Филиала, ДО. Исходя из предмета закупки, объем требований норм в области ОТ, ПБ и Э (пункты Анкеты) может быть дополнен Инициатором закупки по согласованию со Службой ОТ, ПБ и Э Общества, Филиала, ДО. В конкурсной документации данная часть не заполнена. Просим уточнить какие данные необходимо указать в части 1 данной анкеты?». Разъяснение: Дополнительных требований по ОТ, ПБ и Э нет.
