08.09.2021
ОСЭД (специальное программное обеспечение облачной системы электронного документооборота Министерства транспорта Российской Федерации) обладает следующими основными функциональными возможностями:
Автоматизация процессов документооборота всех подразделений Министерства: подготовка проектов документов, их согласование, автоматическая передача адресатам, передача на исполнение, передача на ознакомление, контроль исполнения, формирование отчетов об исполнении.
Автоматизация процессов ведения делопроизводства: регистрация документов (входящих, исходящих, внутренних, организационно-распорядительных документов, обращений граждан), оформление указаний по исполнению документа, постановка и снятие с контроля, отметка об исполнении, отметка о списании в дело.
Получение необходимых данных по запросам пользователей по документам, занесенным в систему, и контролю исполнения этих документов.
Получение необходимых отчетов по документам, занесенным в систему,
и контролю исполнения этих документов.
Защита информации от несанкционированного доступа.
Использование поточного протяжного и планшетного сканеров для ввода
в систему графической информации в формате PDF, возможность прикрепления
к карточке документа файлов произвольного формата.
Обеспечение возможности работы с документами во время отсутствия
на рабочем месте (в командировках, на дому и т.д.), в том числе в «online»
и «offline» режимах на мобильных устройствах под управлением ОС Apple iOS версии не ниже 7.0, Google Android версии не ниже 4.2, Microsoft Windows, версии не ниже 7.0, а также Microsoft Windows XP.
Основные направления автоматизации документооборота Минтранса России, на которые нацелено функционирование ОСЭД:
Внутреннее – документы создаются сотрудниками Министерства
и адресуются сотрудникам Министерства.
Исходящее – документы создаются сотрудниками Министерства и адресуются внешним адресатам, т.е. иным организациям, не подключенным к ОСЭД.
Входящее – документы поступают из иных организаций, не подключенных
к ОСЭД.
Обращения граждан и иных организаций.
Возможность обмена электронными документами и данными с системой межведомственного электронного документооборота (МЭДО) реализована через интерфейс информационного взаимодействия ОСЭД (шлюз ОСЭД-МЭДО).
ОСЭД размещается на программно-аппаратной платформе (комплексе) Заказчика в среде виртуализации под управлением VMware vSphere 5.5.
Архитектура построения ОСЭД базируется на использовании виртуальных серверов под управлением ОС Red Hat Enterprise Linux Server release 6.5 (Santiago). В качестве системы управления базой данных (СУБД) МСЭД используется Oracle Database 12c Enterprise Edition Release 12.1.0.1.0 - 64bit Production. Административный доступ к серверам под управлением ОС Red Hat Enterprise Linux Server release 6.5 (Santiago) осуществляется по протоколу SSH версии 2.
Оказание услуг по модификации СПО ОСЭД осуществляется в соответствии с:
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем по защите информации», утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992;
• Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, одобренными решением коллегии Гостехкомиссии России от 02.03.2002;
• Методическим документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 2008 год;
• Методическим документом «Методика оценки угроз безопасности информации», ФСТЭК России, 2021 год;
• настоящим Техническим заданием;
• эксплуатационной документацией на ОСЭД, приведенной в п. 2.3 настоящего ТЗ;
• ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
• ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
• ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
• ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;
• Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• ГОСТ Р ИСО/МЭК 12207-2010. «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств»;
• ГОСТ Р ИСО/МЭК 14764-2002. «Информационная технология. Сопровождение программных средств»;
• ГОСТ Р ИСО/МЭК 14764-2006. «Программная инженерия. Процессы жизненного цикла программных средств. Сопровождение»;
• ГОСТ 19.101-77. «Единая система программной документации. Виды программ и программных документов»;
• ГОСТ Р ИСО/МЭК 15288-2005 «Системная инженерия. Процессы жизненного цикла систем»;
• ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств»;
• РД 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
Услуги по развитию СПО ОСЭД оказываются на основании представляемых Заказчиком План-заданий на развитие СПО ОСЭД.
Виды услуг по развитию СПО ОСЭД в части обработки конфиденциальной информации.
При оказания услуг по развитию и модификации СПО ОСЭД необходимо обеспечить сохранность, неразглашение и неиспользование в личных интересах информации работниками Исполнителя, которым она доверена.
Мероприятия, проводимые в рамках оказания услуг, должны гарантировать безопасность хранения данных и не допускать несанкционированного доступа к сведениям.
В ходе оказания услуг по развитию СПО ОСЭД не допускается:
– оказывать услуги или проводить какие-либо работы на программно-аппаратном комплексе ОСЭД в отсутствие представителя Заказчика;
– копировать информационные ресурсы ОСЭД на неучтенные Заказчиком электронные носители информации;
– использовать при выполнении работ на программно-аппаратном комплексе ОСЭД неучтенные копии программного обеспечения и информационных ресурсов ОСЭД;
– выносить из помещений, в которых размещены компоненты программно-аппаратного комплекса ОСЭД, без оформления соответствующим актом какое-либо оборудование, входящее в состав программно-аппаратного комплекса ОСЭД, копии программного обеспечения и (или) информации хранящейся в ОСЭД;
– тиражировать и (или) передавать третьим лицам копии информационных ресурсов ОСЭД без письменного разрешения Заказчика;
– использовать электронные носители информации, предназначенные для работы в ОСЭД, без предварительной антивирусной проверки.
Для обеспечения безопасности информации в ОСЭД должны быть организованы мероприятия по защите информации, которые должны включать в себя следующие этапы:
- формирование требований к защите информации в ОСЭД;
- разработка системы защиты информации (СЗИ) ОСЭД;
- оснащение техническими средствами, программным обеспечением, средствами защиты информации (при необходимости);
- внедрение СЗИ ОСЭД;
- разработка комплекта организационно-распорядительных документов по вопросам защиты информации в ОСЭД;
- анализ уязвимостей в ОСЭД;
- аттестация ОСЭД по требованиям защиты информации.
1. При формировании требований к защите информации в ОСЭД необходимо:
- определить классификационные признаки ОСЭД;
- определить угрозы безопасности информации ОСЭД;
- формирование требований по созданию СЗИ ОСЭД.
1.1. Требования к определению классификационных признаков ОСЭД
Определение классификационных признаков ОСЭД должно проводиться Заказчиком с привлечением Исполнителя в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем по защите информации», утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
По результатам определения классификационных признаков Исполнителем должен быть разработан Акт классификации ОСЭД по требованиям защиты информации, который утверждается комиссией, сформированной Заказчиком.
1.2. Требования к определению угроз безопасности информации ОСЭД
Угрозы безопасности информации ОСЭД должны определяться по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ОСЭД, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
По результатам оформляется модель угроз безопасности информации ОСЭД, которая должна содержать описание системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей, возможных уязвимостей ОСЭД, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
В ходе определения угроз безопасности информации ОСЭД необходимо определить:
- негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации, в том числе:
• актуальные виды рисков (ущербов), которые могут наступить от нарушения или прекращения основных процессов;
• негативные последствия, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба);
- возможные объекты воздействия угроз безопасности информации, в том числе:
• компоненты ОСЭД, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов Заказчика;
• виды воздействия на компоненты ОСЭД, реализация которых нарушителем может привести к негативным последствиям;
- источники угроз безопасности информации, в том числе:
• характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;
• категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;
• возможности нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре ОСЭД;
- способы реализации (возникновения) угроз безопасности информации, в том числе:
• способы реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
• интерфейсы объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации;
- актуальные угрозы безопасности информации, в том числе:
• перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
• возможные сценарии реализации угроз безопасности информации.
Результаты определения угроз безопасности информации должны быть отражены в Модели угроз безопасности информации ОСЭД.
Модель угроз безопасности информации утверждается Заказчиком.
1.3. Требования к формированию требований по созданию СЗИ ОСЭД
Требования к СЗИ ОСЭД должны быть определены в соответствии с положениями, требованиями и рекомендациями действующих нормативных правовых актов, методических документов и национальных стандартов, перечень которых приведен в п.3.1 настоящего Технического задания.
По результатам оформляется Техническое задание на создание СЗИ ОСЭД, которое должно содержать:
- цель и задачи обеспечения защиты информации в ОСЭД;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать СЗИ ОСЭД;
- перечень объектов защиты ОСЭД;
- требования к мерам и средствам защиты информации, применяемым в ОСЭД;
- стадии (этапы работ) создания СЗИ ОСЭД;
- требования к техническим средствам, программному обеспечению, средствам защиты информации СЗИ ОСЭД.
Техническое задание на создание СЗИ ОСЭД утверждается Заказчиком.
2. При разработке СЗИ ОСЭД необходимо:
- определить типы субъектов и объектов доступа (защиты) в ОСЭД;
- определить методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в ОСЭД;
- выбрать меры защиты информации, подлежащие реализации в СЗИ ОСЭД;
- определить структуру СЗИ ОСЭД, включая состав (количество) и места размещения ее элементов;
- выбрать средства защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определить требования к параметрам настройки средств защиты информации.
Исполнителем должен быть разработан Технический проект на СЗИ ОСЭД в соответствии с Техническим заданием на создание СЗИ.
Результаты оказания услуг оформляются в виде Технического проекта на СЗИ ОСЭД в составе:
- ведомость технического проекта СЗИ ОСЭД;
- пояснительная записки к техническому проекту СЗИ ОСЭД;
- ведомость покупных изделий СЗИ ОСЭД.
Технический проект на СЗИ ОСЭД утверждается Заказчиком.
3. При оснащении техническими средствами, программным обеспечением, средствами защиты информации необходимо произвести оснащение технических средств, программного обеспечения, средств защиты информации в соответствии с Техническим проектом на СЗИ ОСЭД. В данный момент работоспособность системы ОСЭД обеспечивает до 23 серверов различных ролей.
По результатам выполнения работ ОСЭД должна быть оснащена техническими средствами, программным обеспечением, средствами защиты информации в соответствии с Техническим проектом на СЗИ ОСЭД. При необходимости оформляется и подписывается акт об оснащении техническими средствами, программным обеспечением, средствами защиты информации.
4. При проведении работ по установке и настройке программного обеспечения и средств защиты информации необходимо:
- провести работы по установке и настройке программного обеспечения и средств защиты информации СЗИ ОСЭД;
- провести испытания СЗИ ОСЭД.
4.1. Требования к проведению работ по установке и настройке программного обеспечения и средств защиты информации СЗИ ОСЭД
При проведении работ по установке и настройке программного обеспечения и средств защиты информации необходимо произвести установку и настройку в соответствии с эксплуатационной документацией на программное обеспечение и средства защиты информации согласно Техническому проекту на СЗИ ОСЭД.
При внедрении СЗИ ОСЭД время простоя предоставления сервиса должно быть не более 2 часов. Технологические паузы должны быть согласованы с Заказчиком.
Установка и настройка программного обеспечения и средств защиты информации должна проводиться с участием специалистов Заказчика и Разработчика прикладного (специального) программного обеспечения ОСЭД.
Работы по установке и настройке программного обеспечения и средств защиты информации проводятся после завершения этапа оснащения ОСЭД техническими средствами, программным обеспечением, средствами защиты информации.
По результатам выполнения работ ОСЭД по установке и настройке программного обеспечения и средств защиты информации оформляется и подписывается Акт установки и настройки программного обеспечения и средств защиты информации.
4.2. Проведение испытаний СЗИ ОСЭД
Исполнитель должен принять участие в проводимых Заказчиком:
- предварительных испытаниях СЗИ ОСЭД;
- опытной эксплуатации СЗИ ОСЭД;
- приемочных испытаниях СЗИ ОСЭД.
Испытания проводятся в соответствии с программой и методикой испытаний СЗИ ОСЭД, разрабатываемой Исполнителем до начала испытаний. Программа и методика испытаний СЗИ ОСЭД должны устанавливать необходимый и достаточный объем испытаний и охватывать реализуемую СЗИ ОСЭД функциональность и виды обеспечений в соответствии с Техническим заданием на создание СЗИ ОСЭД.
Приемка СЗИ ОСЭД проводится комиссией Заказчика на соответствие требованиям Технического задания на создание СЗИ ОСЭД.
Приёмочная комиссия формируется Заказчиком до проведения испытаний.
4.2.1. Требования к проведению предварительных испытаний СЗИ ОСЭД
Предварительные испытания СЗИ ОСЭД проводятся Заказчиком при участии Исполнителя в соответствии с Программой и методикой испытаний СЗИ ОСЭД.
В ходе предварительных испытаний СЗИ ОСЭД:
– проводят испытания СЗИ ОСЭД на работоспособность и соответствие Техническому заданию на создание СЗИ ОСЭД в соответствии с программой и методикой испытаний СЗИ ОСЭД;
– осуществляют устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на СЗИ ОСЭД, в соответствии с протоколом предварительных испытаний СЗИ ОСЭД;
– принимают решение о возможности ввода СЗИ ОСЭД в опытную эксплуатацию.
По результатам предварительных испытаний СЗИ ОСЭД Исполнителем разрабатывается следующая документация:
- протокол предварительных испытаний СЗИ ОСЭД;
- акт ввода СЗИ ОСЭД в опытную эксплуатацию.
Протокол предварительных испытаний СЗИ ОСЭД и акт ввода СЗИ ОСЭД в опытную эксплуатацию утверждаются комиссией, сформированной Заказчиком.
4.2.2. Требования к проведению опытной эксплуатации системы защиты информации ОСЭД
Опытная эксплуатация СЗИ ОСЭД проводится Заказчиком с целью проверки функционирования СЗИ ОСЭД, а также готовности пользователей и администраторов к эксплуатации СЗИ ОСЭД.
По результатам опытной эксплуатации СЗИ ОСЭД, при необходимости, в проектную документацию на СЗИ ОСЭД могут вноситься изменения без выпуска извещения на изменение.
Опытная эксплуатация СЗИ ОСЭД проводится Заказчиком при консультативной поддержке Исполнителя. В ходе опытной эксплуатации Заказчиком ведется рабочий журнал опытной эксплуатации СЗИ ОСЭД.
Результаты опытной эксплуатации СЗИ ОСЭД фиксируются комиссией Заказчика в акте о завершении опытной эксплуатации и допуске СЗИ ОСЭД к приемочным испытаниям, который предоставляется Исполнителем.
4.2.3. Требования к проведению приемочных испытаний СЗИ ОСЭД
Приемочные испытания СЗИ ОСЭД проводятся Заказчиком при участии Исполнителя в соответствии с Программой и методикой испытаний СЗИ ОСЭД.
Для проведения приемочных испытаний СЗИ ОСЭД должна быть предъявлена следующая документация:
- техническое задание на создание СЗИ ОСЭД;
- рабочий журнал опытной эксплуатации СЗИ ОСЭД;
- акт о завершении опытной эксплуатации и допуске СЗИ ОСЭД к приемочным испытаниям;
- программа и методика испытаний СЗИ ОСЭД.
По результатам приемочных испытаний СЗИ ОСЭД Исполнителем разрабатывается следующая документация:
- протокол приёмочных испытаний СЗИ ОСЭД;
- акт приёмки СЗИ ОСЭД в постоянную эксплуатацию.
Протокол приёмочных испытаний СЗИ ОСЭД должен содержать следующие разделы:
- назначение испытаний;
- состав технических и программных средств, используемых при испытаниях;
- указание методик, в соответствии с которыми проводились испытания;
- условия проведения испытаний;
- оцениваемые показатели, результаты испытаний и оценка выполнения программы испытаний;
- обобщенные результаты испытаний;
- выводы о результатах испытаний и соответствии созданной СЗИ ОСЭД требованиям технического задания на создание СЗИ ОСЭД.
Протокол приёмочных испытаний СЗИ ОСЭД и акт приёмки СЗИ ОСЭД в постоянную эксплуатацию утверждаются комиссией, сформированной Заказчиком.
5. При разработке комплекта организационно-распорядительных документов по вопросам защиты информации в ОСЭД должны определяться правила и процедуры:
- управления (администрирования) СЗИ ОСЭД;
- управления конфигурацией ОСЭД и ее СЗИ;
- контроля (мониторинга) за обеспечением уровня защищенности информации, обрабатываемой в ОСЭД;
- защиты информации при выводе из эксплуатации ОСЭД или после принятия решения об окончании обработки информации.
Исполнителем должен быть разработан комплект проектов организационно-распорядительных документов по защите информации в ОСЭД, который должен включать:
- перечень защищаемых ресурсов ОСЭД;
- таблицу разграничения доступа (матрицу доступа) в ОСЭД;
- приказ об определении ответственности должностных лиц и проведении мероприятий по защите информации в ОСЭД;
- инструкцию пользователя СЗИ ОСЭД;
- инструкцию администратора СЗИ ОСЭД;
- формы журналов учёта;
- перечень правил межсетевого экранирования;
- описание технологического процесса обработки информации в ОСЭД;
- технический паспорт ОСЭД;
- формы списков пользователей, допущенных к обработке конфиденциальной информации в ОСЭД;
- правила и процедуры защиты информации в ОСЭД.
Внедрение организационных мер защиты информации в ОСЭД осуществляется Заказчиком.
Комплект организационно-распорядительных документов по вопросам защиты информации в ОСЭД утверждается Заказчиком.
6. При анализе уязвимостей ОСЭД проводится анализ уязвимостей программно-технических средств, программного обеспечения, средств защиты информации. Анализ уязвимостей ОСЭД проводится Исполнителем в целях оценки возможности преодоления нарушителем СЗИ ОСЭД и предотвращения реализации угроз безопасности информации.
При анализе уязвимостей ОСЭД Исполнителем должно проверяться отсутствие известных уязвимостей программно-технических средств, программного обеспечения, средств защиты информации, в том числе с учетом информации, имеющейся у разработчиков и полученной из общедоступных источников, правильность установки и настройки программно-технических средств, программного обеспечения, средств защиты информации, а также корректность работы средств защиты информации при их взаимодействии с
программно-техническими средствами и программным обеспечением. При обнаружении уязвимостей Исполнителем должны быть выданы предложения по их устранению.
По результатам анализа уязвимостей ОСЭД Исполнителем должен быть разработан и предоставлен Заказчику протокол анализа уязвимостей ОСЭД.
7. Аттестация ОСЭД по требованиям защиты информации проводится Исполнителем в соответствии с программой и методиками аттестационных испытаний, разрабатываемой Исполнителем до начала аттестационных испытаний и содержащей:
- общие положения;
- программу аттестационных испытаний ОСЭД на соответствие требованиям защиты информации;
- методики аттестационных испытаний ОСЭД на соответствие требованиям защиты информации.
При проведении аттестационных испытаний ОСЭД должен применяться экспертно-документальный метод проверок (испытаний), предусматривающий проверку соответствия ОСЭД установленным требованиям по защите информации, на основе оценки организационно-распорядительных документов, а также условий функционирования ОСЭД.
По результатам аттестационных испытаний ОСЭД Исполнителем оформляются протокол аттестационных испытаний ОСЭД, заключение по результатам аттестационных испытаний ОСЭД, а также аттестат соответствия ОСЭД требованиям защиты информации (в случае положительных результатов аттестационных испытаний).
Оказание услуг по развитию облачной системы электронного документооборота Министерства транспорта Российской Федерации
ОСЭД (специальное программное обеспечение облачной системы электронного документооборота Министерства транспорта Российской Федерации) обладает следующими основными функциональными возможностями:
Автоматизация процессов документооборота всех подразделений Министерства: подготовка проектов документов, их согласование, автоматическая передача адресатам, передача на исполнение, передача на ознакомление, контроль исполнения, формирование отчетов об исполнении.
Автоматизация процессов ведения делопроизводства: регистрация документов (входящих, исходящих, внутренних, организационно-распорядительных документов, обращений граждан), оформление указаний по исполнению документа, постановка и снятие с контроля, отметка об исполнении, отметка о списании в дело.
Получение необходимых данных по запросам пользователей по документам, занесенным в систему, и контролю исполнения этих документов.
Получение необходимых отчетов по документам, занесенным в систему,
и контролю исполнения этих документов.
Защита информации от несанкционированного доступа.
Использование поточного протяжного и планшетного сканеров для ввода
в систему графической информации в формате PDF, возможность прикрепления
к карточке документа файлов произвольного формата.
Обеспечение возможности работы с документами во время отсутствия
на рабочем месте (в командировках, на дому и т.д.), в том числе в «online»
и «offline» режимах на мобильных устройствах под управлением ОС Apple iOS версии не ниже 7.0, Google Android версии не ниже 4.2, Microsoft Windows, версии не ниже 7.0, а также Microsoft Windows XP.
Основные направления автоматизации документооборота Минтранса России, на которые нацелено функционирование ОСЭД:
Внутреннее – документы создаются сотрудниками Министерства
и адресуются сотрудникам Министерства.
Исходящее – документы создаются сотрудниками Министерства и адресуются внешним адресатам, т.е. иным организациям, не подключенным к ОСЭД.
Входящее – документы поступают из иных организаций, не подключенных
к ОСЭД.
Обращения граждан и иных организаций.
Возможность обмена электронными документами и данными с системой межведомственного электронного документооборота (МЭДО) реализована через интерфейс информационного взаимодействия ОСЭД (шлюз ОСЭД-МЭДО).
ОСЭД размещается на программно-аппаратной платформе (комплексе) Заказчика в среде виртуализации под управлением VMware vSphere 5.5.
Архитектура построения ОСЭД базируется на использовании виртуальных серверов под управлением ОС Red Hat Enterprise Linux Server release 6.5 (Santiago). В качестве системы управления базой данных (СУБД) МСЭД используется Oracle Database 12c Enterprise Edition Release 12.1.0.1.0 - 64bit Production. Административный доступ к серверам под управлением ОС Red Hat Enterprise Linux Server release 6.5 (Santiago) осуществляется по протоколу SSH версии 2.
Оказание услуг по модификации СПО ОСЭД осуществляется в соответствии с:
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем по защите информации», утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992;
• Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, одобренными решением коллегии Гостехкомиссии России от 02.03.2002;
• Методическим документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 2008 год;
• Методическим документом «Методика оценки угроз безопасности информации», ФСТЭК России, 2021 год;
• настоящим Техническим заданием;
• эксплуатационной документацией на ОСЭД, приведенной в п. 2.3 настоящего ТЗ;
• ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
• ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
• ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
• ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;
• Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• ГОСТ Р ИСО/МЭК 12207-2010. «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств»;
• ГОСТ Р ИСО/МЭК 14764-2002. «Информационная технология. Сопровождение программных средств»;
• ГОСТ Р ИСО/МЭК 14764-2006. «Программная инженерия. Процессы жизненного цикла программных средств. Сопровождение»;
• ГОСТ 19.101-77. «Единая система программной документации. Виды программ и программных документов»;
• ГОСТ Р ИСО/МЭК 15288-2005 «Системная инженерия. Процессы жизненного цикла систем»;
• ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств»;
• РД 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
Услуги по развитию СПО ОСЭД оказываются на основании представляемых Заказчиком План-заданий на развитие СПО ОСЭД.
Виды услуг по развитию СПО ОСЭД в части обработки конфиденциальной информации.
При оказания услуг по развитию и модификации СПО ОСЭД необходимо обеспечить сохранность, неразглашение и неиспользование в личных интересах информации работниками Исполнителя, которым она доверена.
Мероприятия, проводимые в рамках оказания услуг, должны гарантировать безопасность хранения данных и не допускать несанкционированного доступа к сведениям.
В ходе оказания услуг по развитию СПО ОСЭД не допускается:
– оказывать услуги или проводить какие-либо работы на программно-аппаратном комплексе ОСЭД в отсутствие представителя Заказчика;
– копировать информационные ресурсы ОСЭД на неучтенные Заказчиком электронные носители информации;
– использовать при выполнении работ на программно-аппаратном комплексе ОСЭД неучтенные копии программного обеспечения и информационных ресурсов ОСЭД;
– выносить из помещений, в которых размещены компоненты программно-аппаратного комплекса ОСЭД, без оформления соответствующим актом какое-либо оборудование, входящее в состав программно-аппаратного комплекса ОСЭД, копии программного обеспечения и (или) информации хранящейся в ОСЭД;
– тиражировать и (или) передавать третьим лицам копии информационных ресурсов ОСЭД без письменного разрешения Заказчика;
– использовать электронные носители информации, предназначенные для работы в ОСЭД, без предварительной антивирусной проверки.
Для обеспечения безопасности информации в ОСЭД должны быть организованы мероприятия по защите информации, которые должны включать в себя следующие этапы:
- формирование требований к защите информации в ОСЭД;
- разработка системы защиты информации (СЗИ) ОСЭД;
- оснащение техническими средствами, программным обеспечением, средствами защиты информации (при необходимости);
- внедрение СЗИ ОСЭД;
- разработка комплекта организационно-распорядительных документов по вопросам защиты информации в ОСЭД;
- анализ уязвимостей в ОСЭД;
- аттестация ОСЭД по требованиям защиты информации.
1. При формировании требований к защите информации в ОСЭД необходимо:
- определить классификационные признаки ОСЭД;
- определить угрозы безопасности информации ОСЭД;
- формирование требований по созданию СЗИ ОСЭД.
1.1. Требования к определению классификационных признаков ОСЭД
Определение классификационных признаков ОСЭД должно проводиться Заказчиком с привлечением Исполнителя в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем по защите информации», утвержденным решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
По результатам определения классификационных признаков Исполнителем должен быть разработан Акт классификации ОСЭД по требованиям защиты информации, который утверждается комиссией, сформированной Заказчиком.
1.2. Требования к определению угроз безопасности информации ОСЭД
Угрозы безопасности информации ОСЭД должны определяться по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей ОСЭД, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
По результатам оформляется модель угроз безопасности информации ОСЭД, которая должна содержать описание системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей, возможных уязвимостей ОСЭД, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
В ходе определения угроз безопасности информации ОСЭД необходимо определить:
- негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации, в том числе:
• актуальные виды рисков (ущербов), которые могут наступить от нарушения или прекращения основных процессов;
• негативные последствия, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба);
- возможные объекты воздействия угроз безопасности информации, в том числе:
• компоненты ОСЭД, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов Заказчика;
• виды воздействия на компоненты ОСЭД, реализация которых нарушителем может привести к негативным последствиям;
- источники угроз безопасности информации, в том числе:
• характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;
• категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;
• возможности нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре ОСЭД;
- способы реализации (возникновения) угроз безопасности информации, в том числе:
• способы реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
• интерфейсы объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации;
- актуальные угрозы безопасности информации, в том числе:
• перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
• возможные сценарии реализации угроз безопасности информации.
Результаты определения угроз безопасности информации должны быть отражены в Модели угроз безопасности информации ОСЭД.
Модель угроз безопасности информации утверждается Заказчиком.
1.3. Требования к формированию требований по созданию СЗИ ОСЭД
Требования к СЗИ ОСЭД должны быть определены в соответствии с положениями, требованиями и рекомендациями действующих нормативных правовых актов, методических документов и национальных стандартов, перечень которых приведен в п.3.1 настоящего Технического задания.
По результатам оформляется Техническое задание на создание СЗИ ОСЭД, которое должно содержать:
- цель и задачи обеспечения защиты информации в ОСЭД;
- перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать СЗИ ОСЭД;
- перечень объектов защиты ОСЭД;
- требования к мерам и средствам защиты информации, применяемым в ОСЭД;
- стадии (этапы работ) создания СЗИ ОСЭД;
- требования к техническим средствам, программному обеспечению, средствам защиты информации СЗИ ОСЭД.
Техническое задание на создание СЗИ ОСЭД утверждается Заказчиком.
2. При разработке СЗИ ОСЭД необходимо:
- определить типы субъектов и объектов доступа (защиты) в ОСЭД;
- определить методы управления доступом, типы доступа и правила разграничения доступа субъектов доступа к объектам доступа, подлежащие реализации в ОСЭД;
- выбрать меры защиты информации, подлежащие реализации в СЗИ ОСЭД;
- определить структуру СЗИ ОСЭД, включая состав (количество) и места размещения ее элементов;
- выбрать средства защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определить требования к параметрам настройки средств защиты информации.
Исполнителем должен быть разработан Технический проект на СЗИ ОСЭД в соответствии с Техническим заданием на создание СЗИ.
Результаты оказания услуг оформляются в виде Технического проекта на СЗИ ОСЭД в составе:
- ведомость технического проекта СЗИ ОСЭД;
- пояснительная записки к техническому проекту СЗИ ОСЭД;
- ведомость покупных изделий СЗИ ОСЭД.
Технический проект на СЗИ ОСЭД утверждается Заказчиком.
3. При оснащении техническими средствами, программным обеспечением, средствами защиты информации необходимо произвести оснащение технических средств, программного обеспечения, средств защиты информации в соответствии с Техническим проектом на СЗИ ОСЭД. В данный момент работоспособность системы ОСЭД обеспечивает до 23 серверов различных ролей.
По результатам выполнения работ ОСЭД должна быть оснащена техническими средствами, программным обеспечением, средствами защиты информации в соответствии с Техническим проектом на СЗИ ОСЭД. При необходимости оформляется и подписывается акт об оснащении техническими средствами, программным обеспечением, средствами защиты информации.
4. При проведении работ по установке и настройке программного обеспечения и средств защиты информации необходимо:
- провести работы по установке и настройке программного обеспечения и средств защиты информации СЗИ ОСЭД;
- провести испытания СЗИ ОСЭД.
4.1. Требования к проведению работ по установке и настройке программного обеспечения и средств защиты информации СЗИ ОСЭД
При проведении работ по установке и настройке программного обеспечения и средств защиты информации необходимо произвести установку и настройку в соответствии с эксплуатационной документацией на программное обеспечение и средства защиты информации согласно Техническому проекту на СЗИ ОСЭД.
При внедрении СЗИ ОСЭД время простоя предоставления сервиса должно быть не более 2 часов. Технологические паузы должны быть согласованы с Заказчиком.
Установка и настройка программного обеспечения и средств защиты информации должна проводиться с участием специалистов Заказчика и Разработчика прикладного (специального) программного обеспечения ОСЭД.
Работы по установке и настройке программного обеспечения и средств защиты информации проводятся после завершения этапа оснащения ОСЭД техническими средствами, программным обеспечением, средствами защиты информации.
По результатам выполнения работ ОСЭД по установке и настройке программного обеспечения и средств защиты информации оформляется и подписывается Акт установки и настройки программного обеспечения и средств защиты информации.
4.2. Проведение испытаний СЗИ ОСЭД
Исполнитель должен принять участие в проводимых Заказчиком:
- предварительных испытаниях СЗИ ОСЭД;
- опытной эксплуатации СЗИ ОСЭД;
- приемочных испытаниях СЗИ ОСЭД.
Испытания проводятся в соответствии с программой и методикой испытаний СЗИ ОСЭД, разрабатываемой Исполнителем до начала испытаний. Программа и методика испытаний СЗИ ОСЭД должны устанавливать необходимый и достаточный объем испытаний и охватывать реализуемую СЗИ ОСЭД функциональность и виды обеспечений в соответствии с Техническим заданием на создание СЗИ ОСЭД.
Приемка СЗИ ОСЭД проводится комиссией Заказчика на соответствие требованиям Технического задания на создание СЗИ ОСЭД.
Приёмочная комиссия формируется Заказчиком до проведения испытаний.
4.2.1. Требования к проведению предварительных испытаний СЗИ ОСЭД
Предварительные испытания СЗИ ОСЭД проводятся Заказчиком при участии Исполнителя в соответствии с Программой и методикой испытаний СЗИ ОСЭД.
В ходе предварительных испытаний СЗИ ОСЭД:
– проводят испытания СЗИ ОСЭД на работоспособность и соответствие Техническому заданию на создание СЗИ ОСЭД в соответствии с программой и методикой испытаний СЗИ ОСЭД;
– осуществляют устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на СЗИ ОСЭД, в соответствии с протоколом предварительных испытаний СЗИ ОСЭД;
– принимают решение о возможности ввода СЗИ ОСЭД в опытную эксплуатацию.
По результатам предварительных испытаний СЗИ ОСЭД Исполнителем разрабатывается следующая документация:
- протокол предварительных испытаний СЗИ ОСЭД;
- акт ввода СЗИ ОСЭД в опытную эксплуатацию.
Протокол предварительных испытаний СЗИ ОСЭД и акт ввода СЗИ ОСЭД в опытную эксплуатацию утверждаются комиссией, сформированной Заказчиком.
4.2.2. Требования к проведению опытной эксплуатации системы защиты информации ОСЭД
Опытная эксплуатация СЗИ ОСЭД проводится Заказчиком с целью проверки функционирования СЗИ ОСЭД, а также готовности пользователей и администраторов к эксплуатации СЗИ ОСЭД.
По результатам опытной эксплуатации СЗИ ОСЭД, при необходимости, в проектную документацию на СЗИ ОСЭД могут вноситься изменения без выпуска извещения на изменение.
Опытная эксплуатация СЗИ ОСЭД проводится Заказчиком при консультативной поддержке Исполнителя. В ходе опытной эксплуатации Заказчиком ведется рабочий журнал опытной эксплуатации СЗИ ОСЭД.
Результаты опытной эксплуатации СЗИ ОСЭД фиксируются комиссией Заказчика в акте о завершении опытной эксплуатации и допуске СЗИ ОСЭД к приемочным испытаниям, который предоставляется Исполнителем.
4.2.3. Требования к проведению приемочных испытаний СЗИ ОСЭД
Приемочные испытания СЗИ ОСЭД проводятся Заказчиком при участии Исполнителя в соответствии с Программой и методикой испытаний СЗИ ОСЭД.
Для проведения приемочных испытаний СЗИ ОСЭД должна быть предъявлена следующая документация:
- техническое задание на создание СЗИ ОСЭД;
- рабочий журнал опытной эксплуатации СЗИ ОСЭД;
- акт о завершении опытной эксплуатации и допуске СЗИ ОСЭД к приемочным испытаниям;
- программа и методика испытаний СЗИ ОСЭД.
По результатам приемочных испытаний СЗИ ОСЭД Исполнителем разрабатывается следующая документация:
- протокол приёмочных испытаний СЗИ ОСЭД;
- акт приёмки СЗИ ОСЭД в постоянную эксплуатацию.
Протокол приёмочных испытаний СЗИ ОСЭД должен содержать следующие разделы:
- назначение испытаний;
- состав технических и программных средств, используемых при испытаниях;
- указание методик, в соответствии с которыми проводились испытания;
- условия проведения испытаний;
- оцениваемые показатели, результаты испытаний и оценка выполнения программы испытаний;
- обобщенные результаты испытаний;
- выводы о результатах испытаний и соответствии созданной СЗИ ОСЭД требованиям технического задания на создание СЗИ ОСЭД.
Протокол приёмочных испытаний СЗИ ОСЭД и акт приёмки СЗИ ОСЭД в постоянную эксплуатацию утверждаются комиссией, сформированной Заказчиком.
5. При разработке комплекта организационно-распорядительных документов по вопросам защиты информации в ОСЭД должны определяться правила и процедуры:
- управления (администрирования) СЗИ ОСЭД;
- управления конфигурацией ОСЭД и ее СЗИ;
- контроля (мониторинга) за обеспечением уровня защищенности информации, обрабатываемой в ОСЭД;
- защиты информации при выводе из эксплуатации ОСЭД или после принятия решения об окончании обработки информации.
Исполнителем должен быть разработан комплект проектов организационно-распорядительных документов по защите информации в ОСЭД, который должен включать:
- перечень защищаемых ресурсов ОСЭД;
- таблицу разграничения доступа (матрицу доступа) в ОСЭД;
- приказ об определении ответственности должностных лиц и проведении мероприятий по защите информации в ОСЭД;
- инструкцию пользователя СЗИ ОСЭД;
- инструкцию администратора СЗИ ОСЭД;
- формы журналов учёта;
- перечень правил межсетевого экранирования;
- описание технологического процесса обработки информации в ОСЭД;
- технический паспорт ОСЭД;
- формы списков пользователей, допущенных к обработке конфиденциальной информации в ОСЭД;
- правила и процедуры защиты информации в ОСЭД.
Внедрение организационных мер защиты информации в ОСЭД осуществляется Заказчиком.
Комплект организационно-распорядительных документов по вопросам защиты информации в ОСЭД утверждается Заказчиком.
6. При анализе уязвимостей ОСЭД проводится анализ уязвимостей программно-технических средств, программного обеспечения, средств защиты информации. Анализ уязвимостей ОСЭД проводится Исполнителем в целях оценки возможности преодоления нарушителем СЗИ ОСЭД и предотвращения реализации угроз безопасности информации.
При анализе уязвимостей ОСЭД Исполнителем должно проверяться отсутствие известных уязвимостей программно-технических средств, программного обеспечения, средств защиты информации, в том числе с учетом информации, имеющейся у разработчиков и полученной из общедоступных источников, правильность установки и настройки программно-технических средств, программного обеспечения, средств защиты информации, а также корректность работы средств защиты информации при их взаимодействии с
программно-техническими средствами и программным обеспечением. При обнаружении уязвимостей Исполнителем должны быть выданы предложения по их устранению.
По результатам анализа уязвимостей ОСЭД Исполнителем должен быть разработан и предоставлен Заказчику протокол анализа уязвимостей ОСЭД.
7. Аттестация ОСЭД по требованиям защиты информации проводится Исполнителем в соответствии с программой и методиками аттестационных испытаний, разрабатываемой Исполнителем до начала аттестационных испытаний и содержащей:
- общие положения;
- программу аттестационных испытаний ОСЭД на соответствие требованиям защиты информации;
- методики аттестационных испытаний ОСЭД на соответствие требованиям защиты информации.
При проведении аттестационных испытаний ОСЭД должен применяться экспертно-документальный метод проверок (испытаний), предусматривающий проверку соответствия ОСЭД установленным требованиям по защите информации, на основе оценки организационно-распорядительных документов, а также условий функционирования ОСЭД.
По результатам аттестационных испытаний ОСЭД Исполнителем оформляются протокол аттестационных испытаний ОСЭД, заключение по результатам аттестационных испытаний ОСЭД, а также аттестат соответствия ОСЭД требованиям защиты информации (в случае положительных результатов аттестационных испытаний).