Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 4
к Конкурсной документации
Техническое задание
на выполнение в 2010 году научно-исследовательских и опытно-конструкторских работ по теме: "Разработка отраслевой подсистемы обеспечения технологической и информационной безопасности" для нужд Федерального агентства по рыболовству
1. Общие сведения
1.1. Наименование работ
Полное наименование работ: выполнение в 2010 году научно-исследовательских и опытно-конструкторских работ по теме: "Разработка отраслевой подсистемы обеспечения технологической и информационной безопасности" для нужд Федерального агентства по рыболовству.
Сокращенное наименование системы - автоматизированная система безопасности (АСБ) Росрыболовства.
1.2. Сведения о Заказчике и Исполнителе
Заказчик - Федеральное агентство по рыболовству (Росрыболовство).
Исполнитель определяется по результатам открытого конкурса на выполнение ОКР.
1.3. Основания для проведения работ
Основанием для проведения работ являются:
- Приказ Росрыболовства от 2 марта 2010 года N 143 "Об основных направлениях научно-исследовательских и опытно-конструкторских работ, решаемых в рамках государственного заказа" по направлению "Информатизация, управление и мониторинг промысла" ("Информатизация") для нужд Федерального агентства по рыболовству.
- Государственный заказ на выполнение научно-исследовательских и опытно-конструкторских работ в 2010 году за счет средств федерального бюджета (Вн. N 97/АК от 10 марта 2010 года)
1.4. Сроки начала и окончания ОКР. Этапы работ
Начало ОКР: с даты подписания государственного контракта на выполнение ОКР.
Окончание ОКР: 15 ноября 2010 г.
Календарный план выполнения работ должен быть предложен Заказчику в Техническом предложении.
1.5. Источник финансирования ОКР
Источником финансирования ОКР является Федеральный бюджет.
2. Назначение и цели создания системы
2.1. Назначение системы
Основным назначением создаваемой АСБ является защита передаваемой конфиденциальной информации от несанкционированного доступа (НСД) на объектах внедрения в Федеральном агентстве по рыболовству, а также предупреждение и предотвращение несанкционированных воздействий на защищаемую информацию, нарушающих ее конфиденциальность, целостность и доступность в соответствии с требованиями ФСБ России, ФСТЭК России и Мининформсвязи России.
2.2. Цели создания системы
Основной целью создания АСБ является выполнение требований действующего законодательства Российской Федерации, нормативных, руководящих, методических и организационно-распорядительных документов ФСБ России, ФСТЭК России и Федерального агентства по рыболовству в области обеспечения информационной безопасности на объектах внедрения в Центральном аппарате (ЦА) и в территориальных подразделениях Заказчика.
Создание АСБ имеет также своими целями повышение эффективности профильной деятельности Росрыболовства, снижение затрат и издержек при обеспечении в своей деятельности функций защиты информации, а также снижение прямых и косвенных рисков, существующих при несоответствии информационной и технологической безопасности в Росрыболовстве предъявляемым к ним современным требованиям.
3. Характеристика объекта автоматизации
3.1. Общая структура автоматизированной системы Заказчика
Автоматизированная система (АС) Заказчика, включая сеть передачи данных, состоит из следующих составных частей:
- телекоммуникационное оборудование;
- серверное оборудование;
- активное сетевое оборудование;
- рабочие станции (автоматизированные рабочие места, АРМ) пользователей;
- автоматизированное рабочее место администратора сети;
- комплект ЗИП;
- комплект прикладного программного обеспечения (ПО) пользователей;
- ПО электронной почты.
Телекоммуникационное, серверное оборудование сети, АРМ располагаются в помещениях с контролируемым доступом.
Программно-аппаратная платформа, используемая в АС Заказчика, характеризуется следующим:
- в качестве серверов различного назначения и АРМ пользователей применяются компьютеры на платформе Intel;
- в качестве операционной системы для АРМ пользователей применяется Microsoft Windows XP;
- в качестве операционной системы для серверов применяется Microsoft Windows 2003 Server.
АС относится к многопользовательским системам с различными правами пользователей по доступу к информации.
Программные и технические средства обработки конфиденциальной информации расположены в Центральном аппарате Росрыболовства в комплексе зданий по адресу: г. Москва, Рождественский бульвар, д. 12, 14, 15 и в территориальных подразделениях Росрыболовства.
Каждое АРМ сети закреплено за определенной категорией пользователей или отдельным пользователем.
Установление прав доступа пользователей к ресурсам АС входит в функции администратора информационной безопасности.
3.2. Сведения о телекоммуникационной системе
Объект Заказчика характеризуется разветвленной инфраструктурой территориально распределенных на территории России объектов и подразделений Росрыболовства, объединенных открытой телекоммуникационной сетью связи.
Существующая локально-вычислительная сеть в ЦА Росрыболовства была построена в 2001 году и охватывает здания по адресам: Москва, Рождественский бульвар, дома 12, 14, 15.
ЛВС построена на управляемых коммутаторах AVAYA серии 330 и обеспечивает пропускную способность до 100 Мбит/сек.
4. Требования к системе
4.1. Требования к системе в целом
4.1.1. Общие требования
Высший гриф информации, обрабатываемой в автоматизированной системе Росрыболовства, - "Для служебного пользования". Для обеспечения в соответствии с действующим законодательством Российской Федерации необходимого уровня защиты конфиденциальной информации и персональных данных в АС Росрыболовства и безопасного её функционирования должна быть создана установленным порядком система информационной безопасности АС Росрыболовства, удовлетворяющая требованиям ФСТЭК России к защищенным АС класса "1Г", требованиям ФСБ России к применению криптографических преобразований и сертифицированных средств криптографической защиты информации по уровням классов КС1 - КСЗ.
Обеспечение информационной безопасности средств АС Росрыболовства должно представлять собой комплекс организационно-режимных мероприятий, программных и технических средств защиты, а также технологии их применения, и должно определяться действующими в области обеспечения информационной безопасности нормативно-распорядительными документами и разработанной и утвержденной Росрыболовством политикой обеспечения безопасности информационных и технических ресурсов.
Средства обеспечения безопасности информационных ресурсов АС Росрыболовства должны осуществлять защиту от влияния как преднамеренных, так и случайных потенциально возможных событий, процессов или явлений, приводящих к несанкционированному внешнему доступу к конфиденциальной информации, ее искажению, уничтожению, копированию, блокированию доступа к ней, а также к возможности воздействия на компоненты комплекса, приводящие к утрате информации, уничтожению или сбою функционирования компонентов АС.
Защита АС Росрыболовства должна обеспечиваться на всех технологических этапах обработки конфиденциальной информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
При проектировании автоматизированной системы безопасности должны выполняться следующие общие требования и условия:
- учет существующего организационно-штатного деления Росрыболовства;
- сохранение принятых в Росрыболовстве технологий информационного взаимодействия;
- преемственность используемых в Росрыболовстве технических решений и совместимость с имеющимся оборудованием;
- поддержка мер защиты во всех режимах обмена информацией (при хранении, обработке, передаче по каналам связи).
Для решения технических задач необходимо учитывать рекомендации и требования ФСБ РФ, в том числе для работы в выделенных помещениях, а также наличие лицензий на соответствующую деятельность.
Создаваемые системы должны обладать необходимой надежностью и масштабируемостью, реализация которых не ухудшит эксплуатационные характеристики сети Росрыболовства.
4.1.2. Требования к структуре системы
Разрабатываемая система автоматизированной информационной безопасности должна включать в свой состав следующие обязательные подсистемы защиты информации:
- подсистему управления доступом;
- подсистему регистрации и учета системных событий;
- подсистему обеспечения целостности данных и систем;
- подсистему защиты при межсетевом взаимодействии;
- криптографическую подсистему;
- подсистему защиты информации, содержащейся в электронной почте;
- подсистему аудита ИБ;
- подсистему управления процессами обеспечения безопасности информации;
- подсистему обнаружения вторжений;
- подсистему защиты от программных вирусов.
4.1.3. Общие требования к численности и квалификации персонала
Численность и квалификация персонала системы должны определяться с учетом следующих требований:
- структура и конфигурация системы должны быть спроектированы и реализованы с целью минимизации количественного состава обслуживающего персонала;
- структура системы должна предоставлять возможность управления всем доступным функционалом системы как одному администратору, так и предоставлять возможность разделения ответственности по администрированию между несколькими администраторами;
- для администрирования системы к администратору не должны предъявляться требования по знанию всех особенностей функционирования элементов, входящих в состав администрируемых компонентов системы;
- аппаратно-программный комплекс системы не должен требовать круглосуточного обслуживания и присутствия администраторов у консоли управления.
Штатный состав персонала, эксплуатирующего систему, должен формироваться на основании нормативных документов Российской Федерации и Трудового кодекса. Все специалисты должны работать с нормальным графиком работы не более 8 часов в сутки.
Система реализуется на персональных компьютерах, поэтому требования к организации труда и режима отдыха при работе с ней должны устанавливаться, исходя из требований к организации труда и режима отдыха при работе с этим типом средств вычислительной техники.
Для обеспечения максимальной работоспособности и сохранения здоровья профессиональных пользователей на протяжении рабочей смены должны устанавливаться регламентированные перерывы: через 2 часа после начала рабочей смены и через 1,5 - 2,0 часа после обеденного перерыва продолжительностью 15 минут каждый или продолжительностью 10 минут через каждый час работы.
Продолжительность непрерывной работы персонала с разрабатываемой системой и персональными компьютерами без регламентированного перерыва не должна превышать 2 часа.
Деятельность персонала по эксплуатации системы должна регулироваться должностными инструкциями.
4.1.4. Показатели назначения
Показателями назначения (параметрами, характеризующими степень соответствия системы её назначению) являются параметры, определяющие требования ФСТЭК России к защищенным АС класса "1Г" и требования ФСБ России к применению криптографических преобразований, в соответствии с ГОСТ 28147-89, и сертифицированных средств криптографической защиты информации по уровням классов КС1-КСЗ.
4.1.5. Требования к надёжности
АСБ должна сохранять работоспособность и обеспечивать восстановление своих функций при возникновении следующих внештатных ситуаций:
- при сбоях в системе электроснабжения аппаратной части, приводящих к перезагрузке ОС, восстановление программы должно происходить после перезапуска ОС и запуска исполняемого файла системы;
- при ошибках в работе аппаратных средств (кроме носителей данных и программ) восстановление функции системы возлагается на ОС;
- при ошибках, связанных с программным обеспечением (ОС и драйверы устройств), восстановление работоспособности возлагается на ОС.
Для защиты аппаратуры от скачков напряжения и коммутационных помех должны применяться сетевые фильтры.
- Средняя наработка на отказ должна составлять не менее 15 000 часов.
- Средний срок службы - не менее 10 лет.
- Средняя величина времени восстановления связи при отказе изделия должна быть не более 30 минут при наличии резервного комплекта.
В целях повышения надежности функционирования АСБ в целом и ее отдельных функциональных компонент должны быть реализованы следующие мероприятия:
- резервирование выделенных каналов связи и организация (при наличии технической возможности на сети связи общего пользования) выделенных каналов связи на каждом направлении между уровнями в различных системах передачи, в том числе, организованных в географически разнесенных трассах;
- организация обходных направлений связи между объектами АСБ с использованием сетей связи общего пользования;
- использование в составе АСБ вновь поставляемых технических средств, имеющих наработку на отказ не менее 10 000 часов (за исключением терминального оборудования);
- оснащение ЗИП, обеспечивающим время восстановления технических средств АСБ не более 30 мин.;
- организация электропитания технических средств ССПД в соответствии с требованиями к условиям эксплуатации.
Требования по параметрам надежности функционирования АСБ в целом, ее отдельных функциональных компонент и технических средств подлежат уточнению на стадии технического проектирования.
4.1.6. Требования к безопасности
Все внешние элементы технических средств системы, находящиеся под напряжением, должны иметь защиту от случайного прикосновения, а сами технические средства иметь зануление или защитное заземление в соответствии с ГОСТ 12.1.030-81 и ПУЭ.
Система электропитания должна обеспечивать защитное отключение при перегрузках и коротких замыканиях в цепях нагрузки, а также аварийное ручное отключение.
Общие требования пожарной безопасности должны соответствовать нормам на бытовое электрооборудование. В случае возгорания не должно выделяться ядовитых газов и дымов. После снятия электропитания должно быть допустимо применение любых средств пожаротушения.
Факторы, оказывающие вредные воздействия на здоровье со стороны всех элементов системы (в том числе инфракрасное, ультрафиолетовое, рентгеновское и электромагнитное излучения, вибрация, шум, электростатические поля, ультразвук строчной частоты и т.д.), не должны превышать действующих норм (СанПиН 2.2.2/2.4.1340-03 от 03.06.2003 г.).
4.1.7. Требования к эргономике и технической эстетике
Взаимодействие пользователей с прикладным программным обеспечением, входящим в состав системы, должно осуществляться посредством графического пользовательского интерфейса (GUI). Интерфейс системы должен быть понятным и удобным, не должен быть перегружен графическими элементами и должен обеспечивать быстрое отображение экранных форм. Навигационные элементы должны быть выполнены в удобной для пользователя форме. Средства редактирования информации должны удовлетворять принятым соглашениям в части использования функциональных клавиш, режимов работы, поиска, использования оконной системы. Ввод-вывод данных системы, прием управляющих команд и отображение результатов их исполнения должны выполняться в интерактивном режиме. Интерфейс должен соответствовать современным эргономическим требованиям и обеспечивать удобный доступ к основным функциям и операциям системы.
Интерфейс должен быть рассчитан на преимущественное использование манипулятора типа "мышь", то есть управление системой должно осуществляться с помощью набора экранных меню, кнопок, значков и т.п. элементов. Клавиатурный режим ввода должен используется главным образом при заполнении и/или редактировании текстовых и числовых полей экранных форм.
Все надписи экранных форм, а также сообщения, выдаваемые пользователю (кроме системных сообщений) должны быть на русском языке.
Система должна обеспечивать корректную обработку аварийных ситуаций, вызванных неверными действиями пользователей, неверным форматом или недопустимыми значениями входных данных. В указанных случаях система должна выдавать пользователю соответствующие сообщения, после чего возвращаться в рабочее состояние, предшествовавшее неверной (недопустимой) команде или некорректному вводу данных.
Экранные формы должны проектироваться с учетом требований унификации и отвечать следующим требованиям:
- все экранные формы пользовательского интерфейса должны быть выполнены в едином графическом дизайне, с одинаковым расположением основных элементов управления и навигации;
- для обозначения сходных операций должны использоваться сходные графические значки, кнопки и другие управляющие (навигационные) элементы. Термины, используемые для обозначения типовых операций (добавление информационной сущности, редактирование поля данных), а также последовательности действий пользователя при их выполнении, должны быть унифицированы;
- внешнее поведение сходных элементов интерфейса (реакция на наведение указателя "мыши", переключение фокуса, нажатие кнопки) должны реализовываться одинаково для однотипных элементов.
Система должна соответствовать требованиям эргономики при условии комплектования высококачественным оборудованием (ПЭВМ, монитор и прочее оборудование), имеющим необходимые сертификаты соответствия и безопасности Росстандарта.
4.1.8. Требования к условиям эксплуатации
Установка, монтаж и эксплуатация технических средств АСБ Росрыболовства должны проводится в соответствии с требованиями комплекта эксплуатационных документов, указанных в ведомости эксплуатационных документов на компоненты.
Регламентные работы по обслуживанию технических средств АСБ Росрыболовства должны выполняться администратором и соответствовать требованиям нормативных документов по безопасности информации.
Технические средства АСБ должны транспортироваться в соответствии с требованиями ГОСТ 23216-78 по условиям группы "С" и по правилам перевозок грузов, действующим на транспорте соответствующего вида, при условии защиты от механических повреждений, прямого попадания на упаковку влаги, пыли и грязи, атмосферных осадков.
Транспортирование по железным дорогам следует осуществлять в крытых вагонах, а в открытых вагонах и водным транспортом только в контейнерах. Размещение и крепление транспортной тары с упакованными техническими средствами АСБ в транспортных средствах должно обеспечивать ее устойчивое положение и не допускать перемещения во время транспортирования.
Технические средства АСБ в упакованном виде должны храниться в складских отапливаемых помещениях. Нормальными условиями хранения являются:
- температура: от 0 до +50°С;
- относительная влажность воздуха не более 90%.
В складских помещениях, где хранятся технические средства АСБ, и транспортных средствах, где они перевозятся, не должно быть паров кислот, щелочей или других химических активных веществ, пары или газы которых могут вызвать коррозию.
Распаковку технических средств в зимнее время проводить в отапливаемом помещении при температуре от 5 до 35°С при относительной влажности не более 80% без конденсации влаги, после предварительной выдержки изделия в нераспакованном виде в указанных условиях не менее 4 часов.
Складское хранение и транспортирование технических средств должно производиться с применением специальных приспособлений и технологической тары, исключающих их повреждение, и с соблюдением мер защиты от статического электричества.
Технические средства АСБ Росрыболовства должны быть рассчитаны на эксплуатацию в отапливаемых помещениях и удовлетворять условиям эксплуатации согласно требованиям ГОСТ 25012-81 по группе 1.1.
Технические средства АСБ Росрыболовства должны быть рассчитаны на организацию электропитания от промышленной сети переменного тока 220 В частотой 50 Гц, соответствующей ГОСТ 13109-87. В составе системы должны быть предусмотрены устройства бесперебойного электропитания, обеспечивающие работу технических средств в течение не менее 40 мин. в случае отключения питающего напряжения.
4.1.9. Требования по сохранности информации при авариях
Программное обеспечение АСБ Росрыболовства должно восстанавливать свое функционирование при корректном перезапуске аппаратных средств. Должна быть предусмотрена возможность организации автоматического и (или) ручного резервного копирования данных системы средствами системного и базового программного обеспечения (ОС, СУБД), входящего в состав программно технического комплекса Заказчика.
Приведенные выше требования не распространяются на компоненты системы, разработанные третьими сторонами и действительны только при соблюдении правил эксплуатации этих компонентов, включая своевременную установку обновлений, рекомендованных производителями покупного программного обеспечения.
4.1.10. Требования к охране окружающей среды
Требования к охране окружающей среды не предъявляются.
4.2. Требования к подсистемам и функциям, выполняемым системой
4.2.1. Требования к подсистеме управления доступом
Подсистема управления доступом должна обеспечивать управление доступом к объектам доступа и организацию их совместного использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.
Подсистема управления доступом должна отвечать требованиям РД ФСТЭК (Гостехкомиссии) России.
Подсистема управления доступом должна реализовывать следующие функции:
- функция управления доступом к защищаемым ресурсам АС Росрыболовства;
- функция управления доступом в помещения.
В состав технических средств могут входить как штатные средства управления доступом операционных систем, используемых баз данных и другого специального программного обеспечения, так и специальные программно-технические средства.
Технические средства, обеспечивающие управление доступом к защищаемым ресурсам АС Росрыболовства, должны обеспечивать идентификацию и проверку подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Пароль должен храниться в защищенном виде.
4.2.2. Требования к подсистеме регистрации и учета системных событий
Подсистема регистрации и учета системных событий должна реализовывать следующие функции:
- Функция регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрации загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратного отключения средств вычислительной техники.
- Функция регистрации выдачи печатных документов на "твердую" копию.
- Функция регистрации запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
- Функция регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
- Функция регистрации попыток доступа программных средств к следующим защищаемым объектам доступа: АРМ, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
- Функция учета всех защищаемых носителей информации с помощью любой их маркировки.
- Функция очистки (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
4.2.3. Требования к подсистеме обеспечения целостности данных и систем
Подсистема обеспечения целостности данных и систем должна отвечать следующим требованиям:
- должен быть предусмотрен администратор безопасности информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД;
- должны использоваться сертифицированные средства защиты информации по требованиям безопасности информации;
- должно осуществляться выполнение функций по обнаружению и предотвращению попыток несанкционированных вторжений;
- должно осуществляться выполнение функций по аудиту безопасности и контролю защищенности.
Подсистема обеспечения целостности данных и систем должна обеспечивать следующие функции:
- функцию обеспечения целостности программных средств АС Росрыболовства;
- функцию обеспечения целостности аппаратных средств АС Росрыболовства;
- функцию обеспечения целостности информации содержащейся в АС Росрыболовства.
4.2.4. Требования к подсистеме защиты информации при межсетевом взаимодействии
Подсистема защиты информации при межсетевом взаимодействии должна обеспечивать защиту информации при ее передаче от одного территориально удаленного подразделения Росрыболовства к другому в соответствии с административной структурой Росрыболовства. В дальнейшем должна быть предусмотрена возможность организации взаимодействия по принципу "каждый с каждым".
Для защиты передаваемой информации должны использоваться криптографические методы защиты.
В целях обеспечения бесперебойного функционирования подсистема должна поддерживать функцию "горячего" резервирования технических средств, на которых она развернута.
Подсистема защиты информации при межсетевом взаимодействии должна реализовывать следующие функции:
- функцию межсетевого экранирования;
- функцию защиты трафика при его передаче по открытым каналам связи между территориально удаленными объектами Росрыболовства.
Для защиты конфиденциальной информации при ее передаче от одного территориально удаленного подразделения Росрыболовства к другому по открытым каналам связи должны применяться межсетевые экраны с показателями защищенности не ниже 4 класса по требованиям руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" Федеральной службы по техническому и экспортному контролю.
Обмен конфиденциальной информацией между территориально удаленными подразделениями Росрыболовства должен осуществляться только с использованием криптотуннелей (VPN), установленных между сегментами, обрабатывающими конфиденциальную информацию.
Должно осуществляться разделение сегментов ЛВС объектов Росрыболовства, обрабатывающих конфиденциальную информацию, и сегментов, в которых обрабатывается открытая (общедоступная) информация.
4.2.5. Требования к криптографической подсистеме
Применяемые средства криптографической защиты информации (СКЗИ) должны быть сертифицированы по уровню КС 1 /КС2/КС3 в соответствии с требованиями ФСБ России.
Криптографические преобразования должны соответствовать ГОСТ 28147-89.
Подсистема обеспечения криптографической защиты информации должна реализовывать следующие функции:
- функцию криптографической защиты информации;
- функцию управления ключевой информацией.
СКЗИ, используемые в АС Росрыболовства, должны обеспечивать защиту информации на сетевом и прикладном уровнях.
4.2.6. Требования к защите информации в подсистеме электронной почты
Подсистема информационной безопасности электронной почтовой системы должна обеспечивать ИБ передаваемых по электронной почте сообщений, а также защиту от НСД программно-аппаратных средств электронной почтовой системы.
В подсистеме информационной безопасности электронной почтовой системы должны быть реализованы следующие функции:
- функция шифрования сообщений электронной почты, содержащих конфиденциальную информацию и информацию ограниченного распространения (взаимодействие с подсистемой криптографической защиты информации);
- функция туннелирования передаваемых данных (взаимодействие с подсистемой защиты информации при межсетевом взаимодействии);
- функция подтверждения подлинности и обеспечения целостности передаваемых сообщений (взаимодействие с подсистемой обеспечения целостности);
- функция антивирусной защиты передаваемых почтовых сообщений, включая защиту от навязываемых почтовых отправлений, или спама (взаимодействие с подсистемой защиты от программных вирусов);
- функция аутентификации абонентов и администраторов (взаимодействие с подсистемой управления доступом);
- функция разграничения доступа абонентов к ресурсам почтового сервера внешних абонентов и почтового сервера внутренних абонентов;
- функция защиты от НСД программно-аппаратных средств электронной почтовой системы (взаимодействие с подсистемой обеспечения целостности).
4.2.7. Требования к подсистеме аудита информационной безопасности
Подсистема аудита информационной безопасности предназначена для регистрации в журналах безопасности средств защиты различных событий, происходящих в АРМ пользователей или ЛВС в целом. Подсистема должна обеспечивать анализ состояния защищенности систем посредством активного аудита архитектуры, топологии и конфигурации вычислительных средств ЛВС с целью выявления потенциальных путей осуществления вторжений в систему, анализа их последствий и выработки решений по обеспечению безопасности информации.
В подсистеме аудита безопасности информации должны быть реализованы следующие функции:
- функция регистрации различных событий в журналах безопасности средств защиты информации;
- функция активного аудита архитектуры, топологии и конфигурации вычислительных средств IT-инфраструктуры АС Росрыболовства;
- функция анализа защищенности и выработки решений по необходимому развитию системы информационной безопасности.
4.2.8. Требования к подсистеме управления процессами обеспечения безопасности информации
Подсистема управления процессами обеспечения безопасности информации предназначена для управления или обеспечения управления всеми компонентами и средствами системы информационной безопасности во всех режимах ее работы, с использованием преимущественно организационных мер.
В подсистеме управления процессами обеспечения безопасности информации должно быть реализовано выполнение следующих функций:
- функция сбора информации о состоянии системы информационной безопасности;
- функция обеспечения работы администратора безопасности;
- функция выработки управляющих воздействий и доведения команд управления до средств защиты информации.
4.2.9. Требования к подсистеме обнаружения вторжений
Подсистема обнаружения и предотвращения вторжений предназначена для своевременного обнаружения несанкционированной сетевой активности с целью пресечения обнаруженных злонамеренных действий.
В подсистеме обнаружения и предотвращения вторжений должны быть реализованы следующие функции:
- функция обнаружения и идентификации вторжений;
- функция регистрации выявленных вторжений и оповещения администратора безопасности;
- функция выявления и анализа уязвимостей и выработки рекомендаций по их устранению.
Ведение журналов регистрации событий должно быть реализовано как штатными средствами операционных систем и специального прикладного программного обеспечения, так и специальными средствами.
4.2.10. Требования к подсистеме защиты от программных вирусов
Подсистема должна обеспечивать защиту:
- на серверах доступа, электронной почты, файловых серверах;
- на АРМ пользователей.
Подсистема защиты от программных вирусов должна обеспечивать выполнение следующих функций:
- функции обнаружения и удаления различных типов вирусов;
- функции восстановления зараженных файлов;
- функции защиты электронной почты от нежелательных почтовых сообщений;
- функции централизованного управления средствами антивирусной защиты.
4.3. Требования к видам обеспечения
4.3.1. Требования к техническому обеспечению
В качестве базовой технологии интеграции технических средств и информационных ресурсов в АСБ Росрыболовства должна использоваться отечественная информационно-коммуникационная технология с применением СКЗИ и СЗИ от НСД, сертифицированных ФСБ России и ФСТЭК России.
Комплекс технических средств (КТС) АСБ должен включать: электронно-вычислительные машины, периферийное оборудование, сетевое оборудование, средства передачи и защиты данных, каналы связи.
КТС должен обеспечивать:
- возможность ввода, хранения и обработки, необходимых для решения задач данных;
- передачу требуемых объемов информации между уровнями системы;
- защиту конфиденциальной информации;
- возможность поэтапного ввода КТС, его перспективного расширения и развития;
- преемственность аппаратной и программной составляющих КТС. Серверы должны обеспечивать бесперебойное функционирование системы.
Серверы и рабочие станции должны обеспечивать совместное бесконфликтное функционирование с системами и средствами защиты информации от НСД и криптографической защиты информации.
Конкретная конфигурация технических средств, устанавливаемых на объектах АСБ, должна быть определена на этапе технического проектирования системы.
Технические средства, применяемые для организации АСБ, должны иметь соответствующие сертификаты и лицензии.
4.3.2. Требования к математическому обеспечению
Математическое обеспечение АСБ Росрыболовства представляет собой совокупность математических методов, моделей и алгоритмов обработки информации, используемых при создании АС.
Математическое обеспечение АСБ Росрыболовства должно удовлетворять следующим требованиям:
- единства математических методов и моделей;
- унификации алгоритмов.
Математические методы, модели и алгоритмы, используемые при разработке АСБ и ее составных частей, определяются Исполнителем и описываются на этапе технического проектирования.
4.3.3. Требования к программному обеспечению
Программное обеспечение (ПО) должно обеспечивать выполнение всех функций, подлежащих автоматизацию, выполняемых компонентами АСБ Росрыболовства, а также весь технологический цикл ведения и обработки данных, функционирование всех подсистем.
Программное обеспечение должно состоять из общего и специального программного обеспечения.
Общее ПО должно включать:
- операционные системы;
- обслуживающие стандартные программы;
- системы и средства защиты информации от НСД;
- системы и средства криптографической защиты информации.
Стандартные программы и операционные системы должны поставляться вместе с техническими средствами фирмами-производителями.
Требования, предъявляемые к ОС, к ПО СЗИ от НСД и СКЗИ уточняются на этапе технического проектирования.
Используемое ПО должно позволять поэтапную наладку и ввод системы в эксплуатацию. Структура ПО должна позволять модернизацию и расширение функций АСБ без переработки всего программного обеспечения.
Необходимо предусмотреть возможность расширения ПО с учетом перспектив развития АСБ и развития самого ПО.
4.3.4. Требования к информационному обеспечению
Система должна обеспечивать ввод, вывод, хранение, обработку и анализ данных, имеющих фактографическое и графическое представление, а также осуществлять между ними связь.
Для эффективного функционирования АСБ Росрыболовства должно быть создано единое информационное пространство, которое позволит исключить дублирование информации, совместно используемой компонентами системы.
АСБ Росрыболовства должна обеспечивать интеграцию всех объединяемых системой компонентов на основе их информационной совместимости по содержанию (единство понятий, терминов, определений), по системам классификации и кодирования, по форматам данных, по способам и формам представления данных общего пользования, по методам агрегирования (организации) информации.
4.3.5. Требования к нормативной базе
Нормативная база АСБ Росрыболовства должна включать совокупность нормативных и методических документов, определяющих порядок функционирования компонентов АСБ, а также организованную и систематизированную в массивы данных нормативно-справочную информацию, используемую при функционировании функциональных подсистем АСБ.
4.3.6. Требования к защите данных от разрушений при авариях и сбоях в электропитании системы
На этапе технического проектирования должны быть разработаны регламенты архивирования данных и создания страховых копий.
4.3.7. Требования к контролю, хранению, обновлению и восстановлению данных
За хранение, обновление, восстановление данных при их потере, контроль доступа к данным в АСБ должны отвечать администраторы информационной безопасности (АИБ).
Должны быть определены условия хранения данных, составлены инструкции действий АИБ и конечных пользователей в случае непредвиденных обстоятельств (сбой питания, выход из строя оборудования, кража).
4.3.8. Требования к организационному обеспечению
Организационное обеспечение должно содержать совокупность регламентов и инструкций, обеспечивающих требуемое взаимодействие компонентов системы между собой, с другими системами - пользователями данных АСБ, и внутри каждого компонента системы.
Для успешного проектирования, внедрения и функционирования АСБ должны быть проведены организационные мероприятия и преобразования в каждом подразделении Заказчика.
Должны быть разработаны документы, определяющие требования и порядок использования АСБ, регламент взаимодействия специалистов, обслуживающих АСБ, порядок работы с конфиденциальной информацией, порядок устранения неисправностей в системе, порядок сопровождения и модернизации системы.
В структуре каждого подразделения необходимо иметь как минимум одного АИБ. Устранение неисправностей, переконфигурирование системы и установка нового программного обеспечения должны осуществляться АИБ или специалистами лицензированной организации, занимающейся сопровождением АСБ.
Должно быть разработано и согласовано общее положение функционирования системы, взаимодействия между компонентами системы, в котором должны быть оговорены следующие пункты:
- о согласовании рабочего графика всех компонентов системы;
- о регламентации доступа и работы сотрудников с компонентами АСБ.
5. Состав и содержание работ по созданию системы
Этапы и содержание работ по созданию АСБ Росрыболовства должны соответствовать ГОСТ 34.601-90.
В табл. 1 указаны этапы создания АСБ Росрыболовства.
Табл. 1 - Этапы создания АСБ Росрыболовства
N |
Наименование этапа |
1 |
Разработка технического проекта создания АСБ Росрыболовства |
2 |
Разработка рабочей документации АСБ Росрыболовства |
3 |
Создание опытного образца АСБ и его опытная эксплуатация в Росрыболовстве |
На стадии технического проектирования АСБ Росрыболовства должны быть разработаны типовые технические решения, используемые при разработке проектов построения объектов автоматизации (например, для ЦА и территориальных управлений).
Технический проект объекта автоматизации должен адаптировать технические решения и подсистемы к специфике объекта автоматизации на стадии ТП согласно ГОСТ 34.601-90.
Виды и комплектность документов, разрабатываемых в рамках Технического проекта создания АСБ Росрыболовства, должны соответствовать требованиям ГОСТ 34.201-89.
Перечень документов, разрабатываемых в рамках Технического проекта создания АСБ Росрыболовства, должен включать:
- Пояснительную записку (включает в себя также схему организационной структуры, схему деления АСБ (структурную), схему функциональной структуры).
- Описание комплекса технических и программных средств.
- Структурную схему комплекса технических и программных средств.
- Спецификацию.
По окончании работ по созданию АСБ объекта автоматизации выпускается комплект рабочей документации, соответствующий стадии рабочего проекта по ГОСТ 34.601-90.
6. Порядок контроля и приёмки системы
Исполнитель представляет Заказчику конечную продукцию в установленные сроки, акт сдачи-приемки работ с приложением к нему счета-фактуры.
Приемка работ осуществляется комиссией, созданной из представителей Заказчика и Исполнителя.
По результатам приемки работ составляется и подписывается представителями Исполнителя и Заказчика технический акт.
По окончании работы (этапа работы) Исполнитель представляет Заказчику с сопроводительным письмом акт сдачи-приемки работ.
Датой сдачи Исполнителем работ Заказчику считается дата регистрации сопроводительного письма.
Заказчик в течение пятнадцати рабочих дней со дня получения акта сдачи-приемки работ и отчетных документов обязан принять работу (этап работы) и направить Исполнителю подписанный акт сдачи-приемки или мотивированный отказ от приемки работ.
При наличии мотивированного отказа Заказчика от приемки работ Сторонами составляется акт с перечнем необходимых доработок и с указанием контрольных сроков их выполнения. Такой акт должен быть составлен Сторонами в течение пяти рабочих дней с даты получения Исполнителем мотивированного отказа Заказчика.
Исполнитель по согласованию с Заказчиком может досрочно сдать выполненную работу в целом или ее отдельные этапы.
7. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие
Требования к составу и содержанию работ по подготовке АСБ Росрыболовства к вводу в действие, включая перечень основных мероприятий и их исполнителей, должны быть уточнены на стадии подготовки рабочей документации и по результатам опытной эксплуатации.
8. Требования к документированию
Разрабатываемые документы должны соответствовать требованиям ГОСТ 34.602-89, руководящих документов и требованиям к оформлению научно-технической документации.
Документы должны быть выполнены на русском языке, представляться в распечатанном и сброшюрованном виде в 2 экземплярах и на электронном носителе (CD-диск).
9. Источники разработки
Документы и научно-технические материалы, на основании которых разрабатывалось настоящее ТЗ и которые должны быть использованы при создании системы:
- нормативные, руководящие и методические документы по вопросам информационной безопасности, официально принятые в РФ;
- приказы, распоряжения и иные документы, принятые Росрыболовством по вопросам информационной безопасности;
- информационные материалы, содержащие опыт разработки, внедрения и обслуживания аналогичных систем в органах государственной исполнительной власти РФ;
- информационные материалы, содержащие передовые зарубежные и отечественные информационно-технологические решения для построения систем информационной безопасности.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.