Приложение N 2. Приказ Департамента здравоохранения Приморского края от 24.07.2017 N 629-о "О внесении изменений в аукционную документацию"

Приложение N 2
к приказу департамента
здравоохранения Приморского края
от 24 июля 2017 г. N 629-о

Комплектность
Защищаемых АРМ в программной части

Комплектность защищаемых АРМ в программной части, а именно программных средств устанавливаемых Исполнителем на АРМ, должна соответствовать следующим характеристикам:

1.	Программные средства в составе защищенных АРМ:
1.1.	Операционная система1	- Возможность интеграции с корпоративной службой единого каталога Active Directory Domain Services с поддержкой групповых политик и сценариев централизованного управления; - Поддержка максимального размера оперативной памяти не менее 192 ГБ; - Наличие встроенных групп безопасности, предусматривающих несколько уровней доступа (привилегий) к настройкам системы, с возможностью включения в них локальных пользователей; - Поддержка как стандартных устройств ввода информации, так и сенсорного управления; - Поддержка платформы х 64; - Количество возможных установленных процессоров в системе не менее двух; - Поддержка JAVA; - Поддержка DotNet; - Поддержка DirectX (в том числе аппаратное ускорение); - Поддержка OpenGL; - Поддержка автоматической установки оборудования по стандарту Plug-and-Play; - Возможность централизованной настройки политик безопасности, средство для управления политиками безопасности с графическим интерфейсом; - Встроенное в операционную систему средство резервного копирования с графическим интерфейсом; - Автоматическое распознавание съемных накопителей; - Возможность установки запретов на запуск приложений для определенных категорий и групп пользователей; - Интеграция с инфраструктурой удаленных рабочих столов; - Возможность централизованного хранения и управления перемещаемыми профилями пользователей, включающих все их данные и настройки; - Полная поддержка символов Unicode, в том числе в именах файлов и в командной строке; - Поддержка VBScript; - Поддержка управления с помощью WMI-запросов; - Возможность автоматического подключения принтеров, файловых хранилищ и других сетевых ресурсов, наличие средств централизованного управления подключением сетевых ресурсов и другими настройками рабочего стола с графическим интерфейсом; - Возможность массового развертывания операционных систем и приложений встроенными средствами, наличие средств централизованного управления развертыванием систем и приложений, а также установки обновлений. Средства управления должны иметь графический интерфейс; - Поддержка виртуализации приложений, работающая в автономном режиме внутри клиентской ОС; - Поддержка протокола проверки подлинности Kerberos; - Поддержка протокола проверки подлинности NTLM; - Наличие на сайте производителя списка гарантированно совместимого оборудования; - Совместимость со средствами защиты информации согласно пп. 2.2.-2.4. Таблицы 2 настоящего технического задания
1.2.	ПО, реализующее функции модуля антивирусной защиты2	- антивирусное средство должно включать: * программные средства антивирусной защиты для рабочих станций, совместимые с операционной системой, указанной в пункте 1.1.; * эксплуатационную документацию на русском языке. - программный интерфейс антивирусного средства, включая средства управления, должен быть на русском языке; - программный интерфейс антивирусного средства, включая средства управления, должен обладать контекстной справочной системой на русском языке; - требования к программным средствам антивирусной защиты для рабочих станций: * программные средства антивирусной защиты для рабочих станций должны функционировать на компьютерах, работающих в том числе под управлением операционных систем следующих версий: - Microsoft Windows 7 х86 / х64; - Microsoft Windows 2012 R2 (Foundation, Essentials, Standard, Datacenter). * программные средства антивирусной защиты для рабочих станций должны обеспечивать реализацию следующих функциональных возможностей: - резидентный антивирусный мониторинг; - эвристический анализатор, позволяющий распознавать и блокировать ранее неизвестные вредоносные программы; - антивирусное сканирование по команде пользователя или администратора и по расписанию; - запуск задач по расписанию и/или сразу после загрузки операционной системы; - антивирусная проверка и лечение файлов в архивах форматов RAR, ARJ, ZIP, CAB в том числе и защищенных паролем; - защита электронной корреспонденции от вредоносных программ с проверкой входящего и исходящего трафика на следующих протоколах: IMAP, SMTP, РОРЗ независимо от используемого почтового клиента; - защита веб-трафика; - блокировка баннеров и всплывающих окон загружаемых с Web-страниц; - распознавание и блокировка фишинг-сайтов; - проверка трафика ICQ и MSN, для обеспечения безопасности работы с интернет-пейджерами; - наличие встроенного сетевого экрана; - защита от сетевых атак с использованием системы обнаружения и предотвращения вторжений (IDS/IPS); - средство антивирусной защиты должно быть сертифицировано на соответствие требованиям САВЗ, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗ.
1.3.	ПО, реализующее функции клиентского модуля системы защиты информации, предназначенного для защиты от НСД	- возможность подключения аппаратных идентификаторов; - из-за необходимости обеспечения совместимости ПО с имеющимися операционными системами Заказчика ПО должно работать в том числе под управлением следующих операционных систем: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 в многопользовательском режиме их эксплуатации; - ПО должно поддерживать 32-х и 64-х битные версии операционных систем; - СЗИ от НСД должно быть сертифицировано по требованиям Руководящих документов (РД) ФСТЭК России (Гостехкомиссии России) по 5-му классу защиты от НСД для CBT и 4-му уровню контроля отсутствия НДВ, разрабатываться и производиться на основании лицензии органов, имеющих федеральные полномочия в указанной сфере. - СЗИ от НСД может быть использовано при создании защищенных автоматизированных систем до класса защищенности 1Г включительно, для обеспечения 1 уровня защищенности персональных данных, в государственных информационных системах 1 класса защищённости и в автоматизированных системах управления до 1 класса защищённости включительно. - Модуль централизованного управления защищенными рабочими станциями. С помощью этого модуля должно осуществляться централизованное управление учетными записями пользователей, политиками, правами пользователей, преобразованными съемными носителями информации. Должна поддерживаться многоуровневая иерархия групп компьютеров и наследование установленных параметров. Также этим модулем должен осуществляться периодический сбор журналов со всех защищенных рабочих станций. Возможность блокировки компьютера, завершения сеанса работы пользователя по команде администратора. - Модуль СОВ должен быть сертифицирован по требованиям профиля защиты систем обнаружения вторжений уровня узла (ИТ.СОВ.У4.ПЗ) по 4 классу. - Подсистема CKH должна быть сертифицирована по требованиям профиля защиты средств контроля подключения съемных машинных носителей информации (ИТ.СКН.П4.ПЗ) по 4 классу. - ПО должно обеспечивать: * Регистрацию различных пользователей: локальных, доменных, сетевых. Определение количества одновременных сеансов для пользователя. Возможность ограничения количества терминальных сессий на одном компьютере; * Идентификацию и проверку подлинности пользователей при входе в операционную систему, а также аутентификация при входе на ПЭВМ до начала загрузки ОС. Возможность двухфакторной идентификации по паролю и аппаратному идентификатору. Возможность записи авторизационных данных в идентификатор. Возможность определить принадлежность аппаратного идентификатора конкретному пользователю; * Возможность автоматического выбора аппаратного идентификатора в окне авторизации при входе в операционную систему; * Возможность настройки принудительной двухфакторной аутентификации для учётной записи с правами администратора и/или пользователя; * Возможность средствами СЗИ от НСД выполнить настройку периода действия учётной записи; * Возможность настройки предупреждения пользователя до входа в систему о том, что в информационной системе реализованы меры по обеспечению безопасности информации; * Возможность при создании учётной записи выбрать тип учётной записи (внутренний, внешний, системный, приложение, гостевой, временный); * Реализацию настроек сложности паролей и механизм генерации пароля, соответствующего настройкам; * Должен быть реализован независимый от механизмов ОС механизм разграничения прав доступа к объектам файловой системы, к запуску программ и к печати документов. Разграничения должны касаться доступа к объектам файловой системы (FAT и NTFS), реестру, сети, съемным носителям информации. Разграничения должны касаться всех пользователей - локальных, сетевых, доменных, терминальных; * Должен выполняться контроль аппаратной конфигурации компьютера и следующих подключаемых устройств: - Android-устройств; - IOS-устройств; - BIuetooth-устройств; - DVD-и CD-ROM-дисководов; - устройств HID, MTD, PCMCIA, IEEE 1394, Secure Digital; - USB-контроллеров; - беспроводных устройств (Wireless Communication Devices); - биометрических устройств; - дисководов магнитных дисков; - звуковых, видео- и игровых устройств; - инфракрасных устройств (IrDA); - контроллеров магнитных дисков; - ленточных накопителей; - модемов; - переносных устройств; - портов (СОМ и LPT); - сенсоров; - сетевых адаптеров; - сканеров и цифровых фотоаппаратов; - принтеров; - съемных носителей информации (CD-ROM, FDD, и SB-Flash-накопителей). * Для предотвращения утечки информации с использованием сменных накопителей ПО должно позволять разграничивать доступ, как к отдельным типам накопителей, так и к конкретным экземплярам; * Должно обеспечиваться преобразование информации: - на съемных носителях информации, для создания доверенной среды при работе со съемными носителями; - при работе с виртуальными дисками (преобразование выполняется незаметно для пользователя); - при создании преобразованных файлов-контейнеров, используемых для хранения информации на внешних носителях или для передачи по различным каналам связи. * Должна выполняться блокировка виртуальных дисков с преобразованной информацией при отключении аппаратного идентификатора; * Должна быть обеспечена возможность работы с преобразованными файлами-контейнерами на компьютерах, где программное обеспечение СЗИ от НСД не установлено; * Сохранение теневых копий файлов, записываемых на съемные носители. * В соответствии с требованиями к ПО должен использоваться дискреционный принцип контроля доступа, который обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа); * Возможность ограничивать средствами ПО, круг доступных сетевых ресурсов (с точностью до отдельных удалённых рабочих станция и отдельных папок общего доступа); * Регистрация и учет (аудит) действий пользователей независимыми от ОС средствами (включение ПЭВМ, вход/выход пользователей, доступ к ресурсам, запуск/остановка процессов, администрирование). Должны вестись непрерывные журналы (т. е. новые записи не должны затирать более старые) с возможностью сортировки и архивации записей; * Расширенные возможности аудита печати: печать документов с возможностью добавления штампа (произвольного или по ГОСТу), возможность сохранения теневых копий распечатываемых документов, разграничение доступа пользователей к печати и нанесению штампов; * Возможность организации замкнутой программной среды (ЗПС) и различные способы ее настройки; * Возможность разграничения доступа к буферу обмена; * Возможность локального и удаленного администрирования (управление учетными записями, политиками безопасности, правами доступа, аудитом, просмотр журналов); * Возможность контроля целостности программно-аппаратной среды (в том числе отдельных веток реестра, каталогов) при загрузке ПЭВМ, по команде администратора и по расписанию. А также контроль целостности файлов при доступе и блокировка входа в ОС при выявлении изменений. Возможность восстановления объекта доступа (файла, ветки реестра) в случае обнаружения нарушения его целостности; * Очистку остаточной информации (освобождаемого дискового пространства, зачистку определенных файлов и папок по команде пользователя), а также возможность полной зачистки дисков и разделов. Запрет смены пользователей без перезагрузки; * Выполнение регистрации действий по зачистке остаточной информации; * Возможность самодиагностики основного функционала СЗИ от НСД с возможностью сохранения отчета; * Возможность сохранения конфигурации для последующего восстановления СЗИ от НСД; * Ведение двух копий программных средств защиты информации и возможность возврата к настройкам по умолчанию; * Возможность настройки репликации серверов безопасности; * Централизованное управление лицензиями на терминальные подключения и на клиентов в нескольких доменах безопасности, при использовании отдельного модуля "Сервер лицензий"; * Централизованное управление защищенными рабочими станциями при помощи специального модуля. С помощью этого модуля должно осуществляться централизованное управление учетными записями пользователей, политиками, правами пользователей, преобразованными съемными носителями информации. Должна поддерживаться многоуровневая иерархия групп компьютеров и наследование установленных параметров. Также этим модулем должен осуществляться периодический сбор журналов со всех защищенных рабочих станций. Возможность блокировки компьютера, завершения сеанса работы пользователя по команде администратора; * Возможность нотификации о наличии обновлений для СЗИ от НСД на сервере компании; * Возможность сигнализации администратору безопасности о ситуациях несанкционированного доступа на клиентских рабочих станциях: * Блокировка доступа к файлам по расширению; * Возможность настройки всех параметров СЗИ от НСД из единой консоли администрирования; * Возможность создания отчета по назначенным правам, формирование паспорта программного обеспечения, установленного на ПЭВМ, формирование паспорта аппаратной части ПЭВМ; * Возможность построения иерархии управления при помощи специального модуля - менеджера, управляющего несколькими модулями централизованного управления; * Возможность использования механизма удаленной установки и обновления СЗИ от НСД средствами модуля централизованного управления самой СЗИ или средствами групповых политик Active Directory; * Возможность визуализации сети защищаемых компьютеров; * Возможность подключения к модулям администрирования пользователя с ограниченными правами (права только на просмотр настроек; только на просмотр журналов аудита; полные права с возможностью делегирования); * Возможность выполнять синхронизацию времени между сервером безопасности и клиентами; * Должен быть реализован модуль межсетевого экрана. Данный модуль должен обеспечивать защиту рабочих станций и серверов от НСД посредством осуществления контроля и фильтрации проходящих через сетевые интерфейсы рабочих станций сетевых пакетов в соответствии с заданными администратором правилами; - Реализация СЗИ от НСД должна быть полностью программной, но с возможностью подключения аппаратных средств считывания индивидуальных идентификаторов пользователей, включая идентификаторы: USB-Flash-накопители, Touch Memory (iButton), eToken Pro/Java (USB-ключи и смарт-карты), USB-ключи Rutoken, JaCarta Г0СТ/РК1 (USB-ключи и смарт-карты), карты HID Proximity
1.4.	ПО, реализующее функции клиентского модуля системы защиты информации, предназначенного для персонального сетевого экранирования и криптозащиты каналов передачи данных	- функция персонального сетевого экрана, защищающего рабочую станцию/сервер от возможных сетевых атак; - фильтрация защищенного и открытого IP-трафика по различным параметрам ("белый" и "черный" списки IP-адресов, порты, протоколы, типы сервисов и приложений); - наличие режима инициативных соединений, позволяющего сделать невидимым компьютер защищенной сети из открытой сети; - наличие системы обнаружения вторжений (IDS); - мониторинг сетевой активности приложений, с возможностью обнаружить и блокировать несанкционированную активность программ, обращающихся к ресурсам сети; - шифрование TCP/IP трафика, обеспечивающее защиту (конфиденциальность, подлинность и целостность) любого вида трафика (приложений, систем управления и служебного трафика операционной системы), передаваемого между любыми объектами сети (рабочие станции, информационные серверы, серверы приложений, сетевые устройства и узлы). - возможность в реальном времени обеспечивать защиту трафика служб голосовой и видеосвязи в сетях TCP/IP; - прозрачная работа через устройства статистической и динамической NAT/PAT маршрутизацией; - функцию чата-клиента, с возможностью обмена защищенными сообщениями и организации чат-конференций между объектами сети, на которых установлены клиентские и серверные модули; - функцию обмена файлами, позволяющую обмениваться между объектами сети файлами произвольного размера и типа без установки дополнительного ПО или использования функций ОС по общему доступу к файлам через сеть. Обмен файлами должен производиться через защищенную транспортную сеть с гарантированной доставкой и досылкой файлов в случае обрыва связи; - функцию контроля приложений. Указанная функция должна позволять контролировать сетевую активность приложений и компонент операционной системы, с возможностью формировать "черный" и "белый" списки приложений, которым запрещено или разрешено работать с ресурсами сети, а также задавать реакцию на сетевую активность неизвестных приложений; - функцию почтового клиента защищенной почтовой службы, функционирующей в рамках защищенной сети. Указанная функция должна позволять: * формировать и отсылать письма адресатам сети через простой графический интерфейс пользователя, с возможностью многоадресной рассылки; * использовать встроенные механизмы ЭЦП для подписи, в том числе множественной, текста письма и его вложений; * контролировать все этапы доставки письма; * иметь доступ к истории удаления писем; * вести архивы писем; * использовать механизм автоматической обработки входящих писем и файлов - задавать правила обработки входящих писем, а также правила по автоматическому формированию и отправке писем с заданными файлами; Программное обеспечение клиентского компонента системы защиты должно отвечать следующим требованиям: - обеспечивать реализацию криптографических функций с помощью СКЗИ "Домен-К" (аналог не допустим в связи с необходимостью обеспечения полной совместимости с имеющейся системой криптографической защиты информации и каналов передачи данных с централизованным управлением основанной на продуктах линейки ViPNet, производителя ОАО "ИнфоТеКС"); - иметь полную совместимость с программным комплексом, реализующим функции администрирования оборудования и программного обеспечения системы защиты, представленным в настоящей конкурсной документации: централизованное обновление программного обеспечения, обновление справочно-ключевой информацией, управлением политиками безопасности; - иметь полную совместимость с программным комплексом, реализующим функции мониторинга системы защиты; - программное обеспечение должно быть сертифицировано по требованиям ФСБ России к средствам криптозащиты информации не ниже класса КС2; - программное обеспечение должно соответствовать 3 уровню контроля отсутствия недекларируемых возможностей руководящему документу "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия, 1999); - программное обеспечение должно соответствовать 3 классу защищенности руководящему документу "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия, 1997); - программное обеспечение должно работать под управлением операционной системы Windows XP SP3 (32 бит) / 2003 Server (32 бит) Л / 181а SP2 (32 бит/64 6ht) / Seven(32 бит/64 6nt) / Server 2008 (32 бит/64 6htyserver 2008 R2 (64 бит).
2.	Техническая документация в составе защищенных АРМ:
2.1.	Техническая документация	В ходе оказания услуг по разработке комплекта организационно-распорядительных документов должна быть разработана и утверждена документация в следующем составе: - документы, регламентирующие обеспечение безопасности защищаемой информации при их обработке в региональный сегмент ЕГИСЗ Приморского края; - документы, регламентирующие хранение защищаемой информации в региональный сегмент ЕГИСЗ Приморского края; - журналы учета, проверок; - положение о порядке обработки защищаемой информации в региональный сегмент ЕГИСЗ Приморского края; - документы, определяющие лиц и подразделения, ответственные за защиту информации; - план внутренних проверок состояния защиты региональный сегмент ЕГИСЗ Приморского края; - инструкции должностным лицам; - порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации; - акт классификации защищенного АРМ регионального сегмента ЕГИСЗ Приморского края; - перечень сведений ограниченного доступа; - Технические и организационные требования к защищенным АРМ, интегрируемым в региональный сегмент ЕГИСЗ Приморского края; - иная документация. Документ "Технические и организационные требования к защищенным АРМ, интегрируемым в региональный сегмент ЕГИСЗ Приморского края" (далее - Требования), учитывающих положения проектной и аттестационной документации на введенные в эксплуатацию информационные системы, входящие в состав регионального сегмента ЕГИСЗ Приморского края должен содержать: - список сокращений и обозначений, используемых в документе; - цели и назначение документа; - требования нормативных правовых документов Российской Федерации по защите информации, необходимые для выполнения на защищенном АРМ; - порядок подключения защищенных АРМ к региональному сегменту ЕГИСЗ Приморского края; - форма заявки на подключение к региональному сегменту ЕГИСЗ Приморского края; - регламент работы с ресурсами регионального сегмента ЕГИСЗ Приморского края. Исполнитель вносит изменения в Требования в течение гарантийного срока по мере ввода в эксплуатацию новых информационных систем, входящих в региональный сегмент ЕГИСЗ Приморского края.

1 По пункту 1.1. - запрет, предусмотренный постановлением Правительства Российской Федерации от 16.11.2015 N 1236, не применяется По основаниям указанным в приложении N 1 к Извещению.

2 По пунктам 1.1., 1.З., 1.4., Заказчиком устанавливается запрет, предусмотренный постановлением Правительства Российской Федерации от 16.11.2015 N 1236.