Объявляется сбор коммерческих предложений на оказание комплекса услуг по защите информации, содержащей персональные данные, для нужд Казенного учреждения Омской области «Региональный информационно-аналитический центр системы образования»

Просим в срок до 16.10.2015 направить в казенное учреждение Омской области «Региональный информационно-аналитический центр системы образования» коммерческое предложение, для открытого аукциона в электронном виде, на оказание услуги по предоставлению широкополосного доступа в сеть Интернет для нужд казенного учреждения Омской области «Региональный информационно-аналитический центр системы образования» в 2016 году, в соответствии с проектом технического задания.

Коммерческие предложения принимаются по адресу: 644001, Россия, г. Омск, ул. Куйбышева 69, 3 этаж, кабинет 39, или на адрес электронной почты riac@obr55.ru.

Проект технического задания на оказание комплекса услуг по защите информации, содержащей персональные данные, для нужд Казенного учреждения Омской области «Региональный информационно-аналитический центр системы образования»

  • Общие положения
  • Предмет аукциона в электронной форме: оказание комплекса услуг по защите информации в «Региональной информационной системе государственной итоговой аттестации обучающихся, освоивших образовательные программы основного общего и среднего общего образования» (Далее РИС ГИА), содержащей персональные данные. На основании второго пункта Постановления Правительства Российской Федерации № 755 от 31.08.2013 года РИС ГИА является государственной Информационной системой.
  • Комплекс услуг включает:
  • обследование РИС ГИА и разработка проектной документации;
  • поставку средств защиты информации для создания системы защиты системы персональных данных РИС ГИА;
  • обновление ранее установленных средств защиты РИС ГИА;
  • аттестацию РИС ГИА на соответствие требованиям законодательства Российской Федерации в области защиты персональных данных;
  • поставка системного программного обеспечения для РИС ГИА;
  • услуги технической поддержке ПО ViPNet сети.
  • Срок оказания услуг: в течение 30 (тридцати) рабочих дней со дня заключения государственного контракта.
  • Место оказания услуг: 644001, Омская область, г. Омск, ул. Куйбышева, д. 69.
  • Характеристики РИС ГИА: государственная информационная система представляет собой комплекс, состоящий из 19 (девятнадцати) автоматизированных рабочих мест (АРМ) и сервера обработки данных, объединенных в единую информационную систему средствами связи с сетевым и периферийным оборудованием и подключением к телекоммуникационным сетям общего пользования. В информационной системе обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в том числе персональные данные.
  • Категории персональных данных, обрабатываемых РИС ГИА: иные персональные данные.
  • Объем персональных данных, обрабатываемых в РИС ГИА: менее 100 000.
  • Требуемый класс защищенности ПДн в РИС ГИА: не ниже 3.
  • Список используемых сокращений:

 

АРМ Автоматизированное рабочее место пользователя
АС Автоматизированная система
ПДн Персональные данные
ПО Программное обеспечение
СЗИ Средство защиты информации
НСД Несанкционированный доступ
ПАК Программно-аппаратный комплекс
САЗ Средство антивирусной защиты
ОС Операционная система
  • Назначения, цели и правовые основания оказания услуг
  • Назначение услуг: обеспечение безопасности информации, содержащей ПДн, обрабатываемой в РИС ГИА Заказчика.
  • Основные цели оказания услуг:
  • создание системы защиты информации РИС ГИА Заказчика;
  • выполнение требований нормативно-правовых и методических документов Российской Федерации в сфере защиты информации, содержащей ПДн;
  • модернизация существующей аппаратной и программной платформы.
  • Правовые основания:
  • Федеральный закон от 08.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Руководящий документ (далее – РД) «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1998 г.);
  • РД ФСТЭК (Гостехкомиссии) России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992г.);
  • РД ФСТЭК (Гостехкомиссии) России «Защита от несанкционированного доступа. Термины и определения» (Гостехкомиссия России, 1992г.);
  • «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К);
  • Информационное сообщение ФСТЭК России от 15 июля 2013 г. № 240/22/2637 по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в   информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 15 февраля 2008 года;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 14 февраля 2008 года;
  • ГОСТ Р 51581-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении;
  • ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении;
  • ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации Программа и методики аттестационных испытаний».
  • Требования к Исполнителю.
  • Услуги должны оказываться организацией, отвечающей следующим требованиям:
  • наличие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
  • наличие лицензии ФСБ России на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
  • сведения об участнике закупки должны отсутствовать в реестре недобросовестных поставщиков.
  • Состав оказываемых услуг по аттестации РИС ГИА.
  • Формирование требований к системе защиты ПДн, обрабатываемых в РИС ГИА, которое включает:
  • обоснование необходимости принятия решения о защите ПДн, обрабатываемых в АИС ГИА;
  • разработка и согласование с Заказчиком проекта Акта определения уровня защищенности АИС ГИА;
  • определение угроз безопасности ПДн, реализация которых может привести к нарушению безопасности ПДн в АИС ГИА, и разработку на их основе модели угроз безопасности ПДн;
  • определение требований к системам защиты ПДн, обрабатываемых в АИС ГИА;
  • разработка технического задания на создание системы защиты ПДн, обрабатываемых в АИС ГИА;
  • Разработка системы защиты информации АИС ГИА, которая включает:
  • проектирование систем защиты АИС ГИА и разработка проектной документации;
  • разработку эксплуатационной документации на систему защиты ПДн, обрабатываемых АИС ГИА.
  • Создание системы защиты информации АИС ГИА, которое включает:
  • поставку средств защиты информации;
  • обновление средств защиты информации;
  • установку и настройку средств защиты информации в АИС ГИА;
  • разработку документов, определяющих правила и процедуры, реализуемые Исполнителем для обеспечения защиты ПДн в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите ПДн);
  • предварительные испытания систем защиты ПДн;
  • опытную эксплуатацию систем защиты ПДн;
  • приемочные испытания систем защиты ПДн.
  • Аттестация информационной системы.
  • Аттестация информационной системы проводится в соответствии с программой и методикой аттестационных испытаний, разрабатываемой Исполнителем. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
  • По результатам аттестационных испытаний Исполнителем оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите ПДн и аттестат соответствия в случае положительных результатов аттестационных испытаний.
  • Характеристика поставляемого системного программного обеспечения, обновлений и средств защиты информации.
  • Обновление программного обеспечения средств защиты.
  • Обновление программного комплекса ViPNet Custom Сети №2855 (принадлежащей заказчику) должно включать:
№ п\п Наименование Количество, шт.
1. Обновление VipNet Администратор с версии 3.1 на версию 3.2 1
2. Обновление VipNeCoordinator (Linux) с версии 3.1 на версию 3.2 1
3. Обновление VipNet Client с версии 3.1 на версию 3.2 2
  • Комплект поставки:
  • лицензия – 4 шт.;
  • установочный комплект – 1 шт.
  • Обновление средства защиты от НСД
  • Обновление средства защиты от несанкционированного доступа Secret Net 6.5К на версию Secret Net 7. Клиент (автономный режим работы).
  • Обновление средства защиты от НСД должно поставляться в следующей комплектации с лицензиями в количестве 11 шт.;
  • Поставка средства анализа защищенности.
  • Средство анализа защищенности должно обладать следующими характеристиками:
  • определение топологии и инвентаризация ресурсов сети;
  • поиск известных уязвимостей;
  • локальный и сетевой аудит стойкости паролей для Windows (2003, 2008, 2012, XP, Vista, 7) и Linux;
  • поддержка возможность подбора паролей по сетевым протоколам HTTP, SMTP, POP, FTP, SSH;
  • поиск остаточной информации на жестком диске;
  • перехват и анализ сетевого трафика;
  • аудит ПО и аппаратной конфигурации;
  • контроль целостности по алгоритмам CRC32, ГОСТ Р 34.11-94, MD5;
  • аудит WI-FI сетей;
  • модуль гарантированной очистки информации;
  • наличие сертификата ФСТЭК на средство автоматизированного анализа защищенности, отсутствию недекларируемых возможностей по 4 уровню.
  • Комплект поставки:
  • лицензия – 1 шт.;
  • копия сертификата соответствия – 1шт.;
  • установочный комплект – 1 шт.
  • Поставка средства защиты информации от несанкционированного доступа.
  • СЗИ от НСД должно представлять собой программный комплекс средств защиты информации в ОС семейства Windows с возможностью подключения аппаратных идентификаторов.
  • СЗИ от НСД должно быть предназначено для работы, под управлением операционных систем Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 в многопользовательском режиме их эксплуатации.
  • СЗИ от НСД должно поддерживать 32-х и 64-х битные версии операционных систем.
  • Система должно быть предназначено для использования на персональных компьютерах, портативных компьютерах (ноутбуках), серверах (в том числе контроллерах домена и терминального доступа), также поддерживать виртуальные среды.
  • СЗИ от НСД должно быть сертифицировано по требованиям Руководящих документов (РД) ФСТЭК России (Гостехкомиссии России) по 5-му классу защиты от НСД для СВТ и 4 уровню контроля отсутствия НДВ, разрабатываться и производиться на основании лицензии органов, имеющих федеральные полномочия в указанной сфере.
  • СЗИ от НСД должно обеспечивать:
  • Регистрацию различных пользователей: локальных, доменных, сетевых. Определение количества одновременных сеансов для пользователя.
  • Идентификацию и проверку подлинности пользователей при входе в операционную систему, а также аутентификация при входе на ПЭВМ до начала загрузки ОС. Возможность двухфакторной идентификации по паролю и аппаратному идентификатору. Возможность записи авторизационных данных в идентификатор.
  • Реализацию настроек сложности паролей и механизм генерации пароля, соответствующего настройкам.
  • Должен быть реализован независимый от механизмов ОС механизм разграничения прав доступа к объектам файловой системы, к запуску программ и к печати документов. Разграничения должны касаться доступа к объектам файловой системы (FAT и NTFS), доступа к сети, доступа к сменным накопителям. Разграничения должны касаться всех пользователей – локальных, сетевых, доменных, терминальных.
  • Для предотвращения утечки информации с использованием сменных накопителей СЗИ от НСД должна позволять разграничивать доступ, как к отдельным типам накопителей, так и к конкретным экземплярам.
  • В соответствии с требованиями к СЗИ от НСД должен использоваться дискреционный принцип контроля доступа, который обеспечивает доступ к защищаемым объектам (дискам, каталогам, файлам) в соответствии со списками пользователей (групп) и их правами доступа (матрица доступа).
  • Возможность ограничивать средствами СЗИ от НСД, круг доступных сетевых ресурсов (с точностью до отдельных удалённых рабочих станция и отдельных папок общего доступа).
  • Регистрация и учет (аудит) действий пользователей, независимыми от ОС средствами (вход/выход пользователей, доступ к ресурсам, запуск \ остановка процессов, администрирование). Должны вестись непрерывные журналы (т.е. новые записи не должны затирать более старые) с возможностью сортировки и архивации записей.
  • Расширенные возможности аудита печати: печать документов с возможностью добавления штампа (произвольного или по ГОСТ), возможность сохранения теневых копий распечатываемых документов, разграничение доступа пользователей к печати.
  • Возможность локального и удалённого администрирования (управление пользователями, политиками безопасности, правами доступа, аудитом, просмотр журналов).
  • Возможность контроля целостности программно-аппаратной среды при загрузке ПЭВМ, по команде администратора и по расписанию. А также контроль целостности файлов при доступе и блокировка входа в ОС при выявлении изменений.
  • Очистку остаточной информации (освобождаемого дискового пространства, зачистку определённых файлов и папок по команде пользователя), а также возможность полной зачистки дисков и разделов. Запрет смены пользователей без перезагрузки. Запрет смены пользователей без перезагрузки.
  • Возможность самодиагностики основного функционала СЗИ от НСД с возможностью сохранения отчета.
  • Возможность сохранения конфигурации для последующего восстановления СЗИ от НСД.
  • Блокировка доступа к файлам по расширению.
  • Возможность создания отчета по назначенным правам и формирование паспорта программного обеспечения, установленного на ПЭВМ.
  • Преобразование данных в файл-контейнер для хранения их на внешних носителях либо для передачи по различным каналам связи. Возможность использования встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего криптопровайдера, в том числе сертифицированного.
  • Реализация СЗИ от НСД должна быть полностью программной, но с возможностью подключения аппаратных средств считывания индивидуальных идентификаторов пользователей, включая идентификаторы USB-flash накопители, Touch Memory (iButton), eToken Pro/Java (в том числе смарт-карты eToken), Rutoken, Rutoken ЭЦП.
  • СЗИ от НСД должно поставляться в следующей комплектации:
  • лицензия – 10 шт.;
  • установочный комплект – 1 шт.
  • Системное программное обеспечение
  • Основные функциональные параметры системного программного обеспечения должны реализовывать требования руководящего документа: «Средства  вычислительной  техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 5 классу защищенности (Гостехкомиссия России, 1992) и приказов ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Перечень предоставляемых лицензионных прав:
№ п/п Наименование программного обеспечения Ед. измерения Количество Срок действия
1 Передача неисключительного (пользовательского) лицензионного права на использование программного обеспечения Windows Server 2012 R2 Standard шт. 5 бессрочно
3 Лицензия на использование программы  контроля сертифицированной версии ОС Windows Server 2012 R2 Standard Edition для использования  на 2 процессора и 2 виртуальных АРМ (Server12R2S_Check) шт. 3 бессрочно
4 Лицензия на право использования модуля  анализа уязвимостей и конфигураций безопасности для Server12R2_Check на 1 год шт. 3 1 год
  • Комплект поставки:
  • базовый пакет для сертифицированной версии ОС Microsoft Windows Server Standard 2012 R2  для использования  на 2 процессора и 2 виртуальных АРМ – 3 шт.;
  • Сертифицированный USB-ключ eToken  для получения сертифицированных обновлений – 1 шт.
  • DVD-дистрибутив программного обеспечения на русском языке – 5 шт.;
  • Лицензия на использование  — 5 шт.;
  • Лицензионное соглашение — 5 шт..
  • Услуги технической поддержки ПО ViPNet.
  • Услуги технической поддержки включают в себя:
  • оказание Заказчику услуг технической поддержки первого уровня ПО ViPNet (ответы на вопросы в рамках эксплуатационной документации производителя);
  • проведение настройки ПО ViPNet, в том числе в случае сбоя технических средств;
  • обновление ПО ViPNet Заказчика при появлении новых и исправленных версий программ, по мере их выпуска с предоставлением копии сертификатов соответствия  и формуляра;
  • обеспечение Заказчика информацией об основных изменениях в программе и ее новых возможностях при установке новой версии программы;
  • Предоставление Заказчику и получателям услуг по внесению изменений по требованию Заказчика и обеспечению работоспособности Центра управления сетью Заказчика (далее ЦУС):
  • регистрация сетевых узлов (далее СУ) и пользователей сети ViPNet;
  • регистрация СУ в различных прикладных задачах ViPNet;
  • разграничение полномочий, создание и корректировка связей;
  • корректировка IP-адресов и других сетевых параметров;
  • формирование справочников СУ;
  • взаимодействие с ЦУС других сетей ViPNet для организации межсетевого обмена;
  • поддержка многоуровневой системы администрирования на базе иерархии удостоверяющих центров;
  • контроль времени отправки экспорта, а также получения и обработки импорта в своей и других сетях;
  • централизованная рассылка на СУ обновлений справочников и ключевой информации;
  • централизованная рассылка на СУ обновления программного обеспечения ViPNet;
  • управление конфигурацией СУ ViPNet;
  • регистрация всех выполняемых операций во внутреннем журнале событий.
  • Перечень программных средств заказчика:
№ п\п Наименование Количество, шт.
1. Обновление VipNet Администратор 1
2. Обновление VipNeCoordinator (Linux) 1
3. Обновление VipNet Client 2
  • Срок оказания услуг –120 часов в течении 1 года с момента заключения контракта.
  • Требования к Исполнителю по обеспечению безопасности
  • Все сведения о составе и характеристиках объекта информатизации являются конфиденциальной информацией.
  • Исполнитель обязуется:
  • не проводить противозаконные действия по сбору, использованию и передаче третьей стороне информации, циркулирующей и хранящейся на объекте информатизации;
  • не осуществлять несанкционированный доступ к информационным ресурсам объекта информатизации;
  • не проводить незаконное копирование информации, циркулирующей или хранящейся на объекте информатизации;
  • не предпринимать манипулирование информацией, циркулирующей или хранящейся на объекте информатизации (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию);
  • не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации;
  • не внедрять на объекте информатизации программы-вирусы (загрузочные, файловые и др.);
  • не устанавливать программные и аппаратные закладные устройства в технические средства объекта информатизации;
  • не устанавливать в технические средства объекта информатизации программное обеспечение, зараженное вирусами.
  • Нарушение настоящих требований влечет за собою гражданско-правовую, административную или уголовную ответственность в соответствии с законом Российской Федерации.
  • Требования по стандартизации и унификации
  • Стандартизация должна охватывать все этапы оказания услуг.
  • Оказание услуг должно осуществляться в соответствии с ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».
  • Порядок контроля и приемки выполненных услуг и поставляемых СЗИ
  • Сдача-приёмка оказываемых услуг должна производиться в соответствии с государственным контрактом. Основанием для сдачи-приёмки оказываемых услуг служат документы представляемые Исполнителем:
  • Акт оказанных услуг;
  • Счет фактура;
  • Акт приёма-передачи лицензий;
  • Товарно-транспортная накладная
  • Аттестат соответствия РИС ГИА требованиям безопасности информации.
  • Требования к документированию
  • Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов Российской Федерации.
  • Язык оформления документации – русский, за исключением общепринятых названий и оригинальных наименований программно-аппаратных средств импортного производства.
  • Вся документация должна быть оформлена следующим образом: на бумажных носителях в одном экземпляре, копии в электронном виде на носителе CD-R.
  • Состав документации по итогам оказания услуг:
  • акт обследования информационной системы;
  • модель угроз;
  • акт определения уровня защищенности;
  • техническое задание на создание системы защиты;
  • технический паспорт РИС ГИА;
  • программа и методика аттестационных испытаний;
  • протокол проведения аттестационных испытаний;
  • заключение по результатам проведения аттестационных испытаний;
  • аттестат соответствия РИС ГИА требованиям безопасности информации;
  • Состав документации может быть дополнен в ходе проектирования.