Полное наименование предмета работ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

АС	Автоматизированная система (система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
АРМ	Автоматизированное рабочее место пользователя ИТКС
ВТСС	Вспомогательные технические средства и системы
Департамент, Заказчик	Департамент архитектуры и градостроительства администрации Города Томска (ДАиГ)
ИТКС	Информационно-телекоммуникационная система Департамента, включающая в свой состав техническое, программное, информационное и лингвистическое обеспечение, объединенные в информационные сервисы, автоматизированные системы, аппаратно-программные комплексы и прикладные программные комплексы и средства
ЛВС	Локальная вычислительная сеть ИТКС
МЭ	Межсетевой экран
ИБ	Информационная безопасность
НСД	Несанкционированный доступ
ОТСС	Основные технические средства и системы
ОИ	Объект информатизации
ОРД	Организационно-распорядительная документация
СЗИ	Система защиты информации
СКС	Структурированная кабельная система
САЗ	Система активной защиты
Пользователь	Лицо, участвующее в функционировании ИТКС или использующее результаты ее функционирования
ПО	Программное обеспечение ИТКС (совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности ИТКС)
ПЭМИН	Побочные электромагнитные излучения и наводки

ОБЩИЕ СВЕДЕНИЯ

Полное наименование предмета работ

Модернизация объектов информатизации Департамента с последующей аттестацией на соответствие требованиям по безопасности информации.

Шифр темы или шифр (номер) договора

Шифр разработки: _______________________

Номер контракта: муниципальный контракт №_____ от ______ 2011 г.

Наименование разработчика СИЗ и заказчика работ и их реквизиты

Заказчик системы: Департамент архитектуры и градостроительства администрации Города Томска.

Адрес заказчика: 634050, г. Томск, проспект Ленина, д. 73.

 

СИЗ на объектах информатизации Департамента разработана и внедрена в 2008 году.

 

Разработчик СИЗ подлежащей модернизации: ЗАО НПП «РЕГИОН-РК» г. Новосибирск.

Адрес разработчика: Россия, 630091, г.Новосибирск, Демьяна Бедного, 52.
тел./факс:(383) 224-52-44, 224-52-55;

адрес для электронной почты: E-mail: [email protected]
адрес в интернете: http://www.regionrk.ru

 

Перечень документов, на основании которого проводятся работы

Основанием для создания, внедрения и модернизации СЗИ АС являются:

- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Указ Президента Российской Федерации от 17.03.2008 № 351
(в ред. Указа Президента РФ от 21.10.2008 № 1510) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена;

- Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006;

- Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утверждено Постановлением Правительства РФ от 15.09.1993 № 912-5;

- Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25.11.1994;

- Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), Гостехкомиссия России, 1997г. (c изменениями - «Извещения № 1-2005 и № 1-2006»);

- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30.08.2002;

- «Инструкция по обеспечению режима секретности в Российской Федерации» от 05.01.2004 № 3-1, утверждена Постановлением Правительства РФ.

Плановые сроки начала и окончания работ

Начало работ: с момента заключения контракта

Окончание работ: не позднее «16» сентября 2011 г.

1.6. Порядок оформления и предъявления заказчику результатов работ

Результаты выполненных работ представляются Подрядчиком в сроки определенные муниципальным контрактом.

НАЗНАЧЕНИЕ И ЦЕЛИ СОЗДАНИЯ И ВНЕДРЕНИЯ СЗИ АС

Назначение СЗИ АС

СЗИ предназначена для обеспечения безопасности информации, содержащей государственную тайну и конфиденциальную информацию, при её обработке в двух АС.

ТРЕБОВАНИЯ К ПОРЯДКУ СОЗДАНИЯ, ВНЕДРЕНИЯ и модернизации СЗИ АС

Требования к нормативной базе при проведении модернизации ОИ и аттестации АС

Все мероприятия по созданию, внедрению и модернизации СЗИ АС должны осуществляться в соответствии с требованиями:

1. Федеральный закон РФ от 21.07.1993 № 5485-1 «О государственной тайне»;

2. Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

3. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997;

4. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, введенное в действие постановлением Правительства Российской Федерации от 15.09.1993 № 912-51;

5. Модель иностранных технических разведок на период до 2020 года (Модель ИТР-2020);

6. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30.08.2002 (с изменениями «Извещение № 1 - 2007»);

7. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам». Гостехкомиссия России 1997г. (с дополнениями и изменениями);

8. Извещение № 1-2005 по корректировке «Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техни­ческим каналам (СТР)» ФСТЭК России, 2005 г.;

9. Извещение № 1-2006 по корректировке «Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)» ФСТЭК России № 07 от 24.03.2006;

10. «Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)», Гостехкомиссия России, 1998 г.;

11. «Сборник методических документов по контролю защищённости информации, обрабатываемой средствами вычислительной техники, от утечки за счёт побочных электромагнитных излучений и наводок (ПЭМИН)» (новая редакция), ФСТЭК России, 2005 г. утвержден приказом ФСТЭК России от 30.12.2005 № 075;

12. «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, 2002 г.;

13. «Положение по аттестации объектов информатизации по требованиям безопасности информации», Гостехкомиссия России, 1994 г.;

14. РД «Защита от НСД к информации, ч.1. «Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларируемых возможностей», Гостехкомиссия России, 1999 г.;

15. РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации», Гостехкомиссия России, 1998 г.;

16. РД «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации», Гостехкомиссия России, 1998 г.;

А также иных нормативных правовых актов Российской Федерации по защите информации.

Требования к порядку выполнения работ

В соответствии с нормативно-методическими документами ФСТЭК Подрядчику необходимо выполнить следующие стадии модернизации объектов информации:

- проектирование (разработка проекта) и дооснащения систем защиты информации АС.

- ввести в состав АС «ЛВС № 1» и «ЛВС № 2» утвержденный перечень ОТСС, ВТСС и средств защиты информации, провести их опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

В рамках модернизации СЗИ АС «ЛВС № 1» и «ЛВС № 2» Подрядчику необходимо выполнить следующие работы:

 

Требования к порядку разработки СЗИ АС

Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов «Информационная технология. Комплекс стандартов на автоматизированные системы»:

- ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»;

- ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения»;

- ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

- ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;

- ГОСТ 34.603-92 «Виды испытаний автоматизированных систем»;

- РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

Требования к разработке организационно-регламентирующей документации

Организационно-распорядительная документация регламентирует: порядок сбора, хранения, обработки, передачи защищаемой информации в составе АС, порядок доступа в помещения, в которых размещены средства обработки защищаемой информации, порядок организации работ по классификации защищаемой информации, действия администраторов и пользователей, учет носителей информации, порядок контроля за соблюдением условий использования средств защиты информации, порядок эксплуатации средств защиты информации в составе СЗИ и т.д.

Организационно-распорядительная документация включает в себя:

- руководство по защите информации при её обработке в АС;

- инструкции персоналу в части обеспечения безопасности защищаемой информации при их обработке в АС;

- рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации;

- другую необходимую документацию.

Требования к используемым технологиям

Модернизация СЗИ АС «ЛВС № 1», АС «ЛВС № 2» должно осуществляться на базе ранее внедренных информационных технологий и обеспечивать:

- расширяемость и гибкость управления конфигурацией системы;

- надежность и отказоустойчивость аппаратных и программных средств системы.

- архитектура СЗИ АС «ЛВС № 1», АС «ЛВС № 2» должна быть открытой, масштабируемой и строиться по модульному принципу, каждый модуль должен обеспечивать свою часть функциональности решения задач в целом.

Требования к обеспечению безопасности в ходе разработки и внедрения СЗИ АС

Все сведения о составе и характеристиках СЗИ АС являются защищаемой информацией.

Разработчик СЗИ АСобязуется:

- не проводить противозаконные действия по сбору, использованию и передаче третьей стороне информации циркулирующей и хранящейся в АС Департамента;

- не осуществлять несанкционированный доступ к информационным ресурсам АС Департамента;

- не проводить незаконное копирование информации, циркулирующей или хранящейся в АС Департамента;

- не предпринимать манипулирование информацией, циркулирующей или хранящейся в АС Департамента (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию);

- не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации;

- не внедрять в АС Департамента программы-вирусы (загрузочные, файловые и др.);

- не устанавливать программные и аппаратные закладные устройства в технические средства АС Департамента;

- не устанавливать в технические средства АС Департамента программное обеспечение, зараженное вирусами;

- не распространять конфиденциальную информацию о настоящих работах и полученных результатах.

Нарушение настоящих требований влечет за собою гражданско-правовую, административную или уголовную ответственность в соответствии с законом Российской Федерации.

 

Требования к Подрядчику работ.

Наличие у Подрядчика следующих лицензий:

- Аттестата аккредитации органа по аттестации ФСТЭК России;

- Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации;

- Лицензия ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации)

- Лицензия ФСТЭК на проведение работ, связанных с созданием средств защиты конфиденциальной информации;

- Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации;

- Лицензия ФСБ России на осуществление работ с использованием сведений, составляющих государственную тайну;

- Лицензия ФСБ России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части проведения работ по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах);

- Лицензия ФСБ России на осуществление деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, не содержащих сведения, составляющие государственную тайну);

Работы должны быть выполнены без привлечения сторонних организаций

Работы требующие лабораторных исследований должны быть выполнены в лабораториях Подрядчика.

СОСТАВ И СОДЕРЖАНИЕ РАБОТ ПО модернизации и аттестации АС

Работы по модернизации и аттестации АС подразделяются на следующие этапы:

- Обследование АС;

- Модернизация системы защиты информации АС;

- Аттестационные испытания АС.

 

5.1. Обследование АС:

5.1.1. Обследование проводится с целью подтверждения категории АС При проведении обследования этом выполняются следующие мероприятия:

- анализ состава ОТСС и ВТСС, относящихся непосредственно к АС;

- анализ расположения ОТСС АС относительно границы контролируемой зоны и относительно ВТСС;

- выявление ВТСС АС имеющих линии связи, выходящие за границы контролируемой зоны;

- выявление параллельных пробегов линий связи ОТСС АС с иными линиями (связи, электроснабжения и т.п.) и коммуникациями;

- выявление ОТСС АС, на которые имеются сертификаты Гостехкомиссии/ФСТЭК России или тех, которые ранее прошли СИ (и имеют предписания на эксплуатацию);

- выявление ОТСС АС, прошедших СП;

- оценка целесообразности дальнейшего использования средств защиты, эксплуатирующихся с ОТСС АС;

- анализ выполнения систем электропитания и заземления с точки зрения их соответствия требованиям РД ФСТЭК России;

- проверка правильности категорирования и классификации АС «ЛВС № 1», проверка правильности классификации АС «ЛВС № 2» наличие и качество оформления Актов категорирования и классификации;

- оценка наличия и качества оформления Протоколов специальных исследований (лабораторных и объектовых) ОТСС, Протоколов инструментальной оценки эффективности используемых средств защиты информации от утечки по техническим каналам (при наличии таких средств), Заключений по результатам специальных проверок ОТСС, Протоколов предыдущих аттестационных испытаний, Заключений по результатам предыдущих аттестационных испытаний и ежегодных технических контролей защищенности АС Департамента и неизменности условий эксплуатации АС.

5.1.2. Завершение этапа обследования АС оформляется документами:

Акт обследования объектов информатизации,

Акты (или их проекты) классификации автоматизированных систем.

5.1.3. Лабораторные СИ ОТСС, не имеющих сертификатов Гостехкомиссии/ФСТЭК России или предписаний на эксплуатацию, вновь устанавливаемых и вводимых в эксплуатацию ОТСС проводятся до ввода ОТСС АС в эксплуатацию.

Завершения данного этапа работы оформляется документами:

Акт категорирования ОТСС АС «ЛВС № 1». При этом учитывается, что на момент составления технического задания иностранных представительств и других подобных объектов, с правом экстерриториальности, в г. Томск, нет.

Протоколы СИ ОТСС (с таблицами измерений и расчётов для каждого ОТСС АС).

Предписания на эксплуатацию ОТСС АС.

 

5.2. Модернизация системы защиты информации АС:

5.2.1. Проверка наличия Заключений по результатам СП ОТСС, для вводимых в эксплуатацию ОТСС, анализ их полноты и актуальности.

5.2.2. Доработка существующих и добавление новых ОТСС. Проведение лабораторных СИ этих ОТСС (для ОТСС АС «ЛВС № 1»).

Завершение работы на данном этапе оформляется следующими документами:

Акт по результатам доработки существующих и установки новых ОТСС (если доработка проводилась);

Протоколы СИ на доработанные и/или добавленные ОТСС;

Предписание на эксплуатацию ОТСС.

5.2.3. Дооснащение АС «ЛВС № 2» средствами защиты информации от утечки по техническим каналам, осуществляется установка и настройка системы активной защиты информации на базе генератора «Соната-Р2». Установка и настройка средства активной защиты осуществляется таким образом, чтобы обеспечить защиту информации по техническим каналам по всему объекту информатизации.

Завершение работы на данном этапе оформляется следующими документами:

Акт установки средств защиты информации от её утечки по техническим каналам;

Копии сертификатов ФСТЭК России на средства защиты информации.

5.2.4. Устранение выявленных отклонений от требований РД ФСТЭК России в части защиты информации от утечки по техническим каналам (защита выходов линий связи, электроснабжения и заземления ВТСС за пределы контролируемой зоны, устранение параллельного пробега линий связи ОТСС с иными линиями и коммуникациями и пр.). Эти работы выполняются в случае необходимости и оформляются Актом устранения выявленных отклонений от требований РД ФСТЭК России.

5.2.4.1. Трансформаторная подстанция, от которой запитаны объекты информатизации, находится за пределами контролируемой зоны, и за пределами территории администрации города, и потому отключение посторонних потребителей от ТП-10/04 по стороне 0,4 Кв невозможно. Для предотвращения утечки информации по линиям электроснабжения и заземления АС используется постановка помехи посредством генератора «Соната-Р2». Необходимые дополнительные меры, которые реализуются в целях обеспечения соответствия ОИ АС нормативным требованиям, оформляются Актом устранения отклонений от РД ФСТЭК России (при необходимости).

Эффективность избранных мер защиты информации от утечки по техническим каналам (в том числе по линиям электроснабжения и заземления) для АС «ЛВС № 1» и «ЛВС № 2» отражается в Протоколах оценки эффективности принятых мер защиты информации от утечки по техническим каналам.

5.2.5. Установка и настройка средств защиты информации от НСД АС:

На эксплуатируемые в настоящий момент и вводимые в эксплуатацию новые ОТСС, для защиты информации от НСД необходимо установить систему защиты информации от НСД «Secret Net 6.5» (сетевой вариант). Завершение работы на данном этапе оформляется следующими документами:

Копии сертификатов ФСТЭК на средства и системы защиты информации;

Акты установки (модернизации) и настройки систем защиты информации от НСД (с перечнем настроек системы защиты информации на всех ОТСС).

Пакет документации на средства защиты информации от НСД.

5.2.6. Контроль защиты информации на объекте проводится в штатных режимах работы ТС АС и оформляется «Протоколом контроля защиты информации на объекте». По результатам контроля защиты информации определяется необходимость использования дополнительных средств защиты информации. В случае, если использование дополнительных средств защиты информации необходимо, его эффективность подтверждается «Протоколом оценки эффективности установленных средств защиты информации».

5.2.7. Разработка эксплуатационной документации на АС осуществляется при участии и методическом сопровождении Подрядчика. При этом разрабатываются (уточняются) следующие основные документы:

Акт категорирования АС «ЛВС № 1».

Акты классификации АС «ЛВС № 1», «ЛВС № 2».

Технические паспорта АС «ЛВС № 1», «ЛВС № 2».

Описания технического, программного, информационного обеспечения и технологий обработки информации в АС.

Акты настойки средств защиты информации от НСД, установленных в соответствии с РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» для соответствующих классов АС (1В и 1Г соответственно).

Акты настойки МЭ АС, параметры настройки которых, установлены в соответствии с РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации, показатели защищенности от несанкционированного доступа к информации», актами категорирования и классификации АС.

5.2.8. Подготовку уполномоченных по защите информации на АС, к эксплуатации СЗИ выполняет Подрядчик на этапе создания и ввода СЗИ в эксплуатацию.

 

5.3. Аттестационные испытания АС:

На завершающем этапе работ по модернизации и аттестации АС должна быть проведена аттестация двух объектов информатизации:

- Автоматизированная система «Локальная вычислительная сеть № 1»;

- Автоматизированная система «Локальная вычислительная сеть № 2».

Аттестационные испытания должны быть организованы и проведены в соответствии с «Пположением по аттестации объектов информатизации по требованиям безопасности информации», утвержденном председателем Гостехкомиссии России 25 ноября 1994 г.

5.3.1. Разработка и согласование Программы аттестационных испытаний.

Программы аттестационных испытаний АС являются обязательными документами для выполнения работ по аттестации АС. Перечень аттестационных испытаний составляются с учётом настоящего Технического задания и требований РД ФСТЭК России в части защиты информации от НСД, для АС классов защищенности от НСД 1В, 1Г и межсетевых экранов 3 класса.

5.3.2. Проведение аттестационных испытаний.

Перед началом проведения аттестационных испытаний, орган по аттестации согласует разработанные Программы аттестационных испытаний с Заказчиком и утверждает руководителем органа по аттестации.

Аттестационные испытания проходят аттестационной комиссией до полного их завершения.

Итоговыми документами аттестационных испытаний АС являются:

Протоколы аттестационных испытаний средств защиты информации от НСД и межсетевых экранов (с использованием тестирующих средств).

Приложения к Протоколам аттестационных испытаний (контрольные суммы СЗИ от НСД и специального программного обеспечения).

Заключения по результатам аттестационных испытаний.

Аттестаты соответствия АС требованиям безопасности информации.

ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ

Проектная и рабочая документация должны разрабатываться в соответствии с требованиями комплекса государственных стандартов «Информационная технология. Комплекс стандартов на автоматизированные системы»:

- ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»;

- ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения»;

- ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

- ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;

- ГОСТ 34.603-92 «Виды испытаний автоматизированных систем»;

- РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

 

Язык оформления документации – русский, за исключением общепринятых названий и оригинальных наименований программно-аппаратных средств импортного производства.

Вся документация должна быть оформлена следующим образом:

на бумажных носителях в количестве двух экземпляров;

в электронном виде в формате Microsoft Word.

Состав документации может быть дополнен в ходе проектирования.

 

Председатель комитета

геоинформационного обеспечения ДАиГ С.В. Сидоренко

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

АС	Автоматизированная система (система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
АРМ	Автоматизированное рабочее место пользователя ИТКС
ВТСС	Вспомогательные технические средства и системы
Департамент, Заказчик	Департамент архитектуры и градостроительства администрации Города Томска (ДАиГ)
ИТКС	Информационно-телекоммуникационная система Департамента, включающая в свой состав техническое, программное, информационное и лингвистическое обеспечение, объединенные в информационные сервисы, автоматизированные системы, аппаратно-программные комплексы и прикладные программные комплексы и средства
ЛВС	Локальная вычислительная сеть ИТКС
МЭ	Межсетевой экран
ИБ	Информационная безопасность
НСД	Несанкционированный доступ
ОТСС	Основные технические средства и системы
ОИ	Объект информатизации
ОРД	Организационно-распорядительная документация
СЗИ	Система защиты информации
СКС	Структурированная кабельная система
САЗ	Система активной защиты
Пользователь	Лицо, участвующее в функционировании ИТКС или использующее результаты ее функционирования
ПО	Программное обеспечение ИТКС (совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности ИТКС)
ПЭМИН	Побочные электромагнитные излучения и наводки

ОБЩИЕ СВЕДЕНИЯ

Полное наименование предмета работ

Модернизация объектов информатизации Департамента с последующей аттестацией на соответствие требованиям по безопасности информации.