Выбор подрядной организации на оказание услуг по оценке соответствия ИСПдн требованиям законодательства РФ (аттестация ИСПДн)
ООО "РН-Краснодарнефтегаз"
Техническое задание
Краснодар 2011
Содержание
1 Список сокращений и условных обозначений. 3
2 Цели, Задачи и сроки проведения работ. 4
3 Состав и содержание работ. 4
3.1 Оценка соответствия ИСПДн требованиям безопасности информации (аттестация ИСПДн) 4
3.2 Информационное сопровождение. 6
4 Особые условия Заказчика. 6
5 Контактные данные. 8
2 Список сокращений и условных обозначений
|
АС |
Автоматизированная система |
|
ФСБ |
Федеральная служба безопасности РФ |
|
ФСТЭК |
Федеральная Служба по Техническому и Экспортному Контролю РФ |
|
КС |
Криптографические средства |
|
ПМВ |
Программно-математические воздействия |
|
СЗИ |
Средство защиты информации |
|
ПД |
Персональные данные |
3 Цели, Задачи и сроки проведения работ
Целью работ является оказание услуг по оценке соответствия информационной системы персональных данных (ИСПДн) ООО "РН-Краснодарнефтегаз" (далее – Заказчик) требованиям законодательства РФ.
Объекты проведении работ – ; г. Краснодар, ул. Гаражная д. 154;
В пределах контролируемой зоны не обрабатывается государственная тайна и отсутсвуют государственные информационные ресурсы.
Состав ИСПДн ООО "РН-Краснодарнефтегаз":
§ АРМ пользователей, обрабатывающих ПД, в аттестуемой ИСПДн центрального филиала ООО "РН-Краснодарнефтегаз” в г. Краснодар;
§ Сервера БД, участвующие в обработке ПД, в аттестуемой ИСПДн центрального филиала ООО "РН-Краснодарнефтегаз” в г. Краснодар;
Предварительные сроки проведения работ:
§ Срок окончания: не позднее 20.12.2011.
4 Состав и содержание работ
4.1 Оценка соответствия ИСПДн требованиям безопасности информации (аттестация ИСПДн)
В рамках данного этапа должны быть проведены следующие работы:
· Оценка организационно-распорядительной документации (ОРД) по защите ПД
o Выявление и сбор имеющейся организационно-распорядительной документации;
o Оценка полноты существующей организационно-распорядительной базы;
o Доработка и уточнение существующей организационно-распорядительной базы;
o Разработка «Программы и методики проведения аттестационных испытаний ИСПДн»;
· Оценка мероприятий по защите от НСД к ПД при их обработке в ИСПДн
o реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам;
o ограничение доступа пользователей в помещения, где размещены технические средства;
o разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам;
o регистрация действий пользователей и обслуживающего персонала;
o учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
o резервирование технических средств, дублирование массивов и носителей информации;
o использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
o использование защищенных каналов связи;
o размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
o организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
o предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
· Оценка мероприятий по защите информации от утечки по техническим каналам
o В связи с тем, что в ИСПДн отстутствуют государственные ресурсы, оценка мероприятий по защите информации от утечки по техническим каналм не проводится.
· Анализ результатов и подготовка отчетных документов.
Результат оценки соответствия должен оформляться следующей документацией:
· Протоколы аттестационных испытаний и заключения по их результатам;
· Акты проведения аттестационных испытаний;
· Аттестаты соответствия ИСПДн требованиям по безопасности информации (при положительном заключении по результатам аттестационных испытаний) (для каждой ИСПДн).
В случае отрицательного заключения по результатам аттестационных испытаний Заказчику предоставляется отсрочка на 7 (семь) месяцев с целью устранения замечаний. По истечении 7 (семи) месяцев в случае устранения замечаний Заказчиком Исполнитель выдает аттестаты соответствия в рамках данного контракта.
4.2 Информационное сопровождение
Срок информационного сопровождения должен составлять не менее 36 месяцев с возможностью продления.
В информационное сопровождение входит:
§ обработка заявок по электронной почте и телефону в течение 1 рабочего дня, в случае возникновения критической неисправности - в течении 5-ти часов с момента обращения по телефону;
§ выделение персонального менеджера поддержки;
§ консалтинг Заказчика при внесений изменений в ИСПДн или при внесении изменении в законодательные, нормативные документы и рекомендации ФСТЭК и ФСБ РФ, затрагивающих вопросы информационной безопасности.
Исполнитель должен обладать собственным центром сервисной поддержки.
5 Особые условия Заказчика
Чтобы претендовать на право заключения Договора, Исполнитель должен удовлетворять следующим требованиям:
· должен обладать финансовыми ресурсами, подтверждающими деятельность организации в течение последних трех лет;
· должен обладать опытом работы на рынке услуг по основному виду деятельности не менее 3 лет;
· должен обладать аттестатом аккредитации ФСТЭК РФ на проведение Аттестации объектов информатизации по требованиям безопасности информации;
· должен иметь представительство в Краснодарском крае;
· должен обладать системой управления качеством соответствующей международным требованиям и сертифицированной на соответствие требованиям ГОСТ Р ИСО ;
· должен иметь сертифицированных специалистов по направлениям:
o Техническая защита персональных данных;
o Анализ защищенности сетей;
o Безопасность информационных технологий;
o Безопасность компьютерных сетей;
o Обнаружение атак;
o ISO 27001 Implementing, BSI Management Systems CIS;
o ISO 27001:2005 & ISO 17799:2005 Information Security Management System, BSI Management Systems CIS;
o ISO 27001:2005 Information Security Management System Lead Auditor, BSI Management Systems CIS;
o Cisco Security Sales Specialist; (не менее 4х специалистов)
o Администрирование сети и информационная безопасность;
o Cisco Express Foundation Sales Specialist;
o Cisco Advanced IP Communications Sales Specialist;
o Cisco Certified Design Associate; (не менее 2х специалистов)
o Cisco Certified Entry Networking Technician;
o Cisco Certified Network Associate; (не менее 3х специалистов)
o Cisco Certified Network Associate Security;
o Cisco Certified Security Professional;
o Certified Information Systems Security Professional;
o Cisco Security Solutions and Design Specialist;
o Cisco Sertified Internetwork Expert; (не менее 2х специалистов)
o Securing Cisco IOS Networking;
o Microsoft Certified Systems Administrator: Security on Microsoft Windows Server;
o Microsoft Certified Systems Engineer: Security on Microsoft Windows Server;
o Microsoft Certified Technology Specialist;
o McAffe Network Security;
o McAffe Network Business Landscape;
o McAffe Network Security Platform;
o McAfee SecurityAlliance Exchange (MAX);
o McAfee Data Protection.
· должен иметь успешный опыт реализации документально подтвержденных аналогичных проектов:
o не менее пяти успешно завершённых проектов по защите персональных данных;
· должен иметь соответствующие разрешающие документы на осуществление видов деятельности, связанные с выполнением договора, в том числе:
· лицензии Федеральной службы по техническому и экспортному контролю:
o Лицензия на деятельность по технической защите конфиденциальной информации;
o Лицензия на проведение работ, связанных с созданием средств защиты информации;
· лицензии Федеральной службы безопасности:
o Лицензия на осуществление технического обслуживания шифровальных (криптографических) средств;
o Лицензия на осуществление предоставления услуг в области шифрования информации;
При невыполнении одного из требований Претендент не проходит предварительную квалификацию.
6 Контактные данные
Контактное лицо для получения технической информации:
,
гл. специалист отдела экономической безопасности
тел. +7 (8
