Закупочная документация
по открытому запросу предложений
на проведение аудита информационной безопасности информационных систем и актуализации Стратегии технологической безопасности в ТелеСистемы»
(версия 1.6)
г. Москва
2008 г. СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ.. 3
2. ПРЕДМЕТ ЗАКУПКИ.. 7
3. ПОРЯДОК ПРОВЕДЕНИЯ ЗАПРОСА ПРЕДЛОЖЕНИЙ. ИНСТРУКЦИИ ПО ПОДГОТОВКЕ ПРЕДЛОЖЕНИЙ.. 14
4. ОБРАЗЦЫ ОСНОВНЫХ ФОРМ ДОКУМЕНТОВ, ВКЛЮЧАЕМЫХ В ПРЕДЛОЖЕНИЕ.. 19
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Термины, сокращения и определения
Аудит информационной безопасности | Периодический, независимый от объекта аудита, документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях установленных требований по обеспечению информационной безопасности | |
Информационная безопасность | Состояние информации, информационных ресурсов и информационных систем, при котором обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т. п. | |
Информационная система | Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств | |
Информационно-технологический (ИТ-процесс, инфраструктура и др.) | относящийся к технологии обработки информации в информационные системы" href="/text/category/avtomatizirovannie_informatcionnie_sistemi/" rel="bookmark">автоматизированных информационных системах (корпоративной сети и сети сотовой связи) | |
Информационно-технологический риск (ИТ-риск) | риск прерывания бизнес-процесса в результате функциональной дестабилизации информационного процесса в автоматизированной системе по причине сбоя, аварии, техногенной или природной катастрофы, нарушения безопасности информации и т. п. | |
Информационные ресурсы КИС | Информация, создаваемая и обрабатываемая в автоматизированных информационных системах, хранящаяся в электронном виде, получаемая или передаваемая по сетям передачи данных | |
Информационные технологии | процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов | |
Инцидент информационной безопасности | Имевшее место, предпринимаемое или вероятное нарушение требований обеспечения информационной безопасности | |
ИТ-ресурсы | Аппаратное и программное обеспечение конечных пользователей, а также услуги и информационные ресурсы корпоративной информационной системы, предоставляемые Блоком ИТ сотрудникам для выполнения ими своих служебных обязанностей | |
Корпоративная информационная система (КИС) | Совокупность данных и информационных технологий (включая используемые средства вычислительной техники, связи и методы обработки данных), предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации, подготовленная в соответствии с потребностями пользователей и применяемая для решения бизнес-задач Компании | |
Критичный технологический процесс | технологический процесс в автоматизированной системе, функциональная дестабилизация которого может привести к существенному ущербу | |
или Компания | Открытое акционерное общество «Мобильные ТелеСистемы» | |
Уязвимость | Свойство АС, которое можно использовать для нарушения функционирования АС или несанкционированного доступа к её ресурсам | |
Технологическая безопасность | Защищенность сетевой, ИТ-инфраструктуры и средств сетей связи от несанкционированного доступа к информации, ее модификации при хранении, обработке, передаче, а также от отказов в обслуживании авторизованных пользователей | |
Стратегия технологической безопасности | Долгосрочный (3-5 лет) план действий, в котором бизнес и менеджмент по ТиИТ совместно описывают порядок достижения бизнес-целей компании в части технологической безопасности |
1.2. Общие сведения о процедуре запроса предложений
1.2.1. ТелеСистемы» - юридический адрес: г. Москва, ул. Марксистская, д. 4 (далее — Организатор или ), рассылкой по электронной почте приглашает компании, работающие на рынке ИТ-услуг (далее — Участники), к участию в открытому конкурентном запросе предложений (далее — запрос предложений) на право заключения договора на проведение аудита информационной безопасности информационных систем в ТелеСистемы».
1.2.2. Для справок по организации конкурса обращаться в Департамент технологической безопасности:
, , факс. +7 (916) , e-mail: *****@***ru (вопросы по проведению конкурса);
, тел. +7 (916) , e-mail: *****@***ru (методические вопросы).
1.3. Правовой статус процедур и документов
1.3.1. Запрос предложений не является конкурсом, и его проведение не регулируется статьями 447—449 части первой Гражданского кодекса Российской Федерации. Данная процедура запроса предложений также не является публичным конкурсом и не регулируется статьями 1057—1061 части второй Гражданского кодекса Российской Федерации. Таким образом, данная процедура запроса предложений не накладывает на Организатора соответствующего объема гражданско-правовых обязательств.
1.3.2. Уведомление вместе с его неотъемлемым приложением - настоящей Документацией, являются приглашением делать оферты и должны рассматриваться Участниками с учетом этого.
1.3.3. Предложение Участника имеет правовой статус оферты и будет рассматриваться Организатором в соответствии с этим, однако Организатор оставляет за собой право разрешать или предлагать Участникам вносить изменения в их Предложения по мере проведения этапов запроса предложений. Организатор оставляет за собой право на последнем (финальном) этапе запроса предложений установить, что Предложения Участников, поданные на данный этап, должны носить характер твердой оферты, не подлежащей в дальнейшем изменению.
1.3.4. Заключенный по результатам запроса предложений Договор фиксирует все достигнутые сторонами договоренности.
1.3.5. При определении условий Договора с Победителем используются следующие документы с соблюдением указанной иерархии (в случае их противоречия):
a) Протоколы преддоговорных переговоров между Организатором и Победителем (по условиям, не оговоренным ни в настоящей Документации по запросу предложений, ни в Предложении Победителя);
b) Уведомление о проведении запроса предложений и настоящая Документация по запросу предложений по всем проведенным этапам со всеми дополнениями и разъяснениями;
c) Предложение Победителя со всеми дополнениями и разъяснениями, соответствующими требованиям Организатора.
1.3.6. Иные документы Организатора и Участников не определяют права и обязанности сторон в связи с данным запросом предложений.
1.3.7. Во всем, что не урегулировано Уведомлением о проведении запроса предложений и настоящей Документации по запросу предложений стороны руководствуются Гражданским кодексом Российской Федерации.
1.4. Обжалование
1.4.1. Все споры и разногласия, возникающие в связи с проведением запроса предложений, в том числе, касающиеся исполнения Организатором и Участниками своих обязательств, должны решаться в претензионном порядке. Для реализации этого порядка заинтересованная сторона в случае нарушения ее прав должна обратиться с претензией к другой стороне. Сторона, получившая претензию, должна направить другой стороне мотивированный ответ на претензию в течение 10 рабочих дней с момента ее получения.
1.4.2. Если претензионный порядок не привел к разрешению разногласий, Участники имеют право оспорить решение или поведение Организатора в связи с данным запросом предложений в Центральной конкурсной комиссии .
1.4.3. Вышеизложенное не ограничивает права сторон на обращение в суд в соответствии с действующим законодательством.
1.5. Прочие положения
1.5.1. Участники самостоятельно несут все расходы, связанные с подготовкой и подачей Предложения, а Организатор по этим расходам не отвечает и не имеет обязательств, независимо от хода и результатов данного запроса предложений.
1.5.2. Организатор обеспечивает разумную конфиденциальность относительно всех полученных от Участников сведений, в том числе содержащихся в Предложениях. Предоставление этой информации другим Участникам или третьим лицам возможно только в случаях, прямо предусмотренных действующим законодательством Российской Федерации или настоящей Документацией.
1.5.3. Организатор вправе отклонить Предложение, если он установит, что Участник прямо или косвенно дал, согласился дать или предложил служащему Организатора, вознаграждение в любой форме: работу, услугу, какую-либо ценность, в качестве стимула, который может повлиять на принятие Закупочной комиссией решения по определению Победителя.
1.5.4. Организатор вправе отклонить Предложения Участников, заключивших между собой какое-либо соглашение с целью повлиять на определение Победителя запроса предложений.
2. ПРЕДМЕТ ЗАКУПКИ
В данной закупочной документации представлены 2 лота:
I. проведение аудита (описание лота пп. 2.1 – 2.6),
II. актуализация стратегии технологической безопасности (описание лота пп. 2.7 – 2.11).
Участники конкурса могут сделать предложения, как по отдельному лоту, так и на выполнение 2-х лотов. В последнем случае участник должен предоставить предложения по 2-м лотам по отдельности и одно предложение на выполнение 2-х лотов.
2.1. Предмет закупки
2.1.1. Проведение аудита информационной безопасности в информационных системах в ТелеСистемы» в соответствии с внутренними контролями и выявление уязвимостей ИТ-безопасности в КИС.
2.2. Цели и состав работ
Целью данной работы является анализ существующей технической инфраструктуры и технических средств по защите КИС от угроз ИТ-безопасности для повышения уровня зрелости Компании в области защиты информации.
Работа содержит 8 частей:
2.2.1. Анализ нормативных документов ТелеСистемы» в части обеспечения информационной безопасности и определения набора необходимых контролей;
2.2.2. Разработка методики проведения аудита;
2.2.3. Инвентаризация структуры сети и информационных ресурсов;
2.2.4. Обследование используемых средств защиты информации в ИС;
2.2.5. Обследование используемых средств или элементов защиты на соответствие заявленным функциям (проверка доверенной среды);
2.2.6. Анализ инцидентов;
2.2.7. Проверка квалификации сотрудников, эксплуатирующих средства защиты;
2.2.8. Оценка уровня зрелости.
2.3. Описание объекта аудита
2.3.1. Аудит проводится в подразделениях ТелеСистемы»:
· БЕР Макро-Регион (МР) «Москва» (г. Москва),
· БЕР МР «Центр» (г. Москва),
· БЕР МР «Северо-Запад» (г. Санкт-Петербург),
· БЕР МР «Юг» (г. Краснодар),
· БЕР МР «Поволжье-СЗ» (г. Н. Новгород),
· БЕР МР «Поволжье-ЮВ» (г. Самара),
· БЕР МР «Урал» (г. Екатеренбург),
· БЕР МР «Сибирь» (г. Новосибирск),
· БЕР МР «Дальний Восток» (г. Владивосток),
· БЕ Украина, (Украина, г. Киев),
· С (Белоруссия, г. Минск),
· Уздунробита (Узбекистан, г. Ташкент),
· Barash (Туркменистан, г. Ашхабад),
· K-Telecom (Армения, г. Ереван).
2.3.2. Работы в подразделениях ТелеСистемы», которые находятся вне России, проводятся по упрощенной методике (без инструментального анализа).
2.4. Расширенное описание состава работ
2.4.1. Анализ нормативных документов ТелеСистемы» в части обеспечения информационной безопасности и определения набора необходимы контролей:
2.4.1.1. Осуществляется анализ системы нормативных документов (не менее 40 документов) разработанных на основе ISO 27001;
2.4.1.2. Проводится анализ нормативных документов на полноту требований ISO 27001 и соответствия лучшим практикам;
2.4.1.3. Подготавливаются рекомендации по улучшению системы нормативных документов.
2.4.2. Разработка методики проведения аудита:
2.4.2.1. Подготавливаются контроли на основании требования нормативных документов ТелеСистемы»;
2.4.2.2. Подготавливаются контроли на основе требований ISO 27001 (для выполнения работ 2.2.3 – 2.2.8):
Таблица ключевых контролей ISO 27001
№ | Название контролей | Необходимость проведения инструментального контроля | Результат контроля |
1. | 7.1 Ответственность за активы | Да | Опись информационных ресурсов, сетевые схемы, |
2. | 8.3 Прекращение занятости или смена работы служащего | Отчет об анализе учетных записей уволенных сотрудников и сотрудников имеющие расширенные привилегии, выборочная проверка предоставления доступа | |
3. | 9.1 Зоны безопасности | Отчет | |
4. | 9.2 Безопасность оборудования | Отчет | |
5. | 10.1 Операционные процедуры и ответственность | Отчет | |
6. | 10.2 Менеджмент оказания услуг третьими сторонами | Отчет | |
7. | 10.4 Защита от вредоносного и мобильного кода | Да | Отчет об инструментальном анализе (детальная информация об эффективности применяемых средств антивирусной защиты) |
8. | 10.5 Резервирование | Отчет | |
9. | 10.6 Менеджмент безопасности сети | Да | Отчет об инструментальном анализе (детальная информация о выявленных уязвимостях и мерах по их устранению) |
10. | 10.7 Обращение с носителями информации | Отчет | |
11. | 10.8 Обмен информацией | Да | Отчет об инструментальном анализе (детальная информация о эффективности применяемых СЗИ) |
12. | 10.9.3 Общедоступная информация | Да | Отчет |
13. | 10.10 Мониторинг | Да | Отчет об инструментальном анализе (детальная информация о эффективности применяемых средств мониторинга) |
14. | 11 Контроль доступа | Да | Отчет об инструментальном анализе (детальная информация о эффективности применяемых средств контроля доступа) |
15. | 12.4 Безопасность системных файлов | Отчет | |
16. | 12.5 Безопасность в процессах разработки и поддержки | Отчет | |
17. | 12.6 Менеджмент технических уязвимостей | Да | Отчет |
18. | 13.1 Сообщения о событиях и недостатках информационной безопасности | Отчет | |
19. | 13.2 Менеджмент инцидентов информационной безопасности и усовершенствований | Отчет | |
20. | 14.1 Вопросы информационной безопасности менеджмента непрерывности бизнеса | Отчет | |
21. | 15.3 Вопросы аудита информационных систем | Отчет |
2.4.2.3. Определение критериев оценок выполнений контролей (шкала не менее 5 уровней);
2.4.2.4. Разработка методики оценки квалификации сотрудников, эксплуатирующих средства защиты, включая проверку знаний нормативных документов ТелеСистемы», знание применяемых технологий защиты информации, осведомленность в отношении лучших практик по защите информации;
2.4.2.5. Определение методики оценки уровня зрелости, на основе Cobit;
2.4.2.6. При разработке методики аудита должны учитываться требования стандартов: ISO27001, Cobit 4.1, PCAOB (SOA), ISSAF и др.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
