Техническое задание на оказание услуг по проведению аудита информационной безопасности в автоматизированных системах управления технологическими процесами . ОН Россия»

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на

ОКАЗАНИЕ УСЛУГ ПО ПРОВЕДЕНИЮ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕСАМИ

. ОН РОССИЯ»

Москва

2014

Начало: с даты подписания договора. Длительность:
Этапы 1-3 – 90 дней. Этап 4 – в соответствии с Приложением 1. Календарный график проведения работ. Окончание работ по проекту не позднее 45 дней после завершения работ по проведению инструментального анализа последнего блока.
Работы выполняются в соответствии с требованиями п.5.6 Технического задания.

Приказ ФСТЭК России от 01.01.2001 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»; «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», ФСТЭК России, 18 мая 2007 г.; «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», ФСТЭК России, 18 мая 2007 г.; «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», ФСТЭК России, 18 мая 2007 г. и «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», ФСТЭК России, 19 ноября 2007 г., в качестве дополнительного методического материала, в части не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 14 марта 2014 г. №31; Корпоративный стандарт «Group Policy GP 3-19 Information Security».

ISA099/IEC-62443. Security for Industrial Automation and Control Systems; NIST SP 800-82. Guide to Industrial Control Systems (ICS) Security. NERC Critical Infrastructure Protection.

Основной целью проведения работ является оценка текущего уровня защищенности АСУ ТП и подготовка рекомендаций по реализации комплекса организационно-правовых и технических мер, направленных на защиту АСУ ТП ОАО "Э. ОН Россия" в соответствии с требованиями Законодательства Российской Федерации, а также с учетом лучших российских и зарубежных практик.

Реализация предложенного комплекса мер защиты АСУ ТП должна минимизировать риски, связанные с человеческими жертвами, загрязнениями окружающей среды, выходом из строя оборудования, финансовыми, репутационными и иными потерями, а также повысить эффективности и прозрачность процессов защиты информации в АСУ ТП.

Для достижения поставленной цели в ходе проведения работ должны быть решены следующие задачи:

«Сургутская ГРЭС-2» . ОН Россия» - 628406, Российская Федерация, Тюменская область, Ханты-Мансийский автономный округ – Югра, город Сургут, улица Энергостроителей, 23, сооружение 34. Исполнительный аппарат . ОН Россия» - 123317, г. Москва, Пресненская набережная. Дом 10,

технические средства, обеспечивающие автоматизацию управления технологическими процессами; сеть передачи данных, обеспечивающая взаимодействие технических средств АСУ ТП (ТСПД); сети/сегменты взаимодействия сетей АСУ ТП и корпоративной сети Заказчика; программное обеспечение АСУ ТП в части анализа конфигурации встроенных средств безопасности и анализа на наличие уязвимостей; организационно-распорядительная документация Заказчика, устанавливающая требования в части обеспечения информационной безопасности АСУ ТП; эксплуатационная документация АСУ ТП; используемые специализированные средства защиты информации в ТСПД; персонал, обеспечивающий эксплуатацию АСУ ТП и ее информационную безопасность.

автономные системы автоматики (противоаварийная защита, пожарная, охранная и другие аналогичные системы аналогичного уровня); исполнительные устройства нижнего уровня (приводы, датчики, блоки автоматического управления); работы, связанные с физической безопасностью топливно-энергетических объектов и оценкой их антитеррористической защищенности.

определение технологических процессов и инфраструктуры АСУ ТП; определение назначения и структуры АСУ ТП (локальная, распределенная, подсистемы); для интеллектуальных узлов АСУ ТП определение ОС, приложения (изготовитель, версия), интерфейсы и протоколы подключения; определение планов помещений АСУ ТП (границы физического доступа), внешних границ, смежных помещений (не АСУ ТП), наличия охраны, видеонаблюдения, СКУД; определение границ взаимодействия АСУ ТП со смежными сетями (передача данных или их отсутствие), включая:
обозначение пограничного (подключенного к технологической и корпоративной сети одновременно) оборудования; каналы связи, передающие данные во внешние сети (в том числе, в корпоративную сеть передачи данных) с выделением подключений к сетям связи общего пользования (Интернет); резервирование каналов связи; зоны ответственности технических служб.
определение схемы взаимодействия основных узлов (групп узлов) с указанием информационных потоков (управляющая, контрольно-измерительная информация); сбор информации, необходимой для разработки принципиальной схемы сети передачи данных, подключения устройств (групп узлов) с указанием:
модель, назначение для каждого устройства (группы устройств одного типа); применяемые сетевые средства защиты информации (назначение, версия, структура).
cбор информации о конфигурации (параметрах безопасности) технических средств, включая:
списки доступа и правила журналирования на межсетевых экранах; списки доступа, парольные политики и правила журналирования в ОС и сетевом оборудовании; списки доступа, парольные политики и правила журналирования СУБД и приложений; параметры конфигурации других средств защиты информации;

Раздел «Отчета об обследовании и аудите АСУ ТП», содержащий технические данные результатов обследования (схемы, технические параметры и т. п. должны быть включены в приложения к отчету об обследовании и аудите ИБ АСУ ТП в виде паспортов АСУ ТП).

оценку возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей; анализ возможных уязвимостей и реализованных мер защиты, выявленных на предыдущих этапах; анализ возможных способов реализации угроз безопасности информации; анализ возможных последствий от нарушения свойств безопасности информации, оценку возможного ущерба.

анализ потенциально уязвимых мест АСУ ТП и недостатков ИБ по представленной документации; анализ потенциально уязвимых мест АСУ ТП и недостатков ИБ по данным конфигурации (параметрам безопасности технических средств АСУ ТП); анализ (проведение оценки степени соответствия) применяемых на момент проведения работ организационных и технических мер и средств защиты с точки зрения соответствия требованиям ФСТЭК России и корпоративных/международных стандартов.

«Оценка принадлежности АСУ ТП к КСИИ»; «Акты классификации АСУ ТП». «Модель угроз безопасности АСУ ТП». «Отчет о соответствии требованиям приказа ФСТЭК России №31 от 01.01.2001» «Отчет о соответствии корпоративному стандарту «Group Policy GP 3-19 Information Security» (данный отчет должен быть представлен на двух языках – русском и английском).

формирование требований к составу и содержанию необходимых организационных мер защиты АСУ ТП в соответствии с выявленными недостатками (рекомендации по доработке существующих организационных мер); формирование перечня и требований к содержанию разрабатываемых внутренних нормативных документов Заказчика, приказов и распоряжений, утверждение которых приведет к реализации необходимых организационных мер; формирование рекомендаций по распределению обязанностей и ответственности по обеспечению безопасности АСУ ТП.

формирование состава предлагаемых к использованию средств и мер защиты (с учетом существующих).

«Техническое задание на создание СОИБ АСУ ТП», содержащего в том числе:
цель и задачи обеспечения защиты информации в АСУ ТП; перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать АСУ ТП; требования к мерам и СЗИ, применяемым в АСУ ТП; требования к защите информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями; требования к поставляемым техническим средствам, программному обеспечению, СЗИ; функции по обеспечению защиты информации в АСУ ТП; стадии (этапы работ) создания СОИБ АСУ ТП.

анализ конфигурационных настроек общесистемного и прикладного программного обеспечения; сканирование компонентов технологических систем на наличие открытых портов, неиспользуемых сервисов, установленных патчей, подверженности известным уязвимостям; выявление слабых паролей.

«Рекомендации по устранению уязвимостей АСУ ТП», содержащего в том числе перечень и описание выявленных уязвимостей, рейтинг их опасности и детальные рекомендации по повышению защищенности с учетом особенностей тестируемой системы. При необходимости – обновление/дополнение документов предыдущих этапов.

анализа документов Заказчика в части обеспечения информационной безопасности (нормативных документов, проектной и эксплуатационной документации, актов, журналов и т. п.); опроса сотрудников Заказчика на объекте, в том числе руководителей и сотрудников структурных подразделений, а также представителей разработчиков программных и программно-технических средств и комплексов АСУ ТП;

Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации (осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации). Лицензия ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации). Лицензия ФСТЭК России на проведение работ, связанных с созданием средств защиты информации. Лицензия ФСБ России на осуществление работ, связанных с использованием сведений, составляющих государственную тайну. Лицензия ФСБ России на осуществление разработки и производства средств защиты конфиденциальной информации.

высшее профессиональное образование по направлению подготовки «Информационная безопасность»; наличие статусов ISO 27001 Lead Auditor, Lead Implementer, BS 25999 Lead Auditor, ISO 22301 Lead Auditor, Certified Information System Auditor (CISA) и т. п.; наличие статусов Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP).

Дополнительным преимуществом будут статусы прохождения подготовки по направлениям проектирования, внедрения и эксплуатации средств защиты от НСД, средств антивирусной защиты, программных и программно-аппаратных комплексов межсетевого экранирования, средств управления межсетевыми экранами, программных и программно-аппаратных комплексов предотвращения сетевых вторжений, подсистем защищенного доступа к ресурсам сети Интернет, подсистем обнаружения утечек конфиденциальной информации.

Резюме для руководителя.

Описание основополагающих элементов предлагаемого решения и описание характеристик, отличающих это предложение от конкурентных с точки зрения участника отбора предложений. Предполагаемые этапы и сроки исполнения проекта.

Сведения об Исполнителе. Описание проектной команды. Содержание проекта, предполагаемые этапы и график выполнения. Стоимость оказания услуг. Сведения об аналогичных завершенных проектах, в том числе в компаниях ТЭК. Должно быть представлено краткое описание проектов, отзывы заказчиков и/или иные документы, подтверждающие опыт. Методология выполнения работ, перечень и описание инструментальных проверок.

Исполнитель должен гарантировать:

Приложения: