Приложение 2 к Документации о закупке
Техническое задание
на разработку технологии защиты от утечки конфиденциальной информации, критериев оценки и рекомендаций по выбору конкретного DLP-решения для ОАО «Аэрофлот»
Москва 2014 год
Содержание Приложение 1 9
Приложение 2 11
Приложение № 3 21
НАЗНАЧЕНИЕ РАБОТ
В процессе проведения работ необходимо получить полную и объективную оценку состояния информационной безопасности в части защиты конфиденциальной информации ОАО «Аэрофлот» и спланировать дальнейшие шаги по повышению уровня защищенности, обеспечить построение эффективной программы развития системы информационной безопасности ОАО «Аэрофлот», позволить спланировать и реализовать построение Комплексной системы защиты конфиденциальной информации (далее – КСЗКИ) в соответствии с лучшими мировыми практиками в сфере ИБ.
ЦЕЛИ И ЗАДАЧИ ПРОЕКТА
Цели проекта:
получение объективной и независимой оценки текущей ситуации в сфере защиты конфиденциальной информации;
проведение качественной оценки рисков утечек конфиденциальной информации;
определение требуемых мер для повышения уровня информационной безопасности;
тестирование технических решений;
формирование Стратегии развития КСЗКИ;
формирование технического задания на построение КСЗКИ.
Задачи проекта:
анализ организационно-распорядительной документации в области ИБ и смежных областях;
проведение интервью с сотрудниками Заказчика;
осмотр офисных и технологических помещений;
структурирование и анализ полученной информации;
качественная оценка рисков информационной безопасности в части касающейся утечек конфиденциальных данных;
подготовка рекомендаций по повышению уровня информационной безопасности и обеспечению соответствия актуальным требованиям;
подготовка итогового отчета по результатам аудита;
тестирование технических решений в инфраструктуре Заказчика;
разработка Стратегии развития КСЗКИ;
разработка Технического задания на построение КСЗКИ;
подготовка отчета и презентации по итогам выполненных работ.
ОБЩИЕ ТРЕБОВАНИЯ
При оказании услуг Подрядчик должен руководствоваться требованием следующих документов:
Федеральный закон от 29.07.2004 №98-ФЗ «О коммерческой тайне»;
ISO/IEC 20000-1-2005. Information technology - Security techniques - Information security management systems - Requirements;
ISO/IEC 27002-2005. Information technology - Security techniques - Code of practice for information security management;
ISO/IEC 27005-2008. Information technology - Security techniques - Information security risk management.
ISO/IEC 27006-2007. Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.
ISO/IEC 31010-2009. Risk management – Risk assessment techniques.
ISO 22301:2012. Societal security - Business continuity management systems - Requirements.
NIST-SP-800-82. Guide to Industrial Control Systems (ICS) Security.
NIST-SP-800-60. Классификация информации и информационных систем по требованиям к безопасности.
COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии.
ГОСТ 34.601. Автоматизированные системы. Стадии создания;
ГОСТ 34.602. Техническое задание на создание автоматизированной системы;
ГОСТ 34.603. Виды испытаний автоматизированных систем;
ГОСТ 34.201. Виды, комплектность и обозначение документов при создании автоматизированных систем;
РД 50-34.698. Автоматизированные системы. Требования к содержанию документов;
Требования корпоративных стандартов и регламентов Заказчика по предмету настоящего ТЗ.
Для оказания услуг сотрудникам подрядчика может быть предоставлен доступ:
на территорию;
к рабочим местам пользователей;
к информационным системам, включая создание необходимых учетных записей.
ОПИСАНИЕ ОБЪЕКТА
Состав и границы объекта обследования
Работы должны проводиться на объектах ОАО «Аэрофлот», расположенных на территории г. Москвы и Московской области.
Описание объекта защиты
Объектом защиты являются ключевые ИТ-ресурсы Заказчика. Функционирует три ЦОДа. Основные офисные комплексы, где размещаются пользователи ИС – Арбат и Мелькисарово.
Для организации ЛВС используются выделенные оптические каналы связи (Мегафон).
Основные ИС:
Кадровая система (самописная), которая состоит из большого числа модулей;
SAP ERP;
ИС управления электронным документооборотом (КАСУД на базе Lotus);
Система бронирования Sabre;
Ряд производственных системы, обеспечивающей бизнес-процессы компании (IPG Aero, AMOS, и др.)
ЕПР – единое платежное решение, шлюз по обработке оплаты за билеты (процессинг Альфа-Банка, оплата возможна кредитными картами, различными системами электронных денег (Яндекс, Киви и др.)).
Зарплатные системы
Система продаж перевозок
Съемные устройства обработки и хранения информации
Почтовый сервер (MS Exchange, Lotus)
IBM Filenet P8
Кластер серверов MS SQL
Другие важные ИС
Описание существующих защитных мер
Описание существующих защитных мер будет предоставлено Подрядчику по результатам оценки уровня обеспечения информационной безопасности.
ТРЕБОВАНИЯ К РАБОТАМ
Требования к структуре работ
Подрядчиком на этапе предварительного обследования должен быть проведён сбор, систематизация и анализ исходных данных для получения первичной информации по организационной структуре, функциональным обязанностям и области обследования.
Заказчик должен предоставить Подрядчику по согласованному перечню необходимые исходные данные, организационно-распорядительные документы и другие материалы, необходимые для проведения работ.
Заказчик организует доступ сотрудникам Подрядчика на обследуемые объекты информатизации и обеспечивает организацию работ по обследованию различных компонентов своих ИС.
С целью обеспечения обследования информационной безопасности Подрядчик должен разработать и согласовать с Заказчиком план проведения обследований информационной безопасности на объектах информатизации Заказчика.
План проведения обследования согласовывается Заказчиком до выезда специалистов Подрядчика на объекты Заказчика.
В ходе обследования на объекте Заказчика должны быть выполнены:
анализ организационно-распорядительной документации в области ИБ и смежных областях;
проведены интервью с представителями высшего руководства Заказчика;
проведены интервью с руководителями, отвечающими за управление персоналом, юридическое обеспечение, управление ИТ, управление ИБ, управление операционными рисками и внутренний контроль;
проведены интервью с разработчиками и администраторами автоматизированных систем;
проведены интервью со специалистами, ответственными за обеспечение ИБ;
осуществлен осмотр офисных и технологических помещений;
сформирован финальный перечень информационных активов (информационных ресурсов, систем и сервисов), критерии оценки и ранжирования рисков;
проведены интервью с представителями бизнес-подразделений Заказчика с целью оценки ущерба от возможного нарушения информационной безопасности критичных информационных активов.
По результатам обследования Подрядчик должен предоставить отчет об обследовании, включающий в себя:
Описание организационно-распорядительной документации, касающейся защиты конфиденциальной информации;
Описание ИТ инфраструктуры и информационных сервисов;
Описание используемых средств и мероприятий для защиты конфиденциальной информации;
Перечень информационных активов (информационных ресурсов, систем и сервисов), критерии оценки и ранжирования рисков.
На этапе разработки требований к КСЗКИ должны быть проведены следующие работы:
Классифицированы информационные активы Заказчика в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ (целостности, конфиденциальности и доступности);
Выявлены, проанализированы и оценены риски, связанные с возможным нарушением информационной безопасности критичных информационных активов Заказчика;
Разработаны требования к системе КСЗКИ на основании оцененных рисков;
Разработан перечень рекомендаций, направленных на повышение уровня информационной безопасности в части защиты конфиденциальной информации от утечек;
Подготовлена Программа и методика испытаний на основании требований к системе КСЗКИ.
Программа методика испытаний для КСЗКИ должна состоять из следующих основных разделов:
Требования к архитектуре системы;
Функциональная карта тестирования;
Требования к нагрузочному тестированию;
Методика оценки результатов тестирования.
В ходе испытаний систем должны быть осуществлены пилотные проекты на базе набора решений, обеспечивающих максимальное покрытие требований, согласованных с Заказчиком на этапе разработки требований к КСЗКИ. Предложение Подрядчика должно обеспечивать проведение испытаний подсистем информационной безопасности, в том числе таких как:
Независимое поэтапное тестирование шести различных DLP систем (должны быть представлены как минимум решения от Infowatch, Zecurion, Jet Info, Falcongaze и SearchInform), которые обладают существенно отличающимся функционалом от используемой в данный момент системы Websense Data Security.
тестирование системы расследования инцидентов, согласованной с Заказчиком;
тестирование системы разграничения прав доступа к документам (IRM), согласованной с Заказчиком;
тестирование системы расследования инцидентов «CIRT AccessData»;
тестирование системы разграничения прав доступа к документам (Seclore IRM).
Тестирование различных систем должно обеспечить Заказчика полной и объективной информацией о возможностях решений, оценить применимость технологий в рамках текущей деятельности по защите конфиденциальной информации от утечек в ИС ОАО «Аэрофлот».
Основными результатами тестов систем ИБ должны являться отчеты о проведении тестирований систем ИБ с выводами и рекомендациями Подрядчика.
При разработке Стратегии развития системы защиты конфиденциальной информации Подрядчик должен руководствоваться всей собранной в ходе предыдущих этапов работ информацией.
Стратегия развития системы защиты конфиденциальной информации должна включать в себя:
Типовые рекомендации/требования по составу и функционалу подсистем безопасности КСЗКИ Компании;
Базовое описание и классификацию типов защищаемых активов (информация, информационные системы, объекты инфраструктуры);
Актуальные требования в области ИБ, которые должны выполняться;
Распределение ролей и ответственности в области ИБ;
Целевую организационную структуру ИБ;
Описание целевой системы нормативной и организационно-распорядительной документации в области ИБ;
Описание целевых процессов управления ИБ;
Описание основных мер обеспечения ИБ;
План основных мероприятий.
Техническое задание на построение КСЗКИ должно описывать каждую техническую подсистему, входящую в КСЗКИ. К таким системам должны относиться следующие компоненты обеспечения ИБ:
Корпоративная система расследования инцидентов информационной безопасности;
Корпоративная система защиты информации от несанкционированного доступа, включая применение средств криптографической защиты информации (шифрования данных);
Система анализа и корреляции событий ИБ;
Система контроля действий привилегированных пользователей;
Система противодействия утечкам конфиденциальной информации (DLP);
Система защиты баз данных (Data Base Firewall);
Система контроля печати документов;
Система разграничения прав доступа к документам (IRM).
Система разграничения прав доступа к ИС (IDM).
Система управления мобильными устройствами (MDM), учитывая внедряемое решение SAP Afaria.
В состав Технического задания должны входить следующие разделы:
Цель системы;
Задачи системы;
Требования к системе;
Требования к структуре и функционированию системы;
Требования к численности и квалификации персонала;
Требования к режиму работы персонала, необходимого для эксплуатации системы;
Требования к надежности;
Требования к технике безопасности;
Требования к эксплуатации, техническому обслуживанию;
Требования к защите информации от несанкционированного доступа;
Требования к функциям (задачам), выполняемым системой;
Требования к программному обеспечению;
Требования к техническому обеспечению;
Состав и содержание работ по созданию системы;
Порядок контроля и приемки системы;
Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;
Требования к документированию;
Структура работ;
Основные этапы работ.
По завершению проекта, на основании согласованных с Заказчиком документов, Подрядчик должен предоставить детальный и аргументированный расчет стоимости последующих этапов внедрения КСЗКИ:
Проектирование подсистем КСЗКИ;
Внедрение подсистем КСЗКИ;
Поддержание КСЗКИ в актуальном состоянии.
По итогам всего проекта специалистами Подрядчика должна быть подготовлена и проведена презентация, в которой должны быть отражены все основные результаты выполненных работ и обозначены дальнейшие шаги по реализации КСЗКИ.
Требования к составу работ
Работы должны быть проведены в пять этапов, представленных в таблице 1. Ряд этапов может быть проведен параллельно по согласованию Подрядчика с Заказчиком. Таблица 1. Этапы и сроки проведения работ
№ п/п
| Название этапа
| Результаты
| Сроки, рабочие дни
|
| Предварительное обследование
| Документ: План обследования
| Не более 14 дней с момента старта проекта
|
| Обследование
| Документ: Отчет об обследовании
| Не более 35 дней с момента окончания первого этапа
|
| Разработка требований к КСЗКИ
| Документ: Отчет об оценке рисков утечки данных
| Не более 24 дней с момента окончания второго этапа
| 4.
| Испытания систем защиты КИ
| 4.1
| Испытания систем защиты КИ от утечек (DLP)
| Документы: ПМИ, Отчет по результатам тестирования
| Не более 60 дней с момента окончания третьего этапа
| 4.2
| Испытания системы разграничения прав доступа к документам (IRM)
| Документы: ПМИ, Отчет по результатам тестирования
| Не более 20 дней с момента окончания этапа 4.1
| 4.3
| Испытания системы расследования инцидентов
| Документы: ПМИ, Отчет по результатам тестирования
| Не более 31 дней с момента окончания этапа 4.2
|
| Разработка отчетной документации
| Документы: Стратегия развития КСКЗИ, Техническое задание на КСКЗИ
| Не более 20 дней с момента окончания четвертого этапа
|
ТРЕБОВАНИЯ К ПОДРЯДЧИКУ
Проект должен выполняться экспертами, обладающими высокой квалификацией, подтвержденной международными сертификатами, и богатым опытом проведения аудитов в различных отраслях экономики.
Инженерные работы должны выполняться сертифицированными специалистами Подрядчика с привлечением технических специалистов производителей систем.
Подрядчик работ должен:
иметь в штате компании не менее 5 (пяти) специалистов, имеющих базовое образование и специализацию в области защиты информации.
иметь опыт работ в области оказания ИТ либо ИБ-услуг не менее 15 лет;
иметь в структуре компании выделенное подразделение, отвечающего за работы в области информационной безопасности;
иметь подтвержденные партнерские отношения с компаниями-разработчиками сертифицированных средств защиты персональных данных и средств защиты информации, тестирование которых будет проводиться в рамках проекта (Подрядчик должен предоставить рекомендательные письма от разработчиков средств защиты).
Сотрудники Подрядчика должны обладать следующими сертификатами:
Сертификат о присвоении звания CISA Международной Ассоциации аудиторов информационных систем (ISACA);
Сертификатами о присвоении звания CISSP Международного консорциума по сертификации в области информационной безопасности (ISC).
Сертификатами о присвоении звания CISM Международной Ассоциации аудиторов информационных систем (ISACA);
подтвержденного статуса BSI Lead Auditor Британского Института стандартов.
Система менеджмента качества Подрядчика должна быть сертифицирована в соответствии с ISO 9001:2008.
Деятельность по защите информации должна быть определена в Уставе (учредительных документах) Подрядчика как основной вид деятельности организации.
Также Подрядчик должен обладать следующими лицензиями:
Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации;
Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
Лицензия ФСТЭК на проведение работ, связанных с созданием средств защиты информации;
Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств;
Лицензия ФСБ на осуществление распространения шифровальных (криптографических) средств.
ТРЕБОВАНИЯ К ДОКУМЕНТИРОВАНИЮ
Состав и содержание разрабатываемой документации может быть скорректирован по требованию Заказчика.
Подрядчик предоставляет разрабатываемую документацию Заказчику для проведения проверки. После рассмотрения представленных материалов, в случае наличия недостатков и замечаний, Заказчик представляет Подрядчику перечень замечаний. Подрядчик в течение согласованного времени (не более 5 рабочих дней) устраняет указанные недостатки.
Документация, предоставляется Подрядчиком в трех экземплярах в бумажном и электронном видах.
Электронный вид документов должен соответствовать формату редакторов MS Word 2010, Excel 2010, Visio 2010 и более новых версий.
Документация, разрабатываемая в рамках данного проекта, должна соответствовать требованиям следующих документов:
ГОСТ 34.201–89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначения документов при создании автоматизированных систем»;
РД 50-34.698–90 «Автоматизированные системы. Требования к содержанию документов»;
ГОСТ 2.105–95 «Единая система конструкторской документации. Общие требования к текстовым документам».
|