Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами




НазваниеТендер на выполнение работ по внедрению системы регистрации операций управления информационными системами
Дата конвертации07.05.2013
Размер224.6 Kb.
ТипТехническое задание

ЗАО ЦВ «ПРОТЕК»






























Техническое задание

Тендер на выполнение работ по внедрению

системы регистрации операций

управления информационными системами.


Оглавление

1.1.термины и обозначения 3

2.Назначение системы 4

3.Требования к системе в целом 6

3.1.Подсистема защищенного хранения 8

ВВЕДЕНИЕ

Участник настоящего тендера должен сделать наилучшее предложение по выполнению работ на внедрение системы «Подсистема регистрации операций управления информационными системами» (далее – ПРОУИС) в ЗАО ЦВ «ПРОТЕК».
    1. термины и обозначения


Сокращение

Расшифровка сокращения

АРМ

автоматизированное рабочее место

АС

автоматизированная система

ПРОУИС

подсистема регистрации операций управления информационными системами

КА

контролируемый администратор

ЦОД

центр обработки данных

ИТ

информационные технологии

ПО

программное обеспечение

ИБ

информационная безопасность

ТЗ

техническое задание

БД

база данных

ЗИП

запасные изделия и приборы

СУБД

система управления базами данных

Сервер

аппаратно-программный комплекс, исполняющий функции хранения и обработки данных

DR

Disaster Recovery - аварийное восстановление

DNS

Domain Name Server – сервер доменных имен

HTTP

Hypertext Transfer Protocol – протокол передачи гипертекстовых файлов

HTTPS

Hyper-text Transfer Protocol over SSL – протокол передачи гипертекста по SSL

IP

Internet Protocol – межсетевой протокол

LDAP

Light Weight Directory Access Protocol – «легковесный» протокол доступа к каталогу

SSH

Secure Shell – безопасная оболочка

SSL

Secure Sockets Layer – уровень безопасных сокетов

Назначение и цели внедрения системы
  1. Назначение системы


ПРОУИС представляет собой комплекс программно-аппаратных средств, предназначенный для обеспечения управления и контроля доступа пользователей с административными привилегиями к информационным системам и оборудованию.

Цели внедрения системы

Основной целью построения Системы является снижение рисков для бизнеса, связанных с неконтролируемыми действиями специалистов, осуществляющих эксплуатацию и обслуживание элементов ИТ инфраструктуры.

Цели построение системы:

  • Повышение эффективности производственной деятельности специалистов, осуществляющих эксплуатацию и обслуживание элементов ИТ инфраструктуры за счет возможности осуществления такового обслуживания в любое время и из любого места, в том числе при нахождении за пределами территории компании.

  • Сведения к минимуму угроз, возникающих вследствие предоставления удаленного доступа к соответствующим элементам ИТ инфраструктуры.

  • Возможность осуществления доступа только тех специалистов, которым разрешен такой доступ, и только к тем элементам ИТ инфраструктуры, к которым им доступ разрешен.

  • Видеорегистрация действий специалистов, осуществляющих эксплуатацию и обслуживание элементов ИТ инфраструктуры в целях расследования инцидентов и обеспечения персональной ответственности.

  • Задачи внедрения системы

Основной задачей внедрения ПРОУИС является снижение вероятности несанкционированного доступа к информационным системам, неконтролируемого изменения их настроек и обрабатываемой информации, путём применения и реализации парольной политики, а также записи сессий работы с административными привилегиями.
Для решения основной задачи ПРОУИС требуется:


  • Организовать управление привилегированными учетными записями в следующих системах и устройствах:

    • Активное сетевое оборудование, управляемое по SSH;

    • Серверы Unix, управляемые по SSH;

    • Серверы Windows, управляемые по RDP.



  • Организовать регистрацию действий администраторов (выделенных пользователей) следующих систем:

    • Активное сетевое оборудование, управляемое по SSH;

    • Серверы Unix, управляемые по SSH;

    • Серверы Windows, управляемые по RDP.



  • Реализовать процесс согласования предоставления доступа к объектам управления и регистрацию фактов наделения доступом.



  • Обеспечить аудит видеоархива операций.



Задачи внедрения Системы:

  • Организация процесса управления привилегированными учётными записями. Процесс управления привилегированными учётными записями должен обеспечивать генерацию нового пароля требуемого уровня сложности в соответствии с требованиями парольной политики, регулярную смену всех паролей на всех объектах управления, реконселяцию пароля в случае его несанкционированной смены, своевременное обнаружение появления новых учётных записей и информирование о данном событии уполномоченных сотрудников.

Организация процесса регистрации действий администраторов информационных систем. Процесс регистрации действий администраторов информационных систем должен обеспечивать изоляцию среды исполнения утилит администрирования от потенциально недоверенной среды рабочей станции администратора и полную регистрацию всей видеоинформации наблюдаемой администратором на своей консоли.
Организация процесса согласования предоставления доступа к объектам управления. Процесс согласования предоставления доступа должен обеспечивать прозрачность и подконтрольность как процесса предоставления доступа, так и аудируемость результатов этого процесса. Для этого в ПРОУИС должны быть инструменты, позволяющие контролируемому администратору описать характеристики требуемого доступа такие как:

    • дата и время начала предоставления доступа;

    • длительность интервала предоставления доступа;

    • однократность или многократность подключения к объекту управления за это время;

    • причины, цели и основания для предоставления доступа;

В тоже время ПРОУИС должна реализовать инструмент доставки запроса на доступ уполномоченному сотруднику и разрешение затребованного доступа или его блокирование в зависимости от решения данного сотрудника.

Организация процесса аудита. Аудит видеоархива операций контролируемых администраторов должен осуществляться стандартными средствами ПРОУИС и программы проигрывания видеофайлов на рабочей станции уполномоченного сотрудника.

Требования к системе
  1. Требования к системе в целом


Система ПРОУИС должна отвечать следующим функциональным требованиям:

  • Настраиваемые командные процедуры смены паролей на объектах управления.

  • Поддержка настраиваемой процедуры согласования предоставления доступа.

  • Использование выделенного защищённого сервера для хранения паролей к объектам управления.

  • Использование физически изымаемого диска с ключом шифрования совместно с паролем на учётную запись супер-пользователя для его хранения.

  • Невозможность уничтожения журналов регистрации операций под учётной записью любого пользователя системы.

  • Невозможность удаления из защищённого хранилища любого файла от имени любого пользователя в пределах 30 дневного срока.

  • Защищённое хранилище должно реализовывать шифрование хранимых объектов с использованием индивидуального ключа шифрования для каждого объекта.

  • Возможность использования под серверы системы оборудования соответствующего корпоративному стандарту.

  • Требования к структуре Системы

ПРОУИС должна состоять из следующих подсистем:

  • Подсистема защищенного хранения;

  • Шлюз защищенного доступа;

  • Подсистема аутентификации;

  • Подсистема разграничения доступа;

  • Подсистема управления паролями и мониторинга.

Функционирование подсистем и ПРОУИС в целом должны обеспечивать выполнение следующих процедур:

  • Автоматическая смена паролей на объектах управления в соответствии с заданной политикой;

  • Видеорегистрация сеансов удаленного управления элементами ИТ инфраструктуры.

режимы функционирования Системы

Должно быть обеспечено функционирование Системы в следующих режимах:

  • штатный режим - в данном режиме обеспечивается доступность всех услуг, предоставляемых компонентами ПРОУИС;

  • резервный режим – в данном режиме ПРОУИС функционирует как в штатном режиме, но вместо основных серверов используются резервные серверы.

  • аварийный режим - в данном режиме система эксплуатируется при отказах, препятствующих получению доступа на объекты управления через ПРОУИС либо при потере сетевой доступности объектов управления.

Взаимодействие ПРОУИС с ИС

ПРОУИС должна осуществлять взаимодействие с ИС посредством стандартных протоколов управления объекта управления. Управление серверами Windows осуществляется по протоколу RDP, или по RPC при смене паролей. Системы на базе Unix/Linux управляются по протоколу SSH. Для управления активным сетевым оборудованием также используется протокол SSH.

Цикл управления привилегированными учётными записями – логика и расписание смены паролей, процедура восстановления паролей, состав и длина паролей задаются администратором системы ПРОУИС в рамках политики управления привилегированными учётными записями конкретного типа объекта управления.

Совместимость ПРОУИС со смежными системами

ПРОУИС должна иметь возможность интеграции с ticketing (HP Service desk, Remedy).

ПРОУИС должна обеспечить передачу журнала событий управления привилегированными учётными записями в имеющуюся SIEM систему посредством отправки сообщений SYSLOG.

ПРОУИС должна взаимодействовать со следующими смежными системами:

  • DNS cерверы – для разрешения сетевых имен;

  • NTP серверы – для получения точного времени;

  • WINS серверы – для обнаружения хостов сетей Microsoft.

Все соединения со смежными системами должны осуществляться с помощью протоколов семейства TCP/IP. Протоколы и порты взаимодействия ПРОУИС со смежными системами указаны в таблице:

Источник

Назначение

Протокол(ы)

Порт(ы)

ПРОУИС

DNS cерверы

DNS

53 TCP, UDP

ПРОУИС

NTP серверы

NTP

123 TCP, UDP

ПРОУИС

WINS серверы

WINS

42 TCP

135 TCP

137 TCP

ПРОУИС

SIEM

SYSLOG

514 TCP, UDP

Требования к надежности Системы

Требования к надежности технических средств

Технические средства должны удовлетворять условию круглосуточной работы. Время восстановления Подсистемы защищенного хранения должно быть не более 1 часа (восстановление минимального функционала, позволяющего получить реквизиты доступа к элементам ИТ инфраструктуры).
Критерием отказа технического обеспечения является невозможность работы с информационным обеспечением Системы (в том числе восстановленным с резервной копией).

Надежность технических средств Системы должна обеспечиваться:

  • Использованием технических средств с избыточными компонентами и возможностью их горячей замены, т.е. резервированием жестких дисков путем объединения в RAID-массив, использование резервных блоков питания, дублированием сетевых интерфейсов в случае наличия технической возможности и т.п.

  • Использование комплекта ЗИП.

  • Использование системы бесперебойного электропитания

  • Использование средств диагностики, обеспечивающих своевременное оповещение обслуживающего персонала о сбоях или отказах компонентов Системы, для принятия своевременных решений по предотвращению сбоев в работе.


Требования к организационным мерам по обеспечению надежности

Организационные меры по обеспечению надежности должны быть направлены на минимизацию ошибок обслуживающего персонала при эксплуатации и проведении работ по обслуживанию Системы, минимизацию времени ремонта или замены вышедших из строя компонент за счет:

  • высокой квалификации персонала;

  • регламентации проведения работ и процедур по обслуживанию и восстановлению Системы;

  • своевременной диагностики неисправностей;

  • наличия договоров на сервисное обслуживание и поддержку компонентов технических средств или соответствующие ЗИП.

Требования к функциям (задачам), выполняемым Системой
    1. Подсистема защищенного хранения


Подсистема защищенного хранения предназначена для защищенного хранения реквизитов доступа к элементам ИТ инфраструктуры и видеозаписей сессий работы пользователей. Подсистема защищенного хранения должна обеспечивать:

  • Защиту хранимой информации с использованием криптографических методов;

  • Гибкие гранулярные политики доступа к хранимым объектам;

  • Возможность выделения на отторгаемый носитель разделяемого секрета, необходимого для преодоления прав доступа к объектам внутри хранилища;

  • Резервное копирование хранимой информации;

  • Возможность быстрого восстановления системы из резервной копии при наличии ключей шифрования;

  • Использование OpenSSL в качестве криптопровайдера.


Шлюз защищенного доступа

Шлюз предназначен для опубликования компонентов, необходимых для осуществления защищенного контролируемого доступа к элементам ИТ инфраструктуры пользователей Системы. Шлюз должен предоставлять доступ к элементам ИТ инфраструктуры, управляемым по протоколам RDP, SSH. Шлюз должен соответствовать также следующим требованиям:

  • Возможность покомпонентного масштабирования.

  • Возможность сессии администрирования view-only.

  • Кастомизируемый веб-интерфейс.

  • Полная поддержка русского языка.

  • Наличие русскоязычного интерфейса.

Подсистема аутентификации

Подсистема должна обеспечивать следующие режимы аутентификации:

  • Логин/пароль;

  • e-Token;

  • цифровой сертификат X.509v3.


Подсистема разграничения доступа

Подсистема разграничения доступа к ИС Заказчика должна обеспечивать предоставление доступа к элементам ИТ инфраструктуры по следующим параметрам:

  • Идентификация пользователя;

  • Время доступа;

  • Многократный или однократный доступ.


Подсистема мониторинга

Подсистема мониторинга предназначена для выполнения задач по мониторингу работы Системы и журналирования действий пользователей. Подсистема должна обеспечить:

  • Возможность выгрузки видеозаписей для последующего просмотра.

  • Возможность избирательного закрытия сессий управления по требованию администратора.

В журналах Системы должно быть указано:

  • Идентификационные и аутентификационные параметры пользователя;

  • Действия пользователя, например попытки входа/выхода;

  • Действия в Системе администратора;

  • Истечение лицензий;

  • Команды пользователей при использовании текстовых протоколов;

  • Параметры видеозаписи сессии пользователя.


Реализация проекта

Ход внедрение системы
В виду высокого влияния внедрения ПРОУИС на компоненты инфраструктуры Заказчика, работы по внедрению должны быть разделены в два основных этапа:


  1. Опытная эксплуатация. В ходе выполнения данного этапа выполняется внедрение и опытная эксплуатация решения. Для исключения нештатных ситуаций функционал системы наращивается постепенно:

    1. Пароли подключенных объектов управления не меняются, а только мониторируются. Доступ администраторов осуществляется через единую точку входа, а при необходимости – в обход решения.

    2. Пароли меняются однократно, выводятся на бумажный носитель и сохраняются в запечатанном конверте. Доступ администраторов осуществляется только через единую точку входа.

  2. Включение автоматической смены паролей. Перевод Системы в промышленную эксплуатацию.

Состав работ

В состав работ по развертыванию Системы должны входить следующие основные этапы:

  1. Создание Системы

  • Сбор сведений об объектах управления и информационной инфраструктуре;

  • Разработка проектной документации;

  • Подготовка инфраструктуры;

  • Установка и настройка компонентов Системы;

  • Создание учетных записей пользователей Системы;

  • Создание объектов управления в Системе;

  • Подготовка приказа о начале опытной эксплуатации Системы (утверждение списка пользователей, работающих с объектами управления через Систему).



  1. Опытная эксплуатация

  • Издание приказа о начале опытной эксплуатации (утвержденные пользователи работают с объектами управления через Систему);

  • Устранение выявленных недостатков;

  • Проведение приемочных испытаний;

  • Подготовка приказа о переводе Системы в промышленную эксплуатацию.



  1. Промышленная эксплуатация

  • Издание приказа о переводе Системы в промышленную эксплуатацию;

  • Запуск механизма автоматической смены паролей на объектах управления (далее работа с объектами управления осуществляется через ПРОУИС);

  • Начало оказания технической поддержки Системы.

Отчетные документы

Отчетные документы

В ходе выполнения проекта должны быть разработаны следующие отчетные документы:

  • Пояснительная записка к техническому проекту;

  • Краткая инструкция пользователя Системы;

  • Краткая инструкция администратора Системы;

  • Программа и методика приемочных испытаний Системы;

  • DR (Disaster Recovery) план по Системе;

  • Регламент работы с Системой.


        1. Пояснительная записка к проекту


Пояснительная записка содержит: описание структуры Системы; логическую схему работы ПРОУИС; описание средств и способов связи между компонентами ПРОУИС и смежными системами; режимы функционирования; требования к квалификации администраторов Системы; описание процесса функционирования Системы; описание хода реализации проекта, технического сопровождения Системы и т.д.
        1. Инструкция пользователя Системы


Инструкция пользователя ПРОУИС содержит требования к рабочему месту пользователя Системы и описание типовых операций в процессе работы с Системой: подключение к интерфейсу Системы; поиск доступных объектов управления; подключение к объекту управления.
        1. Инструкция администратора Системы


Инструкция администратора ПРОУИС содержит требования к рабочему месту администратора Системы и описание типовых операций в процессе администрирования Системы: подключение к интерфейсу администрирования Системы; создание пользователей Системы; создание объектов управления в Системе; блокирование/разблокирование учетных записей пользователей; управление запросами на предоставление доступа.

Программа и методика приёмочных испытаний системы

Программа и методика приёмочных испытаний содержат перечень требований, которым должен соответствовать внедрённый продукт, критерии приёмки продукта, методику испытаний и интерпретации их результатов.
        1. DR план по Системе


DR (Disaster Recovery) план по Системе описывает порядок резервного копирования и порядок восстановления работоспособности Системы, вызванной сбоями или отказами аппаратного или программного обеспечения.
        1. Регламент работы с Системой


Регламент работы с Системой описывает комплекс организационно-технических мероприятий по работе с ПРОУИС. Описание порядка работы пользователей с Системой: вход в Систему; использование возможностей Системы в процессе работы с объектами управления; описание процесса аудита; механизм автоматических оповещений и т.д.

Порядок предоставления отчетных документов
Отчетные материалы предоставляются Исполнителем Заказчику на русском языке в 2-х экземплярах в бумажном и электронном виде (на оптических носителях или флэш-носителях).

Все документы передаются в формате Adobe Acrobat (*.pdf), а также текстовые документы передаются в формате редактора Microsoft Word (*.doc), а структурные схемы в формате Microsoft Visio (*.vsd).

Требования к УЧАСТНИКаМ ТЕНДЕРА

При размещении заказа устанавливаются следующие обязательные требования к участникам размещения заказа:

  • соответствие участников размещения заказа требованиям, устанавливаемым в соответствии с законодательством Российской Федерации к лицам, осуществляющим выполнение работ, являющихся предметом аукциона;

  • непроведение ликвидации участника размещения заказа - юридического лица и отсутствие решения арбитражного суда о признании участника размещения заказа - юридического лица, индивидуального предпринимателя банкротом и об открытии конкурсного производства;

  • неприостановление деятельности участника размещения заказа в порядке, предусмотренном Кодексом Российской Федерации об административных правонарушениях, на день подачи заявки на участие в аукционе;

  • отсутствие у участника размещения заказа задолженности по начисленным налогам, сборам и иным обязательным платежам в бюджеты любого уровня или государственные внебюджетные фонды за прошедший календарный год, размер которой превышает двадцать пять процентов балансовой стоимости активов участника размещения заказа по данным бухгалтерской отчетности за последний завершенный отчетный период. Участник размещения заказа считается соответствующим установленному требованию в случае, если он обжалует наличие указанной задолженности в соответствии с законодательством Российской Федерации и решение по такой жалобе на день рассмотрения заявки на участие в аукционе не принято;

  • наличие лицензии ФСТЭК России «на деятельность по технической защите конфиденциальной информации» (предоставить копию лицензии);

  • соответствие системы менеджмента качества организации международному стандарту ISO 9001:2008 (ГОСТ Р ИСО 9001-2008) (предоставить копию сертификата);

  • наличие опыта работ в области защиты информации не менее 5-ти лет;

  • наличие подтвержденного опыта реализации аналогичных проектов;

  • наличие специалистов, осуществлявших реализацию подобных проектов (обязательное предоставление рекомендательных писем);

  • обязательство участников выполнить работы собственными силами без привлечения сторонних организаций.



Москва, 2012 г.



Похожие:

Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconТехническое задание на выполнение работ по установке автоматической системы пожарной сигнализации и системы оповещения людей при пожаре и управления эвакуацией
Автоматическая пожарная сигнализация с системой оповещения при пожаре и управления эвакуацией предназначена для использования в здании...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconО государственном регулировании расследования авиационных событий в связи с внедрением Системы управления безопасностью полётов в авиакомпаниях
Отмена устаревших нпп га, ролр и принятие фап-128 «Подготовка и выполнение полётов в гражданской авиации Российской Федерации» стали...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconТехническое задание на выполнение работ по проектам: «02-08-0127-аов. Автоматизация системы вентиляции» «02-08-0127-атх. Контроль и управление технологическими параметрами»
«юэ-08-16. 002-ск-эс. Система контроля технического состояния элементов схемы электроснабжения и системы гарантированного электропитания...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconПервое высшее техническое учебное заведение россии министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Ит-подразделений производственной компании. Учебная дисциплина является частью читаемых дисциплин в области организации информационной...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconАвторское выполнение научных работ любой сложности грамотно и в срок
Понятие государственной регистрации прав на недвижимое имущество и сделок с ним 11
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconПервое высшее техническое учебное заведение россии министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Учебная дисциплина является частью читаемых дисциплин в области организации информационной деятельности на предприятии/организации...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconАннотация рабочей программы дисциплины (модуля) од. А. 05 «Основы теории управления экономическими системами»
«Основы теории управления экономическими системами» является теоретической дисциплиной, которая базируется на курсах: экономической...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconПрограмма-минимум кандидатского экзамена по специальности 05. 13. 06 «Автоматизация и управление технологическими процессами и производствами» по техническим наукам Введение
В основу настоящей программы положены следующие дисциплины: теория управления, автоматизированные системы управления, исследование...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconРабочая программа учебной дисциплины «управление техническими системами»
Целью преподавания дисциплины «Управление техническими системами» является формирование знаний студентов по основам анализа и свойствам...
Тендер на выполнение работ по внедрению системы регистрации операций управления информационными системами iconАвторское выполнение научных работ на заказ. Контроль плагиата, скидки, гарантии, прямое общение с
Оценка и документальное оформление операций по поступлению и расходованию производственных запасов 10
Разместите кнопку на своём сайте:
kurs.znate.ru


База данных защищена авторским правом ©kurs.znate.ru 2012
обратиться к администрации
kurs.znate.ru
Главная страница