Техническая спецификация


№ п/п

Наименование

Характеристика

1.

Наименование Услуги

Аттестационное обследование информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

2.

Наименование информационной системы

3.

Количество информационных систем

4.

Описание Услуги

Оказание Услуг Поставщиком осуществляется в соответствии с Законом Республики Казахстан от 01.01.01 года ЗРК «Об информатизации», Правилами проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 01.01.01 года № 000 и приказом Министра по инвестициям и развитию Республики Казахстан от 01.01.01 года № 000 и условиями Договора.

Объем Услуг включает в себя следующие мероприятия:

1)        предварительное изучение структуры объекта аттестации;

2)        изучение и анализ технической документации  по информационной безопасности;

3)        обследование состояния организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, технической документации по информационной безопасности;

4)        изучение и оценка полноты организационно-распорядительной и эксплуатационной документации и ее соответствия требованиям технической  документации по информационной безопасности;

5)        инструментальное обследование компонентов инфраструктуры информационной системы, направленное  на  выявление уязвимостей, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты:

    сканирование из локальной сети серверов (DMZ); сканирование  из внутренней локальной сети; сканирование из  сети Интернет; анализ результатов инструментального обследования;

6) составление Акта аттестационного обследования информационной системы/ информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

5.

Порядок оказания Услуг

1) по результатам аттестационного обследования Поставщик составляет акт аттестационного обследования, который передается в уполномоченный орган в сфере информатизации в 5 (пяти) экземплярах, один из которых остается у Поставщика, а оставшиеся передаются в уполномоченный орган в сфере информатизации для членов аттестационной комиссии и Заказчика;

2) акт аттестационного обследования включает в себя сведения о фактическом состоянии защищенности информационной системы/ информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа;

3) по окончании оказания Услуг по Договору Поставщик в письменной форме уведомляет Заказчика о передаче акта аттестационного обследования уполномоченному органу в сфере информатизации;

4) заказчик в течение 7 (семи) рабочих дней с даты предоставления Поставщиком документов, указанных в разделе 10 Технической спецификации, подписывает их и по 1 (одному) экземпляру возвращает Поставщику;

5) в случае если Заказчик в течение 7 (семи) рабочих дней с момента получения документов, указанных в разделе 10 Технической спецификации,  не подпишет их и в указанный срок не возвратит по 1 (одному) экземпляру Поставщику, Услуга считается принятой Заказчиком без замечаний.

6.

Требования к Заказчику (перечень необходимых документов и мероприятий для оказания Услуг)

Для оказания Услуг Заказчик обязан:

1)         обеспечить отдельным рабочим местом;

2)         назначить ответственных лиц (со стороны Заказчика и разработчика информационной системы/информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа) с указанием контактных телефонов (рабочие и мобильные номера телефонов);

3) предоставить необходимую документацию:

    техническая документация в области информационной безопасности; программная документация информационной системы/ информационно-коммуникационной платформы «электронного правительства»/интернет-ресурса государственного органа; организационно-распределительная документация; должностные инструкции групп пользователей и службы информационной безопасности; утвержденные списки сотрудников с указанием их ответственности (согласно приказам или иным документам), допускаемых к объектам информатизации информационной системы/ информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа, заверенные сотрудниками отдела кадров; журналы согласно документам по информационной безопасности, формализованным процедурам, и другим документам регламентирующим порядок системы информационной безопасности согласно СТ РК ИСО/МЭК 27001-2008, СТ РК ИСО/МЭК 27002-2009 или другому принятому за основу стандарту по информационной безопасности, действующему на территории Республики Казахстан; документы (приказы, письма, план-графики и т. п.), свидетельствующие о проведении мероприятий по контролю, аудиту, мониторингу состояния и других мероприятий системы информационной безопасности в организации в целом и информационной системе/ информационно-коммуникационной платформы «электронного правительства»/интернет-ресурса государственного органа в частности; соглашения с третьими сторонами, включая оценку, обработку, передачу или управление информацией организации или средства обработки информации; проектная документация информационной системы/ информационно-коммуникационной платформы «электронного правительства»/интернет-ресурса государственного органа;

4) обеспечить беспрепятственный доступ специалистов Поставщика к помещению, оборудованию и информации по аттестуемой информационной системе/ информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа.

5) предоставить серийные, инвентарные номера рабочих станций и серверов информационной системы/ информационно-коммуникационной платформы «электронного правительства»/интернет-ресурса государственного органа и их IP-адреса;

6) обеспечить присутствие администратора информационной системы/ информационно-коммуникационной платформы «электронного правительства»/интернет-ресурса государственного органа для участия в инструментальном обследовании в качестве ответственного сотрудника от Заказчика;

7) предоставить функционально-логическую схему корпоративной сети ИС, включая каналы связи с регионами в случае территориально-распределенной информационной системы, с указанием используемых средств защиты и описанием серверного, сетевого и специализированного оборудования (IP-адрес; модели, версии, технические характеристики, установленное программное обеспечение и версия программного обеспечения);

8) обеспечить предварительное создание локальных или доменных учетных записей (логин, пароль)  c правами администратора для проведения инструментальной проверки в 2-х режимах:

    тест на  внешние проникновения проводится  с целью санкционированной попытки обойти существующий комплекс средств защиты информационной системы. Процесс тестирования на проникновение подразумевает моделирование реальных действий злоумышленника – поиск уязвимостей системы защиты и их последующую эксплуатацию. В этом случае сканирование проводится на выявление открытых и незащищенных портов в системе, в данном режиме учетная запись администратора не используется;

- тест на внутренние проникновения проводится  с целью осуществления контроля обновлений, анализа конфигураций, локальной оценки стойкости паролей и т. д. Для сканирования в данном режиме используется учетная запись администратора для полного доступа к данной информации (для операционной системы Linux – учетная запись – root).

7.

Обязанности Сторон

Заказчик обязуется:

1) в течение 5 (пяти) дней с момента заключения Договора передать по акту необходимые документы, а также провести мероприятия для оказания Услуг Поставщиком, согласно Технической спецификации к Договору;

2) по запросу Поставщика предоставить дополнительные документы необходимые Поставщику для оказания Услуг по Договору;

3) своевременно и в полном объеме осуществлять оплату Услуг по Договору.

Поставщик обязуется:

в течение 5 (пяти) рабочих дней после завершения оказания Услуг направить Заказчику документы, указанных в разделе 10 Технической спецификации.

8.

Срок оказания Услуг

Для государственных учреждений:

В течение 30 (тридцати) рабочих дней с даты следующей за датой регистрации Договора в территориальном органе казначейства Министерства финансов Республики Казахстан.

Для иных Заказчиков:

В течение 30 (тридцати) рабочих дней с даты следующей за датой поступления на расчетный счет Поставщика предварительной оплаты Услуг, указанной в разделе 9 настоящей Технической спецификации к Договору.

9.

Порядок расчета за оказываемую Услугу

Для государственных учреждений:

Заказчик перечисляет предварительный платеж в размере 30 % (тридцати процентов) от общей суммы Договора на расчетный счет Поставщика не позднее 7 (семи) рабочих дней с даты регистрации Договора в  территориальном подразделении казначейства Министерства финансов Республики Казахстан.

Для иных Заказчиков:

Заказчик перечисляет предварительный платеж в размере 100 % (сто процентов) от общей суммы Договора на расчетный счет Поставщика не позднее 7 (семи) рабочих дней с даты подписания Договора.

10.

Завершение оказания Услуг по Договору

1)акт выполненных работ (оказанных Услуг) по форме Р-1 (Приложение 50 к приказу Министра финансов Республики Казахстан от 01.01.01 года № 000);

2) счет-фактура с описанием оказанных Услуг.