Embed Size (px)
Citation preview
Приложение № 1
к договору
от « » __________2014 г.
№ ____________________
СОГЛАСОВАНО
«____»__________ 2014
УТВЕРЖДАЮ
«____»_________2014
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
на проведение проектно-изыскательских работ по созданию
программно-технического комплекса
«Центр управления безопасностью ОАО «ЯнтарьЭнерго»
(шифр «ЦУБ ЯнтарьЭнерго»)
2014
2
Содержание
1 Общие сведения 51.1 Полное наименование работы 51.2 Основание для выполнения работы: 51.3 Шифр работы: 51.4 Исполнитель работы: 51.5 Сроки выполнения работы 51.6 Стандарты и нормативные документы 51.7 Определения, обозначения и сокращения 72 Назначение и цели создания изделия 82.1 Назначение изделия 82.2 Цели создания изделия 83 Характеристика объекта автоматизации 103.1 Адрес объекта 103.2 Взаимодействующие объекты 103.3 Взаимодействующие системы 104 Тактико-технические требования к изделию 114.1 Общие требования 114.2 Требования к структуре ЦУБ и его составным частям 124.3 Требования к специальному программному обеспечению 134.3.1 Требования к Порталу Руководителя 134.3.1.1 Требования к составу функций 134.3.1.2 Функциональная структура Портала Руководителя 144.3.1.3 Перечень подсистем 164.3.1.4 Требования к подсистеме отображения информационных материалов 174.3.1.5 Требования к подсистеме управления информационными материалами 174.3.1.6 Требования к подсистеме поиска 184.3.1.7 Требования к подсистеме администрирования 194.3.1.8 Требования к подсистеме аутентификации 204.3.1.9 Требования к подсистеме консолидации и представления данных 214.3.2 Требования к системе мониторинга и управления событиями 234.4 Требования к программно-техническому комплексу 274.4.1 Требования к комплексу вычислительной инфраструктуры 274.4.1.1 Требования к дисковой подсистеме 294.4.2 Требования к сети передачи данных 304.4.3 Требования к системе коллективного представления информации 314.4.3.1 Требования к системе видеоконференцсвязи 474.4.4 Требования к системе оперативной телефонной связи 514.4.5 Состав автоматизированных рабочих мест 564.4.5.1 Требования к АРМ участников в зале совещаний 574.4.6 Требования к средствам зала заседаний ЦУБ 58
3
4.4.7 Требования по интеграции в ЦУБ комплексов технических средств охраны подстанций (ПС) в качестве объектов мониторинга 594.4.8 Требования к инженерной инфраструктуре 604.4.9 Требования к общему программному обеспечению 704.5 Требования к телекоммуникационной инфраструктуре 734.6 Требования к системе информационной безопасности 814.6.1 Подсистема защиты от НСД 824.6.2 Подсистема антивирусной защиты 854.6.3 Подсистема межсетевого экранирования и криптографической защиты каналов связи 934.6.4 Подсистема предотвращения компьютерных атак 1004.6.5 Подсистема анализа защищенности 1044.7 Требования к физическому размещению серверного оборудования и оборудования хранения данных 1094.8 Требования к надежности1104.9 Требования к эргономике, обитаемости и технической эстетике 1114.10 Требования к эксплуатации, хранению, удобству технического обслуживания и ремонта 1114.11 Требования электробезопасности 1124.12 Требования к помещениям 1124.13 Требования к техническому обеспечению 1124.14 Требования к организационному обеспечению 1134.15 Требования к математическому, программному и информационно - лингвистическому обеспечению 1134.16 Требования к сырью и материалам 1134.17 Требования к консервации, упаковке и маркировке 1134.18 Требования защиты персональных данных при выполнении работ1144.19 Квалификационные требования 1144.20 Требования к технорабочей документации 116 4.21.Требования к обучению персонала 1165 Исходные данные, передаваемые Заказчиком Исполнителю 1176 Этапы выполнения работ 1187 Порядок выполнения работ 1197.1 Первый этап. Обследование объекта 1197.2 Второй этап. Разработка технического проекта 1197.3 Третий этап. Разработка рабочей документации 1207.4. Четвертый этап. Сдача - Приемка работ 1208 Порядок представления документации 121
5
1 Общие сведения
1.1 Полное наименование работы
Выполнение проектно-изыскательских работ по объекту «Центр
управления безопасностью ОАО «ЯнтарьЭнерго» (шифр «ЦУБ
ЯнтарьЭнерго»)
1.2 Основание для выполнения работы:
- Строка 234 Долгосрочной инвестпрограммы
ОАО «Янтарьэнерго» на 2014-2019 г.г.
- договор на выполнение работы «Разработка проектно-сметной и
рабочей документации на создание программно-технического комплекса
«Центр управления безопасностью ОАО «ЯнтарьЭнерго».
1.3 Шифр работы:
ПИР ЦУБ ЯнтарьЭнерго
1.4 Исполнитель работы:
Исполнитель работы определяется по итогам открытого
двухэтапного запроса предложений.
Исполнитель работы имеет право по согласованию с Заказчиком
привлекать соисполнителей, имеющих соответствующие лицензии на
проведение работ.
1.5 Сроки выполнения работы
В течение 2 (двух) месяцев после подписания договора
1.6 Стадийность проектирования
Проектная документация.
Рабочая документация.
6
1.7 Стандарты и нормативные документы
При разработке изделия, проектной, рабочей и эксплуатационной
документации необходимо руководствоваться следующими стандартами и
нормативными документами:
- ГОСТ 34.602-89 Комплекс стандартов на автоматизированные
системы. Техническое задание на создание
автоматизированной системы;
- ГОСТ 34.201-89 Комплекс стандартов на автоматизированные
системы. Виды, комплектность и обозначение документов при
создании автоматизированных систем;
- ГОСТ 34.601-90 Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Стадии создания;
- ГОСТ 34.603-92. Виды Испытаний Автоматизированных
Систем;
- РД 50-682-89 Методические указания. Комплекс стандартов на
автоматизированные системы. Общие положения;
- РД 50-34.698-90 Методические указания. Информационная
технология. Комплекс стандартов и руководящих документов
на автоматизированные системы. Автоматизированные
системы. Требования к содержанию документов;
- ГОСТ Р 53246-2008 Системы кабельные
структурированные. Проектирование основных узлов системы.
Общие требования;
- ГОСТ Р 53245-2008 Системы кабельные
структурированные. Монтаж основных узлов системы. Методы
испытания;
- СНиП 41-01-2003 «Отопление, вентиляция и
кондиционирование»;
- ПУЭ изд.6, 7.
7
1.8 Определения, обозначения и сокращения
Определения, обозначения и
сокращенияРасшифровка
АРМ Автоматическое рабочее место
БД База данных
ВОЛС Волоконно-оптическая линия связи
ГД Генеральный директор
ДС Дежурная служба
ИА Общества Исполнительный аппарат ОАО «Россети»
ИТСО инженерно-технические средства охраны
КАСУБКомплексная автоматизированная система
управления безопасностью
ОСОхранная сигнализация (охрана периметра,
охрана построек)
ПТК Программно-технический комплекс
ПО Программное обеспечение
ПС Подстанция силовая
РЦУБ Региональный центр управления безопасности
СКВ Система видеосвязи
СКЗТ Средства криптографической защиты трафика
СКУД Система контроля и управления доступом
СОТ Система охранного телевидения
СП Серверное помещение
СПД Сеть/система передачи данных
ТС Технические средства
ЦУБ Центр управления безопасностью
ЦУС Центр управления сетями
8
2 Назначение и цели создания изделия
2.1 Назначение изделия
ЦУБ предназначен для:
- информационно-аналитической поддержки процессов
принятия управленческих решений руководством ОАО
«ЯнтарьЭнерго», касающихся производственной деятельности
и вопросов безопасности, в том числе в условиях
чрезвычайных ситуаций, технологических нарушений,
воздействия неблагоприятных погодных условий, стихийных
бедствий, пожаров, несчастных случаев на объектах и других
чрезвычайных ситуаций;
- осуществления координации деятельности органов
управления, сил и средств безопасности ОАО «ЯнтарьЭнерго»
по вопросам обеспечения комплексной безопасности
подведомственных объектов (антитеррористической,
противокриминальной, экономической, физической,
информационной, производственной и экологической),
включая выполнение мероприятий, направленных на снижение
рисков возникновения чрезвычайных (аварийных) ситуаций в
электросетевом комплексе, а также на смягчение вызванных
ими негативных социально-значимых последствий;
- осуществления централизованного контроля безопасности
основных производственно-технологических,
вспомогательных, подвижных и прочих объектов ОАО
«ЯнтарьЭнерго».
2.2 Цели создания изделия
Целью создания ЦУБ является повышение эффективности
управленческих решений, принимаемых в ОАО «ЯнтарьЭнерго», за счет:
9
- обеспечения лиц принимающих решения своевременной и
достоверной информацией на основе обеспечения ее
регламентного сбора, обработки и представления;
- создания единой системы контроля и отчетности;
- повышения безопасности объектов Заказчика посредством:
o сокращения времени реакции на инциденты и
происшествия;
o своевременного выявления инцидентов и угроз
безопасности;
o оперативной реакции на инциденты и угрозы на базе
накопленных знаний;
o возможности регистрации действий по устранению
инцидентов и происшествий с целью последующего
анализа (расследования) и накопления знаний.
10
3 Характеристика объекта автоматизации
ЦУБ является самостоятельным структурным подразделением
ОАО «ЯнтарьЭнерго» и непосредственно подчиняется Генеральному
директору.
3.1 Адрес объекта
Российская Федерация, 236000 г. Калининград, ул. Театральная,
д.34
3.2 Взаимодействующие объекты
- ЦУС;
- ИТСО на 50 силовых подстанций ОАО «ЯнтарьЭнерго».
3.3 Взаимодействующие системы
- Система автотрекинга;
- Система информационной безопасности;
- Система управления ресурсами предприятия;
- Система сетевой отчетности;
- Информационные системы органов государственной власти и
правоохранительных органов Калининградской области;
- Информационная система гидрометцентра.
11
4 Тактико-технические требования к изделию
4.1 Общие требования
ЦУБ должен обеспечивать:
1. Информационно-аналитическую поддержку руководства и
ключевых специалистов при принятии управленческих
решений.
2. Работу Руководства Общества, Объединенного штаба СЗФО и
Оперативного штаба, создаваемого на период проведения
особо важных мероприятий.
3. Работу Комиссий, создаваемых для устранения чрезвычайных
происшествий.
4. Работу Руководства ОАО «ЯнтарьЭнерго» при проведении
совещаний, конференций и т.д. - технические средства (далее -
ТС).
5. Непрерывный мониторинг общей и оперативной обстановки (в
части охраны и физической безопасности) на Объектах силами
круглосуточной Службы диспетчеров безопасности.
6. Постоянное взаимодействие с САЦ ОАО «Россети», Центром
управления безопасностью ОАО «Россети»,
соответствующими службами ОАО «Россети», а также с
оперативно – диспетчерскими службами ОАО «Россети»,
осуществляющими круглосуточный мониторинг объектов
Единой энергетической системы.
7. Взаимодействие с государственными оперативными службами
– ФСБ, МВД, МЧС России в целях предотвращения нештатных
и чрезвычайных ситуаций, их ликвидации и устранения
последствий.
12
8. Текущий контроль за работой персонала охраны Объектов,
помощь персоналу Объектов в предотвращении, ликвидации и
устранения последствий нештатных и чрезвычайных ситуаций.
9. Оперативное выявление и реагирование (с помощью
специализированных программно-аппаратных средств) на
происшествия, происходящие вне зоны Объектов, но которые
могут представлять потенциальную угрозу для безопасности
Объектов.
4.2 Требования к структуре ЦУБ и его составным частям
В состав ЦУБ должны входить следующие функциональные
компоненты:
- специальное программное обеспечение (далее - СПО).
- программно-технический комплекс(далее - ПТК);
Должна быть предусмотрена возможность комплектования ЦУБ
комплектом ЗИП.
Специальное программное обеспечение должно включать в свой
состав:
- Портал руководителя;
- Систему мониторинга и управления событиями
информационной безопасности.
ПТК должен включать в свой состав:
- комплекс вычислительной инфраструктуры;
- система передачи данных;
- система коллективного представления информации;
- система видеоконференцсвязи ОАО «Россети», ИА, ПЭС;
- автоматизированные рабочие места (АРМ) пользователей;
- инженерная инфраструктура;
- общее программное обеспечение (далее - ОПО).
13
ПТК должен иметь возможности расширения, для подключения
различных компонентов, таких, как
- автоматизированные рабочие места;
- система оповещения
и других.
4.3 Требования к специальному программному обеспечению
Должна быть предусмотрена возможность использования данных из
следующих систем:
- система паспортов безопасности объектов (СПБО);
- интегрированная база данных (ИБД);
- геоинформационная система (ГИС);
- система выявления внешних угроз (СВВУ);
- система обработки документальной информации (СОД)
- система управления ресурсами;
- система сетевой отчетности.
4.3.1 Требования к Порталу Руководителя
4.3.1.1 Требования к составу функций
Портал Руководителя представляет собой программный комплекс,
предназначенный для предоставления руководителям ОАО
«ЯнтарьЭнерго» удобных инструментов работы с корпоративной
информацией. Сервисы портала должны давать возможность:
- просмотра и анализа данных, извлекаемых программными
компонентами портала из информационных систем и
представляемых в виде, настраиваемом пользователем портала
(например, список карточек документов из системы
электронного документооборота);
14
- работы с несколькими системами в рамках единого бизнес-
процесса (например, формирование отчета в одной системе по
исходным данным из другой системы);
- использования персонально настраиваемых сервисов
совместной работы: планировщики, календари и т.п.;
- удобной навигации к требуемой информации и сервисам:
быстрый переход к любому сервису портала (правило «не
более двух кликов»);
- консолидации и представления данных в удобном для
ознакомления виде, позволяющем структурировать большие
объемы информации и с помощью гибкого и настраиваемого
механизма представления данных (отчетов);
- возможность сохранения локальной информационной копии
для работы в режиме офф-лайн.
4.3.1.2 Функциональная структура Портала Руководителя
В соответствии с решаемыми задачами функциональная структура
Портала Руководителя должна обеспечивать следующие сервисы:
- «Информационные доски» - отображение информационных досок:
o «Оперативная информация» – информация о
технологических нарушениях, несчастных случаях,
чрезвычайных ситуациях;
o «Календарь событий» – информационный календарь
мероприятий (отраслевых, ведомственных, др.), которые
могут быть интересны руководителям;
o «Исполнение поручений» – краткая сводка по исполнению
поручений руководителей;
o «Рейтинги подразделений» – рейтинг (текущий, динамика за
период) подразделений (по утвержденным критериям оценки)
15
o «Новости» – новостные ленты информационных агентств,
Правительства РФ, министерств и ведомств, управлений ОАО
«ЯнтарьЭнерго», предприятий холдинга, др.;
o «Информационные дайджесты» – результаты подготовки
материалов по мониторингу СМИ, аналитические обзоры
событий и тенденций в отрасли, которые могут быть
интересны генеральному директору (ГД) ОАО
«ЯнтарьЭнерго»;
o «Погода» – оперативная информация о погоде в выбранном
регионе;
o «Интернет- ресурсы» - структурированная коллекция ссылок
на Интернет-ресурсы (включая структурированный навигатор
по сайтам правительства, министерств, ведомств, др.)
- «Информационные системы и сервисы»:
o «Справочник ЯнтарьЭнерго» – поисковый навигатор по
организационной структуре ОАО «ЯнтарьЭнерго» и
подчиненных организаций
o «Карта ЯнтарьЭнерго» – представление организационной
структуры ОАО «ЯнтарьЭнерго» и подчиненных организаций
на географической карте РФ с возможностью получения
оперативной информации о работе подразделений, др.;
o «Аналитический портал» – специализированный сервис для
навигации и получения отчетов из аналитического хранилища
данных;
o «Документационный портал» – специализированный сервис,
обеспечивающий доступ и навигацию по корпоративному
хранилищу документов, интегрированный с корпоративной
системой документооборота.
- «Поисковые сервисы»:
o «Простой поиск»:
16
o «Расширенный поиск» – специализированные поисковые
машины (атрибутивный и полнотекстовый поиск по
информационным ресурсам портала).
- Подсистема консолидации и представления данных.
4.3.1.3 Перечень подсистем
В состав Портала Руководителя должны входить следующие
подсистемы:
- Подсистема отображения информационных материалов должна
обеспечивать публикацию информационных материалов (ИМ),
предоставление пользователям доступа к информационным
материалам и сервисам Портала Руководителя.
- Подсистема управления информационными материалами
должна обеспечивать возможности создания в Портале Руководителя
произвольной блочной структуры страниц-разделов, добавления и
редактирования информации, а также удаления и изменения
существующих страниц-разделов.
- Подсистема поиска должна обеспечивать гибкие возможности
поиска информации, размещенной в Системе.
- Подсистема администрирования должна обеспечить возможности
управления учетными записями пользователей Портала
Руководителя, разграничение прав доступа к информационным
ресурсам Портала ГД, аудит действий пользователей, сбор и анализ
информации о посещаемости Портала Руководителя.
- Подсистема аутентификации должна обеспечивать
аутентификацию пользователей и настройки представления
доступных пользователю информационных ресурсов Портала
Руководителя.
- Подсистема консолидации и представления данных, должна
обеспечивать сбор и представление данных в удобном для
17
ознакомления виде, позволяющем структурировать большие объемы
информации, в том числе посредством формирования отчетных
форм.
4.3.1.4 Требования к подсистеме отображения информационных
материалов
Подсистема отображения информационных материалов должна
предоставлять единую точку доступа к информационным материалам и
сервисам, размещенным в Портале Руководителя:
- просмотр информационных материалов: новостей,
информационных материалов, файлов, архива новостей;
- поиск по информационным материалам.
4.3.1.5 Требования к подсистеме управления
информационными материалами
Подсистема управления информационными материалами (ИМ) должна выполнять следующие основные функции:
- публикация информационных материалов;
- управление контентом:
Функция публикации ИМ должна обеспечивать:
- публикацию информационных материалов пользователями:
- публикацию информационных материалов из информационных систем (аналитические системы, базы данных).
Функция управления иерархией страниц должна обеспечивать
создание и удаление страниц в произвольной иерархии страниц Портала
Руководителя.
Функция управления элементами навигации должна обеспечивать
создание и редактирование средств навигации (ссылки, карта сайта, блоки
отображения информации).
Функция добавления/изменения/удаления ИМ должна
реализовывать механизм работы с опубликованными информационными
18
ресурсами Портала Руководителя, обеспечивать возможности наполнения
Портала Руководителя различными информационными ресурсами (текст,
изображение, список, таблицы, графики).
Функция управления хранением ИМ должна обеспечивать хранение
используемых ИМ.
Функция управления представлением данных должна обеспечивать
использование системы шаблонов для управления внешним видом
страниц Системы и представлением данных. Система шаблонов должна
позволять формировать страницы для вывода на различных устройствах
(ПК с различными версиями браузеров, карманный персональный
компьютер).
4.3.1.6 Требования к подсистеме поиска
Подсистема поиска должна выполнять следующие основные
функции:
- полнотекстовый поиск по информационным материалам
Портала Руководителя;
- поиск по атрибутам;
- селективное отображение результатов поискового запроса.
Функция полнотекстового поиска должна обеспечивать проведение
поиска заданной строки в информационных материалах. Данная функция
должна удовлетворять следующим требованиям:
- обеспечивать поиск по заранее индексированным
информационным материалам;
- обеспечивать логику поиска строки, содержащей больше
одного слова.
Функция поиска по атрибутам предназначена для осуществления
поиска информационного ресурса по доступным пользователю атрибутам.
Данная функция должна удовлетворять следующим требованиям:
19
- обеспечивать поиск информационного ресурса по текстовым и
перечислимым типам атрибутов;
- позволять пользователю указывать перечень атрибутов (из
числа ему доступных) для ограничения области поиска;
- позволять пользователю задавать область поиска (текущий
раздел, все разделы Портала Руководителя);
- вести поиск по значению атрибутов, указанных пользователям.
Функция селективного отображения результатов поисковых
запросов должна обеспечивать отображение результатов поискового
запроса в соответствии с правами пользователя. Функция должна
удовлетворять следующим требованиям:
- представлять пользователю результат поискового запроса в
виде списка ссылок только на те информационные ресурсы,
которые доступны данному пользователю;
- результаты выполнения поискового запроса должны допускать
упорядочивание как по релевантности, так и по дате создания
документа (по выбору пользователя);
- обеспечивать пользователю возможность задания количества
ссылок, выводимых на одной странице.
4.3.1.7 Требования к подсистеме администрирования
Подсистема администрирования должна выполнять следующие
основные функции:
- проведение резервного копирования/восстановления
конфигурации аппаратно-программных средств и
информационных ресурсов Портала Руководителя;
- аудит действий пользователей;
20
- управление учетными данными и правами доступа
пользователей Портала Руководителя.
Функция проведения резервного копирования/восстановления
должна обеспечивать реализацию процедуры резервного копирования и
восстановления информационного обеспечения Портала Руководителя.
Данная функция должна отвечать следующим требованиям:
- обеспечивать возможность резервного копирования базы
данных, информационных материалов Портала Руководителя;
- обеспечивать возможность восстановления программного
обеспечения и информационных ресурсов Системы с
сохранением их конфигурации.
Функция аудита действий пользователей должна обеспечить сбор и
хранение данных о действиях пользователей в Портале Руководителя
(просмотр, редактирование, создание и удаление информационных
материалов, действий с учетными записями пользователей).
Функция управления учетными данными и правами доступа
пользователей Портала Руководителя должна реализовывать политику
управления правами доступа и учетными данными для пользователей
Портала ГД.
4.3.1.8 Требования к подсистеме аутентификации
Аутентификация пользователей должна осуществляться по
индивидуальному логину и паролю.
Подсистема аутентификации должна отвечать следующим
требованиям:
- хранение паролей на сервере в зашифрованном виде;
- автоматическая блокировка учетной записи пользователя после
определенного числа последовательных неудачных попыток
аутентификации;
21
- реализация механизмов проверки пароля на устойчивость к
подбору и ограничения попыток ввода некорректного значения
учетных записей и паролей для идентификации вводимых
пользователями паролей. В случае если предусматривается
механизм смены пароля для пользователей, при смене пароля в
обязательном порядке должно запрашиваться его предыдущее
значение.
4.3.1.9 Требования к подсистеме консолидации и представления
данных
Подсистема консолидации и представления данных должна
обеспечивать возможность реализации следующих функциональных
возможностей:
- в части сбора данных:
o должно быть обеспечено периодическое опубликование
отчетов различных форматов в едином унифицированном
виде с возможностью веб-доступа к ним;
- в части импорта данных из различных источников должна
обеспечивать:
o возможность опубликовать и корректно отображать в
браузере файлы следующих форматов: pdf, xml, html,
mhtml, png, jpg, bmp, tiff, gif, doc, docx, xls, xlsx, avi, mpeg,
3gp, flv, mov, swf, asf, mp4, mkv, mp3, m3u, aac, wma, flac,
rtf, txt, csv, ppt, mmap (mindjet).;
o воспроизведение потоковых видео и аудио файлов;
o синхронизацию своих хранилищ публикуемых файлов с
внешними источниками, указываемыми в настройках, с
поддержкой следующих механизмов: smb, ftp, sftp, http,
https, WebDav;
o отображение архивных отчетов по запросу;
22
o возможность выбора страницы документа, которая будет
отображаться в мини окне (для отчетов в формате pdf);
o отображение html-страницы в мини окне (при указании
url-ссылки в качестве внешнего источника) с
возможностью перехода по указанной url-ссылке;
o синхронизацию с системой идентификации пользователей
в информационных системах – MS Active Directory –
импорт идентификационных данных (логин \ учетная
запись) используемых сотрудниками при доступе к своим
рабочим станциям;
- в части учета временных интервалов должна проводить:
o периодическую автоматическую проверку внешних
источников (периодичность проверки устанавливается к
каждому источнику индивидуально), с которыми
осуществляется синхронизация, с целью актуализации
публикуемых данных;
o хранение архива публикуемых отчетов за три месяца,
причем имя каждого отчета должно содержать данные о
дате и времени создания (например, HHMM_ddmmyy);
- в части получения и отправки данных посредством почтовых
сообщений:
o во вкладке портала должны отображаться получаемые по
протоколам POP3/IMAP почтовые сообщения во вкладке
портала;
o реализована возможность отправки хранимых файлов по
SMTP протоколу на указанную электронную почту
(вручную и по расписанию);
В рамках подсистемы должна быть реализована следующая
структура:
- Мониторинг – вкладка с отображением мини окон;
23
- Оповещения – вкладка с отображением оповещений;
- Настройки – вкладка с отображением настроек портала.
4.3.2 Требования к системе мониторинга и управления
событиями
Система мониторинга и управления событиями информационной
безопасности должна обеспечивать сбор, корреляция и анализ событий
информационной безопасности с оборудования и прикладных систем.
Система мониторинга и управления событиями информационной
безопасности предназначена для:
- сбора событий информационной безопасности из
используемых в компании систем безопасности и других
источников;
- нормализации, агрегацию и корреляцию событий в
соответствие с установленным приоритетом и настраиваемыми
правилами;
- управления инцидентами информационной безопасности
разной степени критичности;
- сокращения ущерба от инцидентов ИБ за счет адекватного и
оперативного их обнаружения и реагирования (локализации и
пресечения);
- принятия на основе имеющейся истории инцидентов
обоснованных решений по обеспечению ИБ.
Система мониторинга и управления событиями информационной
безопасности, должна обеспечивать возможность реализации следующих
функциональных возможностей:
- формирование отчётов о частоте срабатывания правил
межсетевых экранов и изменении настроек сетевого
оборудования;
24
- формирование извещений о входящем/исходящем трафике
между Интернет и DMZ;
- формирование отчётов о входящем исходящем трафике по
портам 80 и 443;
- отслеживание, контроль и извещения об использовании NAT
(или других технологий RFP1918);
- мониторинг входящего и исходящего трафика с целью
выявления специфичных протоколов обмена данными;
- формирование отчётов о наличии антивирусных средств и их
обновлений на наблюдаемых системах;
- централизованный мониторинг и документирование изменений
конфигурации критичных систем;
- централизованное хранение сведений об изменениях в
настройках контроля доступа критичных систем;
- контроль и ограничение доступа к журналам аудита систем;
- регистрация и учет доступа к файлам аудита;
- регистрация и учет создания и удаления системных объектов, а
так же неудачных попыток доступа к ним.
- контроль изменений в информационных системах требований
парольной политики;
- отслеживание изменений привилегий учетной записи
пользователя в домене;
- отслеживание различных событий, связанных с доступом под
определенными учетными записями;
- отслеживание нескольких подряд (число N задается в Системе)
неудачных попыток зарегистрироваться в домене в течение X
минут;
- отслеживание фактов использования учётных записей
уволенных сотрудников;
- удаленный вход на рабочую станцию по протоколу RDP-TCP;
25
- обращение пользователей к критичным данным (Oracle);
- выявление использования административного доступа к
системам по незащищённым протоколам;
- выявление использования административных привилегий
пользователями, которым такой доступ не был предоставлен;
- выявление использования учетных записей, установленных
производителем (root, administrator, cisco и т.д.);
- отслеживание фактов использования одной учетной записи
пользователя на различных рабочих станциях;
- отслеживание и оповещение о событиях изменения
конфигураций оборудования Cisco;
- отслеживание и оповещение о событиях типа «отказ в
обслуживании», недоступность определенных портов на
оборудовании Cisco;
- отслеживание подключение к корпоративной сети сетей
сторонних организаций, отсутствующих в списке допустимых
сетей;
- отслеживание подключений рабочих мест к не разрешенному
сегменту;
- отслеживание аномальных активностей, направленных на
отдельные сервера, рабочие станции;
- отслеживание обнаружение сканирования сети.
- отслеживание статистики работы пользователей
(входящий/исходящий трафик, наиболее часто посещаемые
сайты и т.д.);
- формирование отчетов о вирусной активности в корпоративной
сети
- приоритезация рисков и угроз на основании корреляции
данных об уязвимостях критических ресурсов и
подозрительной активности в прошлом
26
- централизованное хранение данных об уязвимостях систем
- контроль доступа пользователей к файлам на общих ресурсах;
- обнаружение запуска и использование небезопасных
протоколов (telnet, ftp и т.д.), не разрешенного политикой
компании ПО на контролируемых системах;
- контроль изменений в информационных системах требований
парольной политики;
- отслеживание изменений привилегий учетной записи
пользователя в домене;
- создание учетных записей с правами локального
администратора;
- создание и удаление учетной записи в течение короткого
промежутка времени;
- извещение владельцев систем и приложений об изменении и
добавлении пользователей в целях поддержания
санкционированности данных изменений.
- обнаружение регистрации пользователя, находящегося вне
территории компании (в командировке или отпуске);
- отслеживание фактов использования учетных записей
пользователей, уже активных в системе.
- отслеживание попыток доступа к файлам, событий изменения
и удаления файлов;
- статистика и отчеты по пользователям;
- авторизация пользователей в системе осуществляется на
основе назначенных прав пользователю;
- разграничение полномочий пользователей на выполнение
операций;
- пользователи системы должны не иметь прав на удаление
данных из журнала событий.
- защита журнала событий от НСД;
27
- возможность наращивания функциональности за счет
интеграции с другими источниками событий и расширение
эффекта от использования системы за счет анализа событий
ИБ;
- возможности дополнения и обновления функциональности и
состава подсистемы без нарушения ее функционирования.
4.4 Требования к программно-техническому комплексу
4.4.1 Требования к комплексу вычислительной
инфраструктуры
Комплекс вычислительной инфраструктуры должен состоять из 4-х
(четырех) серверов, каждый из которых должен удовлетворять следующим
требованиям:
- Корпус: должен быть оптимизирован для установки в
стандартную стойку 19”, высота не более 2U;
- Процессор: 2 (два) восьми ядерных Intel Xeon серии Е5-2600
или эквивалент, с частотой ядра не менее 2,9 ГГц, кэш-
памятью 3-го уровня – не менее 20 (двадцати) МБ и
энергопотреблением не более 135 Вт.;
- Оперативная память: 32 ГБ PC3-12800R Registered DIMMs, с
возможностью расширения до 768 Гб;
- Не менее 24 слота для установки модулей оперативной памяти;
- Видеоподсистема интегрированная;
- Внутренняя дисковая подсистема:
o Аппаратный восьмиканальный RAID-контроллер с
интерфейсом SAS (Serial Attached SCSI),
удовлетворяющий следующим требованиям:
Поддержка жёстких дисков SAS (Serial Attached
SCSI);
Поддержка жёстких дисков SATA (Serial ATA);
28
Аппаратная реализация RAID 0, 1, 10, 5, 50, 6, 60;
Кэш-память RAID контроллера не менее 2 Гб с flash-
защитой кэша записи;
Наличие в сервере не менее 8 (восьми) отсеков для
установки жёстких дисков SAS (Serial Attached SCSI),
2.5", с возможностью горячей замены;
- Слоты расширения ввода/вывода PCI-Express 3.0 не менее 6
(шести);
- Встроенный двухпортовый сетевой адаптер Ethernet 10Gb
SFP+;
- Интегрированный процессор удаленного управления и
мониторинга, использующий 1 (один) выделенный сетевой
порт Ethernet 10/100 Мб/с Base-TX.
- не менее 7-ми (семи) свободных портов USB 2.0 (с
расположением не менее 4х на задней панели, и не менее
одного внутри сервера);
- не менее одного разъёма для подключения монитора на задней
панели сервера;
- Комплект поставки должен включать все необходимое для
установки сервера в монтажную стойку и подключения
сервера;
- Комплект для укладки и крепления кабельных соединений
сервера;
- В сервере должно быть установлено 2 (два) жёстких диска
SAS (Serial Attached SCSI), 2.5", с возможностью горячей
замены, объёмом не менее 300 Гб и частотой вращения
шпинделя 10000 об/мин;
- В сервере должен быть установлен двух портовый 1 Гбит/с
сетевой адаптер;
- Наличие в сервере однопортового 8 Гбит/с FC адаптера;
29
- В сервере должен быть установлен оптический привод
DVDRW;
- 2 (два) блока питания. Мощность каждого блока питания
должна быть не менее 750 Вт, с поддержкой режима горячей
замены;
- Комплект лицензий обеспечивающих управление и
мониторинг сервера в серверной среде заказчика;
- Сервисная поддержка в режиме 9*5 со временем реагирования
на заявку следующий рабочий день (период времени, в течение
которого представитель Производителя свяжется с заказчиком
для начала работ по разрешению проблемы), обслуживанием
оборудования на месте установки на 3 года (обслуживание
осуществляется по всей территории РФ).
4.4.1.1 Требования к дисковой подсистеме
- Корпус, оптимизированный для установки в стандартную
стойку 19”, высота не более 2U;
- Система хранения данных (СХД) должна содержать не менее
двух контроллеров;
- Размер кэш-памяти контроллера не менее 2 Гб;
- Контроллер должен иметь не менее двух интерфейсов FC 8
Гб/с;
- Контроллер должен поддерживать следующие уровни RAID: 0,
1, 3, 5, 6, 10;
- Дисковая подсистема должна иметь не менее 12 отсеков для
накопителей на жестких дисках с форм- фактором 3,5”;
- Дисковая подсистема должна иметь возможность
масштабирования как полками с дисками формата SFF
(«2.5”»), так и дисковыми полками формата LFF («3.5”»);
- 2 (два) блока питания;
30
- Возможность работы с не менее чем с 148 дисками SAS, SATA;
- СХД должна быть укомплектована дисками формата LFF
(«3.5”») с интерфейсом SAS в количестве 12 штук объемом от
4 ТБ и скоростью вращения 7200 об/мин;
- Комплект поставки должен включать рельсы, необходимые
для установки дисковой подсистемы в монтажную стойку;
- Дисковая подсистема должна быть укомплектована 4
(четырьмя) волоконно-оптическими кабелями с интерфейсом
LC-LC длиной не менее 5 м.;
- Сервисная поддержка в режиме 9*5 со временем реагирования
на заявку следующий рабочий день (период времени, в течение
которого представитель Производителя свяжется с заказчиком
для начала работ по разрешению проблемы), обслуживанием
оборудования на месте установки на 3 года (обслуживание
осуществляется по всей территории РФ).
4.4.2 Требования к сети передачи данных
Для организации информационного обмена между компонентами
должен быть обеспечен следующий набор услуг:
- выполнение подключения рабочих мест Пользователей и
технологического оборудования на основе технологии Ethernet
10/100/1000 с использованием технологии PoE+;
- выполнение подключения вычислительной инфраструктуры с
использованием ВОЛС на основе технологии 10 Gigabit
Ethernet или 40 Gigabit Ethernet;
- выполнение подключения магистральных каналов связи на
площадке с использованием ВОЛС на основе технологии
Gigabit Ethernet;
31
4.4.3 Требования к системе коллективного представления
информации
Система коллективного представления информации должна
обеспечивать аудио- и видео сопровождение различных форм
коллективной работы должностных лиц ЦУБ с помощью современных
технологий представления информации и видеоконференцсвязи.
В состав системы коллективного представления информации
должны входить:
- средства отображения видеоинформации;
- средства звукоусиления;
- средства видео коммутации.
Видеостена должна удовлетворять следующим требованиям:
- изображение информации на экране должно быть видно со
всех рабочих мест;
- отображение полноцветного изображения на всём поле экрана.
Видеостена должна обеспечивать четкость изображения 1080P для
любого источника в режиме "пиксель-в-пиксель". При этом изображение
может растягиваться до размеров всей видеостены без существенных
искажений, мешающих восприятию информации и ухудшающих четкость
картинки.
Визуализация видеоинформации должна быть пригодна для
коллективной работы и позволять формировать изображение на
видеостене в виде подвижных масштабируемых окон, которые можно в
реальном времени передвигать, изменять размер и располагать в любом
порядке. При этом должно поддерживаться отображение
видеоинформации в форматах высокой чёткости (High-Definition - HD) с
разрешением не хуже 1080p. Видеостена позволяет одновременно
отображать до 10 источников (окон) с качеством HD.
Основным средством отображения видеоинформации должна быть
видеостена в ситуационном зале, реализованная на 16 (шестнадцати) LED
32
панелях 46'' и две LED панель 55'', LED панель 55'' в комнате операторов
и аналитиков, обеспечивающая визуализацию представляемой
информации от различных источников видеоинформации при проведении
совещаний и других протокольных мероприятий.
Конструкция видеостены должна обеспечивать монтаж LED панели с
возможностью быстрой плановой замены вышедшего из строя модуля.
Характеристики LED дисплей 46":
Экран
Частота санирования: 30 ~ 81 кГц по горизонтали
Максимальная частота 148,5 МГц
Частота вертикальной развертки: 56 ~ 85 Гц
Механические характеристики
Размеры (Ш х В х Г): 1 023,7 x 578,3 x 95,5 мм
Размеры в упаковке (Ш х В х Г): 1 255 x 798 x 355 мм
Bес: 18,2 кг
Вес упаковки 31,2 кг.
Кронштейн VESA 600 x 400 мм
Тип медиапроигрывателя: встроенный SBB-A
Питание
Электропитание: 100 - 240 В пер. тока ~ (+/- 10%), 50/60 Гц
Менее 5 Вт. в выключенном состоянии
130 (макс.), 113 (типичное значение), 443,3 (BTU)
Менее 0,5 Вт. в спящем режиме
Встроенного типа
Панель
Диагональ панели: 46"
Тип: D-LED DID
Разрешение: 1920 x 1080 точек
Шаг пикселей: 0,53025 мм (по горизонтали) x 0,53025 мм (по
вертикали)
33
Активная площадь экрана: 1 018,08 x 572,67 мм
Яркость 450 кандел/м² (типичное значение)
Динамический контраст: 3 500:1
Угол обзора (по гоизонтали / вертикали): 178°/178°
Время отклика: 6,5 мс
кол-во отображаемых цветов: 8 битная глубина цвета - 16,7
млн. цветов
Цветовой охват: 68%
Функции
Диапазон рабочих температур: 0°C ~ 40°C
Влажность: 10 ~ 80%
Интерфейсы
Аналоговый D-SUB, DVI-D
HDMI1,HDMI2, Компонентный (CVBS)
Стерео миниi Jack
DVI-D (цепочка)
Стерео миниi Jack
Внешний контроль: порт RS232C (вход / выход), RJ45
Датчик внешнего освещения: (ИК, Ambient)
Основные характеристики
Сверхузкая рамка
Определение повреждения ламп подсветки,
Устранение остаточного изображения,
Датчик температуры,
RS232C / RJ45 MDC,
поддержка Plug and Play (DDC2B), PIP / PBP,
Возможность объединения панелей в видеостену (10 x 10),
возможность использования портретного режима,
Блокировка кнопок управления,
DVI по сквозной цепочке,
34
Интеллектуальное составление расписаний,
Интеллектуальное обновление прошивки
Для управления видеостеной используется контроллер видеостены с
картами входа(5 шт.) и выхода(3шт.)
Характеристики контроллера видеостены:
ЦП 2.4GHz Quad-Core Xeon
12GB DDR3 SDRAM
1 x 1TB 3G SATA HDD
DVD/RW SATA Optical Drive
2 x Gigabit Ethernet
4 x USB 2.0 ports
1 x RS-232 serial port video-wall control
Microsoft Windows 7 Ultimate (64-bit edition)
Входы:
Возможность отображения одновременно до ста удаленных
рабочих столов разрешения от 1024х768 до 2560х1600
Композит до 40 входов одновременно
RGB/DVI до 10 входов одновременно, разрешения до
2560х1600 (с опциональной DL-DVI входной картой) без
поддержки HDCP.
Выходы:
До 18 выходов RGB/DVI разрешением до 4096х2160.
Габариты
673mm x 452mm x 178mm (4U)
Для использования ВКС на стене монтируются два LED дисплея 55".
LED дисплей 55", характеристики:
Экран
Частота санирования: 30 - 81кГц по горизонтали
35
Частота 148,5МГц (макс.)
Частота кадров: 48 - 75кГц
Механические характеристики
Размеры: 1221,8 x 692,7 x 29,9мм
Размеры с упаковкой: 1364,0 x 848,0 x 199,0мм
16кг
21кг с упаковкой
Настенный кронштейн VESA: 400 x 400 мм
Питание
Электропитание: 100 - 240 В пер. тока ~ (+/- 10 %), 50/60 Гц
Энергопотребление <1 Вт. в выключенном состоянии
Энергопотребление в рабочем режиме: 176 Вт.(макс.) / 125 Вт.
(типичное значение)
Энергопотребление <1 Вт. в выключенном состоянии
Встроенного типа
Панель
Диагональ панели: 55"
Технология: 240 Гц LED BLU
Разрешение: 1920 x 1080 (16:9)
Шаг пикселей: 0,210(Горизонт.) x 0,630(Вертик.)мм
Активная площадь дисплея: 1209,6 (Горизонт.) x 680,4
(Вертик.)
Яркость: 450 нит
Динамический контраст: 100000:1 (режим AV)
Угол обзора 178 / 178 ° (по горизонтали/вертикали)
Время отклика: 4мс
10-битная глубина цвета - 1,07 млрд. цветов
Цветовой охват: 73%
Контрастность: 5000:1
Функции
36
Диапазон рабочих температур: 0 - 40°C
Диапазон рабочей влажности: 10 - 80 %
Интерфейсы
Аналоговый D-SUB, DVI-D, Display Port
Компонентный (VCBS common), HDMI
Разъем: стерео миниi Jack
Разъеим DVI-D
Разъем: стерео миниi Jack
RS232C (вход / выход) через Stereo Jack, RJ45
Основные характеристики
Тонкая видеостена со светодиодной подсветкой
Встроенное ПО MagicInfo Lite,
Встроенный динамик(10 Вт.+ 10 Вт.),
поддержка Plug and Play (через USB),
режим PIP/PBP,
узкая рамка,
малая толщина (29,9 мм)
В комнате операторов и комнате аналитиков для просмотра
информации на настенный кронштейн закрепляется LED дисплей 55".
LED дисплей 55", характеристики:
Экран
Частота санирования: 30 - 81кГц по горизонтали
Частота 148,5МГц (макс.)
Частота кадров: 48 - 75кГц
Механические характеристики
Размеры: 1221,8 x 692,7 x 29,9мм
Размеры с упаковкой: 1364,0 x 848,0 x 199,0мм
16кг
21кг с упаковкой
37
Настенный кронштейн VESA: 400 x 400 мм
Питание
Электропитание: 100 - 240 В пер. тока ~ (+/- 10 %), 50/60 Гц
Энергопотребление <1 Вт. в выключенном состоянии
Энергопотребление в рабочем режиме: 176 Вт.(макс.) / 125 Вт.
(типичное значение)
Энергопотребление <1 Вт. в выключенном состоянии
Встроенного типа
Панель
Диагональ панели: 55"
Технология: 240 Гц LED BLU
Разрешение: 1920 x 1080 (16:9)
Шаг пикселей: 0,210(Горизонт.) x 0,630(Вертик.)мм
Активная площадь дисплея: 1209,6 (Горизонт.) x 680,4
(Вертик.)
Яркость: 450 нит
Динамический контраст: 100000:1 (режим AV)
Угол обзора 178 / 178 ° (по горизонтали/вертикали)
Время отклика: 4мс
10-битная глубина цвета - 1,07 млрд. цветов
Цветовой охват: 73%
Контрастность: 5000:1
Функции
Диапазон рабочих температур: 0 - 40°C
Диапазон рабочей влажности: 10 - 80 %
Интерфейсы
Аналоговый D-SUB, DVI-D, Display Port
Компонентный (VCBS common), HDMI
Разъем: стерео миниi Jack
Разъеим DVI-D
38
Разъем: стерео миниi Jack
RS232C (вход / выход) через Stereo Jack, RJ45
Основные характеристики
Тонкая видеостена со светодиодной подсветкой
Встроенное ПО MagicInfo Lite,
Встроенный динамик(10 Вт.+ 10 Вт.),
поддержка Plug and Play (через USB),
режим PIP/PBP,
узкая рамка,
малая толщина (29,9 мм)
В качестве источников видеоинформации должны использоваться
рабочие станции АРМ пользователей (персональные компьютеры) – через
АРМ оператора зала совещаний , АРМ оператора зала совещаний, средства
видеоконференцсвязи, дополнительные источники видеоинформации.
Подготовка материалов и управление их показом должны
осуществляться с автоматизированного рабочего места оператора зала
совещаний.
Средства звукоусиления должны обеспечивать разборчивость и
ясность звука с учетом акустической обстановки помещений, путём
автоматической регулировки усиления, шумоподавления и коррекции
спектра.
В качестве средств звукоусиления необходимо предусмотреть
использование микрофонов и акустической системы зала.
Система усиления и озвучивания состоит из усилителя , комплекта
встраиваемых потолочных акустических систем и цифровой
аудиоплатформы для видео конференций.
Усилитель, характеристики:
Стереофонический, 2-х канальный усилитель со встроенным
кроссовером для встраиваемых акустических систем
Мощность (20-20kHz 1% THD) RMS
39
- 4Ом стерео 320 Вт, 8Ом стерео 210 Вт, 8Ом стерео мост 640 Вт
Частотный отклик (-1dB/-3dB)
- 10Гц/58кГц
Коэффициент затухания на частоте 1 кГц 8Ω
- > 270
Входные разъемы
- XLR3 и 6,35 мм Jack сбалансированные и несбалансированные
RCA
Входная чувствительность / импеданс
- 26/32dB/20kΩ балансный и 10 кОм небалансный
Сигнал данного показателя
- -40дБ
Выходные разъемы
- Speakon и BindingPosts
Питание
- 230В 50/60Гц
Потребляемая мощность (розовый шум, 1/8 мощность @ 4 Ом)
- 670VA
Встраиваемые потолочные акустические системы
устанавливаются в ситуационном зале в количестве 6 штук, а также в
количестве 2 штук в помещении операторов и аналитиков.
Характеристики:
Напряжение питания
- 115/230 В +/- 10 %
Энергопотребление
- 170 Вт
Питание системы DCN
- 40 В пост. тока, макс. 65 Вт на каждую розетку DCN
Напряжение питания оптоволоконной сети
- 40 В пост. тока, макс. 65 Вт
40
Общая нагрузка источника питания
- 130 Вт
Разъем RS-232
- 9-контактное гнездо Sub-D
Частотная характеристика
- 30 Гц – 20 кГц (-3 дБ при номинальном уровне входного
сигнала)
КНИ при номинальном уровне входного сигнала
- < 0.5 %
Переходное затухание
- > 85 дБ 1 на частоте 1 кГц
Динамический диапазон
- > 90 дБ
Отношение сигнал-шум
- > 87 дБА
Аудиовходы
Номинальный уровень сигнала на входе XLR
- 12 дБВ (+/- 6 дБ)
Максимальный уровень сигнала на входе XLR
- +12 дБВ
Номинальный уровень сигнала на входе типа «тюльпан»
- 24 дБВ (+/- 6 дБ)
Максимальный уровень сигнала на входе типа «тюльпан»
- +0 дБВ
Аудиовыходы
Номинальный уровень сигнала на входе XLR
- 12 дБВ (+6 / -24 дБ)
Максимальный уровень сигнала на входе XLR
- +12 дБВ
Номинальный уровень сигнала на входе типа «тюльпан»
41
- 24 дБВ (+6 / -24 дБ)
Максимальный уровень сигнала на входе типа «тюльпан»
- +0 дБВ
Механические характеристики
Монтаж
- установка на поверхность стола или монтаж в стойку 19”
Габаритные размеры (В x Ш x Г)
- при настольном использовании, с ножками 92 x 440 x 400
мм
- при использовании в стойке 19", с кронштейнами 88 x 483 x
400 мм
- перед кронштейнами 40 мм
- за кронштейнами 360 мм
Вес
- 7 кг
Цифровая аудиоплатформа для видео конференций:
- 8 симметричных микрофонных/линейных входов
широкополосного эхоподавления с использованием алгоритма
TrueSoundTM;
- 2 симметричных микрофонных/линейных входа;
- 4 симметричных микрофонных/линейных выхода;
- интерфейс кодера, линейные вход и выход;
- порт Ethernet для программной конфигурации и управления;
- порт управления RS-232;
- возможность дистанционного управления с использованием
дополнительных панелей управления;
- порт NexLink для каскадирования;
- программное обеспечение Nexia для Windows ® XP в
комплекте;
42
- преднастроенные входы и выходы с конфигурируемой
обработкой;
- независимые цифровые эквалайзеры и подавители обратной
связи;
- соответствие RoHS и AES;
- СЕ-маркировка и UL-перечисления;
На столах предусмотреть установку врезных автоматических
микрофонов с индикатором готовности.
Микрофоны должны быть установлены в монтажный модуль,
обеспечивающий вибро/звукоизоляцию от поверхности стола..
Общее количество микрофонов в ситуационном центре (с учетом
микрофонов у оператора зала) 16 штук .В случае необходимости, должна
быть предусмотрена возможность изъятия отдельных микрофонов, и
установки на их место декоративной штатной заглушки.
Конгресс-система состоит из центрального блока управления и
врезных модулей микрофонов.
Центральный блок, характеристики:
Напряжение питания
- 115/230 В +/- 10 %
Энергопотребление
- 170 Вт
Питание системы DCN
- 40 В пост. тока, макс. 65 Вт на каждую розетку DCN
Напряжение питания оптоволоконной сети
- 40 В пост. тока, макс. 65 Вт
Общая нагрузка источника питания
- 130 Вт
Разъем RS-232
Аудиовходы
Номинальный уровень сигнала на входе XLR
43
- 12 дБВ (+/- 6 дБ)
Максимальный уровень сигнала на входе XLR
- +12 дБВ
Номинальный уровень сигнала на входе типа «тюльпан»
- 24 дБВ (+/- 6 дБ)
Максимальный уровень сигнала на входе типа «тюльпан»
- +0 дБВ
Аудиовыходы
Номинальный уровень сигнала на входе XLR
- 12 дБВ (+6 / -24 дБ)
Максимальный уровень сигнала на входе XLR
- +12 дБВ
Номинальный уровень сигнала на входе типа «тюльпан»
- 24 дБВ (+6 / -24 дБ)
Максимальный уровень сигнала на входе типа «тюльпан»
- +0 дБВ
Механические характеристики
Монтаж
- установка на поверхность стола или монтаж в стойку 19”
Габаритные размеры (В x Ш x Г)
- при настольном использовании, с ножками 92 x 440 x 400
мм
- при использовании в стойке 19", с кронштейнами 88 x 483 x
400 мм
- перед кронштейнами 40 мм
- за кронштейнами 360 мм
Вес
- 7 кг
Врезной модуль микрофона включает в себя:
- Интерфейсный модуль для подключения панелей
44
- Панель для подключения микрофона
- Панель управления микрофоном
- Микрофон на гибком держателе, длинный
- Панель громкоговорителя
Средства коммутации видеосигналов должны обеспечивать выбор
источников сигналов и формирование изображения на экране
коллективного пользования и дополнительных средствах отображения.
Выбор источников сигналов должен осуществляться матричным
коммутатором, обеспечивающим коммутацию сигналов HD качества.
В составе коммутатора входит основное шасси , платы входа (8 шт.) ,
платы выхода (7 шт.).
В комплект входит шасси, источник питания, плата управления и
плата тестирования, с помощью которой можно контролировать и
тестировать каждый вход и выход матрицы.
Основное шасси , характеристики:
- максимальная скорость передачи данных до 6,75 Гбит/с (2,25
Гбит/с на графический канал), зависит от используемых
модулей входов или выходов
- совместимость с HDTV
- использование технологии Kramer Equalization & re-Klocking™
для компенсации АЧХ кабеля и перетактирования
восстанавливает сигнал при передаче по длинным линиям
- модульная легко конфигурируемая платформа позволяет
смешивать входные и выходные модули разных типов
- интеллектуальный алгоритм работы с EDID I-EDIDPro™,
обеспечивающий функционирование в режиме Plug and Play
- разнообразие возможностей управления - с передней панели,
через интерфейсы RS-232 и RS-485 (управляющая программа
K-Router® для Windows), с ИК-пульта дистанционного
управления, через сеть Ethernet
45
- возможность блокирования передней панели
- кнопка Take - заданная последовательность переключений
выполняется одним нажатием
- ячейки памяти для хранения и быстрого вызова состояний
коммутатора
- встроенный модуль испытательного сигнала с четырьмя
выходными разрешениями
- универсальный источник питания ~100-240 В
- стандартный корпус для установки в 19-дюймовую стойку,
высота 4U.
Для передачи сигналов на большие расстояния используются
приемопередатчики сигнала HDMI по витой паре.
Характеристики передатчика(16шт.):
- максимальная скорость передачи данных 4,95 Гбит/с (1,65
Гбит/с на канал),
- разрешение до 1080p,
- UXGA (1600x1200),
- WUXGA (1920x1200) при 60 Гц
- при максимальных разрешениях режим Deep Color не
поддерживается. совместимость с HDTV
- соответствие стандартам HDCP и HDMI 1.4 (3D, Deep Color,
x.v.Color™, Lip Sync, HDMI Uncompressed Audio Channels,
Dolby TrueHD, DTS-HD)
- прозрачность для сигнала EDID
- цветовая светодиодная индикация состояния — красный цвет
при включении питания, оранжевый при подключении выхода,
желтый при подключении выхода и подаче входного сигнала
- система Power Connect™ — приемник получает питание от
передатчика по тому же кабелю на витой паре, по которому
передается сигнал
46
Характеристики приемника(4шт.):
- максимальная скорость передачи данных 4,95 Гбит/с (1,65
Гбит/с на канал),
- разрешение до 1080p,
- UXGA (1600x1200),
- WUXGA (1920x1200) при 60 Гц
- при максимальных разрешениях режим Deep Color не
поддерживается.
- совместимость с HDTV
- соответствие стандартам HDCP и HDMI 1.4 (3D, Deep Color,
x.v.Color™, Lip Sync, HDMI Uncompressed Audio Channels,
Dolby TrueHD, DTS-HD)
- пропуск сигналов EDID/HDCP от источника к дисплею без
изменений
- цветовая светодиодная индикация состояния - красный цвет
при включении питания, оранжевый при подключении выхода,
желтый при подключении выхода и подаче входного сигнала
- система Power Connect™ - передача питания одному из
устройств по кабелю на витой паре
4.4.3.1 Требования к системе видеоконференцсвязи
Система видеоконференцсвязи предназначена для организации
сеансов видеоконференцсвязи из зала совещаний ЦУБ с абонентами сетей
ВКС ОАО «ЯнтарьЭнерго», ОАО «Россети», а также с абонентами на
объектах мониторинга.
Система видеоконференцсвязи должна быть реализована на
терминале ВКС в составе кодека и видеокамеры высокого разрешения.
Пакет видеооборудования ВКС:
Характеристики:
полоса пропускания
47
- H.323/SIP до 6 Мбит/с («точка – точка»)
передача данных через сетевые экраны
- Технология передачи данных Expressway™
- Передача данных через сетевые экраны по H.460.18, H.460.19
видеостандарты
- H.263, H.263+, H.264
характеристики видеоизображения
- Формат изображения на экране 16:9
- Расширенные раскладки экрана
- Функция интеллектуального управления изображением
- Функция локальной автоматической раскладки монитора
видеовходы (2 входа)
- 1 X HDMI И 1 X DVI-I (аналоговый и цифровой)
видеовыходы (2 выхода)
- 2 X HDMI-выхода
- Управление питанием монитора в соответствии с VESA
Данные идентификации расширенного дисплея (EDID)
аудиостандарты
- G.711, G.722, G.722.1, 64 кбит/с MPEG4 AAC-LD
характеристики звука
- Звук CD-качества 20 КГц моно
- Два отдельных акустических эхоподавителя
- Автоматическая регулировка усиления
- Автоматическое шумоподавление
- Живая синхронизация звука и изображения
аудиовходы (4 входа)
- 2 микрофона, четырехконтактный мини-джек
- 1 x мини-джек для линейного входа (стерео)
- 1 x аудиовход для подключения камеры (HDMI)
аудиовыходы (3 выхода)
48
- 1 x мини-джек для линейного выхода (стерео)
- 1 x HDMI (цифровой основной аудио)
двухпотоковое видео (DUAL STREAM)
- Передача двух видеопотоков по H.239 (H.323)
- Передача двух видеопотоков по BFCP (SIP)
- Поддержка разрешений до 1080p (1920 x 1080)
протоколы
- H.323, SIP
особенности ip-сетей
- Поиск по службе доменных имен (DNS) для настройки
обслуживания
- Дифференцированное обслуживание (QoS)
- Адаптивно регулируемая ширина полосы пропускания IP
(включая управление потоками)
- Автоматическое обнаружение контроллера зон
- Динамическая буферизация сигнала воспроизведения и
синхронизации звука с движением губ
- Поддержка сигналов управления тонального набора стандарта
H.245 в H.323
- Поддержка регистрации даты и времени по сетевому
протоколу времени NTP
- Интеллектуальное снижение скорости при обнаружении
потери пакетов
- Вызовы URI
- TCP/IP
- DHCP
- поддержка IPV6
- IPv6 – для H323 и SIP
- IPv4 и IPv6 одновременно – для DHCP, SSH, HTTP,
- HTTPS, DNS, DiffServ
49
- Поддержка автоконфигурирования и установок вручную
средства безопасности
- Управление через HTTPS и SSH
- Пароль для IP-администрирования
- Пароль для администрирования меню
- Отключение IP-служб
- Защита сетевых параметров
сетевые интерфейсы
- 1 LAN и Ethernet (RJ-45) 10/100/1000 Мбит
камера CISCO TELEPRESENCE PRECISIONHD – 1080P12X или
аналоги POLYCOM.
CMOS на 1/3 дюйма
- Двенадцатикратное увеличение
- Наклон +15° /-25°, поворот +/- 90°
- Поле зрения в вертикальной плоскости: 43,5°
- Поле зрения в горизонтальной плоскости: 72°
- Расстояние фокусировки: 0,3 м – неограниченное
- 1920 x 1080 пикселей, прогрессивная развертка при 60 кадр/с
- Другие поддерживаемые форматы
- Автоматическая или ручная регулировка
фокуса/яркости/баланса белого
- Управление удаленной камерой
- Два согласованных выхода HDMI и HD-SDI
- Крепление в перевернутом положении, автоматический
переворот изображения
управление системой
- Общее управление через встроенный SNMP, Telnet, SSH, XML,
SOAP
- Закачка программного обеспечения на удаленные ресурсы:
через веб-сервер, SCP, HTTP, HTTPS
50
- Удаленное управление и система экранных меню
адресная книга
- Поддержка локальных директорий («Мои контакты»)
- Корпоративная директория
- Неограниченное количество записей с помощью адресной
книги на сервере (поддержка LDAP и H.350)
- Принятые, исходящие и пропущенные вызовы с указанием
даты и времени
электропитание
- Блок питания с автоматическим выбором напряжения 100 –
240 вольт переменного тока, 50/60 Гц
- Макс. 35 Вт для кодека и основной камеры
рабочая температура и уровень влажности
- Температура окружающей среды: от 0° C до 35° C
- Относительная влажность: от 10% до 90%
температура хранения и транспортировки
- От -20° C до 60° С при относительной влажности 10 – 90% (без
образования конденсата)
размеры кодека SX20
- Длина: 30,0 см (11,8”)
- Высота: 3,4 см (1,4”)
- Глубина: 18,0 см (7,1”)
- Вес: 1,4 кг
- присоединение к ВКС в аудиорежиме (телефонной сети связи
общего пользования) при наличии Sip-адреса у телефонного
номера.
Подключение новых абонентов административного здания ОАО
«ЯнтарьЭнерго» 5 абонентов, ПЭСов 3 абонентов, возможно с
использованием существующего сервера ВКС (при наличии ресурсов
емкости сервера) в ОАО «ЯнтарьЭнерго», при условии расширения
51
емкости сервера ВКС, включения в ТФОП, лицензиями и приобретения 8
видеокодеков.
Должна быть обеспечена возможность организации ВКС с
объектами наблюдения ПС110-330 50 шт. и РЭС 20 шт. на выделенном
проектируемом оборудовании ВКС.
Должна быть обеспечена возможность тиражирования
оборудования ВКС для установки в других помещениях по усмотрению
Заказчика.
4.4.4 Требования к системе оперативной телефонной связи
Система оперативной телефонной связи (СОТС) предназначена
для обеспечения оперативной голосовой связью должностных лиц ЦУБ
ОАО «Янтарьэнерго», со службами охраны объектов мониторинга, а также
с абонентами административного здания ОАО «ЯнтарьЭнерго»,
абонентами сети связи общего пользования.
СОТС призвана решать следующие задачи:
- обеспечения сотрудников ЦУБ телефонной связью;
- присоединение к телефонной сети связи общего пользования;
- предоставление дополнительных видов обслуживания.
Подсистема СОТС должна состоять из следующих функциональных
модулей:
- модуль управления и маршрутизации;
- модуль абонентских терминалов.
Модуль управления и маршрутизации должен выполнять следующие
функции:
- регистрация абонентских терминалов;
- управление процессом маршрутизации и установлением
вызовов в системе;
- предоставление дополнительных видов обслуживания
абонентам СОТС;
52
- присоединение к телефонной сети связи общего пользования;
- предоставление возможности администрирования всех
настроек СОТС;
- полнофункциональный мониторинг всех процессов
функционирования СОТС. Предоставление биллинговой
информации о вызовах СОТС, которая может быть
использована для тарификации телефонных переговоров.
Модуль абонентских терминалов должен содержать IP телефонные
аппараты различного уровня функциональности:
- аппарат базовой функциональности, используемый на рабочих
местах специалистов ЦУБ;
- аппарат расширенной функциональности, используемый на
рабочем месте Руководителя ЦУБ;
- специализированный конференцтелефон, который размещается
в зале совещаний ситуационного центра и на рабочих местах
диспетчеров ЦУС.
Связь между абонентскими терминалами и модулем управления
должна осуществляться по IP протоколам посредством ЛВС.
Присоединение СТС к сети телефонной связи общего пользования
должно осуществляться по цифровому стыку с интерфейсом G.703,
протокол Euro-ISDN PRI, тип физического интерфейса – RJ45. Должно
быть обеспечено 30 соединительных линий с ТФОП.
Администрирование и мониторинг оборудования СТС должны
осуществляться удалённо, через ЛВС. Для администрирования и
мониторинга должно использоваться специализированное программное
обеспечение, устанавливаемое на АРМ Администратора системы.
Общие требования к поставляемому оборудованию
- Всё поставляемое оборудование должно быть новым, не
бывшим в употреблении, поставляться в заводской упаковке.
53
- На всё поставляемое оборудование должна быть предоставлена
гарантия производителя на срок не менее 12 месяцев.
- Комплект поставляемого оборудования должна включать
документацию производителя по администрированию системы
и инструкции пользователей абонентских терминалов.
- Пользовательские инструкции должны быть представлены на
русском языке.
Технические требования к СТС
Требования к модулю управления и маршрутизации
- Возможность создания распределённой телефонной системы с
поддержкой не менее 380 абонентов;
- Конструктивное исполнение для монтажа в стойку 19”;
- Наличие интегрированного процессора, управляющего всеми
функциями СТС;
- Наличие необходимых слотов для установки интерфейсных
карт. Должна быть обеспечена возможность использования
интерфейсных карт, предназначенных для:
подключения 8-х двухпроводных соединительных
линий;
подключения 2 цифровых потоков Е1;
подключения до 24 аналоговых абонентских
терминалов;
подключения до 48 цифровых абонентских
терминалов;
кодирования/транскодирования речевой информации
для передачи по IP сети.
- Возможность подключения до 12 внешних модулей
расширения, позволяющих увеличить абонентскую ёмкость
системы.
54
- Наличие на базовом модуле не менее 2-х интерфейсов Ethernet,
и не менее 2-х слотов для установки карт памяти формата SD и
аналогового линейного входа для подключения источника
Music-on-Hold.
- Потребляемая мощность не более 120Вт.
- Возможность организации телефонной конференции с
участием внешних и внутренних абонентов с количеством
участников не менее 64.
- Количество одновременных каналов транскодирования
речевой информации в IP – не менее 32.
Требования к абонентским терминалам
- Все поставляемые терминалы должны быть выпущены тем же
производителем, что и модуль управления и маршрутизации.
- Все поставляемые терминалы должны поддерживать протокол
Power over Ethernet (PoE). Их электропитание должно
обеспечиваться от проектируемых коммутаторов доступа ЛВС.
Требования к телефонному аппарату базовой функциональности
- IP телефонный аппарат полностью совместимый с модулем
управления;
- Наличие четырёхстрочного дисплея;
- Наличие 8 программируемых и 3 контекстных
функциональных клавиш.
- Наличие 5-и кнопочной навигации по меню.
- Функция двусторонней громкой связи.
- Наличие журналов принятых / пропущенных / исходящих
вызовов.
- Поддержка русского языка.
Требования к телефонному аппарату расширенной
функциональности:
55
- IP телефонный аппарат полностью совместимый с модулем
управления;
- Сенсорный цветной дисплей размером не менее 9,3 см х 5,3 см;
- Встроенный коммутатор 10/100/1000 Мбит с портом для
подключения компьютера;
- Интерфейс для подключения гарнитуры;
- Двусторонняя громкая связь;
- Светодиодная индикация: входящего звонка/нового голосового
сообщения;
- Наличие журналов принятых / пропущенных / исходящих
вызовов.
- Два положения установки телефона на столе;
- Сигнальные протоколы H.323 или SIP.
Требования к специализированному конференцтелефону:
- Использование технологии улучшения качества звука
OmniSound® 2.0 либо аналога.
- Сигнальный протокол SIP.
- Возможность записи вызовов на SD-карту.
- Встроенная функция создания моста для вызовов.
- Подключение дополнительного микрофона для расширения
зоны охвата.
- Возможность подключения к беспроводной гарнитуре по
протоколу Bluetooth.
- Встроенная телефонная книга.
- Возможность импорте/экспорте контактов и настроек при
помощи Web-интерфейса.
- Поддержка кодека высокой чёткости G.722.
Количественные требования к поставляемой СТС:
56
- Модуль управления и маршрутизации в комплекте с
необходимыми для удовлетворения технических требований
внутренними модулями и лицензиями – 1 шт.
- Абонентские терминалы базовой функциональности – 90 шт.
- Абонентский терминал расширенной функциональности – 15
шт.
- Специализированный конференцтелефон – 2 шт.
- Дополнительный микрофон для конференцтелефона – 2 шт.
4.4.5 Состав автоматизированных рабочих мест
В составе каждого АРМ должно быть две рабочие станции. Одна
рабочая станция предназначена для вывода на монитор, с диагональю
экрана не менее 23 дюйма каждый, информации КАСУБ (паспорт объекта,
план объекта, вывод тревожных событий, фрагменты карты ГИС,
видеоинформации с камер видеонаблюдения, установленных на объекте и
т.п.).
Вторая рабочая станция аналогичной конфигурации предназначена
для доступа к корпоративным информационным ресурсам (корпоративный
справочник, корпоративная электронная почта и т.д.), к ресурсам СВВУ и
доступа в сеть Интернет.
В состав АРМ операторов ЦУБ необходимо включить мобильные
АРМ для выполнения выездных работ на объектах техническими
специалистами.
Для оперативной связи диспетчеров с должностными лицами на
подстанциях (ПС), а также с должностными лицами ОАО «ЯнтарьЭнерго»,
каждое АРМ должно оснащаться IP-телефоном. IP-телефоны должны
подключаться к IP-УПАТС системы оперативной телефонной связи.
Для вывода информации на бумажные носители (печать)
сканирования и копирования документов следует предусмотреть установку
цветного МФУ формата А3 высокой производительности (скорость
57
цветной печати 45 страниц А4 в минуту, разрешение цветной печати
1200х2400 dpi).
Кроме того, необходимо предусмотреть дополнительно два АРМ с
ПО КАСУБ (ИТСО) для установки сотрудникам Службы безопасности
ОАО «ЯнтарьЭнерго».
Остальные типы АРМ должны представлять собой
профессиональные графические рабочие станции в исполнении
«моноблок» с характеристиками не ниже рекомендованных
производителями ПО для комфортной работы с прикладными
программами.
В состав ЦУБ должны входить следующие типы АРМ:
- АРМ операторов- 2 шт.;
- АРМ аналитиков - 4 шт.;
- АРМ руководства ЦУБ - 2шт.;
- АРМ приложений - 2шт.;
- АРМ оператора зала совещаний ЦУБ - 1 шт.;
- АРМ управления средствами зала совещаний - 1 шт.;
- АРМ участников совещаний в зале совещаний - 14 шт.
4.4.5.1 Требования к АРМ участников в зале совещаний
Автоматизированные рабочие места участников совещаний, установленные в
зале совещаний, должны представлять собой ноутбуки, имеющие характеристики не
хуже:
Характеристики ЗначенияПроцессор Intel Core i5Экран 15'' LED-подсветкаОперативная память 6 ГБЖесткий диск 500 ГБМультимедиа 2 стереодинамика по 2 Вт
встроенный микрофонвстроенная веб-камера 1,3 Мпикс HD
Сетевые интерфейсы проводная сеть: 10 / 100 / 1 000 Мбит / сек
58
Bluetooth 4.0WiFiБеспроводная сетевая карта - до 300 Мбит/с
Порты разъем VGAразъем HDMI/micro HDMIслот MMC/SD/MS/MS Pro
Размеры 380х255х33Вес 3 кгОперационная система Windows 8 (64 бит)
4.4.6 Требования к средствам зала заседаний ЦУБ
При создании ЦУБ должна быть поставлена следующая мебель и
принадлежности:
- cтол для переговоров (Т-образный);
- кресла президиума – 4 шт.;
- кресла рабочие - 10 шт.;
- стол оператора зала совещаний – 1 шт.;
- кресло оператора зала совещаний – 1 шт.;
- кафедра для докладов;
Дополнительно, в рамках создания ЦУБ необходимо предусмотреть
бытовую технику.
4.4.7 Требования по интеграции в ЦУБ комплексов технических
средств охраны подстанций (ПС) в качестве объектов
мониторинга
При выполнении работ должна быть обеспечена передача в КАСУБ
информации от существующих систем телевизионного наблюдения на
объектах.
Подключение систем телевизионного наблюдения объектов должно
быть выполнено по каналам связи, защищенным в соответствии с
требованиями информационной безопасности.
В качестве средств информационной защиты на объектах
мониторинга должны устанавливаться криптошлюзы.
59
Оборудование должно размещаться в отдельном сегменте ЛВС. Все
подключения должны выполняться через стек коммутаторов, входящие в
состав подсистемы передачи данных ЦУБ.
Оборудование для интеграции объектов мониторинга в ЦУБ
должно размещаться в отдельном телекоммуникационном (серверном)
шкафу типа Rittal 600x2000x1000mm.
Шкаф должен быть оснащен средствами удаленного мониторинга и
источником бесперебойного питания 3000 кВА.
Для организации видеонаблюдения на объектах мониторинга
устанавливаются дополнительные камеры типа Axis P1343.
На всех объектах должна быть установлена стационарная кнопка
тревожной сигнализации типа Астра-321. Передача тревожных сообщений
в КАСУБ от указанной системы должна осуществляться по наземным
каналам связи.
Для организации сеансов видеоконференцсвязи руководителей на
объектах мониторинга с должностными лицами ЦУБ (в зале совещаний) на
каждом объекте могут быть установлены индивидуальные системы ВКС
на базе персональных кодеков ВКС типа Рolycom HDX 4500 или аналоги.
IP-адреса для систем ВКС и каналы связи предоставляются
Заказчиком.
4.4.8 Требования к инженерной инфраструктуре
ЦУБ должен размещаться на 1-м и 3-м этажах здания. В состав ЦУБ
должны входить:
- ситуационный зал на 15 человек (3 этаж) площадью 42 м2 с
размерами 8,0 х 5.0 м;
- зал операторов и аналитиков на 4 человека (3 этаж) площадью
22 м2 с размерами 4,4 х 5,0 м;
- кабинет начальника ЦУБ на 2 человека (3 этаж) площадью 22,7
м2 с размерами 4,54 х 5,0 м;
60
- серверное помещение (1 этаж) площадью 25,1 м2 с размерами
5.1 х 4.92 м и высотой 3.5 м.
Все помещения имеют стандартную высоту 3,5 метра от уровня пола,
имеют входные двери, окна помещений выходят во внутренний двор
здания.
В состав инженерной инфраструктуры включаются следующие
системы:
- структурированная кабельная система, которая должна быть
выполнена для помещений ЦУБ и серверного помещения;
- система фальшпола;
- система электропитания, которая должна быть выполнена для
электропитания рабочих мест и оборудования ЦУБ, а также
устанавливаемого в серверном помещении оборудования;
- резервный источник питания;
- система кондиционирования должны быть выполнена для
серверного помещения в объеме отвода теплоизбытков от
вновь устанавливаемого оборудования.
- создание системы громкоговорящего речевого оповещения в
здании ИА ОАО «Янтарьэнерго» о ЧС.
Структурированная кабельная система
Для обеспечения коммутации оборудования в серверном
помещении и помещениях ЦУБ должна быть выполнена
структурированная кабельная система (СКС).
СКС должна строиться в соответствии со следующими
нормативными документами:
- ГОСТ Р 53246 – 2008 «Системы кабельные
структурированные. Проектирование основных узлов
системы».
61
- ГОСТ Р 53245 – 2008 «Системы кабельные
структурированные. Монтаж основных узлов системы».
- TIA/EIA-568B. Прокладка телекоммуникационных кабельных
линий в коммерческих зданиях
(CommercialBuildingTelecommunicationsCablingStandard).
- EIA/TIA-569. Требования к прокладке телекоммуникационных
линий, кабелепроводам и техническим помещениям в
коммерческих зданиях
(«CommercialBuildingStandardforTelecommunicationsPathwaysan
dSpaces»).
- TIA/EIA-606. Стандарт администрирования
телекоммуникационной инфраструктуры в коммерческих
зданиях
(«TheAdministrationStandardfortheTelecommunicationsInfrastruct
ureofCommercialBuilding»).
- TIA/EIA-607. Стандарт по электрическому объединению и
заземлению телекоммуникационных инфраструктур в
коммерческих зданиях
(«CommercialBuildingGroundingandBonding Requirements
forTelecommunications»).
- European guidelines for separation of premises distribution system
wiring from power cables. Руководство BellLaboratories
(«Европейское руководство по разносу силовых и
информационных кабелей при совместной прокладке»).
- TSB-67. Спецификация параметров для тестирования
кабельных систем.
СКС должна включать в себя три подсистемы:
- Главную распределительную область (MDA),
- Горизонтальную распределительную область (HDA),
- Область подключения оконечного оборудования (EDA).
62
Главная распределительная область должна содержать следующие
компоненты СКС:
- Коммутационная область внешних магистралей;
- Коммутационная область для подключения активного
оборудования горизонтальной распределительной области,
расположенного как вблизи главной распределительной
области, так и в шкафах.
Горизонтальная распределительная область должна включать
коммутационную область для подключения оконечного оборудования.
Горизонтальная распределительная область должна включать
рабочие места пользователей в помещениях ЦУБ 3-го этажа.
Область EDA служит для подключения оконечного оборудования к
коммутационным панелям при помощи коммутационных шнуров.
Для создания СКС должны быть использованы компоненты
(коммутационные панели, коммутационные шнуры, органайзеры) на
основе четырёхпарного UTP-кабеля и разъемов типа RJ-45, категории 6.
Для подключения внешних магистралей должна быть использована
патч-панель оптическая на 24 порта с интерфейсами LC, для подключения
многомодового оптического кабеля ОМ3.
Для размещения использовать технологический шкаф под
установку 19”-го оборудования. Технологический шкаф должен иметь
перфорированные двери, как с фронтальной, так и с тыловой стороны. С
тыловой стороны двери должны быть двустворчатые. Размеры
технологического шкафа: высота 42U, ширина 800 мм и глубина 1000 мм.
Грузоподъемность шкафа должна быть не менее 1000 кг, покрытие шкафа
– порошковая эмаль, цвет черный.
Технологический шкаф должен быть оборудованы необходимыми
аксессуарами (организаторы, PDU, комплект заземления, щеточные
вводы, заглушки).
63
Базовый блок распределения электропитания (PDU) вертикального
исполнения должен быть укомплектован шнуром с разъемом IEC 309 3м,
1-я группа розеток - 20xC13, 2-я группа розеток - 4xC19, 32A.
Патч-панель должна быть 19” исполнения с количеством портов 24,
высотой не менее 1U, для выполнения кабельной укладки в состав системы
должны быть включены органайзеры кабельный высотой не менее 1U.
Центром коммутации сети должно являться серверное помещении
122 на 1-м этаже здания, где должен быть установлен технологический
шкаф.
Срок службы смонтированной СКС должен составлять не менее 20
лет с момента сдачи в эксплуатацию.
На установленную СКС должна распространяться расширенная 20-
летняя гарантия компании производителя.
Общее количество портов СКС рассчитывается на основе
следующих исходных данных:
- ситуационный зал на 15 человек;
- зал аналитиков и оперативный дежурных на 4 человека;
- кабинет начальника ЦУБ на 2 человека;
Общее количество персонала 25 человек.
Кроме того рабочие места должны быть использованы для
подключения оборудования видео стены, видео-конференц-системы и
другого технологического оборудования.
На каждом рабочем месте должно быть установлено по 2 2-х
портовые розетки RJ-45 для подключения к сети рабочих мест
пользователей и IP-телефонии.
Общее количество портов пользователей 90, в том числе и
количество портов для подключения видеооборудования, офисной техники
и другого технологического оборудования.
Для рабочих мест используются подпольные лючки,
устанавливаемые в фальшпол. В лючках устанавливаются сетевые и
64
силовые розетки сети. Разводку кабеля типа «витая пара» категории 6 в
помещениях ситуационного центра выполнить в пространстве фальшпола
с использованием гофрированной трубы из самозатухающего ПВХ
пластика. Прокладку кабеля внутри серверного помещения выполнить в
проволочных лотках, устанавливаемых над шкафами. Подъем кабельной
трассы из серверного помещения в помещения 3-го этажа должен быть
выполнен по существующему слаботочному стояку здания. Для
вертикальной прокладки кабелей в стояке должен быть использован лоток
лестничного типа.
Все компоненты СКС должны иметь идентификаторы в
соответствии со стандартами по администрированию СКС ГОСТ Р. 53246
– 2008 «Системы кабельные структурированные. Проектирование
основных узлов системы», а именно:
- коммуникационные порты кроссового оборудования,
- коммутационные панели,
- технологические шкафы и полки,
- кабельные тракты,
- коммуникационные шнуры.
В проектной документации должны быть описаны правила
маркировки вышеуказанных СКС компонентов.
Система фальшпола помещения ситуационного центра
Фальшпол в помещениях ситуационного центра должен быть
предназначен для выполнения пространственной расстановки мебели и
организации рабочих мест персонала, выполнения кабельной подводки
СКС и электропитания, гибкой установки розеточных силовых и
информационных розеток на поле, занимаемом фальшполом с изменением
конфигурации, согласно изменений при расстановки основного
оборудования.
Высота фальшпола должна составлять 300 мм, считая от уровня
чистого пола помещения до верхней кромке плиты фальшпола.
65
В качестве основы фальшпола должны быть использованы плиты,
изготовленные из ДСП, прессованного под высоким давлением (плотность
720 кг/м3). Плита должна имеет боковую обшивку из ПВХ, которая
защищает материал от проникновения влаги и огня. Стандартный размер
плиты – 600х600 мм при толщине 38 мм. На верх плиты должно быть
нанесено покрытие из линолеума толщиной не менее 2-х мм, а низ плиты –
алюминиевая фольга толщиной не менее 0,05 мм.
При входе в помещения ситуационного центра должны быть
выполнены лестницы из материала фальшпола.
Для установки розеток в плитах фальшпола, в местах размещения
рабочих место пользователей установить встраиваемые в фальшпол
напольные коробки на 16 мест каждая. Места размещения напольных
коробок определить проектным решением. Крышки напольных коробок
должны иметь покрытие из линолеума толщиной не менее 2 мм.
Перед выполнением фальшпола в помещениях ситуационного
центра должна быть проведена работа по очистке пола помещений от
неровностей. Вся поверхность пола должна быть пропитана специальной
грунтовкой в два слоя.
Система электропитания оборудования
Система электропитания оборудования предназначена для
электропитания рабочих мест пользователей структурированной
кабельной сети и устанавливаемого в серверном помещении оборудования.
В серверном помещении и помещениях ситуационного центра
должны быть установлены настенные силовые распределительные щиты с
количеством устанавливаемом в один шкаф модулей не менее 24-х.
Для электропитания рабочих мест пользователей
распределительные щиты установить в помещении ситуационного центра
на стене. В распределительных щитах должны быть установлены
автоматические выключатели однополюсные для питания нагрузки, а
также трехполюсные вводные автоматические выключатели. Токи
66
срабатывания выключателей и их характеристики рассчитать на этапе
выполнения проектных решений. Распределительные щиты ситуационного
центра должны быть подключены к ЩГП СДТУ в цокольном этаже
здания, с использованием медного силового кабеля типа ВВГнг – LS, не
поддерживающего горения. Разводку от этажного силового щита
выполнить пяти проводной по схеме TN-S с заземлением на главном
распределительном щите здания.
Силовую распределительную сеть выполнить с использованием
медного силового кабеля типа ВВГнг – LS 3х2,5, оконечные розетки
установить в напольные коробки фальшпола помещений ситуационного
центра. Все устанавливаемые должны иметь заземление, тип розеток
Schuco. На одном рабочем месте должны быть установлены 2 силовые
розетки.
В серверном помещении на 1-м этаже здания должен быть
установлен распределительный щит, который предназначен для питания
устанавливаемого оборудования. Щит должен быть укомплектован
вводным и распределительными автоматическими выключателями.
Распределительный щит должен быть подключен к ГРЩ (ЩГП) в
цокольном этаже здания.
Разводку выполнить пяти проводной по схеме TN-S с заземлением
на главном распределительном щите здания.
В качестве источников бесперебойного питания оборудования в
помещениях ситуационного центра и серверного помещения должны быть
применены ИБП выполненные по технологии двойного преобразования
энергии стоечного исполнения. Для обеспечения гальванической развязки
систем должны быть применены ИБП трансформаторного типа.
Применяемые ИБП должны иметь следующие характеристики: мощность
не менее 10000ВА/7000 кВт, при диапазоне входного напряжения 130 –
280 В, частоте 45 – 66 Гц, и времени автономной работы от батарейного
67
комплекта при 75% не менее 15 минут, выходное напряжение 230В, выход
ИБП клеммы.
Мощность ИБП должна быть рассчитана на питание оборудования
установленного в серверных шкафах в серверном помещении 1-го этажа
здания и технологического оборудования помещений ЦУБ
В серверном помещении ИБП должен быть установлен около
серверных шкафов и иметь распределительный щит питания нагрузки. В
ситуационном центре ИБП устанавливается непосредственно в месте
размещения оборудования, кабельная разводка от ИБП до места установки
оборудования выполняется силовыми кабелями.
Питание нагрузки в серверном помещении должно выполнятся от
распределительного щита ЩБП – С в котором должны быть
предусмотрены автоматические выключатели для ввода питания к ИБП,
так и подачи питания от ИБП к серверным шкафам.
Питание нагрузки в ситуационном центре должно выполнятся от
распределительного щита ЩБП – ЦУБ в котором должны быть
предусмотрены автоматические выключатели для ввода питания к ИБП,
так и подачи питания от ИБП к оборудованию.
Резервный источник электропитания.
Для обеспечения резервирования системы электропитания основных
потребителей здания предусмотреть установку на площадке внутреннего
двора здания дизельной – генераторной установки (ДГУ).
Мощность дизельной – генераторной установки должна быть не
менее 96 кВт, исполнение контейнерное, контейнер типа «Север».
ДГУ установить на подготовленной Заказчиком площадке во
внутреннем дворе здания.
ДГУ должна иметь внешний автомат ввода резерва,
устанавливаемый в помещении ЩГП в подвале здания. Степень
автоматизации – 2-я.
ДГУ должна быть оснащена:
68
- комплектом эксплуатационной документации.
Контейнер ДГУ должен обеспечить работу ДГУ при температурах
окружающего воздуха от -30оС до +30оС, имеет систему обогрева, систему
освещения, систему пожаротушения.
Соединение ДГУ с АВР, устанавливаемым в помещении ДГУ
должно быть выполнено прокладкой силовых кабелей типа ВВГнг-LS с
использованием закрытых металлических лотков.
Система кондиционирования серверного помещения
Для утилизации тепла от устанавливаемого оборудования на 1-м
этаже в серверном помещении должна быть установлена настенная сплит-
система, которая должна обеспечить автоматическое поддержание
температуры и охлаждение воздуха в помещении.
Система кондиционирования серверного помещения должна быть
иметь резервирование выполненное на уровне N+1 с использованием
устройства согласования кондиционеров.
- дизельным двигателем с жидкостным охлаждением;
-бесконтактным синхронным генератором;
- стальной рамой с антивибрационными подушками, отверстиями
для крепежа и погрузки;
- встроенным топливным баком в раме;
- промышленным глушителем;
- электростартер, стартерная батарея и зарядное устройство
аккумулятора;
- предпусковой подогреватель охлаждающей жидкости;
- электрическая панель с автоматическим запуском;
- автоматический переключатель нагрузки;
- электронный регулятор оборотов двигателя;
- отключение по низкому уровню охлаждающей жидкости;
- отключение по перегрузке по току;
- отключение по низ./выс. напряжению на генераторе;
69
Устанавливаемая сплит-система должна иметь следующие
характеристики: максимальный воздушный поток не менее 9,4 м3 в час при
мощности в режиме охлаждения не менее 3200 Вт. Потребляемая
мощность сплит-системы должна быть не более 1060Вт, питание
однофазное. Используемый хладагент R410A. Для работы круглогодичном
режиме блок должен быть оснащен низкотемпературным комплектом при
работе в интервале температур от +30оС до -30оС.
Внешний блок сплит-системы должен быть установлен на фасаде
здания при длине фреоновой трассы не более 15 метров. Блок должен быть
установлен вертикально на настенные кронштейны.
Внутренний блок кондиционера должен иметь следующих
габаритные размеры в длину не более 770 мм, высоту 285 мм и глубину
200 мм и установлен на стену помещения. Управление кондиционером
должно осуществляться от пульта дистанционного управления, который
должен входить в комплект поставки системы.
Система громкоговорящего речевого оповещения.
Система громкоговорящего речевого оповещения (ОП) должна
быть предназначена для голосового оповещения персонала здания ОАО
«ЯнтарьЭнерго» в случае возникновения чрезвычайных ситуаций
связанных с возникновением пожара в здании, отключении
электропитания, землетрясении или аналогичных.
Система ОП должна быть выполнена в соответствии с
действующими нормативными документами, а именно отвечать
требованиям СП3.131130 – 2009 «Система оповещения и управления
эвакуацией людей при пожаре. Система противопожарной защиты. Свод
правил»
Система должна состоять из центрального оборудования,
обеспечивающего формирование сигнала речевого оповещения персонала
здания, пультов подачи сигналов, оборудования автоматического
формирования, усиления сигнала и его передачи, громкоговорителей.
70
Количество устанавливаемых громкоговорителей по этажам
помещениям и коридорам здания должно быть определено на стадии
выполнения рабочей документации на систему в зависимости от
необходимого уровня звукового давления.
Место установки центрального оборудования ОП на 1-м этаже
здания в помещении диспетчерского поста.
Должно быть обеспечено согласование системы громкоговорящего
оповещения с системой пожарной сигнализации здания на уровне «сухого
контакта», то есть при получении сигнала «Пожар» с контактов приемно-
контрольного прибора пожарной сигнализации на вход системы ОП, она
автоматически передает речевое сообщение на сеть громкоговорителей
здания.
4.4.9 Требования к общему программному обеспечению
Общее программное обеспечение должно представлять собой
совокупность программных средств со стандартными интерфейсами
Российской Федерацией, предназначенных для организации и реализации
информационно-вычислительных процессов в Системе.
ОПО должно обеспечить:
- выполнение информационно-вычислительных процессов
совместно с другими видами обеспечения;
- управление вычислительным процессом и вычислительными
ресурсами с учетом приоритетов пользователей;
- коллективное использование технических, информационных и
программных ресурсов;
- обмен неформализованной и формализованной информацией
между пользователями ЦУБ с протоколами информационно-
логического взаимодействия;
- ведение учета и регистрации передаваемой и принимаемой
информации;
71
- ввод в базы данных информации с клавиатуры АРМ и с
машинных носителей, а также информации, поступающей
через телекоммуникационные средства;
- автоматизированный контроль и диагностику
функционирования технических и программных средств, а
также тестирование технических средств;
- создание и ведение баз данных с обеспечением контроля,
целостности, сохранности, реорганизации, модификации и
защиты данных от несанкционированного доступа;
- создание и ведение словарей, справочников, классификаторов
и унифицированных форм документов, параллельный доступ
пользователей к ним;
- поиск по запросам информации в диалоговом режиме и
представление ее в виде документов;
- выполнение распределенных запросов к данным;
- синхронизацию корректировки данных и контроль за
изменением документов в базах документов;
- разработку, отладку и выполнение программ, формирующих
распределенные запросы к данным;
- формирование и ведение личных архивов пользователей;
- наращивание состава общего программного, а также
специального программного, информационного и
лингвистического обеспечения;
- обработку (формирование, контроль, просмотр, распознавание,
редактирование, выдачу на средства отображения и печати)
текстовой, табличной и графической информации;
- разграничение доступа пользователей к информации, защиту
информации от несанкционированных действий
пользователей, регистрацию и сигнализацию о
несанкционированных действиях пользователей;
72
- реализацию системы приоритетов;
- восстановление работоспособности ПО и баз документов (с
резервных копий) после сбоев и отказов технических и
программных средств;
- возможность генерации программной оболочки на АРМ
пользователей ЦУБ и настройки компонентов ПО с учетом
заданного набора реализуемых функций, состояния системы,
условий ее функционирования и схемы разграничения доступа.
ОПО должно поддерживать функционирование выбранных типов
комплекса технических средств и периферийных устройств на уровне
операционных систем (ОС), утилит и драйверов. Операционные системы
должны выбираться исходя из перспектив развития аппаратно-
программных платформ в мире, с учетом поддержания преемственности
версий и редакций, условий и порядка их обновления, предлагаемых
фирмой - разработчиком. Количество ОС, их версий и редакций в СУ
должно быть минимизировано.
ОПО должно/может включать следующие основные компоненты:
- графические 32 (64 и более) - разрядные многозадачные
(многопроцессорные) операционные системы;
- сетевые операционные системы;
- системы управления базами данных;
- средства архивирования файлов;
- инструментальные средства для создания и ведения текстовых
и графических документов, электронных таблиц и т.д.;
- средства поддержки Internet и Intranet -технологий;
- программные средства защиты от несанкционированного
доступа к информационным и программным ресурсам;
- средства антивирусной защиты;
73
- средства управления выводом данных на устройства
отображения информации группового и коллективного
пользования;
- технологические программные средства.
4.5 Требования к телекоммуникационной инфраструктуре
Телекоммуникационная инфраструктура, реализуемая системой
передачи данных (СПД) предназначена для передачи электронной
информации и является базовой инфраструктурной единицей для
поддержания всех информационных процессов организации и
функционирования ЦУБ с объектами мониторинга.
Создаваемая Система должна удовлетворять следующим основным
требованиям:
- объединять информационные и вычислительные ресурсы,
телекоммуникационные услуги, прикладные, системные и
интеллектуальные сервисы в единую автоматизированную
систему;
- обеспечивать доступ к централизованным ресурсам ЦУБ, как
для внутренних, так и для внешних потребителей;
- обеспечивать доступ к внешним децентрализованным ресурсам
мониторинга для сбора, хранения и обработки информации;
- обеспечивать защищённое взаимодействие сотрудников и
информационных систем распространяемой по каналам связи
ОАО «ЯнтарьЭнерго»;
- обеспечивать высокий уровень отказоустойчивости и
доступности сервиса, как на уровне всей Системы, так и на
уровне ее отдельных компонент;
- функционировать в режиме 24х7 (круглосуточно 7 дней в
неделю), в случае возникновения отказов, оборудование
должно иметь возможность автоматической реконфигурации с
74
целью сохранения работоспособности и минимизации времени
простоя;
- интегрировать разнородные виды услуг и сервисов;
- дифференцировать сервис в Системе в соответствии с
задачами;
- иметь системы централизованного управления, анализа и
контроля;
- поддерживать информационную безопасность в соответствии с
лучшей мировой практикой, а также требованиями
регулирующих органов РФ;
- обеспечивать функциональную совместимость всех элементов;
- поддерживать интеграцию с уже использующимся
оборудованием и технологиями;
- иметь возможность дальнейшего развития.
Структура СПД должна быть разработана на основе принципов,
заложенных в модульной архитектуре построения высокозащищенных
корпоративных сетей. Каждый модуль должен выполнять четко
определенный (автономный) набор задач, полностью независимый от
смежных модулей. Тем самым должна быть обеспечена высокая гибкость
и масштабируемость всей Системы. На границах контура должны
находиться высоко технологичные средства безопасности,
контролирующие прохождение продуктивного трафика между контурами,
тем самым обеспечивая высокую степень безопасности. Каждый модуль
должен строиться путем дублирования всех сетевых компонентов так,
чтобы выход из строя одного из компонентов не приводил к остановке
работы модуля. Тем самым должна достигаться высокая надежность и
отказоустойчивость, как отдельного модуля, так и всей Системы в целом.
В структуре системы должны быть выделены следующие основные
модули:
75
- модуль ядра, выполняющий задачи по высокоскоростной
маршрутизации пакетов данных между всеми компонентами
Системы;
- модуль доступа к корпоративной сети, выполняющий функции
интеграции системы с сетями объектов мониторинга и
информационными ресурсами ЦУБ;
- модуль управления, предназначенный для размещения
основных элементов управления ИТ инфраструктурой ЦУБ;
- модуль доступа центра обработки данных РУБ,
предназначенный для подключения прикладных и
вычислительных ресурсов к ресурсам СПД;
- модуль доступа Пользователей, предназначенный для
непосредственного подключения рабочих мест Пользователей
к ресурсам СПД.
Система должна функционировать в режиме 24х7 (круглосуточно 7
дней в неделю). В случае возникновения отказов Система должна иметь
возможность автоматической реконфигурации с целью сохранения
работоспособности и минимизации времени простоя.
В составе Системы должны быть предусмотрены встроенные
средства диагностики и самодиагностики. Программное обеспечение
оборудования должно позволять проводить удаленную диагностику
оборудования, используемых технологий и качества каналов связи.
Система должна иметь возможность развития. Все оборудование
должно выбираться с запасом по производительности, возможности
расширения состава услуг и сервисов.
Создаваемая Система должна иметь возможность расширения с
учётом роста не более 10% в год.
Система должна обеспечивать заданные функциональные
требования без существенных изменений на срок до 10 лет.
76
Технические и программные средства, входящие в состав Системы,
должны функционировать в непрерывном режиме круглосуточно.
Допускается остановка отдельных компонентов для технического
обслуживания и ремонта, при этом функциональность Системы в целом
должна сохраняться в полном объеме.
Уровень надежности СПД должен зависеть от показателей
надежности следующих элементов:
- оборудования сетевой инфраструктуры;
- телекоммуникационного и каналообразующего оборудования;
- системы бесперебойного питания;
- каналов передачи данных.
Надежность должна обеспечиваться:
- аппаратным резервированием;
- линиями связи;
- источниками питания;
- функциональной избыточностью;
- наличием средств удаленной и автономной диагностики;
- наличием группового комплекта запасных инструментов и
принадлежностей (ЗИП).
Коэффициент готовности Системы должен быть определен на
стадии проектирования.
Отказом для технических средств Системы является невозможность
выполнения приема и обработки пакетов данных, вызванная
неисправностью оборудования.
Технические средства не должны требовать постоянного
присутствия обслуживающего персонала.
Восстановление работоспособности технических средств СПД
допускается производить путем замены отдельных блоков или устройств в
целом.
77
Все оборудование должно иметь возможность установки в
стандартный телекоммуникационный шкаф 19’’. При проектировании
Системы должна быть разработана единая система наименования
оборудования, определены способы нанесения маркировки на компоненты
Системы.
Для обеспечения единообразия в обслуживании, Система должна
быть построена на оборудовании одного производителя, иметь единый
логический интерфейс управления всей Системой и единый набор
технологий. Кроме того, в состав Системы должны быть включены все
необходимые компоненты для организации централизованного управления
Системой, включающие подсистемы:
- управления производительностью;
- управления конфигурациями;
- управления изменениями;
- управления отказами.
Состав и порядок проведения регламентных и профилактических
работ должны быть определены проектом, при этом должна быть учтена
периодичность для проведения регламентных работ не реже одного раза в
квартал, а для профилактических работ не реже одного раза в год.
При разработке Системы должна быть учтена необходимость
наличия необходимого и достаточного комплекта запасных частей. Состав
комплекта ЗИП, а так же условия его хранения должны быть определены
проектом.
При построении Системы и ее основных частей должен
использоваться единый модельный ряд оборудования, должна быть
обеспечена взаимозаменяемость модулей и их единообразие в
обслуживании.
На всё активное сетевое оборудование должна предоставляться
гарантия от производителя сроком не менее 1 год. Техническая поддержка
должна оказываться производителем в режиме 24x7 с возможностью
78
обновления программного обеспечения и замены неисправного
оборудования.
В качестве транспортной среды между ЦУБ и объектами
мониторинга должны использоваться существующие ресурсы (каналы
связи) ОАО «Россети». Организацию каналов связи между объектами
осуществляет Заказчик. Стык между активным сетевым оборудованием и
каналами связи должен быть выполнен на основе интерфейса Ethernet
10/100/1000. Рекомендуемая пропускная способность каналов связи для
информационного обмена между Объектами составляет не менее 10
Мбит/с.
Администрирование системы передачи данных должно
осуществляться с помощью отдельного АРМ администратора системы
передачи данных.
Для создания модуля ядра должны быть использованы
высокопроизводительные магистральные коммутаторы. Для поддержки
адаптивности всей Системы, программное обеспечение коммутаторов
должно включать поддержку динамических протоколов маршрутизации
OSPF и BGP. Производительность устройств, состав и количество
интерфейсов коммутаторов должно быть определено на этапе
проектирования Системы.
Функциями модуля доступа к корпоративной сети являются:
- организация высокозащищенного и контролируемого
подключения СПД к сетям доступа с низким уровнем доверия;
На периметре сети должны быть расположены современные
высокопроизводительные модульные маршрутизаторы, которые
выполняют функции отказоустойчивого подключения к внешней сети.
Производительность устройств должна быть достаточна для организации
взаимодействия с объектами мониторинга, но не менее 1 Гбит/с с
возможностью расширения путем лицензирования дополнительной
производительности. Программное обеспечение маршрутизаторов должно
79
иметь динамические протоколы маршрутизации OSPF, BGP, технологии
инкапсуляции GRE, 802.1Q, HDLC, PPP, MLPP, FrameRelay, HDLC,
технологии управления трафиком CBWFQ, WRED, PBR, оснащена
слотами для установки DSP, поддерживать функции шифрования,
межсетевого экранирования, унифицированных коммуникаций, а так же
возможность установки модулей для развертывания приложений
пользователей. Маршрутизаторы должны быть оснащены двумя блоками
питания и иметь возможность установки в телекоммуникационный шкаф
19’. Для организации контролируемого доступа, в состав модуля должны
быть включены следующие инструменты:
- межсетевые экраны для защиты сети от внешних угроз;
- средства анализа сигнатур атак и предотвращения вторжения;
- средства криптографической защиты трафика при передаче по
внешним и публичным сетям операторов связи.
Средства криптографической защиты трафика должны
функционировать под управлением доверенной ОС Linux c ядром версии
2.6.32.
Средства криптографической защиты трафика (СКЗТ) должны
обеспечивать реализацию следующего функционала:
- Двухстороннюю криптографическую аутентификацию между
взаимодействующими СКЗТ при установлении защищенного
соединения и контроль на ее основе доступа пользователей
СКЗТ к корпоративным информационным ресурсам;
- Проверку целостности передаваемых/получаемых данных
посредством вычисления значения их хэш-функции в
соответствии с ГОСТ Р 34.11-94 и обеспечение на этой основе
целостности;
- Конфиденциальность трафика на основе шифрования в
соответствии с ГОСТ 28147-89;
80
- Автоматическую пакетную фильтрацию входящего и
исходящего трафика с использованием служебной информации
в полях заголовков пакетов сетевого и транспортного уровней;
- Защиту настроек системы от несанкционированного доступа;
- Регистрирование событий, осуществление мониторинга
протоколируемых событий;
- Контроль целостности ПО программных компонент СКЗТ
путем вычисления хеш-функции;
- Загрузку и хранение ключевой информации;
- Формирование сеансовых ключей;
- Подключение мобильных устройств.
Функцией модуля управления является организация
централизованного управления ИТ инфраструктурой ЦУБ. Модуль
предназначен для размещения всех ИТ сервисов централизованного
управления к таким относятся:
- средства централизованного управления сетевой
инфраструктурой;
- средства централизованного управления ИБ;
- средства коммутации трафика для подключения серверов
централизованного управления ИТ и интерфейсов управления
ИТ систем.
Производительность устройств, состав и количество интерфейсов
должны быть определены на этапе проектирования Системы.
Модуль ЦОД предназначен для организации отказоустойчивого и
высокоскоростного подключения серверов, систем хранения данных и
корпоративных информационных систем ЦУБ к ресурсам СПД с
пропускной способностью 10G или 40G.
Модуль доступа Пользователей предназначен для организации
непосредственного подключения рабочих мест Пользователей и
технологического оборудования к ресурсам СПД. Коммутаторы должны
81
иметь возможность стекирования до 8 устройств и управления как единое
устройство. Производительность устройств должна быть не менее 100
Mpps. Коммутаторы должны быть оснащены двумя блоками питания с
бюджетом достаточным для использования технологии PoE+ на всех
портах коммутатора.
4.6 Требования к системе информационной безопасности
В состав системы информационной безопасности (далее – СИБ)
должны входить следующие подсистемы:
- подсистема защиты от НСД;
- подсистема антивирусной защиты;
- подсистема межсетевого экранирования и криптографической
защиты информации каналов связи;
- подсистема предотвращения компьютерных атак;
- подсистема анализа защищенности;
4.6.1 Подсистема защиты от НСД
Подсистема защиты от НСД должна обеспечивать противодействие
преднамеренным и случайным процессам, приводящим к
несанкционированному доступу к АРМ, серверам, общесистемному и
прикладному программному обеспечению.
Подсистема защиты от НСД предназначена для:
- защиты серверов и рабочих станций от НСД;
- идентификации и аутентификации пользователей;
- доверенной загрузки;
- разграничения доступа пользователей к устройствам и
контроль аппаратной конфигурации;
- разграничения доступа пользователей к информации;
- контроля утечек информации;
- регистрации событий безопасности.
Компоненты подсистемы защиты от НСД должны реализовываться:
82
- программными средствами защиты от НСД к информации на
АРМ и серверах ИС под управление операционной системы
семейства Microsoft Windows;
- средствами двухфакторной аутентификации – программно-
аппаратными идентификаторами администраторов и
пользователей ИС;
- аппаратно-программными модулями доверенной загрузки на
АРМ и серверах ИС под управление операционной системы
семейства Microsoft Windows.
Программные средства защиты от НСД на АРМ и серверах ИС
должны обеспечивать возможность реализации следующих
функциональных возможностей:
- возможность функционирования совместно с аппаратными и
программно-аппаратными средствами доверенной загрузки для
обеспечения защиты компьютера от несанкционированной
загрузки автоматизированной системы с внешних носителей;
- функционирование совместно с персональными
идентификаторами (для обеспечения усиленной
аутентификации пользователей);
- поддерживать персональные идентификаторы iButton (при
совместном использовании со средствами доверенной
загрузки), eToken PRO, eToken PRO Java (в форм-факторах
USB и смарт карт), Rutoken;
- должно обеспечивать автоматическую блокировку
автоматизированной системы при изъятии персонального
идентификатора пользователя;
- контроль устройств ввода/вывода;
- контроль устройств подключаемых/отключаемых в процессе
работы АРМ;
83
- контроль неизменности аппаратной конфигурации
компьютера;
- управление подключениями (IrDA, WiFi, FireWire, Ethernet,
Bluetooth);
- контроль вывода информации на отчуждаемые носители;
- возможность теневого копирования отчуждаемой информации;
- возможность разграничения доступа к принтерам;
- контроль буфера обмена Windows;
- возможность выбора уровня конфиденциальности сессии для
пользователя;
- разграничение доступа пользователей к конфиденциальным
данным и приложениям;
- мандатное управление доступом, включая – к устройствам;
- контроль вывода конфиденциальных данных на печать,
управление грифами конфиденциальности при печати
конфиденциальных и секретных документов;
- возможность контроля целостности файлов, каталогов,
элементов системного реестра;
- возможность контроля целостности до загрузки операционной
системы (при совместном применении со средствами
доверенной загрузки);
- функциональный контроль ключевых компонентов системы;
- автоматическое затирание данных на диске при удалении
конфиденциальных файлов пользователем;
- регистрация событий безопасности в журнале безопасности;
- реакции СЗИ при нарушении целостности:
o регистрацию события в журнале;
o блокировку компьютера;
o восстановление повреждённой/модифицированной
информации;
84
o отклонение или принятие изменений.
Требования по сертификации программного средства защиты от
НСД на АРМ и серверах ИС:
- должно быть сертифицировано на соответствие требованиям
ФСТЭК России для применения в информационных системах
персональных данных (ИСПДн) до класса К1 включительно;
- показатель защищенности от НСД (Гостехкомиссия России,
1999) не ниже 3-го класса защищенности. Классификация по
уровню отсутствия НДВ (Гостехкомиссия России, 1999) – не
ниже 2-го уровня контроля;
- может использоваться при создании автоматизированных
систем до класса защищенности 1Б включительно.
Программно-аппаратные идентификаторы должны обеспечивать
возможность реализации следующих функциональных возможностей:
- обеспечивать ограничение числа попыток ввода PIN-кода;
- обеспечивать уровни доступа к токену: Пользователь,
Администратор;
- иметь подтверждение совместимости с ViPNet CSP и
КриптоПРО CSP, удостоверяющее корректность работы
носителей.
Требования по сертификации программно-аппаратных
идентификаторов:
- должны иметь сертификат соответствия ФСТЭК России
подтверждающие соответствие уровню контроля отсутствия
недекларированных возможностей – не ниже 4 уровня
контроля и возможность использования при создании
автоматизированных систем до класса
защищенности 1Г включительно и при создании
информационных систем персональных данных до 1
класса включительно.
85
4.6.2 Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для
автоматического выявления вредоносного программного обеспечения,
блокирования его распространения на АРМ и серверах под управлением
операционной системы семейства Microsoft Windows.
В состав подсистемы антивирусной защиты должны входить:
- программные средства антивирусной защиты информации на
АРМ ИС;
- программные средства антивирусной защиты на серверах ИС
по управление операционной системы семейства Microsoft
Windows;
- программное средство централизованного управления
компонентами подсистемы антивирусной защиты
(размещается на проектируемом сервере безопасности ИС).
Подсистема антивирусной защиты должна обеспечивать
обнаружение, предотвращение и нейтрализацию последствий
проникновения вредоносного программного обеспечения, которое может
осуществлять несанкционированные программно-математические
воздействия на компоненты ИС.
Программные средства антивирусной защиты АРМ ИС должны
обеспечивать возможность реализации следующих функциональных
возможностей:
- резидентный антивирусный мониторинг;
- защита от сетевых атак;
- эвристический анализ, позволяющий распознавать и
блокировать ранее неизвестные вредоносные программы;
- обнаружение скрытых процессов;
- антивирусное сканирование по команде пользователя или
администратора и по расписанию;
86
- антивирусная проверка и лечение файлов, упакованных
программами типа PKLITE, LZEXE, DIET, EXEPACK;
- антивирусная проверка и лечение файлов в архивах форматов
RAR, ARJ, ZIP, CAB, LHA, JAR, ICE, в том числе и
защищенных паролем;
- облачная защита от новых угроз, позволяющая приложению в
режиме реального времени обращаться к специальным сайтам
производителя, для получения вердикта по запускаемой
программе или файлу;
- защита электронной корреспонденции, как от вредоносных
программ, так и от спама. Проверка трафика на следующих
протоколах:
o IMAP, SMTP, POP3, независимо от используемого
почтового клиента;
o независимо от типа протокола (в том числе MAPI,
HTTP) в рамках работы плагинов, встроенных в
почтовые программы Microsoft Office Outlook и The
Bat!.
- защита HTTP-трафика - проверка всех объектов, поступающих
на компьютер пользователя по протоколу HTTP, FTP;
- проверка скриптов (проверка всех скриптов, обрабатываемых в
Microsoft Internet Explorer, а также любых WSH-скриптов (Java
Script, Visual Basic Script и др.), запускаемых при работе
пользователя на компьютере, в том числе и в Интернете);
- запуск задач по расписанию и/или сразу после загрузки
операционной системы;
- защиту от еще не известных вредоносных программ на основе
анализа их поведения и контроле изменений системного
реестра, с возможностью автоматического восстановления
87
изменённых вредоносной программой значений системного
реестра;
- автоматический контроль программ, запускаемых на
компьютере пользователя, осуществляющий контроль
активности программ и ограничивающий выполнение опасных
действий;
- защита от программ-маскировщиков, программ автодозвона на
платные сайты, блокировка баннеров, всплывающих окон,
вредоносных сценариев, загружаемых с Web-страниц и
распознавание фишинг-сайтов;
- ускорения процесса сканирования за счет пропуска объектов,
состояние которых со времени прошлой проверки не
изменилось;
- интеграция с системой обновления Windows Update, для
установки патчей, закрывающих обнаруженные уязвимости;
- настройка проверки критических областей компьютера в
качестве отдельной задачи;
- реализация технологии самозащиты приложения, защиты от
удаленного несанкционированного управления сервисом
приложения, а также защиты доступа к параметрам
приложения с помощью пароля, позволяющих избежать
отключения защиты со стороны вредоносных программ,
злоумышленников или неквалифицированных пользователей;
- централизованное управление с помощью единой системы
управления.
Требования по сертификации программных средств антивирусной
защиты АРМ ИС:
- должны иметь сертификат соответствия ФСТЭК России,
подтверждающий соответствие требованиям руководящего
документа «Защита от несанкционированного доступа к
88
информации. Часть 1. Программное обеспечение средств
защиты информации. Классификация по уровню отсутствия
недекларированных возможностей» (Гостехкомиссия России,
1999) – по 2 уровню контроля и ТУ, а так же может
использоваться для защиты информации в информационных
системах персональных данных до 1 класса включительно.
Программные средства антивирусной защиты серверов ИС должны
обеспечивать возможность реализации следующих функциональных
возможностей:
- резидентный антивирусный мониторинг;
- эвристический анализ, позволяющий эффективно распознавать
и блокировать ранее неизвестные вредоносные программы;
- защита от сетевых атак;
- облачная защита от новых угроз, позволяющая приложению в
режиме реального времени обращаться к специальным сайтам
производителя для получения вердикта по запускаемой
программе или файлу;
- обнаружение скрытых процессов;
- антивирусное сканирование по команде пользователя или
администратора и по расписанию;
- антивирусная проверка и лечение файлов, упакованных
программами типа PKLITE, LZEXE, DIET, EXEPACK и пр.;
- антивирусная проверка и лечение файлов в архивах форматов
RAR, ARJ, ZIP, CAB, LHA, JAR, ICE, в том числе и
защищенных паролем;
- запуск задач по расписанию и/или сразу после загрузки
операционной системы;
- защита от еще не известных вредоносных программ,
принадлежащих зарегистрированным семействам, на основе
эвристического анализа;
89
- ускорение процесса сканирования за счет пропуска объектов,
состояние которых со времени прошлой проверки не
изменилось;
- настройка проверки критических областей сервера в качестве
отдельной задачи;
- регулировка распределения ресурсов сервера между
антивирусом и другими приложениями в зависимости от
приоритетности задач: возможность продолжать антивирусное
сканирование в фоновом режиме;
- наличием множественных путей уведомления
администраторов о важных произошедших событиях (почтовое
сообщение, звуковое оповещение, всплывающее окно, запись в
журнал событий);
- реализация технологии самозащиты приложения, защиты от
удаленного несанкционированного управления сервисом
приложения, защита файлов приложения от
несанкционированного доступа и изменения, а также защиты
доступа к параметрам приложения с помощью пароля,
позволяющими избежать отключения защиты со стороны
вредоносных программ, злоумышленников или
неквалифицированных пользователей;
- централизованное управление с помощью единой системы
управления (размещается на проектируемом сервере
безопасности ИС).
Требования по сертификации программных средств антивирусной
защиты серверов ИС:
- должны иметь сертификат соответствия ФСТЭК России,
подтверждающий соответствие требованиям руководящего
документа «Защита от несанкционированного доступа к
информации. Часть 1. Программное обеспечение средств
90
защиты информации. Классификация по уровню отсутствия
недекларированных возможностей» (Гостехкомиссия России,
1999) – по 2 уровню контроля и ТУ, а так же может
использоваться для защиты информации в информационных
системах персональных данных до 1 класса включительно.
Программное средство централизованного управления
компонентами подсистемы антивирусной защиты должно обеспечивать
возможность реализации следующих функциональных возможностей:
- централизованная установка/обновление/удаление
программных средств антивирусной защиты, настройку,
администрирование, просмотр отчетов и статистической
информации по их работе;
- наличие различных методов установки антивирусных
приложений: удаленный - RPC, GPO, агент
администрирования, локальный - автономный пакет
установки;
- централизованное удаление несовместимых приложений;
- централизованное управление установкой/запуском программ
на компьютерах пользователей с возможностью контроля
программ по пути нахождения программы, метаданным, MD5
контрольной сумме и возможностью присвоения привилегий
определенным пользователям;
- централизованное управление доступом к веб-ресурсам с
компьютеров пользователей, с возможностью фильтрации по
категориям и типу данных загружаемого контента, заданию
параметров времени действия правил и возможностью
присвоения привилегий определенным пользователям;
- автоматизированное обновление программных средств
антивирусной защиты и антивирусных баз;
91
- автоматизированный поиск уязвимостей в установленных
приложения и операционной системе на компьютерах
пользователей с возможностью предоставления отчета по
обнаруженным уязвимостям и интеграцией с системой
обновления Windows Update для установки патчей,
закрывающих обнаруженные уязвимости;
- построение многоуровневой системы управления с
возможностью настройки ролей администраторов и
операторов, а также форм предоставляемой отчетности на
каждом уровне;
- автоматическое распространение лицензии на клиентские
компьютеры;
- централизованный сбор информации и создание отчетов о
состоянии антивирусной защиты;
- инвентаризация установленного ПО и оборудования на
компьютерах пользователей;
- наличие механизма оповещения о событиях в работе
установленных приложений антивирусной защиты и настройку
рассылки почтовых уведомлений о них;
- централизованная установка приложений сторонних
производителей на все или выбранные компьютеры;
- экспорт отчетов в файлы форматов PDF и XML;
- централизованное управление объектами резервных хранилищ
и карантинов, на которых установлено антивирусное
программное обеспечение;
- создание внутренних учетных записей для аутентификации на
сервере управления;
- создание резервной копии системы управления;
- наличие веб-консоли управления приложением;
- наличие системы контроля возникновения вирусных эпидемий.
92
Требования по сертификации средства централизованного
управления компонентами подсистемы антивирусной защиты:
- должен иметь сертификат соответствия ФСТЭК России,
подтверждающий соответствие требованиям руководящего
документа «Защита от несанкционированного доступа к
информации. Часть 1. Программное обеспечение средств
защиты информации. Классификация по уровню отсутствия
недекларированных возможностей» (Гостехкомиссия России,
1999) – по 2 уровню контроля и ТУ, а так же может
использоваться для защиты информации в информационных
системах персональных данных до 1 класса включительно.
Средства централизованного управления компонентами
антивирусной защиты должны функционировать сервере безопасности под
управление операционной системы семейства Microsoft Windows Server.
4.6.3 Подсистема межсетевого экранирования и
криптографической защиты каналов связи
Подсистема межсетевого экранирования и криптографической
защиты каналов связи должна обеспечивать разграничение доступа,
фильтрацию сетевого трафика и криптографическую защиту информации,
передаваемой по неконтролируемым каналам связи, в целях обеспечения
ее конфиденциальности и целостности.
Подсистема межсетевого экранирования и криптографической
защиты каналов связи предназначена для защиты компонентов ИС при
взаимодействии со смежными и внешними сетями.
В состав подсистемы межсетевого экранирования и
криптографической защиты каналов связи должны входить:
- программно-аппаратные средства устанавливаемые на границе
с внешними сетями (два устройства в режиме
отказоустойчивого активно-пассивного кластера);
93
- центр управления сетью (единый для подсистем межсетевого
экранирования и криптографической защиты каналов связи, и
подсистемы предотвращения компьютерных атак).
Программно-аппаратные средства межсетевого экранирования
должны обеспечивать возможность реализации следующих
функциональных возможностей:
- организация нескольких зон безопасности (DMZ) без привязки
к физическим интерфейсам (на любом из интерфейсов может
быть настроена любая зона);
- статическая и динамическая трансляция адресов с
возможностью одновременной трансляции как адреса
отправителя, так и получателя;
- контроль сетевых соединений с учетом их состояния,
возможность индивидуальной настройки правил отслеживания
соединений на уровне отдельных записей политики;
- защита от SYN-атак типа «отказ в обслуживании», включая
защиту от переполнения журналов событий;
- автоматический антиспуфинг на всех интерфейсах с
возможностью гибкой настройки правил, возможность
индивидуальной настройки правил антиспуфинга для каждого
из интерфейсов;
- удаленное обновление ПО и ОС, в которой работает
межсетевой экран, через систему централизованного
управления и мониторинга. При этом должна обеспечиваться
возможность автоматического восстановления конфигураций и
программного обеспечения межсетевого экрана в случае сбоя
при удаленном обновлении или в случае ошибки
администратора, возникшей при применении политики или
обновлении ОС МЭ, при которой теряется управление
устройством;
94
- автоматическое создание и ведение резервных копий
конфигурации межсетевого экрана с возможностью наглядного
сравнения изменений в графическом виде;
- кластер из устройств не менее двух с целью обеспечения
масштабируемости, непрерывности работы и резервирования.
При этом должен поддерживаться режим работы, когда все
устройства активны и балансируют нагрузку между собой
автоматически, перераспределяя ее, без обрыва установленных
сессий в случае выхода из строя одного или нескольких из них
без вмешательства администратора;
- наличие встроенных механизмов (без необходимости
установки дополнительных модулей расширения) глубокой
инспекции пакетов (DPI) и антивирусного анализа;
- возможность подключать несколько интернет-провайдеров (не
менее 3) для обеспечения балансировки соединений по
каналам передачи данных с автоматическим распределением
трафика и балансировкой нагрузки между ними;
- поддержка QoS, в том числе внутри VPN туннелей (разным
потокам давать разные приоритеты), а также policing для
потоков, а не только маркирование трафика, возможность
оперирования «раскраской» трафика (определение
маркированного трафика, перераскраска);
- возможность перенаправление трафика в зависимости от его
типа для инспекции (для HTTP, FTP, MAIL);
- все устройства должны поддерживать централизованное
управление с возможностью мониторинга состояния
межсетевых экранов (в работе, не работоспособен, загружена
политика и др.) в режиме реального времени;
- должно обеспечиваться полное управление экранами из
центра, не требующее вмешательства на местах или
95
обеспечивающее его минимальное участие, в том числе и при
начальной инициализации;
- создание централизованных политик безопасности для всех
межсетевых экранов из единой точки сети, при этом должна
обеспечиваться возможность применения как одной единой
политики безопасности ко всем устройствам, так и отдельные
для каждого устройства;
- при создании централизованных политик безопасности на МЭ
(в том числе и правилами «глубокой инспекции» трафика)
должна обеспечиваться иерархическая структура политик (они
могут быть вложенными) и соответственно возможность
назначения разных администраторов для управления нужной
частью политик безопасности;
- возможность индивидуального назначения полномочий к
устройствам администраторов разного уровня доступа;
- межсетевые экраны должны интегрироваться со встроенной в
систему управления подсистемой построения VPN, а
подсистема управления должна иметь встроенный центр
сертификации с возможностями автоматического обновления
сертификатов подчиненных устройств и интеграции с
внешними удостоверяющими центрами;
- также межсетевые экраны должны иметь возможность
аутентификации пользователей в случае необходимости
доступа к защищенному ресурсу по комбинации логин/пароль,
а также сертификату. Должна быть возможность определить –
должен ли запрос на аутентификацию исходить от самого
пользователя (сам пользователь инициирует дополнительное
соединение для аутентификации) или от межсетевого экрана (у
пользователя при необходимости автоматически всплывает
окно с предложением ввести данные аутентификации).
96
Подобная прозрачная аутентификация должна поддерживаться
для произвольных сетевых протоколов (не только
FTP/HTTP/Telnet, например, RDP или RPC).
С точки зрения технических характеристик система должна быть не
хуже:
- форм-фактор - Rackmount, 1U монтируемый в 19’’ стойку;
- поддержка количества VLAN – без ограничений;
- кластер, состоящий из двух устройств;
- не менее 8 интерфейсов GigabitEthernet;
- число IPSec VPN-туннелей - не менее 2000;
- не менее 6 млн. одновременно поддерживаемых сессий;
- производительность межсетевого экрана – не менее 10 Гбит/с;
- отсутствие ограничения на количество защищаемых IP
адресов;
- поддержка как зарубежных (DES), так и российских
алгоритмов шифрования (ГОСТ 28147-89) для VPN без
установки дополнительного аппаратного обеспечения, при
этом для аутентификации VPN соединений должны
поддерживаться не только «парольные фразы – pre-sharedkey»,
но и сертификаты, выданные с помощью ЭЦП по ГОСТ.
Программно-аппаратные средства межсетевого экранирования
должны функционировать в режиме отказоустойчивого активно-
пассивного кластера.
Управление устройствами подсистемы, а также устройствами
подсистемы предотвращения компьютерных атак, должны осуществляться
с единой консоли (центр управления подсистемы). На эту же консоль
должны собираться данные статистики о работе устройства и журналы
событий. У администратора должен быть единый интерфейс.
Центр управления подсистемы предназначен для предоставления
администратору безопасности удобного графического интерфейса на
97
основе тонкого клиента для мониторинга и конфигурирования устройств
реализации сетевой политики безопасности.
Центр управления подсистемы должна позволять решать
следующие задачи:
- сбор событий с межсетевых экранов, устройств
предотвращения компьютерных атак, а также сторонних
устройств, например, сетевых по протоколу syslog;
- возможность мониторинга состояния и сбора статистики о
подчиненных устройствах;
- составлять и разбирать инциденты;
- вести полный аудит действий администраторов;
- доступ администраторов к системе управления и мониторинга
должен разграничиваться и полностью настраиваться с
возможностью деления их по ролям и полномочиям;
- исполнительные устройства должны поддерживать удаленные
безопасные обновления с единой консоли управления (включая
плановые через планировщик задач – как для ОС сенсора, так и
для набора правил инспекции трафика);
- контроль политик безопасности на непротиворечивость при их
установке на исполнительные устройства;
- автоматическое создание и ведение резервных копий
конфигурации межсетевого экрана с возможностью наглядного
сравнения изменений в графическом виде;
- должна поддерживать отказоустойчивость на уровне системы
управления двумя способами: резервирование сервера
управления с полной репликацией всей конфигурации и
возможностью переключения на резервный в случае сбоя
основного, а также возможность полного резервного
копирования и последующего восстановления всей
конфигурации из резервной копии штатными средствами
98
(должна сохраняться полная копия состояния системы, а не
только сама конфигурация);
- централизованное управление и мониторинг должен
обеспечиваться представлением данных об инцидентах
безопасности, сортированные по любому типу данных для
быстрой обработки информации;
- иметь возможность визуализации данных об инцидентах на
карте мира с привязкой к местоположению (geolocation);
- возможность составления произвольных отчетов
(предопределенных, а также задаваемых «с нуля»
администратором) по любому набору полей, помещаемых в БД
журнала событий, при этом должна иметься возможность
ребрендинга подложки отчета (внешний вид отчета для
соответствия корпоративному стилю организации);
- система отчетов должна быть интегрирована с планировщиком
с целью автоматизации процесса их подготовки и создания, а
готовый отчет должен быть сохранен в системе для анализа (с
возможностью автоматической публикации на Web-портале
сервера управления) и опционально направлен администратору
по электронной почте;
- должна быть интегрирована развитая система оповещения
администраторов о происходящих событиях, в том числе
сложные, иерархические варианты оповещения;
- встроенный центр сертификации с поддержкой автоматической
выдачи сертификатов для управляемых устройств, а также
возможность интеграции с другими центрами сертификации;
- автоматизированное построение карты сети с отображением
как логических связей между компонентами, так и топологии;
- гибкая фильтрация по любому полю журнала событий и
возможность просмотра «живого» журнала (просмотр журнала
99
в режиме реального времени с динамическим отображением
новых событий, которые в него попадают на экране
администратора в режиме реального времени, без
необходимости «обновления» экрана и др. манипуляций).
Компоненты подсистемы должны удовлетворять требованиям:
- РД Гостехкомиссии России «Средства вычислительной
техники. Межсетевые экраны. Защита от
несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к
информации» по классу защищенности не ниже второго;
- ФСБ России к шифровальным СКЗИ класса КС2 и может
использоваться для криптографической защиты информации
(шифрование и имитозащита IP-трафика, криптографическая
аутентификация абонентов при установлении соединения), не
содержащей сведений, составляющих государственную тайну.
4.6.4 Подсистема предотвращения компьютерных атак
Подсистема предотвращения компьютерных атак предназначена
для обнаружения и предотвращения компьютерных и сетевых атак,
направленных на компоненты ИС.
Подсистема предотвращения компьютерных атак предназначена
для выявления/блокирования сетевых атак в режиме реального времени со
стороны внешних сетей.
В состав подсистемы должны входить:
- программно-аппаратное устройство на границе периметра сети
с внешними сетями, работающее в прозрачном режиме;
- центр управления подсистемы (единый для подсистем
межсетевого экранирования и криптографической защиты
каналов связи, и подсистемы предотвращения компьютерных
атак).
100
Подсистема предотвращения компьютерных атак должна
обеспечивать возможность реализации следующих функциональных
возможностей:
- мониторинг трафика, циркулирующего на канальном, сетевом,
транспортном и прикладном уровнях модели взаимодействия
открытых систем с возможностью блокирования
соответственно фреймов, пакетов, сегментов или датаграмм на
каждом из уровней анализа;
- возможность блокировки трафика по принципу межсетевого
экрана;
- блокирование пакетов данных, нарушающих заданную
политику безопасности, включая разбор и анализ протоколов,
применяемых для туннелирования трафика (GRE, IPinIP);
- обеспечивать возможность обнаружения работы
несанкционированного ПО (spyware, программ удаленного
управления, троянов и т.п.) и возможность его блокирования;
- работа в пассивном режиме как при копировании части
трафика на устройство (span, tap, IDS), так и при установке в
разрыв канала связи (inline, IPS), а также возможность
комбинировать режимы работы в рамках одного
исполнительного устройства;
- анализ информации в заданных VLAN при инспекции трафика
на транковых портах – например, возможность выделения из
набора данных только тех VLAN, которые должны
подвергаться анализу, или наоборот, активацию инспекции для
всего транка, без учета номеров VLAN. Также должна быть
возможность анализа «прямого» и «возвратного» трафика
одной и той же сессии, передаваемой в рамках транка по двум
разным VLAN, одним устройством;
101
- возможность создания отказоустойчивой конфигурации
средствами самого устройства, без привлечения сторонних
устройств маршрутизации трафика, с функциями наращивания
производительности под будущие задачи – clustering (не менее
3-х устройств в отказоустойчивой конфигурации);
- возможность беспрепятственного прохождения трафика в
случае выхода устройства из строя или сбоя питания без
вмешательства администратора (hardware bypass);
- возможность пропуска части трафика без инспекции при
перегрузке устройства в процессе инспекции трафика без
вмешательства администратора (software bypass – функция
должна быть настраиваемой, отключаемой);
- возможность инспекции зашифрованного HTTP трафика
(осуществлять разбор SSL);
- при обнаружении нарушения политики безопасности система
должна иметь возможность как заблокировать соединение, так
и отправить в ответ пользователю HTTP-уведомление;
- выявление аномалий протоколов (включая прикладные
протоколы);
- контроль соответствия трафика приложений стандартам RFC;
- анализ трафика должен выполняться с учетом состояния
контекста соединения (аналог stateful inspection);
- возможность детектирования по заданным сигнатурам для
разных контекстов прикладных протоколов;
- оповещение администратора об обнаруженных атаках должно
осуществляться как уведомлением на консоль, так и
настраиваемыми сообщениями по эл.почте, уведомлениями
SNMP-trap с индивидуальным конфигурированием под каждое
из событий;
102
- возможность корреляции группы или индивидуальных
событий встроенными механизмами по порядку следования с
целью создания сложных правил политики безопасности;
- отсутствие необходимости выполнения регламентных
операций на исполнительном устройстве, используя локальный
интерфейс – все операции должны выполняться
централизованно, через единую графическую консоль
управления и мониторинга;
- исполнительные устройства должны поддерживать удаленные
безопасные обновления с единой консоли управления (включая
плановые через планировщик задач – как для ОС сенсора, так и
для набора правил инспекции трафика);
- система централизованного управления сенсором должна
обеспечивать возможность централизованного управления
политиками безопасности, а также возможность создания
правил, которые осуществляют поиск конкретного контента в
специализированном трафике, таком как HTTP, FTP, SNMP,
SMTP и др. (включая протоколы туннелирования – GRE,
IPinIP, IPv6).
С точки зрения технических характеристик устройство
предотвращения компьютерных атак должен обладать характеристиками
не хуже:
- форм-фактор - Rackmount, 1U монтируемый в 19’’ стойку;
- не менее 6 интерфейсов GigEthenet, из них не менее 4-х
должны поддерживать функцию hardwarebypass (2 inline пары);
- скорость инспекции UDP трафика не менее 2 Гб/с;
- скорость инспекции HTTP трафика не менее 1 Гб/с;
- скорость инспекции HTTPS трафика не менее 500 Мб/с;
- поддержка одновременных соединений не менее 1,3 млн.;
- количество поддерживаемых VLAN – без ограничений.
103
Требования по сертификации средства предотвращения
компьютерных атак:
- должно иметь сертификат соответствия ФСТЭК России,
подтверждающий, что данное СЗИ является программно-
техническим средством защиты информации, обрабатываемой
в локальных вычислительных сетях с TCP/IP протоколом, от
несанкционированного доступа из внешних вычислительных
сетей, и соответствует требованиям руководящего документа
«Защита от несанкционированного доступа к информации.
Часть 1. Программные обеспечение средств защиты
информации. Классификация по уровню отсутствия
недекларированных возможностей» (Гостехкомиссия России,
1999) – по 4 уровню контроля и может использоваться для
создания автоматизированных систем до класса защищенности
1Г включительно, а так же для защиты информации в
информационных системах персональных данных до 1 класса
включительно.
4.6.5 Подсистема анализа защищенности
Подсистема анализа защищенности должна обеспечивать
выявление уязвимостей компонентов ИС, а также контроль соответствия
компонентов ИС и подсистем информационной безопасности требованиям
политик безопасности.
Подсистема анализа защищенности предназначена для:
- идентификации узлов, инвентаризация аппаратного и
программного обеспечения;
- выявления уязвимостей и ошибок конфигурирования;
- планирование и автоматизация сканирования
- формирования отчетов;
104
- имитация внешних атак и попыток несанкционированного
доступа (НСД);
- управление доступом.
Подсистема анализа защищенности должна реализовывать
концепцию сканирования узлов без применения заранее установленных
агентов.
Средства подсистемы анализа защищенности должны обеспечивать
возможность реализации следующих функциональных возможностей:
- должно выполнять сканирование узлов сети в заданной
пользователем области поиска по IP-адресам, NetBIOS и DNS-
именам (FQDN);
- в пользовательском интерфейсе должна быть реализована
возможность задания пользователем области поиска
следующими способами:
o указанием IP-адресов (диапазонов IP – адресов);
o указанием DNS имен (NetBIOS имен);
o комбинацией первых двух способов;
- обеспечивать сканирование узлов сети, реализующих сетевые
сервисы, доступные по протоколу TCP, с номерами портов в
диапазоне 1…65535;
- обеспечивать идентификацию операционных систем (ОС)
семейства Windows;
- производить сканирования сетевых принтеров;
- обеспечивать сканирование и идентификацию узлов сети,
реализующих сетевые сервисы, доступные по протоколам
UDP: Echo, Date, Quota, Charden, DNS, TFTP, PortMapper, NTP,
Microsoft RPC, NetBIOS Name, SNMP, MsSQL, UPNP,
pcAnyWhere, Internet Key Exchange (IKE), XDMCP, SIP;
- поддерживать подбор паролей для следующих групп сетевых
служб и протоколов:
105
o протоколы электронной почты:
SMTP;
POP3;
o службы передачи файлов:
SMB;
FTP;
HTTP;
o протоколы удаленного управления:
Telnet;
SNMP;
Microsoft RDP;
SSH;
o Базы данных:
Microsoft SQL;
Oracle;
- идентифицировать следующее программное обеспечение,
установленное на узлах сети:
o Microsoft Updates;
o Microsoft SQL Server;
o Microsoft Internet Explorer;
o Microsoft Windows MDAC;
o Microsoft Internet Information Services;
o Microsoft WINS Server;
o Microsoft DNS Server;
o Microsoft Windows Media;
- производить идентификацию аппаратных платформ
сканируемых узлов сети, сведения об аппаратных платформах
должны содержать:
o информацию о процессоре:
106
производитель;
наименование модели;
тактовая частота.
o информацию об оперативной памяти:
размер памяти.
o информацию о BIOS:
производитель;
версия;
дата выпуска.
o информацию о материнской плате:
производитель;
модель.
o информацию о сетевых картах:
модель;
производитель;
тип интерфейса;
MAC – адрес.
- производить оценку уровня критичности для выявленных
уязвимостей и ошибок в конфигурации;
- предоставить пользователю краткое описание уязвимости или
ошибки конфигурации, методов ее устранения;
- обеспечивать автоматический запуск задач на сканирование в
соответствии с задаваемым пользователем расписанием. В
пользовательском интерфейсе должна быть реализована
возможность задания пользователем следующих параметров
автоматического запуска задач:
o название задачи;
o периодичность запуска задачи (однократно, ежедневно,
еженедельно, ежемесячно, периодически через
заданный промежуток времени);
107
o начальная и конечная даты действия расписания;
- формировать отчеты следующих типов:
o отчет по скану;
o отчет по задаче или группе задач;
- в пользовательском интерфейсе должна быть реализована
возможность задания пользователем следующих параметров
для выгрузки отчета в общий каталог:
o имя каталога;
o имя и пароль пользователя, от имени которого
выполняется обращение к общему каталогу.
- в пользовательском интерфейсе Изделия должна быть
реализована возможность указания пользователем параметров
отчетов и создания шаблонов отчетов с предопределенными
параметрами.
- отчет должен содержать:
o информацию о сканируемом узле;
o перечень выявленных уязвимостей и ошибок
конфигурации;
o для уязвимостей – дополнительную информацию об
уязвимости (если в параметрах отчета пользователем
включена данная опция):
индекс в каталоге CVE;
описание, оценку угрозы;
рекомендации по устранению;
ссылки на внешние источники информации;
- проводить анализ безопасности установленных межсетевых
экранов на основе имитации внешних атак на информационные
средства;
108
- проводить имитацию попыток НСД к узлам сети с помощью
тест-программ;
- при запуске программы должно обеспечивать аутентификацию
пользователей по паролю;
- обеспечивать возможность смены пароля пользователя;
- должно производить регистрацию следующих событий:
o процедура запуска сканера;
o процедуры входа пользователя в систему;
o регистрации попыток неудачного входа;
o сеансов сканирования;
o генерации отчетов;
o изменения пароля.
Компоненты средств анализа защищенности должны быть
установлены на АРМ Администратора ИБ, операционная система Microsoft
Windows 7 SP1.
Требования по сертификации средств анализа защищенности:
- должны обладать сертификатом ФСТЭК России,
подтверждающим что они являются средством
автоматизированного анализа защищенности и обнаружения
уязвимостей автоматизированных систем, обрабатывающих
информацию, не содержащую сведений, составляющих
государственную тайну, соответствует требования
руководящего документа «Защита от несанкционированного
доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей»
(Гостехкомиссия России, 1999) – по 4 уровню контроля и
может применяться для анализа защищенности
автоматизированных систем до класса 1Г включительно и
109
информационных систем персональных данных до 1 класса
включительно.
4.7 Требования к физическому размещению серверного
оборудования и оборудования хранения данных
Серверное оборудование и оборудование хранения данных должно
размещаться в специализированном запираемом серверном помещении.
Доступ к помещению осуществляется в сопровождении представителя
ЦУБ в соответствии с должностными обязанностями которого,
установлено сопровождение лиц в серверном помещении (определяется на
стадии проектирования).
4.8 Требования к надежности
При сбое серверной операционной системы или системы
управления базой данных должно быть обеспечено восстановление данных
в базе данных ЦУБ до состояния на момент окончания последней
нормально завершенной перед сбоем транзакции.
Выход из строя внешних взаимодействующих систем, а также
нарушение канала связи не должны приводить к прекращению
функционирования технических средств ЦУБ.
Должна быть предусмотрена возможность «горячей» замены
сбойного или вышедшего из строя блока питания серверного
оборудования, активного накопителя на жестком магнитном диске и
модуля охлаждения без потерь информации.
Сбои или прекращение электропитания на объектах размещения
ЦУБ не должны приводить к нарушению целостности данных.
Должны быть предусмотрены средства оповещения пользователей о
прекращении работы или временном отсутствии доступа к ЦУБ.
Программное обеспечение должно обеспечивать возможность
резервного копирования данных, обрабатываемых в ЦУБ.
110
ЦУБ должен иметь следующие показатели надежности (могут
уточняться при выполнении работы):
- среднее время восстановления работоспособного состояния –
не более 4 часов;
- среднее время восстановления разрушенных информационных
ресурсов или организации удаленного доступа к
информационным ресурсам после восстановления (создания
нового) канала связи – не более 24 часов;
- срок службы – не менее 5 лет.
4.9 Требования к эргономике, обитаемости и технической
эстетике
Все функции каждого рабочего места должны быть реализуемы
посредством ввода управляющих воздействий комбинированным способом
– с применением клавиатуры и ручного манипулятора типа «мышь».
Требования по обитаемости не предъявляются
4.10 Требования к эксплуатации, хранению, удобству
технического обслуживания и ремонта
ЦУБ должен быть рассчитан на круглосуточную работу.
Должна быть обеспечена работоспособность системы в случаях
изменения количества потребителей и поставщиков информации, а также
при изменении количества отчетов и приложений. При этом необходимо
соблюдать следующие требования:
- ЦУБ должен адаптироваться к увеличению нагрузочной
способности без необходимости изменения архитектуры или
установки дополнительного программного обеспечения;
- время, затрачиваемое на проведение регламентных и
профилактических работ, не должно превышать 1 час в сутки;
- гарантийный срок эксплуатации должен составлять не менее 5
лет со дня ввода в эксплуатацию;
111
- исполнитель должен провести разработку видов и состава
комплектов ЗИП, норм расхода запасных частей, количества и
видов материалов и средств труда, необходимых для ремонта и
обслуживания изделия и его составных частей.
В эксплуатационной документации должны быть указаны виды,
периодичность и объем технического обслуживания для основных
составных частей ЦУБ.
4.11 Требования электробезопасности
Все компоненты ЦУБ должны обеспечивать безопасность
обслуживающего персонала от поражения электрическим током при
эксплуатации, техническом обслуживании и ремонте.
Закупаемое оборудование должно удовлетворять требованиям
электробезопасности в соответствии с ГОСТ В 20.39.107-84.
Оборудование создаваемого ЦУБ должно по возможности
подключаться к существующей системе гарантированного электропитания
и контуру защитного заземления.
4.12 Требования к помещениям
Необходимо обеспечить комфортную среду для сотрудников ЦУБ,
позволяющую выполнять ежедневную и посменную работу в комфортных
условиях с целью снижения утомляемости.
Организация пространства не должна вызывать ощущения тесноты
помещения, а отделка помещения способствовать увеличенному визуально
воспринимаемому объему. Необходимо обеспечить регулируемое по
интенсивности освещение, с соблюдением норм освещенности рабочих
помещений.
Предпочтительно использование мягких материалов для
напольного покрытия и шумопоглощающих для стен и потолка.
112
4.13 Требования к техническому обеспечению
Технические средства ЦУБ должны обеспечивать:
- развертывание и функционирование ОПО и СПО;
- подключение, развертывание и функционирование
программно-технических средств защиты информации;
- развертывание и функционирование программных средств
управления средствами отображения.
В ЦУБ должна осуществляться диагностика и контроль состояния
технических средств.
4.14 Требования к организационному обеспечению
Для обеспечения эксплуатации ЦУБ должны быть определены и
согласованы с Заказчиком:
- порядок обслуживания ЦУБ;
- предложения по количеству и квалификации сотрудников,
обслуживающих ЦУБ.
При эксплуатации ЦУБ средства защиты на объектах
автоматизации должны дополняться организационными мерами в целях
предотвращения НСД к информации и к техническим средствам.
4.15 Требования к математическому, программному и
информационно - лингвистическому обеспечению
ОПО должно обеспечивать организацию вычислительного процесса
и функционирование СПО в Windows или Linux-подобной операционной
системе.
Вызов на исполнение и управление функционированием СПО,
установленных на ЦУБ, должно осуществляться посредством
использования интеграционной программной оболочки.
113
4.16 Требования к сырью и материалам
В ЦУБ должны применяться комплектующие изделия и материалы,
позволяющие по своим характеристикам обеспечить выполнение
требований, заданных настоящим ТЗ.
Все покупные программно-технические средства должны иметь
необходимые сертификаты и лицензии, разрешающие их применение на
территории Российской Федерации.
4.17 Требования к консервации, упаковке и маркировке
Маркировку изделия необходимо проводить в соответствии с
требованиями ЕСПД и ЕСКД.
4.18 Требования защиты персональных данных при
выполнении работ
Целью защиты данных является предотвращение возможности
утечки конфиденциальных сведений при проведении работ.
К сведениям и параметрам, подлежащим защите при проведении
работ, относятся:
- требования и проектные решения по обеспечению
информационной безопасности;
- проектные решения по информационным системам и
структурам баз данных;
- сведения об автоматизированных системах охраны объектов.
Материалы по данной работе публикации в открытой печати и
регистрации не подлежат.
4.19 Квалификационные требования
Участник конкурса должен иметь действующую систему
менеджмента качества, подтвержденную сертификатом соответствия
стандарту ГОСТ Р ИСО 9001-2008 (ISO 9001:2008).
114
Поскольку деятельность по распространению и установке данных
продуктов, подпадает под действие Федерального закона «О
лицензировании отдельных видов деятельности», участнику необходимо
иметь:
- Свидетельство на выполнение данного вида работ по
подготовке рабочей документации (допуск СРО): раздел 4
классификатора «Работы по подготовке сведений о внутреннем
инженерном оборудовании, внутренних сетях инженерно-
технического обеспечения, о перечне инженерно-технических
мероприятий», пункт 4.5. «Работы по подготовке проектов
внутренних диспетчеризации, автоматизации и управления
инженерными системами»»
- лицензию ФСТЭК России на осуществление деятельности по
технической защите конфиденциальной информации;
- лицензия ФСБ России на осуществление разработки и
производства средств защиты конфиденциальной информации;
- лицензия ФСБ России на осуществление разработки,
производства, распространения шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использование
шифровальных (криптографических) средств, выполнения
работ, оказания услуг в области шифрования информации,
технического обслуживания шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств.
Участник конкурса должен обладать следующим подтвержденным
опытом:
- Срок оказания услуг в области информационной безопасности
не менее 4 лет;
115
- Наличие положительных отзывов, свидетельствующих о
качестве предоставляемых услуг в области информационной
безопасности от компаний-участников рынка энергетики
России в количестве не менее 5 отзывов.
Участник конкурса должен удовлетворять следующим
квалификационным требованиям:
- Наличие в штате не менее 2-х сотрудников, обладающих
статусом CISSP;
- Наличие в штате не менее 1-го сотрудника, имеющего
сертификат обладающих статусом сертифицированного
инженера производителя подсистемы мониторинга и
управления событиями информационной безопасности.
Участник конкурса должен предоставить документы
подтверждающие полномочия Участника конкурса от производителя
программных и технических средств на поставку и внедрение решений
применительно к данному конкурсу, с гарантиями на изготовление
(поставку) этих решений.
4.20 Требования к технорабочей документации
Технорабочая документация должна соответствовать настоящему
техническому заданию и нормативным документам, действующим на
территории Российской Федерации на дату утверждения проекта, в том
числе РД 50-34.698-90 «Комплекс стандартов и руководящих документов на
автоматизированные системы».
Технорабочая документация должна быть представлена Заказчику на
бумажном носителе в 3-х экземплярах и в электронном виде на электронном
носителе.
116
4.21 Требования к обучению персонала
Должно быть осуществлено обучение сотрудников Заказчика по
следующим направлениям:
1. Эксплуатация информационных систем ЦУБ;
2. Сопровождение и регламентное обслуживание программно-
технического комплекса ЦУБ.
Состав программ обучения по указанным направлениям должны
быть сформированы и утверждены на этапах технического проектирования
и реализации.
117
5 Исходные данные, передаваемые Заказчиком Исполнителю
Перед началом работ Заказчик передает Исполнителю следующие
исходные данные:
- перечень помещений здания, предназначенного для
размещения оборудования, с указанием их назначения,
площадей, высот, технологических связей (с размещением по
этажам);
- сведения о существующих каналах связи, подходящих к
зданию и в здании, предназначенному для размещения
оборудования;
- сведения по существующей сети телефонной связи Заказчика.
Другие данные, необходимые для выполнения работ по
техническому и рабочему проектированию и реализации ЦУБ
(определяются по согласованию Исполнителя и Заказчика).
118
6 Этапы выполнения работ
Наименование этапов и сроки их выполнения представлены в Таблица 1.
Таблица 1. Этапы и сроки выполнения работ
№
эта
па
Наименование этапа,
содержание работ
Сроки выполнения этапа Чем
заканчивает
ся этапначало окончание
1 Обследование объекта,
проведение инженерных
изысканий на объекте
информатизации
с момента
заключения
договора
1 неделя
Акты
обследован
ий. Отчет
ПИР
2 Разработка технического
проекта, инженерная
подготовка помещений
с момента
начала этапа1 месяц
Тех.
Проект.
Акт.
3 Разработка рабочей и
проектно-сметной
документации для
изготовления ЦУБ
с момента
начала этапа1 месяц
Комплект
РД, ПТС
4 Сдача – приемка работс момента
начала этапа1 неделя
Акт сдачи –
приемки
работ
119
7 Порядок выполнения работ
Порядок выполнения работы должен соответствовать требованиям
ГОСТ 34.601-90, 34.603-92, 34.201-89.
7.1 Первый этап. Обследование объекта
Должны быть разработаны и согласованы с Заказчиком методики
инженерного, информационного и телекоммуникационного обследования
объекта.
В недельный срок представлены и утверждены у Заказчика отчеты
по проведенному обследованию и изыскательским работам.
7.2 Второй этап. Разработка технического проекта
Должны быть выполнены следующие работы:
- разработан Технический проект (ТП), включающий
следующие документы:
o перечень рабочей документации (РД);
o спецификация программно-технических средств ЦУБ;
o схема деления изделия на составные части;
o ведомость ТП;
o пояснительная записка;
o инструкция по защите информации, в том числе от
утечки по техническим каналам;
o регламенты (протоколы) информационного
взаимодействия с внешними системами, сбора данных и
представления отчетности;
o программа обеспечения надежности;
o структура базы данных и классификатор данных ЦУБ.
- разработаны и утверждены у Заказчика:
o «Модель угроз и действий нарушителя»;
120
o технические решения по защите информации;
o перечень информационных систем, общесистемного и
специального программного обеспечения.
ТП должен быть рассмотрен на техническом совещании
специалистов Исполнителя с обязательным участием представителей от
Заказчика. Результаты рассмотрения должны быть оформлены решением.
Приемку ТП осуществляет комиссия, назначенная приказом
Заказчика.
По результатам приемки ТП Заказчик выдает заключение об
утверждении или отклонении проекта. Основанием для закрытия данного
этапа является заключение Заказчика на ТП.
7.3 Третий этап. Разработка рабочей документации
На данном этапе должны быть выполнены следующие работы:
- разработана РД для изготовления ЦУБ;
Основанием для закрытия данного этапа являются:
- согласование с Заказчиком подлинников РД.
7.4 Четвертый этап. Сдача – приемка работ
На данном этапе, по результатам третьего этапа должно быть
осуществлено подписание акта о сдаче – приемке работ по технорабочему
проектированию ЦУБ.
121
8 Порядок представления документации
Вся документация должна быть выполнена в трех экземплярах на
бумажном носителе (два экземпляра – Заказчику, один – конечному
пользователю) и одном в электронном виде на CD (DVD)-R (Заказчику).
В конце каждого этапа Исполнитель направляет Заказчику
уведомление о завершении данного этапа с оформлением акта его сдачи-
приемки.
Права на результаты, полученные при выполнении работы, право на
получение патента на изобретение, полезную модель или промышленный
образец, а также право на использование иных результатов
интеллектуальной деятельности, созданных при выполнении работы,
принадлежат ОАО «ЯнтарьЭнерго».
Использование научно-технического задела, полученного в
результате проведения работы, в интересах сторонних организаций и
предприятий допускается только с разрешения и на условиях ОАО
«ЯнтарьЭнерго».
В процессе выполнения работы настоящее ТЗ может изменяться в
установленном порядке в соответствии с ГОСТ 34.602-89.
122
СОГЛАСОВАНО
Наименование подразделения
Должность исполнителя
Фамилия имя, отчество
Подпись Дата
Заместитель генерального директора по техническим вопросам – главный инженер
КопыловВладимирАнатольевич
Заместительгенерального директора по безопасности
ЗиминГеннадийАлександрович
Департамент безопасности ОАО «Российские сети»
Начальник управления региональной безопасности Департамента безопасности ОАО «Российские сети»
Шипачев КонстантинАнатольевич
Департамент безопасности ОАО «Российские сети»
Начальник Управления информационной безопасности и специальных проектов Департамента безопасности ОАО «Российские сети»
Будников Александр Юрьевич
Департамент по оперативно-технологическому управлению
Заместитель главного инженера – начальник департамента по оперативно-технологическому управлению (начальник ЦУС)
КузинкинИгорьНиколаевич
Департамент информационных технологий
Начальник департамента информационных технологий
ДемьянецРоманВладимирович
Управление информационных технологий
Начальник управления информационных технологий
МихеевАлександрСтаниславович
Департамент безопасности
Начальник департамента безопасности
Саяпин Александр Сергеевич
Служба средств диспетчерского и технологического управления
Начальник службы средств диспетчерского и технологического управления
ГранишевскийПетрГригорьевич
Административно-хозяйственная служба
Начальник административно-хозяйственной службы
ШевкунАлександрПавлович
123
Сектор инженерно-технических средств охраны
Начальник сектора инженерно-технических средств охраны
Вьюгин Сергей Владимирович
Сектор информационной безопасности
Ведущий инженер сектора информационной безопасности
Товстошкур ИгорьИванович
Отдел безопасности технологических процессов
Начальник отдела безопасности технологических процессов
Майоров Александр Александрович
