Сокращения, используемые в документе:
Сокращение
|
Расшифровка
|
АРМ
|
Автоматизированное рабочее место
|
АС
|
Антивирусная система
|
ИБ
|
Информационная безопасность
|
НСД
|
Несанкционированный доступ
|
ОС
|
Операционная система
|
ПК
|
Персональный компьютер
|
ПМИ
|
Программа и методика испытаний
|
СУРМ
|
Система управления рабочими местами
|
ТРП
|
Технорабочий проект
|
ЦОД
|
Центр обработки данных
|
ОБЩИЕ ПОЛОЖЕНИЯ
Наименование проекта
Данное техническое задание (далее – ТЗ) составлено в рамках проекта по миграции антивирусного решения с «Symantec Endpoint Protection» на «Kaspersky Total Security» (далее – Миграция).
Перечень организаций, участвующих в проекте
Заказчик: Публичное акционерное общество «Аэрофлот – российские авиалинии».
Адрес заказчика: 119002, г. Москва, ул. Арбат, д. 10.
Исполнитель: Определяется по результатам конкурсной процедуры.
Адрес Исполнителя:
Плановые сроки начала и окончания работ
Плановый срок начала работ по проекту – 2 кв. 2016 г.
Плановый срок окончания работ по проекту – 4 кв. 2016 г.
Основания для проведения работ
Основанием для проведения работ является договор № ….
Сведения об источниках и порядке финансирования работ
Разработка ТЗ осуществляется силами Заказчика.
Если в процессе работ Заказчик изменяет описанные в данном ТЗ требования, то они оформляются отдельным документом и влекут за собой изменение или дополнение существующего договора между Заказчиком и Исполнителем в части сроков выполнения и стоимости работ.
Порядок оформления и предъявления результатов работ
По окончании работ по разработке, ТЗ утверждается Заказчиком и является в дальнейшем основным регламентирующим документом при проведении работ по развертыванию Системы. Результаты работ по разработке ТРП предоставляются Заказчику в бумажном виде и на электронных носителях в формате Microsoft Office Word.
Перечень нормативно-технических документов, используемых при разработке
Разработка настоящего ТЗ выполняется с учетом требований следующих нормативных документов:
ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;
ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации.
РД. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации.
РД. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации
Стандарт разработки, внедрения и эксплуатации прикладного программного обеспечения ПАО «Аэрофлот» (СТО ИТ 30.2 № 599 – 19.10.2010г.).
Действующие руководящие документы и рекомендации ФСТЭК и ФСБ по защите информации.
Также при составлении ТЗ Исполнитель руководствуется российскими и международными стандартами и требованиями Заказчика.
Требования Заказчика отражаются в настоящем документе и подлежат к обязательному выполнению Исполнителем. Тем не менее, в данное ТЗ не могут быть включены следующие виды требований Заказчика:
противоречащие российским и международным стандартам;
невыполнимые на современном уровне развития информационных технологий;
запрещенные действующими нормами российского и международного законодательства.
ЦЕЛИ ПРОЕКТА
Основное назначение АС – обеспечение защиты оконечных устройств Общества от вирусов.
Дополнительные назначения АС:
инвентаризация программного обеспечения;
распространение программного обеспечения на АРМ Общества;
устранение выявленных уязвимостей в программном обеспечении.
В результате Миграции должны быть достигнуты следующие цели:
Внедрение антивирусного решения «Kaspersky Total Security», которое позволит:
улучшить функционал защиты оконечных устройств от заражения вирусами;
активно реагировать на инциденты, связанные с вирусным заражением.
Обеспечение возможности подключения к антивирусному решению рабочих мест в представительствах (с учетом контроля количества лицензай).
ИСХОДНАЯ СИСТЕМА
Описание существующей антивирусной системы
В настоящее время в обществе функционирует другая АС. Схема АС представлена на Рисунке 1.
Рисунок 1. Схема существующей АС
Пояснения к рисунку:
ОСВ – обновления сигнатур вирусов;
ОКЧ – обновления клиентской части АС;
СУРМ Altiris – система управления рабочими местами «Altiris».
Характеристики объекта модернизации
Развернуто 3 сервера управления, объединенных в отказоустойчивый массив.
Общее количество лицензий на оконечные устройства: 6 000.
Количество используемых лицензий: 5926.
Обеспечивает защиту только доменных оконечных устройств, находящихся внутри сети.
Принципы работы
Распространение (установка клиентской части на оконечные устройства):
Установку клиентской части АС в составе образа операционной системы осуществляет ОЭиУСВТ ДЭПС в соответствии со СТО ИТ 30.1 или вручную до подключения ПК к локальной сети.
Установку клиентской части АС на серверы осуществляет ОСС ДВИТ при регистрации сервера в домене MSK.
Обновление клиентской части:
Автоматическая установка обновлений клиентской части АС на АРМ Общества и серверы, включенные в домен MSK и при наличии работоспособного агента СУРМ «Altiris», осуществляется в соответствии с регламентом РИ-07-651Х.
Обновление вирусных сигнатур:
Обновление вирусных сигнатур на клиентской части АС осуществляется автоматически средствами серверной части АС в соответствии с настройками системы и интервалом выпуска обновлений Разработчиком.
Обновления для сигнатур загружаются на каждый сервер АС через прокси-сервер.
Недостатки
Недостатками данной системы являются:
Отсутствие возможности обновления вирусных сигнатур на рабочих станциях во внешней сети.
Отсутствие возможности контроля рабочих станций в офисах представительств.
ТРЕБОВАНИЯ К АС
Здесь и далее новая антивирусная система будет именоваться «АС» или «Система».
Основным требованием к АС является обеспечение уровня защищенности от вирусных угроз не хуже, чем на реализованном в Обществе уровне, по показателям эффективности, отказо- и катастрофоустойчивости и количеству защищаемых ОУ.
Требования к структуре и функционированию АС
Структура Системы
Планируемая схема АС представлена на Рисунке 2.
Рисунок 2. Планируемая схема АС
Пояснения к рисунку:
ОСВ – обновления сигнатур вирусов;
ОКЧ – обновления клиентской части АС;
АС – антивирусная система;
ОУ – оконечные устройства.
Характеристики объекта после модернизации
Развернуто 9 серверов: два сервера политик, объединенных в отказоустойчивый массив, два сервера управления ОУ в представительствах, объединенных в отказоустойчивый массив, и пять серверов управления ОУ в московском регионе.
Общее количество лицензий на оконечные устройства: 9 000.
Обеспечивает защиту от вирусов доменных и недоменных ОУ в офисах Москвы, представительствах и на ноутбуках Общества.
Реализация отказоустойчивости
В случае выхода из строя одного из серверов АС управления ОУ обновления и политики могут распространять через любой другой сервер АС управления ОУ. Клиентская часть АС настроена на поиск обновлений на всех серверах АС поочередно.
В случае выхода из строя сервера управления ОУ в представительствах или сервера политик АС, отказоустойчивость обеспечивается вторым сервером отказоустойчивого массива.
Реализация катастрофоустойчивости
Сервера управления ОУ расположены в ЦОД-М и ЦОД-Р и могут заменять друг друга в случае нарушения работы одного из ЦОД.
Требования к принципам работы
Распространение (установка клиентской части на оконечные устройства):
Установку клиентской части АС в составе образа операционной системы на доменные ПК осуществляет ОЭиУСВТ ДЭПС в соответствии со СТО ИТ 30.1 или вручную до подключения ПК к локальной сети.
Установку клиентской части АС в представительствах и филиалах обеспечивает ОПП ДЭПС.
Установку клиентской части АС на серверы осуществляет ОСС ДВИТ при регистрации сервера в домене MSK.
Обновление клиентской части:
Автоматическая установка обновлений клиентской части АС на доменных ПК и серверы осуществляется автоматически средствами серверной части АС в соответствии с настройками системы и интервалом выпуска обновлений Разработчиком.
Автоматическая установка обновлений клиентской части АС на ПК представительств и ПК вне сети Общества осуществляется автоматически средствами клиентской части АС в соответствии с настройками системы и интервалом выпуска обновлений Разработчиком.
Обновление вирусных сигнатур:
Обновление вирусных сигнатур на клиентской части АС осуществляется автоматически средствами АС в соответствии с настройками системы и интервалом выпуска обновлений Разработчиком.
Обновления сигнатур для ОУ во внутренней сети загружаются на сервер политик АС через прокси-сервер, а затем загружаются на серверы АС управления ОУ, откуда распространяются на ОУ во внутренней сети Общества.
Обновления сигнатур для ПК представительств загружаются автоматически с серверов Разработчика на выделенный ПК представительства (агент обновления) и с него распространяются на остальные ПК представительства.
Обновления сигнатур для ПК Общества вне внутренней сети (чаще всего ноутбуки) загружаются автоматически с серверов Разработчика.
Требования к проведению инвентаризации ПО
Для выявления несанкционированного и несовместимого с антиврисным решением программного обеспечения нобходимо провести инвентаризацию используемого на рабочих местах программного обеспечения.
Инвентаризация проводится в автоматизированном режиме с применением специализированного программного обеспечения, обладающего следующими функциональными возможностями:
1. Клиент-серверная архитектура:
• консоль оператора;
• сервер сбора и обработки данных от программ агентов;
• API для интеграции с внешними системами по стандарту Rest (ODATA)
• возможность расширения за счет дополнительных плагинов;
• API для дополнительных плагинов по технологии DTO.
2. Сервер должен поддерживать режим работы центрального и ведомого сервера для установки в децентрализованной сети;
3. Хранить данные в БД MS SQL Server.
5. Поддерживать различные типы сканирования сети:
• по диапазону IP адресов;
• одиночные сетевые адреса;
• AD;
• SNMP с определением типа устройства (компьютер, принтер, роутер и т.д.).
6. Подсистема инвентаризации должна иметь следующие возможности:
• иметь функциональность проведения инвентаризации ПО на обнаруженных в сети ПК тремя способами:
i. с установкой специальных программ агентов;
ii. без установки на клиентские ПК дополнительного ПО, путем удаленного опроса;
iii. с доставкой на клиентские ПК программы агента без ее установки, после получения данных программа должна удаляться с ПК;
• иметь возможность инвентаризировать следующие сервисы с их параметрами и автоматически связывать с конфигурационными единицами, на которых они обнаружены:
i. Microsoft Hyper-V. Определять подключенные виртуальные машины, их имена, операционные системы и статус работы (в работе, в пузе, выключена и т.д.). Отслеживать изменение виртуальных машин по их уникальному идентификатору на сервере Hyper-V;
ii. Microsoft SQL Server. Инвентаризировать базы данных, пользователей и параметры сервера различных версий начиная с SQL Server 2000.
8. Подсистема учета программного обеспечения должна обладать следующими характеристиками:
• иметь возможность игнорирования различных записей о ПО путем создания специальных шаблонов;
• хранить историю изменения по программам на ПК;
• иметь возможность ручного редактирования типов лицензирования и категории использования ПО для всех продуктов, когда-либо попадавших в инвентаризацию;
• ведение справочника помещений;
• привязка объектов учета к помещениям
9. Детальная информация по объектам учета должна содержать связи со следующими элементами:
• у программного обеспечения должны отображаться данные о ПК на которых данный продукт установлен;
• у ПК должна отображаться информация о:
i. установленного на нем ПО;
ii. статусе запущенных на момент инвентаризации процессов;
iii. списка автозагрузки;
iv. списке и статусе сервисов, установленных на ПК.
11. Система должна обладать функционалом настраиваемой фильтрации и поиска, позволяющих в одном запросе объединить данные о всех учитываемых типах объектов с их различными свойствами. Поиск должен независимо работать по отфильтрованным данным.
12. Отчетная подсистема должна позволять создавать собственные отчеты с помощью встроенного инструмента генерации запроса с параметрами по устройству, программному обеспечению или пользователю. Так же система должна содержать набор стандартных отчетов:
• детальный отчет по инвентаризации с разбиением по ПК;
• сводный отчет по инвентаризации с указанием типа лицензирования программного продукта (платный или бесплатный), категории программного продукта (игры, офис и т.д.), типа программного продукта (компонент, программа или пакет) и количества установок каждого продукта.
13. В системе должен быть отдельный раздел с показателями, отображающими сводную информацию по:
• количеству ПК по статусу: инвентаризированы или нет;
• количеству ПО по статусу: распознаны или нет;
а также с показателями согласно установленным пользовательским фильтрам в соответствующих разделах.
14. Система учета должна иметь возможность выгрузки данных, отображаемых в интерфейсе согласно правил фильтрации и поиска, в формат CSV.
Требования к численности и квалификации персонала АС
Для обеспечения полноценного режима эксплуатации АС необходим состав технических специалистов у Заказчика, указанный в Таблице 1.
Таблица 1. Состав технических специалистов.
|
