Главная страница
Навигация по странице:

  • Исполнитель _____________ Заказчик ___________

  • _____________

  • СТРУКТУРА ДОКУМЕНТА ПРОТОКОЛ ПРИЁМО-СДАТОЧНЫХ ИСПЫТАНИЙ

  • Вредоносная программа (или ВПО)

  • Инцидент информационной безопасности

  • ИТ-инцидент

  • Уязвимость

  • ОБМЕН ИНФОРМАЦИЙ ОБ ИНЦИДЕНТАХ ИБ

    		•

    Документация_по_запросу_предложений_ПО_Creatio1. Документация по запросу предложений


    Скачать 0.74 Mb.
    НазваниеДокументация по запросу предложений
    Дата12.11.2022
    Размер0.74 Mb.
    Формат файлаdoc
    Имя файлаДокументация_по_запросу_предложений_ПО_Creatio1.doc
    ТипДокументы
    #784490
    страница18 из 18
    1   ...   10   11   12   13   14   15   16   17   18



    ФОРМА СОГЛАСОВАНА





    _______________Заказчик____________'>Исполнитель

    _____________
    Заказчик

    ___________







    _____________ / [ФИО подписанта]
    _____________ / [ФИО подписанта]



    Приложение № 5

    к Договору № _______ от «___» ________ 2020 г

    СТРУКТУРА ДОКУМЕНТА ПРОТОКОЛ ПРИЁМО-СДАТОЧНЫХ ИСПЫТАНИЙ


    1. Дата и время проведения испытаний.

    2. Объект испытаний.

    3. Состав участников.

    4. Цель испытаний.

    5. Место проведения испытаний;

    6. Сценарии испытаний – описывают все необходимые и достаточные шаги для выполнения целей испытаний. Состав каждого шага испытаний:

      1. Порядковый номер шага;

      2. Детальное описание шага, порядок действий пользователя;

      3. Ожидаемый результат;

      4. Фактический результат;

    7. Сведения об отказах, сбоях и аварийных ситуациях, возникающих при испытаниях.

    8. Выводы и решение по итогам проведения испытаний.

    9. Подписи участников.



    Исполнитель

    _____________
    Заказчик

    ___________







    _____________ / [ФИО подписанта]
    _____________ / [ФИО подписанта]


    Приложение № 6

    к Договору № _______ от «___» ________ 2020 г

    ТРЕБОВАНИЯ ПО

    ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ



    1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ


    Безопасность информации – сохранение конфиденциальности, целостности и доступности информации; в том числе могут охватываться другие свойства, такие как аутентичность, учетность, неотказуемость и надежность.

    Вредоносная программа (или ВПО) – программа, предназначенная для получения несанкционированного доступа к устройству пользователя или к информации, хранимой на нем, с целью несанкционированного использования ресурсов, информации или причинения вреда.

    Доступность – гарантия того, что авторизованные пользователи могут иметь доступ и работать с необходимыми информационными активами, ресурсами и системами с требуемой производительностью.

    Инцидент информационной безопасности – одно или несколько событий нарушения уровня информационной безопасности, приводящих с высокой вероятностью к угрозе проведению бизнес-операций и/или угрозе кибербезопасности.

    ИТ-инцидент – незапланированное прерывание (снижение качества) ИТ-услуги, не связанное с информационной безопасностью.

    Информационная безопасность (ИБ) – состояние защищенности информации и инфраструктуры (сохранение конфиденциальности, целостности, доступности), с применением набора средств, методик и принципов, направленных на противодействие угрозам в киберпространстве и минимизацию последствий их реализации.

    Киберпространство – информационное пространство, образованное совокупностью телекоммуникационных сетей и оборудования, средств вычислительной техники и программного обеспечения, а также деятельностью человека по его информационному наполнению.

    Уязвимость – недостаток в компьютерной системе, использование которого приводит к нарушению целостности системы и некорректной работе.

    DDOS - Distributed Denial of Service (атака типа «распределенный отказ в обслуживании»)


    1. ТРЕБОВАНИЯ

      1. Исполнитель должен обеспечить выполнение процессов, которые позволяют определять актуальные угрозы и Уязвимости и организовывать защиту активов и инфраструктуры Исполнителя в соответствии с требованиями настоящего документа.

      2. Исполнителем должны быть организованы и выполняться следующие задачи:

        1. реализация мероприятий в области защиты активов и инфраструктуры Исполнителя, включающих в себя среды разработки, тестовую платформу, демонстрационные среды и разрабатываемое ПП:

    • защита от воздействия вредоносного кода;

    • защита от несанкционированного доступа;

    • сетевая безопасность;

    • защита на уровне операционных систем, виртуальных платформ, приложений и баз данных;

    • криптографическая защита (опционально);

    • аудит событий (ИТ и ИБ).

        1. в области управления ИБ должен быть реализован процесс управления инцидентами ИБ.

      1. На стадиях, связанных с разработкой, тестированием, должна быть обеспечена защита от угроз:

        1. внесения разработчиком дефектов на уровне архитектурных решений;

        2. внесения разработчиком недокументированных возможностей;

        3. несанкционированного внесения внешним или внутренним нарушителем бэкдоров и вредоносного кода в исходные тексты ПП и его обновлений на всех стадиях жизненного цикла ПП и его обновлений;

        4. неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ПП, включая невыполнение рекомендаций OWASP при разработке веб-приложений без уязвимостей;

        5. разработки некачественной документации.

      2. Исполнитель должен предпринимать адекватные организационные меры и использовать актуальные технические (аппаратные и программные) средства для повышения уровня кибербезопасности и защиты от актуальных угроз. Для ПП, обрабатывающей информацию Заказчика, должны быть реализованы следующие базовые механизмы безопасности:

    • администрирование и управление доступом;

    • идентификация и аутентификация;

    • антивирусная защита;

    • аудит событий ИТ.

      1. У Исполнителя должен быть утвержден комплект документов по ИБ, включающий, в частности, Политику информационной безопасности, модель(и) угроз, частные политики, положения, регламенты, инструкции и т.п.Любой документ в области ИБ Исполнитель обязан предоставить Заказчику в течение 7 (семи) рабочих дней по его запросу.

      2. Исполнитель должен выполнять условия для обеспечения возможности проведения расследований инцидентов ИБ и ИТ-инцидентов, в частности, аудит событий, прямо или косвенно влияющих на уровень ИБ, при этом журналы аудита должны храниться с условием соблюдения их доступности, целостности и конфиденциальности. Журналы аудита, связанные с выполнением Работ по Договору, Исполнитель обязан предоставить Заказчику в течение 7 (семи) рабочих дней по его запросу.

      3. Исполнитель обязуется уведомлять Заказчика перед внесением изменений в архитектуру локальной вычислительной сети (не позднее чем за 5 (пять) рабочих дней), о доработках автоматизированной системы (release notes) и средств обеспечения ИБ в сегменте локальной вычислительной сети, содержащем автоматизированную систему, обрабатывающую данные Заказчика.

      4. Исполнитель в течение 5 (пяти) рабочих дней с момента получения запроса от Заказчика обязуется предоставить удаленный доступ сотрудникам Заказчика к тестовой платформе Исполнителя, предназначенный для контроля доработок, постановки задач на автоматизацию процессов, создание и доработку автоматизированной системы, детализации бизнес-требований к автоматизированной системе, связанных с выполнением Работ по Договору.

      5. Исполнитель гарантирует, что при исполнении Договора на момент сдачи-приемки соответствующих результатов Работ, а также в течение гарантийного срока установленного для результата Работ в случаях, если такой результат Работ не был изменен Заказчиком и/или третьими лицами, отсутствуют скрытые (недокументированные) функциональные возможности в разрабатываемом, дорабатываемом (модифицируемом, адаптируемом) ПП, Уязвимости и иные закладки, которые могут привести к финансовому ущербу для Заказчика. Также Исполнитель гарантирует, что такие скрытые функциональные возможности не появятся вследствие устранения Исполнителем дефектов в разрабатываемом, дорабатываемом (модифицируемом, адаптируемом) программное обеспечение, в соответствии с положениями настоящего пункта.

      6. При обнаружении значимого инцидента ИБ или ИТ-инцидента появившегося в результате действий и\или бездействия Исполнителя, последствия которого могут затронуть интересы Заказчика, Стороны обязаны известить об этом друг друга в максимально возможный короткий срок, но не позднее 3-х (трех) часов с момента обнаружения такого инцидента. Значимость инцидента определяется согласно п. 2.10 ниже. Заказчик вправе оказывать помощь Исполнителю в расследовании причин и ликвидации последствий такого инцидента. Для этой цели Стороны создают комиссию по расследованию инцидента с участием специалистов Сторон.

      7. Значимым считается инцидент, удовлетворяющий одному из следующих условий:

    • невозможность выполнения бизнес-операций, в соответствии с установленными сроками для структурного подразделения, или ограничение функциональности ИТ-услуги или автоматизированной системы для систем категории Misson Critical и Business Critical, либо автоматизированной системы, входящей в периметр зоны с требованиями по безопасности согласно PCI DSS;

    • воздействие вредоносного кода, перебор учетных записей, блокировки учетных записей, создание несанкционированных учетных записей;

    • разглашение аутентификационных данных или конфиденциальной информации;

    • выявленные признаки несанкционированного доступа или неудачных попыток получения несанкционированного доступа, а также злоупотребление привилегиями;

    • попытки реализации угроз и атаки, предотвращённые средствами защиты информации.

      1. В целях повышения уровня ИБ, Стороны обмениваются информацией об инцидентах ИБ, произошедших в периметре своей инфраструктуры, и связанных с выполнением условий Договора.

      2. Исполнитель обязан по обоснованному письменному запросу передавать Заказчику всю необходимую информацию для выполнения Заказчиком своих обязательств перед уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации, если представление такой информации возможно со стороны Исполнителя.

      3. Стороны фиксируют в отдельном документе требования к уровню и качеству предоставления услуг Исполнителем, в части обеспечения ИБ, для создания условий непрерывности предоставления финансовых услуг, а также к инструментам по мониторингу уровня услуг (соглашение об уровне услуг, SLA).




    1. ОБМЕН ИНФОРМАЦИЙ ОБ ИНЦИДЕНТАХ ИБ

    3.1. Стороны осуществляют обмен информаций о значимых инцидентах (подозрениях на инциденты) ИБ, произошедших:

    • в инфраструктуре Исполнителя, используемой для исполнения Договора;

    • в инфраструктуре Заказчика и затрагивающих (потенциально затрагивающих) интересы Исполнителя.

    3.2. В случае выявления значимого инцидента ИБ, связанного с выполнением Работ по Договору, выявившая Сторона обязана уведомить другую Сторону в максимально возможный короткий срок, но не позднее 3 (Трех) рабочих часов с момента обнаружения такого инцидента и предпринять меры по локализации инцидента и устранения причин, последствий.

    3.3. В случае устранения значимого инцидента ИБ устранившая Сторона обязана уведомить другую Сторону о мерах, предпринятых для управления инцидентом в течение 24 (Двадцати четырех) рабочих часов.

    3.4. Исполнитель обязан информировать Заказчика обо всех факторах, связанных с возникновением риска нарушения ИБ, связанного с выполнением Работ по Договору. Информация о факторе должна включать тип событий, ведущих к возникновению риска и обстоятельства их реализации.

    3.5. Для повышения оперативности при передаче технической информации Стороны вправе использовать любые согласованные Сторонами каналы передачи информации.

    3.6. Стороны обмениваются информацией об инцидентах ИБ, выявленных с помощью информационных ресурсов Сторон, включая, но не ограничиваясь информацией о следующих типах инцидентов ИБ:

    • фишинговая атака якобы от имени Стороны;

    • выявленная Уязвимость на ресурсе, принадлежащем Стороне, используемом в процессе исполнения Договора;

    • выявленная Уязвимость в программном обеспечении, предоставляемом/эксплуатируемом Стороной, используемом в процессе исполнения Договора;

    • заражение ресурсов, используемых в процессе исполнения Договора, их вредоносная атака;

    • попытки несанкционированного доступа к ресурсам Стороны используемые в процессе исполнения Договора;

    • DDOS-атака на ресурсы Стороны используемые в процессе исполнения Договора, выявленные, закончившиеся и планируемые.

    3.7. Стороны не обмениваются информацией, содержащей банковскую и государственную тайну, тайну связи, персональные данные субъектов и иную информацию ограниченного доступа, в том числе персональные данные, подпадающие под регулирование Регламента ЕС о защите данных (GDPR), а также данные индустрии платежных карт (PCI).

    3.8. В случае появления новых типов инцидентов ИБ, способов и механизмов их выявления, а также при необходимости оптимизации взаимодействия или изменения форматов передаваемых файлов, по взаимному согласованию Сторон, в настоящее приложение вносятся необходимые изменения (дополнения).

    Исполнитель

    _____________
    Заказчик

    ___________







    _____________ / [ФИО подписанта]
    _____________ / [ФИО подписанта]



    1 Документ должен содержать апостиль, перевод на русский язык и свидетельство нотариуса о подлинности подписи переводчика, осуществившего перевод текста документа на русский язык.

    2 Термин «Система» для целей настоящего Приложения №3 означает ПП (или результата Работ по его доработке) или результат Работ по Настройке (адаптации) ПО и Внедрению ПО.
    1   ...   10   11   12   13   14   15   16   17   18

    написать администратору сайта