АНО «Цифровая...

69
Д.В. Реуцкий 8(495)870-29-21 доб. 48-537 на № от МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ Пресненская наб., д.10, стр.2, Москва, 125039 Юридический адрес: Тверская, 7, Москва Справочная: +7 (495) 771-8000 АНО «Цифровая экономика» Рабочая группа по направлению «Информационная безопасность» 121205, Москва, территория инновационного центра Сколково, бульвар Большой, д. 42, строение 1 О направлении на рассмотрение технических заданий Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Министерство) направляет на рассмотрение в Рабочую группу по направлению «Информационная безопасность» АНО «Цифровая экономика» проекты технических заданий по результатам паспорта федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации»: 1. 1.6 Законодательно приняты требования к устойчивости и безопасности сетей связи и оборудования органов государственной власти и организаций различных организационно-правовых форм и обеспечен контроль (надзор) за их соблюдением; 2. 1.7 Определены методики оценки показателей информационной безопасности на сетях связи общего пользования (включая российский сегмент сети «Интернет»), их текущие и целевые значения; 3. 1.21 Разработаны требования к операторам промышленного Интернета, проекты стандартов безопасности для киберфизических систем, включая устройства «Интернета вещей»; 4. 1.48 Введѐн в эксплуатацию и функционирует киберполигон для обучения и тренировки специалистов и экспертов разного профиля, руководителей в области информационной безопасности и ИТ современным практикам обеспечения безопасности; 5. 1.49 Разработана модель угроз информационной безопасности для персональных устройств сбора биометрических данных (холтер, браслеты, часы,

Upload: others

Post on 26-Jul-2020

50 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

Д.В. Реуцкий

8(495)870-29-21 доб. 48-537

на №

от

МИНИСТЕРСТВО

ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ

И МАССОВЫХ КОММУНИКАЦИЙ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Пресненская наб., д.10, стр.2, Москва, 125039

Юридический адрес: Тверская, 7, Москва

Справочная: +7 (495) 771-8000

АНО «Цифровая экономика»

Рабочая группа по направлению

«Информационная безопасность»

121205, Москва, территория

инновационного центра Сколково,

бульвар Большой, д. 42, строение 1

О направлении на рассмотрение

технических заданий

Министерство цифрового развития, связи и массовых коммуникаций

Российской Федерации (далее – Министерство) направляет на рассмотрение в

Рабочую группу по направлению «Информационная безопасность»

АНО «Цифровая экономика» проекты технических заданий по результатам

паспорта федерального проекта «Информационная безопасность» национальной

программы «Цифровая экономика Российской Федерации»:

1. 1.6 Законодательно приняты требования к устойчивости и безопасности

сетей связи и оборудования органов государственной власти и организаций

различных организационно-правовых форм и обеспечен контроль (надзор) за их

соблюдением;

2. 1.7 Определены методики оценки показателей информационной

безопасности на сетях связи общего пользования (включая российский сегмент

сети «Интернет»), их текущие и целевые значения;

3. 1.21 Разработаны требования к операторам промышленного Интернета,

проекты стандартов безопасности для киберфизических систем, включая

устройства «Интернета вещей»;

4. 1.48 Введѐн в эксплуатацию и функционирует киберполигон для

обучения и тренировки специалистов и экспертов разного профиля,

руководителей в области информационной безопасности и ИТ современным

практикам обеспечения безопасности;

5. 1.49 Разработана модель угроз информационной безопасности для

персональных устройств сбора биометрических данных (холтер, браслеты, часы,

Page 2: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

2

фитнес-трекеры и пр.) и дорожная карта по обеспечению информационной

безопасности при использовании гражданами указанного класса технических

средств в Российской Федерации;

6. 1.50 Проводится экспертно-аналитическое сопровождение реализации

федерального проекта, в том числе предусматривающее выполнение отдельных

мероприятий федерального проекта.

Просим рассмотреть проекты технических заданий на заседании рабочей

группы в возможно короткие сроки.

Приложение: в 1 экз. на 67 листах.

Директор департамента Д.С. Никитин

развития отрасли ИТ

Page 3: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

ПРОЕКТ

Национальная программа «Цифровая экономика Российской Федерации»

Федеральный проект «Информационная безопасность»

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на реализацию задачи 1.54 «Введён в эксплуатацию и функционирует

киберполигон для обучения и тренировки специалистов и экспертов разного

профиля, руководителей в области информационной безопасности и ИТ

современным практикам обеспечения безопасности»

На __ листах

Действует с __.__.____

2019

Page 4: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

2

Содержание

1 Общие сведения................................................................................................................................... 3

2 Назначение и цели создания Киберполигона ................................................................................... 5 2.1 Цели создания Киберполигона................................................................................................... 5

2.2 Результаты работ ......................................................................................................................... 5

3 Требования к Киберполигону ............................................................................................................ 8 3.1 Требования к системе в целом ................................................................................................... 8 3.2 Требования к функциям, выполняемым Киберполигоном ..................................................... 8 3.3 Требования к структуре и функционированию системы ........................................................ 9

3.4 Требования к численности и квалификации персонала системы и режиму его работы .... 14 3.5 Требования к надежности ......................................................................................................... 15 3.6 Требования безопасности ......................................................................................................... 15 3.7 Требования к эргономике и технической эстетике ................................................................ 15 3.8 Требования к эксплуатации, техническому обслуживанию, ремонту и хранению

компонентов системы ..................................................................................................................... 16 3.9 Требования по сохранности информации при авариях ......................................................... 16

3.10 Требования к защите от влияния внешних воздействий ..................................................... 17 3.11 Требования к патентной чистоте ........................................................................................... 17 3.12 Требования по стандартизации и унификации ..................................................................... 18 3.13 Требования к развитию и модернизации Киберполигона ................................................... 18

4 Состав и содержание работ по созданию системы ........................................................................ 19

5 Порядок контроля и приемки системы ........................................................................................... 21

6 Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу

системы в действие .............................................................................................................................. 22

7 Требования к документированию .................................................................................................... 23

Page 5: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

3

1 Общие сведения

1.1 Полное наименование: Киберполигон для обучения и тренировки

специалистов и экспертов разного профиля, руководителей в области

информационной безопасности и ИТ современным практикам обеспечения

безопасности.

1.2 Условные обозначения: Киберполигон.

1.3 Шифр мероприятия: Киберполигон-2019.

1.4 Перечень документов, на основании которых создается Киберполигон

1) Стратегия национальной безопасности, утвержденная Указом

Президента Российской Федерации от 31 декабря 2015 года № 683.

2) Доктрина информационной безопасности Российской Федерации,

утвержденная Указом Президента РФ № 646 от 5 декабря 2016 г.

3) Указ Президента РФ от 7 мая 2018 г. N 204 «О национальных целях

и стратегических задачах развития Российской Федерации на период до 2024

года».

4) Указ Президента Российской Федерации от 9 мая 2017 г. № 203

«О Стратегии развития информационного общества на 2017-2030 годы»;

5) Федеральный закон «Об информации, информационных

технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.

6) Федеральный закон «О безопасности критической информационной

инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ.

7) Паспорт федерального проекта «Информационная безопасность»

национальной программы «Цифровая экономика Российской Федерации».

1.5 Плановые сроки работы по созданию Киберполигона:

Сроки оказания услуг по созданию Системы не должны превышать сроков,

указанных в разделе 5 настоящего документа.

1.6 Порядок оформления и предъявления заказчику результатов работ

Порядок оформления и предъявления Заказчику результатов работ должен

соответствовать требованиям настоящего документа. Результаты работ

Page 6: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

4

предъявляются Заказчику в сроки и порядке, определенном Правилами

предоставления субсидии, в соответствии с требованиями настоящего документа.

Page 7: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

5

2 Назначение и цели создания Киберполигона

2.1 Цели создания Киберполигона

2.1.1 Целью создания Киберполигона является:

системное развитие кадрового потенциала Российской Федерации

в области информационной безопасности и формирование практических навыков

защиты от реализации угроз информационной безопасности и компьютерных атак

у учащихся, специалистов, руководителей в области ИТ и ИБ;

стимулирование обмена лучшими практиками обеспечения

информационной безопасности между организациями Российской Федерации;

повышение уровня защищённости программного и аппаратного

обеспечения информационной и промышленной автоматизированной

инфраструктуры организаций Российской Федерации, в том числе объектов КИИ,

включая программное обеспечение в составе Единого реестра российских

программ для ЭВМ;

совершенствование методического и нормативного обеспечения

процессов информационной безопасности организаций в Российской Федерации.

2.2 Результаты работ

2.2.1 В результате создания Киберполигона должна быть создана

технологическая, методологическая и организационная инфраструктура,

позволяющая обеспечить решение следующих задач:

проведение кибер-учений, соревнований и практических тренировок по

информационной безопасности для учащихся, специалистов, экспертов и

руководителей в сфере информационных технологий, информационной безопасности

и систем промышленной автоматизации;

тестирование программного обеспечения, оборудования, элементов

информационных и промышленных автоматизированных систем, включая

Page 8: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

6

компонентов АСУ ТП и Промышленного Интернета, на реализацию функций

информационной безопасности, защищённость и отсутствие уязвимостей;

тестирование средств защиты информации на реализацию

функциональных возможностей, защищённость и наличие уязвимостей;

проведение открытых и закрытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость

для независимых экспертов в информационной безопасности («Bug Bounty»);

проверка и информирование об угрозах информационной

безопасности уровня веб-приложений;

наполнение Банка данных угроз и уязвимостей ФСТЭК России.

2.2.2 С использованием инфраструктуры в 2019 году должны быть достигнуты

следующие результаты:

создан 1 (один) киберполигон для не менее 2 (двух) ИТ-

инфраструктур, эмулирующих корпоративные сети различных отраслей

экономики («ИТ-киберполигон»);

создан 1 (один) киберполигон для не менее 1 индустриальной

инфраструктуры – АСУ ТП или систем Промышленного интернета

(«Индустриальный киберполигон»);

проведена тренировка не менее 60 (шестидесяти) учащихся,

специалистов, экспертов и руководителей современным практикам обеспечения

информационной безопасности;

проведено не менее 2 (двух) кибер-учений или соревнований

по информационной безопасности, в том числе не менее 1 (одного)

для организации реального сектора экономики Российской Федерации;

создано не менее 2 (двух) учебно-практических центров

тестирования программного обеспечения на наличие уязвимостей и

недекларированных возможностей, в том числе, 1 (один) центр на базе Центра

Цифрового Развития Дальневосточного федерального университета;

Page 9: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

7

проведено не менее 2 (двух) открытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость для

независимых экспертов в информационной безопасности в Российской

Федерации («Bug Bounty»).

2.2.3 С использованием инфраструктуры в 2020 году должны быть достигнуты

следующие результаты:

проведена тренировка не менее 150 (ста пятидесяти) учащихся,

специалистов, экспертов и руководителей современным практикам обеспечения

информационной безопасности;

проведено не менее 6 (шести) кибер-учений или соревнований

по информационной безопасности, в том числе не менее 2 (двух) для организаций

реального сектора экономики Российской Федерации;

создано не менее 4 (четырёх) учебно-практических центров

в партнёрстве с организациями высшего профессионального образования;

проведено не менее 6 (шести) открытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость для

независимых экспертов в информационной безопасности в Российской

Федерации («Bug Bounty»).

Page 10: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

8

3 Требования к Киберполигону

3.1 Требования к системе в целом

3.1.1. При создании Киберполигонов должно быть создано 2 (два) Полигона

по инфраструктурному признаку:

Полигон для ИТ-инфраструктур – информационных систем (далее –

«ИТ-полигон», «ИТ-киберполигон»);

Полигон для индустриальных инфраструктур – АСУ ТП и систем

Промышленного интернета (далее – «Индустриальный полигон», «Индустриальный

киберполигон»).

3.1.2. Для каждого Киберполигона должны быть определены функциональные

требования, требования к технологической инфраструктуре.

3.2 Требования к функциям, выполняемым Киберполигоном

3.2.1. Техническая и организационная инфраструктура Индустриального

полигона должна обеспечивать выполнение следующих функций:

проведение кибер-учений, соревнований и практических тренировок по

информационной безопасности для учащихся, специалистов, экспертов и

руководителей в сфере информационных технологи и информационной безопасности;

тестирование программного обеспечения, оборудования, элементов

информационных на реализацию функций информационной безопасности,

защищённость и отсутствие уязвимостей;

тестирование средств защиты информации на реализацию

функциональных возможностей, защищённость и наличие уязвимостей;

проведение открытых и закрытых соревнований по поиску

уязвимостей и тестированию программного обеспечения на защищённость

для независимых экспертов в информационной безопасности («Bug Bounty»);

проверка и информирование об угрозах информационной

безопасности уровня веб-приложений;

Page 11: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

9

наполнение Банка данных угроз и уязвимостей ФСТЭК России.

3.2.2. Техническая и организационная инфраструктура Индустриального

полигона должна обеспечивать выполнение следующих функций:

исследование и тестирование компонентов АСУ ТП и

промышленного Интернета, СЗИ и технических решений по защите информации,

в том числе моделирование атак и кибер-физических последствий.

проведения кибер-учений, практических тренировок, обучений и

соревнований для специалистов и экспертов разного профиля в области

информационной безопасности систем промышленной автоматизации;

исследования, тестирования и выявления уязвимостей и

недекларированных возможностей в СЗИ, компонентах АСУ ТП и

Промышленного Интернета;

организацию работу сторонних исследователей в рамках работ по

анализу защищенности СЗИ, компонентов АСУ ТП и Промышленного Интернета

(в рамках Bug Bounty программ);

наполнение Банка данных угроз и уязвимостей ФСТЭК России.

3.3 Требования к структуре и функционированию системы

3.3.1. Требования к технической инфраструктуре ИТ-полигона:

3.3.1.1. Техническая инфраструктура ИТ-полигона должна состоять из трёх

блоков:

базовая инфраструктура для проведения кибер-учений и/или

соревнований по информационной безопасности;

инфраструктуры для проведения исследований защищенности;

инфраструктура для тренировки специалистов по информационной

безопасности.

3.3.1.2. Базовая инфраструктура для проведения кибер-учений и/или

соревнований по кибербезопасности должна включать:

Page 12: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

10

не менее 2 инфраструктур, эмулирующих корпоративные сети

различных отраслей экономики, в составе не менее 50 виртуальных машин,

эмулирующих серверное оборудование, не менее 100 рабочих станций,

10 инфраструктурных и 3 прикладных сервисов в каждой корпоративной

инфраструктуре;

информационную подсистему «Интернет», позволяющая проводить

активные атакующие действия на инфраструктуры для эмуляции атаки и

обеспечить удаленное подключение участников кибер-учений;

базовые типовые средства защиты информации для создаваемых

элементов инфраструктур;

базовые типовые средства мониторинга инцидентов

информационной безопасности в инфраструктурах.

3.3.1.3. При создании инфраструктуры для проведения кибер-учений должна

быть обеспечена связность и взаимодействие между компонентами на уровне

информационных систем и инфраструктур.

3.3.1.4. При создании инфраструктуры для проведения кибер-учений должна

быть проведена разработка и адаптация политик безопасности как на уровне

инфраструктуры, так и на уровне средств защиты, эмулирующих три сценария

зрелости организации:

низкий уровень зрелости – базовая настройка средств защиты,

минимальный объем использования встроенных средств безопасности

инфраструктуры;

средний уровень зрелости – настройки, адаптированные под

действия внешнего нарушителя с низким потенциалом;

высокий уровень зрелости – настройки, адаптированные под

действия внешнего нарушителя с высоким потенциалом.

3.3.1.5. Инфраструктура для тренировки специалистов по информационной

безопасности должна обеспечивать возможность практической подготовки

следующих областях:

Page 13: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

11

«Специалисты по средствам криптографической защиты каналов

связи» – инфраструктура включает не менее двух производителей средств

криптографической защиты информации (СКЗИ);

«Специалисты по сетевой безопасности» – инфраструктура

включает не менее двух производителей межсетевых экранов, не менее двух

производителей системы обнаружения атак);

«Специалисты по защите веб-приложений» – инфраструктура

включает не менее двух производителей межсетевых экранов уровня веб-

приложений;

«Специалисты по мониторингу и анализу инцидентов

информационной безопасности» – инфраструктура включает не менее двух

производителей систем выявления и анализа инцидентов.

3.3.1.6. Инфраструктура для тренировки специалистов по информационной

безопасности должна обеспечивать возможность одновременной подготовки не

менее 100 специалистов.

3.3.2. Требования к технической инфраструктуре Индустриального полигона:

3.3.2.1. Техническая инфраструктура Индустриального полигона должна

состоять из трёх блоков:

стендов систем АСУ ТП и промышленного Интернета;

инфраструктуры для проведения исследований защищенности;

инфраструктуры для организации и проведения работ сторонних

исследователей в рамках Bug Bounty программ.

3.3.2.2. Техническая инфраструктура Индустриального полигона должна

быть выполнена в соответствии с пятиуровневой модели университета Пердью, в

частности, должны быть реализованы следующие уровни:

уровень 0 – датчики и исполнительный устройства;

уровень 1 – базовые системы контроля;

уровень 2 – системы диспетчерского управления и сбора данных.

Page 14: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

12

3.3.2.3. Для организации уровня 0 технической инфраструктуры

Индустриального полигона должны применяться имитирующие устройств,

комплексы для моделирования или реальные компоненты систем промышленной

автоматизации.

3.3.2.4. Для организации уровня 1 технической инфраструктуры

Индустриального полигона должны применяться реальные компоненты систем

промышленной автоматизации.

3.3.2.5. Для организации уровня 2 технической инфраструктуры

Индустриального полигона должны применяться реальные компоненты систем

промышленной автоматизации.

3.3.2.6. В состав технической инфраструктуры Индустриального полигона

должны входить следующие подсистемы:

подсистема моделирования энергосистем;

подсистема релейной защиты и автоматики;

подсистема информационно-телекоммуникационной

инфраструктуры;

подсистема мониторинга переходных процессов;

автоматизированная системы управления технологическим

процессом;

подсистема диспетчерского управления;

автоматизированная система коммерческого учета электроэнергии;

подсистема контроля и управления доступом;

подсистема защиты информации.

3.3.2.7. При реализации подсистем должно применяться оборудование как

отечественного, так и зарубежного производства.

3.3.2.8. Техническая инфраструктура Индустриального полигона должна

позволять имитировать работу энергосистемы в высоким уровнем симуляции.

Page 15: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

13

3.3.2.9. Техническая инфраструктура Индустриального полигона должна

позволять проводить исследования СЗИ, компонентов АСУ ТП и Промышленного

Интернета и включать в себя следующий инструментарий:

дисассембремы, декомпиляторы бинарных файлов для реверс-

инжиниринга для платформ x86, а также всего спектра платформ,

использующихся в компонентах АСУ ТП и Промышленного Интернета (т.е.

различные версии ARM, MIPS и др.);

комплексные инструменты для разнообразного тестирования web-

сервисов (в том числе фаззинга, брутфорса и др.);

перехватчиками и анализаторами сетевых пакетов;

программно-аппаратный комплекс для моделирования, записи и

воспроизведения разнообразных сетевых атак, флудов, штормов и т.д.;

инструментарием для фаззинга различных компонентов ПО;

универсальные сканеры известных уязвимостей;

анализаторы Wi-Fi сетей;

устройства для тестирования JTAG интерфейса;

аппаратные сниферы (перехватчики) различных протоколов,

включая Ethernet, I2C, SPI, UART, CAN, а также других специализированных

протоколов, применяемых во встраиваемых устройствах;

аппаратные кейлоггеры (перехватчики цифрового, в том числе

клавиатурного ввода);

аппаратные платформы для анализа NFC взаимодействий;

SDR (программно-определяемый) трансиверы для перехвата и

анализа беспроводных протоколов;

цифровые осциллографы, логические анализаторы для анализа

низкоуровневых протоколов и различных отладочных интерфейсов;

одноплатные компьютеры для макетирования сложных атак;

многофункциональные программаторы;

Page 16: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

14

инфракрасную паяльную станцию для монтажа/демонтажа модулей

памяти и других микросхем.

3.3.2.10. Техническая инфраструктура Индустриального полигона должна

включать подсистему, позволяющую организовать работу сторонних

исследователей в рамках работ по анализу защищенности СЗИ, компонентов АСУ

ТП и промышленного Интернета (в рамках BugBounty программ).

3.4 Требования к численности и квалификации персонала системы и

режиму его работы

3.4.1. В рамках создания Киберполигонов должны быть разработаны

предложения по организационной структуре, необходимой для реализации

деятельности Полигона в соответствии с его функциями и функциональной

структурой.

3.4.2. Численность персонала Киберполигонов должна быть установлена из

расчета обеспечения ее работоспособности во всех требуемых режимах

функционирования.

3.4.3. В состав численности Киберполигонов должны входить следующие

роли, но не ограничиваясь:

руководитель (лидер) Киберполигона;

педагог-методист;

инженер-программист по математическому моделированию;

инженер АСУ ТП;

инженер–энергетик.

инженер-проектировщик систем автоматизации/систем защиты

информации;

исследователь обратной разработке;

исследователь по анализу защищенности;

исследователь-программист.

Page 17: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

15

3.5 Требования к надежности

3.5.1. Надежность программно-технических средств Киберполигона должна

обеспечиваться за счет:

периодического резервного копирования информации на резервные

машинные носители информации;

возможности восстановления информации с резервных машинных

носителей информации (резервных копий) в течение установленного временного

интервала

3.6 Требования безопасности

3.6.1. В процессе монтажа, наладки, эксплуатации, обслуживания и ремонта

технических средств Киберполигона должны соблюдаться нормы электрической

и противопожарной безопасности, установленные на объекте проведения работ.

3.6.2. Система электропитания должна обеспечивать защитное отключение

при перегрузках и коротких замыканиях в цепях нагрузки, а также аварийное

ручное отключение.

3.6.3. Факторы, оказывающие вредные воздействия на здоровье со стороны

всех элементов системы (в том числе инфракрасное, ультрафиолетовое,

рентгеновское и электромагнитное излучения, вибрация, шум,

электростатические поля, ультразвук строчной частоты и т.д.), не должны

превышать действующих норм (СанПиН 2.2.2/2.4.1340-03 от 03.06.2003 г.).

3.7 Требования к эргономике и технической эстетике

3.7.1. Компоненты технической части Киберполигона должны иметь

возможность установки в монтажные стойки (шкафы).

3.7.2. В рамках технической инфраструктуры Киберполигона должны быть

организованы унифицированные автоматизированные рабочие места для

проведения обучений и тренировок специалистов в размере не менее 16 шт.

Page 18: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

16

3.8 Требования к эксплуатации, техническому обслуживанию, ремонту

и хранению компонентов системы

3.8.1. Технические средства Киберполигона должны выбираться с учетом их

непрерывного функционирования.

3.8.2. Эксплуатация программно-технических средств Киберполигона

должна предусматривать следующие виды технического обслуживания:

оперативное обслуживание;

профилактические работы.

3.8.3. Оперативное обслуживание должно осуществляться в виде

ежедневного контроля функционирования программно-технических средств

Киберполигона.

3.8.4. Оперативное обслуживание не должно нарушать выполнения

функций Киберполигона в целом.

3.8.5. Профилактические работы должны включать периодическую

проверку и обслуживание программно-технических средств Киберполигона, для

которых такие процедуры предусмотрены эксплуатационной документацией

компании-производителя средств.

3.8.6. Объем и порядок выполнения технического обслуживания

технических и программных средств Киберполигона должны определяться

эксплуатационной документацией.

3.8.7. Все пользователи Киберполигона должны соблюдать правила

эксплуатации электроустановок.

3.9 Требования по сохранности информации при авариях

3.9.1. При авариях должна быть обеспечена сохранность следующей

информации:

параметры конфигурационных настроек систем и подсистем

Киберполигона;

Page 19: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

17

параметры настроек средств идентификации, аутентификации и

авторизации систем и подсистем Киберполигона;

данные журналов событий.

3.9.2. Сохранность информации должна обеспечиваться при следующих

аварийных ситуациях:

нарушение электропитания;

сбой общего или специального программного обеспечения

компонентов Киберполигона.

3.9.3. Должна быть предусмотрена возможность восстановления

работоспособности и параметров настройки технических средств Киберполигона,

в том числе с помощью резервных копий и (или) дистрибутивов.

3.10 Требования к защите от влияния внешних воздействий

3.10.1. Программно-технические и технические средства

Киберполигона должны быть установлены в специально оборудованных

помещениях, в которых обеспечивается необходимая степень климатической

защиты от воздействия внешней среды.

3.10.2. Помещения, в которых размещаются программные и

технические средства Киберполигона, должны быть оборудованы средствами

контроля и управления доступом, пожарной безопасности, вентиляции и

кондиционирования.

3.10.3. Помещения и оборудование должны исключать возможность

бесконтрольного доступа посторонних лиц.

3.11 Требования к патентной чистоте

3.11.1. Применяемые решения в рамках Киберполигона должны

отвечать требованиям по патентной чистоте в соответствии с действующим

законодательством Российской Федерации.

Page 20: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

18

3.12 Требования по стандартизации и унификации

3.12.1. Все технические решения в рамках создания Киберполигона

должны основываться на использовании типовых решений и максимальной

унификации технического и программного обеспечения.

3.12.2. В составе Киберполигона возможно применение как серийно

выпускаемых программные, технические и программно-аппаратные средства, так

и специально разработанные средства.

3.13 Требования к развитию и модернизации Киберполигона

3.13.1. Организационная и техническая инфраструктура

Киберполигона должна обеспечивать возможность развития и модернизации

путем добавления новых и расширения указанных в рамках данного ТЗ систем и

подсистем.

Page 21: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

19

4 Состав и содержание работ по созданию системы

4.1 Наименование этапов и сроки выполнения работ представлены в

таблице:

п/п

Наименование этапов работ Срок

выполнения

работ

1 Создан ИТ-киберполигон 12.2019

2 Создан Индустриальный киберполигон 12.2019

2.1 Создан стенд «Цифровая подстанция» 12.2019

2.2 Создана инфраструктура для проведения киберучений,

соревнований, обучения и тренировок

12.2019

2.3 Создана инфраструктура для тестирования СЗИ,

компонентов АСУ ТП и промышленного Интернета

12.2019

2.4 Создана инфраструктура для проведения исследований

защищенности

12.2019

2.5 Создана инфраструктура для проведения Bug Bounty 12.2019

3 Создан портал для проверки и информирования об

угрозах информационной безопасности уровня веб-

приложений

12.2019

4 Разработан план мероприятий (дорожная карта)

по развитию Киберполигона на 2020-2024 гг.

12.2019

5 Создано не менее 2 (двух) учебно-практических центров

тестирования программного обеспечения на наличие

уязвимостей и недекларированных возможностей, в том

числе, 1 (один) центр на базе Центра Цифрового Развития

Дальневосточного федерального университета

12.2019

Page 22: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

20

4.2 В рамках реализации этапа по Созданию стенда «Цифровая

подстанция» Исполнителем должны быть выполнены:

1. Техническое проектирование стенда «Цифровая

подстанция».

2. Монтажные и пусконаладочные работы.

3. Ввод технической инфраструктуры в действие.

4.3 В ходе технического проектирования должны быть разработаны

следующие типы документов:

ведомость технического проекта;

пояснительная записка;

структурная схема комплекса технических средств;

спецификация оборудования, изделий и материалов;

руководство пользователя.

4.4 В ходе этапа «Монтажные и пусконаладочные работы» должны

осуществляется следующие работы:

создание необходимых подразделений и рабочих мест;

подготовка площадки внедрения к развертыванию технической

инфраструктуры Киберполигона;

проверка комплектности программно-технических компонентов

Киберполигона;

монтаж и установка технической инфраструктуры Киберполигона;

настройка технической инфраструктуры Киберполигона для

обеспечения выполнения предъявляемых к ней требований и

функций.

Page 23: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

21

5 Порядок контроля и приемки системы

5.1 Приемка работ осуществляется поэтапно по факту выполнения этапов

работ.

Page 24: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

22

6 Требования к составу и содержанию работ по подготовке объекта

автоматизации к вводу системы в действие

6.1. Необходимо привести перечень основных мероприятий и их

исполнителей, которые следует выполнить при подготовке объекта автоматизации

к вводу АС в действие.

6.2. В перечень основных мероприятий включают:

1) приведение поступающей в систему информации (в соответствии с

требованиями к информационному и лингвистическому обеспечению) к виду,

пригодному для обработки с помощью ЭВМ;

2) изменения, которые необходимо осуществить в объекте автоматизации;

3) создание условий функционирования объекта автоматизации, при

которых гарантируется соответствие создаваемой системы требованиям,

содержащимся в ТЗ;

4) создание необходимых для функционирования системы подразделений

и служб;

5) сроки и порядок комплектования штатов и обучения персонала.

Page 25: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

23

7 Требования к документированию

7.1. Комплект документации предоставляется в 2 экземплярах в печатном

виде, а также 2 экземпляра в электронном виде.

7.2. При разработке, оформлении и изложении материалов результатов

работ должны учитываться требования действующих нормативно-технических

документов, указанных в п.1, а также:

ГОСТ 34.201-89 «Виды, комплектность и обозначения документов

при создании автоматизированных систем»;

РД 50-34.698-90 «Методические указания. Информационная

технология. Комплекс стандартов и руководящих документов на

автоматизированные системы. Автоматизированные системы.

Требования к содержанию документов»;

ГОСТ 2.105-95 «ЕСКД. Общие требования к текстовым

документам»;

ГОСТ 2.106-96 «ЕСКД. Текстовые документы»;

ГОСТ 2.104-2006 «ЕСКД. Основные надписи».

7.3. В электронном виде документы должны быть представлены в формате

РDF и MS Word 2010/2013.

7.4. Схемы, графические материалы оформляется с использованием

графического редактора AutoCAD и графического редактора Microsoft Visio.

Page 26: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

На выполнение работ по разработке модели угроз информационной

безопасности для персональных устройств сбора биометрических данных (холтер,

браслеты, часы, фитнес-трекеры и пр.) и дорожной карты по обеспечению

информационной безопасности при использовании гражданами указанного класса

технических средств в Российской Федерации в рамках реализации мероприятий

программы «Цифровая экономика Российской Федерации»

Актуальность выполнения работ.

Развитие технологий приводит к изменениям привычек и повышению качества

жизни людей. В последние несколько лет постоянно растет число устройств,

позволяющих пользователям следить за физиологическими параметрами человека:

• Программы и фитнес устройства для постоянного мониторинга активности.

• Дистанционный мониторинг состояния здоровья и контроль лечения.

• Мобильные диагностические устройства.

Необходимость разработки модели угроз регламентирована рядом нормативных

документов:

• приказом ФСТЭК России от 18 февраля 2013г. №21

• ФСТЭК России от 11 февраля 2013г. №17

• приказом ФСТЭК России от 14 марта 2014г. №31

• приказом ФСТЭК России от 25 декабря 2017г. №239

Цель работы.

Разработка модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) и

дорожной карты по обеспечению информационной безопасности при использовании

гражданами указанного класса технических средств в Российской Федерации.

Задачи.

Для достижения поставленной цели должны быть решены следующие задачи:

1. Разработка модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.)

2. Разработка обоснованного плана мероприятий по обеспечению

информационной безопасности при использовании гражданами персональных устройств

сбора биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) в

Российской Федерации.

Состав работ.

Для решения обозначенных задач необходимо провести следующие работы:

Входе разработки модели угроз информации (по требованиям нормативных

документов ФСТЭК) должны быть определено:

1. Наличие персональных данных или их части в типовых устройствах и

программных продуктах.

2. Угрозы безопасности персональных данных при их обработке в устройствах

сбора и обработки биометрических данных.

3. Угрозы безопасности информации, реализация которых может привести к

Page 27: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

нарушению безопасности информации в информационной системе, и разработку на их

основе модели угроз безопасности информации.

Модель угроз безопасности информации должна содержать описание

информационной системы и ее структурно-функциональных характеристик, а также

описание угроз безопасности информации, включающее описание возможностей

нарушителей (модель нарушителя), возможных уязвимостей информационной системы,

способов реализации угроз безопасности информации и последствий от нарушения

свойств безопасности информации:

• описание часто повторяющихся типовых данных пользователя

• описание типовой информационной системы;

• структурно-функциональные характеристики;

• описание угроз безопасности;

• модель нарушителя;

• возможные уязвимости;

• способы реализации угроз;

• последствия от нарушения свойств безопасности информации;

• описание объекта защиты;

• перечень возможных угроз;

• оценки исходной защищенности устройств;

• оценки возможности угроз;

• оценки опасности угроз;

• перечень актуальных угроз.

В ходе разработки модели нарушителя информации (по требованиям нормативных

документов ФСБ) должны быть сформированы:

• перечень контрмер, нейтрализующих или уменьшающих вероятность

реализации угрозы безопасности информации;

• обоснованы и описаны технические решения по защиты информации;

• обоснованы и описаны организационные решения по защиты информации.

• описания объекта защиты

• описания угроз (модель угроз);

• типизации нарушителей;

• предположения об имеющейся у нарушителей информации;

• предположения об имеющихся у нарушителей средствах атак;

• предположения об ограничениях на возможности нарушителей;

• предположения о возможностях нарушителей каждого типа (с учетом

ограничений) и способов осуществления атак.

В ходе разработки дорожной карты необходимо:

1. Подготовить обоснованный проект плана мероприятий («дорожную карту»)

«Безопасность при использовании гражданами персональных устройств сбора

биометрических данных в Российской Федерации», необходимых для поэтапного

обеспечения информационной безопасности при использовании гражданами

персональных устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-

трекеры и пр.) в Российской Федерации.

2. Разработать предложения по способам и механизмам реализации

подготовленного плана мероприятий с учетом тенденций научно-технического и

технологического развития России с обязательным рассмотрением следующих возможных

методов:

• нормативного правового регулирования;

• материального стимулирования;

• нематериального регулирования;

Page 28: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

• развития связанных с биометрическими данными отраслей

промышленности.

Результаты работ

1. Модель угроз информационной безопасности для персональных устройств сбора

биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.).

2. План мероприятий по обеспечению информационной безопасности при

использовании гражданами персональных устройств сбора биометрических данных

(холтер, браслеты, часы, фитнес-трекеры и пр.) в Российской Федерации.

Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов должны

учитываться требования действующих нормативно-технических документов, указанных в

п.1, а также:

• ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и

издательскому делу. Отчёт о научно-исследовательской работе. Структура и правила

оформления»;

• ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в рамках

настоящей работы, и состав документов, входящих в каждый из них, должны

соответствовать требованиям законодательства Российской Федерации.

Основной текст отчетных материалов оформляется на русском языке, печатным

(машинным) способом с использованием персонального компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом редакторе Microsoft

Office Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать стандартному формату

А4 (210 × 297 мм). В обоснованных случаях допускается использовать другой формат А3

(297 × 420 мм), при этом листы должны быть укомплектованы в едином документе

(формате).

Схемы, графические материалы оформляется с использованием графического

редактора AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных толкований,

логически последовательным. Ошибки, опечатки, графические неточности, помарки,

повреждения листов не допускаются. Вносить в текст отчетных материалов отдельные

слова, формулы, знаки, буквы, символы, графики, рисунки рукописным способом не

допускается.

Для наглядности и удобства изложения применяют таблицы, графический

материал, схемы, формулы.

В документации должны применяться общепринятые условные обозначения,

единицы величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и греческий

алфавит, для обозначения сокращения, формул, величин, символов и т.п.

Результаты работ (отчетные материалы) на бумажных носителях представляются в

виде оформленных сшитых томов. На титульном листе должны быть оригинальные

печати организации разработчика и подлинные подписи руководителя организации. На

следующей странице должны быть подписи руководителя работ и основных

исполнителей. Таблицы, а также иные материалы, расчеты и обоснования могут быть

представлены в виде отдельных приложений. Объем приложений не ограничивается.

Электронные версии отчетных материалов и приложений предоставляются на носителях

Page 29: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

(флеш-карта) в качестве приложения к отчетным материалам.

Page 30: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 31: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 32: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 33: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 34: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 35: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 36: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 37: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика
Page 38: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

ПРОЕКТ

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на выполнение работ по разработке требований к устойчивости и

безопасности сетей связи и оборудования органов государственной

власти (за исключением высших органов государственной власти) и

организаций различных организационно-правовых форм, в рамках

реализации мероприятий федерального проекта «Информационная

безопасность» национальной программы «Цифровая экономика

Российской Федерации», подлежащих финансированию за счёт

бюджетных средств Российской Федерации в 2019 году

(Шифр темы: 05.02.001.008.001)

1. Общие сведения

1.1. Наименование и способ определения поставщика (исполнителя,

подрядчика)

Открытый конкурс.

1.2. Предмет контракта

Разработка требований к устойчивости и безопасности сетей связи и

оборудования органов государственной власти (за исключением

высших органов государственной власти) и организаций различных

организационно-правовых форм.

1.3. Начальная (максимальная) цена контракта

В соответствии с подпунктом 16 пункта 3 статьи 149 Налогового

кодекса Российской Федерации выполнение работ по контракту

налогом на добавленную стоимость не облагается.

1.4. Источник финансирования

Федеральный бюджет Российской Федерации

КБК 071 04 11 2340019 241 226

1.5. Государственный заказчик

Министерство связи и массовых коммуникаций Российской

Федерации (далее - Заказчик).

1.6. Участник закупки

Участник закупки - любое юридическое лицо независимо от его

организационно-правовой формы, формы собственности, места

нахождения и места происхождения капитала или любое физическое

лицо, в том числе зарегистрированное в качестве индивидуального

Page 39: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

предпринимателя.

1.7. Поставщик (исполнитель, подрядчик)

Поставщик (исполнитель, подрядчик) - участник закупки, с которым

заключен государственный контракт (далее - Поставщик

(исполнитель, подрядчик)).

2. Основание для осуществления закупки

2.1. Нормативные правовые основания для осуществления закупки

1) Протокол президиума Правительственной комиссии по цифровому

развитию, использованию информационных технологий для

улучшения качества жизни и условий ведения

предпринимательской деятельности от 27 декабря 2018 г №6.

2.2. Ожидаемый результат

1) Требования к устойчивости и безопасности сетей связи и

оборудования органов государственной власти (за исключением

высших органов государственной власти) и организаций различных

организационно-правовых форм.

2.3. Цель

Основной целью проведения исследования является обеспечение

устойчивости и безопасности функционирования сетей связи органов

государственной власти (за исключением высших органов

государственной власти) и организаций различных организационно-

правовых форм.

2.4. Задачи

1) Характеристика потребностей органов государственной власти в

части обеспечения устойчивости и безопасности

функционирования сетей связи при потреблении услуг связи.

2) Выявление особенностей обеспечения устойчивости и

безопасности телекоммуникационной инфраструктуры на

различных этапах жизненного цикла оказания услуг связи органам

власти.

3) Разработка требований к устойчивости и безопасности сетей связи

органов государственной власти (за исключением высших органов

государственной власти) и организаций различных

организационно-правовых форм.

4) Разработка требований к оборудованию для целей обеспечения

устойчивости и безопасности функционирования сетей связи

органов государственной власти (за исключением высших органов

Page 40: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

государственной власти) и организаций различных

организационно-правовых форм.

3. Описание объекта закупки

3.1. Состав работ

Разработка требований к устойчивости и безопасности сетей связи и

оборудования органов государственной власти (за исключением

высших органов государственной власти) и организаций различных

организационно-правовых форм содержит следующие разделы:

3.1.1. Характеристика существующей практики обеспечения

потребностей органов власти в услугах связи и

инфокоммуникационной инфраструктуре, в том числе за счет

использования инфокоммуникационной инфраструктуры,

принадлежащей органам власти, а также за счет использования

инфраструктуры сетей связи и услуг связи, предоставляемых третьими

лицами.

3.1.1.1. Характеристика и классификация органов власти в

зависимости от потребностей в инфокоммуникационной

инфраструктуре и услугах связи, в том числе федеральных и

региональных органов власти, а также органов местного

самоуправления.

3.1.1.2. Характеристика телекоммуникационной и информационной

инфраструктуры органов власти, создаваемой в рамках отдельных

государственных программ.

3.1.1.3. Характеристика существующего порядка оказания услуг

связи органам власти.

3.1.2. Анализ зарубежной практики обеспечения потребности органов

государственного управления в услугах связи.

3.1.2.1. Исследование принципов регулирования сетей связи и

оборудования органов государственной власти иностранных

государств (США, Германия, Великобритания, КНР и др.).

3.1.2.2. Проведение сравнительного анализа принципов

регулирования сетей связи и оборудования органов

государственной власти иностранных государств, а также оценка

применимости лучших зарубежных практик

3.1.3. Анализ особенностей оказания услуг связи органам власти в

части задач обеспечения устойчивости и информационной

безопасности.

3.1.3.1. Классификация услуг связи в зависимости от целей, задач и

Page 41: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

условий использования услуг связи.

3.1.3.2. Особенности услуг связи, используемых для целей

обращения граждан.

3.1.3.3. Особенности услуг связи, используемых для организации

рабочего процесса, внутриведомственного и межведомственного

документооборота органов власти.

3.1.3.4. Особенности услуг связи, используемых для обеспечения

функционирования государственных информационных систем и

иных информационных систем, принадлежащих органам власти.

3.1.3.5. Особенности оказания услуг связи в условиях

чрезвычайных ситуаций и чрезвычайного положения.

3.1.4. Анализ особенностей обеспечения устойчивости

телекоммуникационной инфраструктуры, задействуемой в целях

оказания услуг связи органам власти.

3.1.4.1. Анализ факторов, влияющих на обеспечение устойчивости

сетей связи, связанных с технологическими особенностями

построения сетей связи, структурой и топологией сетей связи.

3.1.4.2. Анализ факторов, влияющих на обеспечение устойчивости

сетей связи, связанных с особенностями организации технической

эксплуатации.

3.1.5. Анализ особенностей обеспечения безопасности

функционирования телекоммуникационной инфраструктуры,

задействуемой в целях оказания услуг связи органам власти.

3.1.5.1. Анализ модели угроз безопасности функционирования сетей

связи ОГВ и процесса оказания услуг органам власти

(разрабатывается с учетом результатов, полученных в рамках вехи

05.01.001.001. Плана мероприятий по направлению

«Информационная безопасность» программы «Цифровая экономика

Российской Федерации»).

3.1.5.2. Особенности обеспечения безопасности функционирования

сетей связи при оказании, на базе их инфраструктуры, услуг

телефонной связи органам власти.

3.1.5.3. Особенности обеспечения безопасности функционирования

сетей связи при оказании, на базе их инфраструктуры, услуг

передачи данных органам власти.

3.1.5.4. Особенности обеспечения информационной безопасности

при оказании органам власти услуг доступа к Интернет.

3.1.5.5. Особенности обеспечения информационной безопасности

виртуальных частных сетей, создаваемых в интересах органов

власти на базе сетей передачи данных общего пользования.

3.1.6. Требования к устойчивости сетей связи при оказании услуг

Page 42: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

связи органам власти.

3.1.6.1. Требования к устойчивости сетевой инфраструктуры,

задействуемой при оказании услуг связи органам власти, в том

числе:

3.1.6.1.1. Требования к устойчивости сетевой инфраструктуры

(или ее технологических фрагментов), обеспечивающей

организацию и функционирование каналов связи.

3.1.6.1.2. Требования к устойчивости сетевой инфраструктуры

при оказании услуг телефонной связи.

3.1.6.1.3. Требования к устойчивости сетевой инфраструктуры

при оказании услуг передачи данных.

3.1.6.2. Требования по проектированию сетей связи в части

вопросов обеспечения устойчивости.

3.1.6.3. Требования к организации технической эксплуатации сетей

связи в части вопросов обеспечения устойчивости.

3.1.6.4. Требования к организации технической поддержки оказания

слуг связи органам власти.

3.1.6.5. Требования к организации учета технических ресурсов,

выделяемых и/или задействуемых в процессе оказания услуг

органам власти.

3.1.6.6. Требования к организации контроля параметров

устойчивости сети и параметров надежности оказания услуг связи

органам власти.

3.1.7. Требования к безопасности функционирования сетей связи при

оказании услуг органам власти.

3.1.7.1. Требования к характеристикам услуг связи, оказываемых

органам власти, в части защиты информации, с учетом классов

защищенности информационных систем, для обеспечения

функционирования которых используются данные услуги связи

3.1.7.2. Требования к защите от воздействий и DDoS-атак на

элементы сетей связи, задействуемые для оказания услуг связи

органам власти, в том числе требований к фильтрации и блокировке

трафика, а также к системам обнаружения и предотвращения

воздействий.

3.1.7.3. Требования к безопасности функционирования сетей связи

при оказании органам власти услуг доступа к российскому

государственному сегменту сети Интернет.

3.1.7.4. Требования к безопасности функционирования сетей связи,

используемых для организации взаимодействия государственных

информационных систем, а также информационных систем органов

власти.

Page 43: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

3.1.8. Требования к оборудованию сетей связи органов власти в части

вопросов обеспечения устойчивости функционирования сетей связи и

информационной безопасности.

3.1.8.1. Требования к оборудованию систем передачи в части

вопросов обеспечения устойчивости функционирования сетей связи

и информационной безопасности.

3.1.8.2. Требования к оборудованию маршрутизации и коммутации

пакетов в части вопросов обеспечения устойчивости

функционирования сетей связи и информационной безопасности.

3.1.8.3. Требования к оборудованию, применяемому для оказания

услуг телефонной связи в части вопросов обеспечения

устойчивости функционирования сетей связи и информационной

безопасности.

3.1.8.4. Требования к оборудованию средств криптографической

защиты информации.

3.2. Требования к качеству работ и оформлению результатов работ

Документальное оформление отчетных материалов должно

производиться в соответствии с требованиями следующих стандартов:

- ГОСТ 7.32-2001 «Система стандартов по информации,

библиотечному и издательскому делу. Отчёт о научно-

исследовательской работе. Структура и правила оформления»;

- ГОСТ 15.101-98 «Система разработки и постановки продукции

на производство. Порядок выполнения научно-исследовательских

работ»;

- РД 50-34.698-90 «Методические указания. Информационная

технология. Комплекс стандартов и руководящих документов на

автоматизированные системы. Автоматизированные системы.

Требования к содержанию документов».

Оформление проектов нормативных правовых актов,

разработанных в рамках настоящей работы, и состав документов,

входящих в каждый из них, должны соответствовать требованиям

«Правил подготовки нормативных правовых актов федеральных

органов исполнительной власти и их государственной регистрации»,

утвержденных постановлением Правительства Российской Федерации

от 13 августа 1997 г. № 1009.

3.3. Исходные данные для выполнения работ

Исходными данными для проведения работы являются:

1) Действующие постановления, распоряжения Правительства

Российской Федерации, нормативные правовые акты отрасли связи,

а также проекты таких актов, полученные Исполнителем из

открытых источников, либо предоставленные Заказчиком.

2) Информация о модели угроз и нарушителя для операторов связи,

Page 44: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

полученная в рамках реализации мероприятия 05.01.001.001.001

программы «Цифровая экономика Российской Федерации».

3) При выполнении работы могут учитываться методические

материалы и стандарты международных организаций связи,

оказывающие влияние устойчивость и безопасность

функционирования сетей электросвязи.

4) При выполнении работы должны учитываться иные источники

правовой, технической и технологической информации.

4. Требования к гарантийному сроку и объему предоставления гарантий

качества работы

Качество выполняемых Исполнителем работ должно соответствовать

требованиям, установленным в Техническом задании, а также требованиям,

обычно предъявляемым к работам соответствующего рода. Результат

выполненных работ должен в момент передачи Заказчику обладать

свойствами, указанными в Техническом задании, и свойствами,

определенными обычно предъявляемыми требованиями к такому виду работ.

Если законом, иными правовыми актами или в установленном ими

порядке предусмотрены обязательные требования к работам, выполняемым

по Контракту, Исполнитель обязан выполнять работы, соблюдая эти

обязательные требования.

К обязательным требованиям, в том числе относятся: требования к

качеству результата, обеспечивающие его безопасность для жизни и здоровья

населения, охрану окружающей среды.

Исполнитель принимает на себя обязательства по гарантии качества

результатов, полученных при выполнении работ. Срок предоставления

гарантии качества - 36 (тридцать шесть) месяцев с даты приемки результатов

работ Заказчиком (дата подписания Заказчиком Финального Акта сдачи-

приемки выполненных работ).

В гарантии качества, предоставляемые Исполнителем, должны входить

выполняемые по письменному запросу Заказчика в гарантийный период

работы по коррекции текста разработанных проектов документов, а также

работы по участию в необходимых согласованиях проектов нормативных

правовых актов, разработанных по результатам выполнения настоящей

работы. В период гарантийного срока Исполнитель безвозмездно выполняет

указанные выше работы, срок выполнения которых устанавливается по

согласованию между Заказчиком и Исполнителем, но не должен превышать

30 календарных дней.

Page 45: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

5. Место и условия выполнения работ

Результаты выполненной работы предоставляются Заказчику в

соответствии с перечнем документов, определенным в пункте 6 настоящего

технического задания.

Место проведения работ: по адресу Исполнителя, Заказчика и иных

привлекаемых в рамках поставленных задач организаций.

6. Сроки (периоды) выполнения работ

этапа

Наименование этапов

работ

Отчетная

документация

по этапу

Срок

окончания

работ

Стоимость

выполнения

работ

1. Требования к

устойчивости и

безопасности сетей связи и

оборудования органов

государственной власти (за

исключением высших

органов государственной

власти) и организаций

различных

организационно-правовых

форм

Июнь

2019

1.1 Анализ особенностей

оказания услуг связи

органам власти в части

задач обеспечения

устойчивости и

информационной

безопасности.

Отчет о

выполнении

работ в

соответствии

с пунктами

3.1.1. – 3.1.3.

настоящего

технического

задания

1.2 Требования к

устойчивости и

безопасности сетей связи

при оказании услуг связи

органам власти

Отчет о

выполнении

работ в

соответствии

с пунктами

3.1.4. – 3.1.7.

настоящего

технического

задания

1.3 Требования к

оборудованию сетей связи

органов власти в части

вопросов обеспечения

Отчет о

выполнении

работ в

соответствии

Page 46: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

устойчивости

функционирования сетей

связи и информационной

безопасности

с пунктом

3.1.8.

настоящего

технического

задания

1.4 Семинар по обсуждению

проекта требований к

устойчивости и

безопасности сетей связи и

оборудования органов

государственной власти (за

исключением высших

органов государственной

власти) и организаций

различных

организационно-правовых

форм. Условия проведения

семинара устанавливаются

пунктом 7 настоящего

технического задания.

Результаты выполненной работы оформляются в соответствии с

требованиями, определенными в пункте 3.2 настоящего технического

задания.

Результаты выполненной работы предоставляются Заказчику на

бумажном и электронном носителях в двух экземплярах на каждом носителе

по адресу Заказчика.

Page 47: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

1

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

На выполнение работ по проведению анализа потребностей рынка в регулировании

деятельности операторов связи промышленного Интернета; по разработке требований

к операторам промышленного Интернета; по проведению анализа и оценки адекватности рискам и

угрозам информационной безопасности существующих стандартов киберфизических систем,

включая «Интернет вещей»; по разработке проектов стандартов безопасности

для киберфизических систем, включая «Интернет вещей», а также – требований и методик проверки

киберфизических систем, включая «Интернет вещей».

(Шифр мероприятий: 05.02.002.003.001; 05.02.002.003.002)

1. Актуальность работ

В настоящее время рынок промышленного «интернета вещей» (далее – IoT) на территории

Российской Федерации ежегодно увеличивается, к 2022 году прогнозируется трехкратный рост

объема рынка. Наиболее активно технологии IoT применяются в следующих отраслях:

Энергетика, системы энергоснабжения и коммунальные службы;

Транспорт и логистика (в т.ч. беспилотный транспорт);

Промышленность (производство машин и оборудования);

Банковская деятельность, торговля и финансы;

Здравоохранение, страховые компании;

Безопасность, МЧС;

Госсектор.

На сегодняшний день инциденты с устройствами интернета вещей входят в тройку угроз с

наибольшим финансовым ущербом для компаний. Это относится к компаниям как малого и

среднего бизнеса, так и к большим корпорациям. Сбои в работе операторов IoT или хакерские атаки

при наличии уязвимостей в киберфизических системах могут влиять на объекты критической

информационной инфраструктуры. Причем негативный эффект возможен по всем категориям

значимости: социальной (массовое отключение электроснабжения, транспортный коллапс),

политической (прекращение функционирование органов государственной власти), экономической

(финансовый ущерб бюджету РФ, за счет финансовых потерь крупных финансовых структур,

приведших к уменьшению отчисления налогов), экологической (авария на производственных

предприятиях или в процессе транспортировки опасных грузов).

Одной из проблем в сфере кибербезопасности индустриальных IoT-устройств до сих пор

остается отсутствие единых требований к функционированию операторов промышленного

Интернета стандартов безопасности киберфизических систем. Существует необходимость

определения основных понятий и терминов, разработки методов и принципов оценки и снижения

риска, способствующих обеспечению физической и экономической безопасности населения при

предоставлении услуг операторами IoT.

С учетом изложенного задачи по созданию и унификации требований к операторам

промышленного Интернета и стандартизации требований к информационной безопасности

киберфизических систем являются актуальными.

Page 48: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

2

2. Основания для осуществления работ

2.1. Нормативные правовые основания для осуществления работ

Паспорт федерального проекта «Информационная безопасность» национальной программы

«Цифровая экономика», утвержденный на заседании президиума Правительственной комиссии по

цифровому развитию, использованию информационных технологий для улучшения качества жизни

и условий ведения предпринимательской деятельности (протокол от 6 мая 2019 г. № 8).

2.2. Цель выполняемых работ

Разработать требования к операторам промышленного Интернета.

Разработать проекты стандартов безопасности киберфизических систем, включая устройства

«Интернета вещей» а также требования и методики проверки киберфизических систем, включая

«Интернет вещей» на соответствие закону «О безопасности критической информационной

инфраструктуры Российской Федерации» другим требованиям безопасности.

2.3. Задачи

2.3.1. Проведение анализа потребностей рынка в регулировании деятельности операторов

связи промышленного Интернета. По результатам анализа разработать требования к операторам

промышленного Интернета и проект НПА, содержащий санкции и штрафы за нарушения

требований к операторам промышленного Интернета, включая «Интернет вещей».

2.3.2. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем, включая «Интернет вещей». По

результатам разработаны проекты стандартов безопасности киберфизических систем, включая

«Интернет вещей», проект НПА, содержащий санкции и штрафы за нарушения соответствия

стандартам безопасности киберфизических систем, включая «Интернет вещей», а также -

требования и методики проверки киберфизических систем, включая «Интернет вещей» на

соответствие закону «О безопасности критической информационной инфраструктуры Российской

Федерации» другим требованиям безопасности.

2.4. Результаты работ

2.4.1. Проведен анализ потребностей рынка в регулировании деятельности операторов связи

промышленного Интернета.

2.4.2. Разработаны требования или правила регулирования информационной безопасности для

операторов связи промышленного Интернета (беспилотных систем и т.д.).

2.4.3. Разработан проект НПА, содержащий санкции и штрафы за нарушения требований к

операторам промышленного Интернета, включая «Интернет вещей».

2.4.4. Проведен анализ и оценка адекватности рисками угрозам информационной безопасности

существующих стандартов киберфизических систем, включая «Интернет вещей».

2.4.5. Разработаны проекты стандартов безопасности киберфизических систем.

2.4.6. Разработан проект НПА, содержащий санкции и штрафы за нарушения соответствия

стандартам безопасности киберфизических систем, включая «Интернет вещей»

Page 49: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

3

2.4.7. Разработаны требования и методики проверки киберфизических систем, включая

«Интернет вещей» на соответствие закону «О безопасности критической информационной

инфраструктуры Российской Федерации» другим требованиям безопасности.

3. Перечень условных обозначений и сокращений

ГОСТ Государственный стандарт;

ЕСКД Единая система конструкторской документации;

МЭК Международная электротехническая комиссия;

РД Руководящий документ;

ФЗ Федеральный закон;

ФСТЭК России Федеральная служба по техническому и экспортному контролю.

4. Термины и определения

Безопасность

киберфизических систем

Экологическая, национальная, промышленная, пожарная,

информационная, экономическая, военная, внутренняя,

внешняя безопасность киберфизических систем;

Интернет вещей (IoT) Сеть физических объектов, содержащих встроенный механизм

взаимного обмена информацией о состоянии физических

объектов или окружающей среды;

Оператор связи Юридическое лицо или индивидуальный предприниматель,

оказывающие услуги связи на основании соответствующей

лицензии;

Оператор Интернета вещей

(Оператор IoT)

Оператор связи, который оказывает услуги связи в сети

Интернета вещей;

Оператор промышленного

Интернета (Оператор связи

промышленного Интернета,

Оператор IIoT)

Оператор связи, который оказывает услуги связи в сетях

промышленного Интернета;

Промышленный интернет

(индустриальный интернет,

промышленный интернет

вещей, IIoT)

Концепция построения вычислительных сетей,

инфокоммуникационных инфраструктур, подразумевающая

подключение к компьютерным сетям любых небытовых

устройств, оборудования, датчиков, сенсоров,

автоматизированной системы управления технологическим

Page 50: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

4

процессом (АСУ ТП), а также интеграцию данных элементов

между собой;

Киберфизическая система Информационно-технологическая концепция,

подразумевающая интеграцию вычислительных ресурсов в

физические сущности любого вида, включая биологические и

рукотворные объекты.

Рынок промышленного

интернета

Оборудование, роботизированные системы, датчики, ПО и

платформы, инфраструктура и сети, интеграция и другие

услуги, используемые для построения и эксплуатации объектов

промышленного интернета вещей;

Сеть связи промышленного

Интернета (сеть

промышленного Интернета)

Сеть связи, используемая для построения и эксплуатации

систем и объектов промышленного Интернета;

Термины и определения, приведенные в данном разделе, будут уточнены в ходе проведения

работ.

5. Перечень нормативных правовых актов

При выполнении работ Исполнитель должен руководствоваться требованиями действующих

нормативно правовых актов в Российской Федерации в том числе постановлений, распоряжений

Правительства Российской Федерации, нормативно правовых актов отрасли связи, а также проектов

таких актов, полученных Исполнителем из открытых источников, либо предоставленных

Заказчиком, национальных стандартов в том числе:

Федеральный закон от 07.07.2003 № 126-ФЗ «О Связи»;

Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании»;

Федеральный закон от 26.07.2017г. № 187-ФЗ «О безопасности критической

информационной инфраструктуры Российской Федерации»;

Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об

утверждении правил категорирования объектов критической информационной

инфраструктуры российской федерации, а также перечня показателей критериев значимости

объектов критической информационной инфраструктуры российской федерации и их

значений;

Приказ ФСТЭК России от 25.12.2017 г. № 239 «Об утверждении требований по

обеспечению безопасности значимых объектов критической информационной инфраструктуры

российской федерации»;

Федеральный закон от 29.06.2015 «О стандартизации в Российской Федерации»;

Порядок разработки основополагающих национальных стандартов РФ, правил

стандартизации и рекомендаций по стандартизации, внесения в них изменений, порядок

редактирования и подготовки к утверждению, порядок их утверждения и отмены,

утвержденный приказом Минпромторга России от 6 июля 2017г. №2170;

Page 51: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

5

Порядок проведения экспертизы проектов документов, разрабатываемых и применяемых в

национальной системе стандартизации, утвержденным приказом Росстандарта от 5 мая 2016г.

№547;

Стратегия развития информационного общества в Российской Федерации на 2017 - 2030

годы, утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. № 203 «О

Стратегии развития информационного общества в Российской Федерации на 2017 - 2030

годы»;

Указ Президента РФ от 07.05.2018 № 204 (ред. от 19.07.2018) «О национальных целях и

стратегических задачах развития Российской Федерации на период до 2024 года»;

"Методические указания по разработке планов мероприятий по направлениям реализации

программы «Цифровая экономика Российской Федерации» (утв. протоколом заседания

подкомиссии по цифровой экономике Правительственной комиссии по использованию

информационных технологий для улучшения качества жизни и условий ведения

предпринимательской деятельности от 29.11.2017 №7);

«Базовая модель угроз безопасности информации в ключевых системах информационной

инфраструктуры» (утв. ФСТЭК России 18.05.2007);

Серия ГОСТ Р ИСО/МЭК 27XXX «Информационная технология. Методы и средства

обеспечения безопасности. Системы менеджмента информационной безопасности»;

ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства

обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности

информационных и телекоммуникационных технологий»;

ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения»;

ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;

ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в

организации. Основные термины и определения»;

ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании

технологий виртуализации. Общие положения»;

РД 50-34.698.90 «Методические указания. Информационная технология. Комплекс

стандартов на автоматизированные системы. Автоматизированные системы. Требования к

содержанию документов»;

РД. «О мерах по обеспечению информационной безопасности Российской Федерации при

использовании информационно-телекоммуникационных сетей международного

информационного обмена». Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015);

Проект изменений в Федеральный закон от 27.07.2006 № ФЗ-149 «Об информации,

информационных технологиях и о защите информации» № 571124-7.

Также Исполнитель должен учитывать требования международных стандартов в том числе:

ISO/IEC 20546 «Информационные технологии – Большие данные – Определение и

словарь»;

Серия ISO/IEC 20547 «Информационные технологии – Базовая архитектура больших

данных»;

ISO/IEC 20924:2018 «Information technology -- Internet of Things (IoT) -- Vocabulary».

Page 52: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

6

6. Требования к выполняемым работам

Требования к выполняемым работам разделены в соответствии с задачами, исполнение

которых необходимо для достижения цели.

6.1. Проведение анализа потребностей рынка в регулировании деятельности операторов

промышленного Интернета. По результатам анализа разработать требования к операторам

промышленного Интернета.

6.1.1. Этапы выполнения работ

Наименование этапов и сроки выполнения работ представлены в таблице 1.

Таблица 1 – Наименования этапов и сроки выполнения работ

№ Наименование этапов работ Срок выполнения

работ по этапу

1 Определение целей, субъектов, объектов и области действия стандартов рынка

промышленного Интернета, включая «Интернет вещей» 10/2019

2 Анализ государственного регулирования деятельности рынка промышленного

Интернета, включая «Интернет вещей» 10/2019

3* Разработка требований к регулированию деятельности операторов промышленного

интернета. 12/2019

4* Лицензирование деятельности 12/2019

5* Предоставление услуг операторов промышленного Интернета 12/2019

6* Обеспечение защиты прав пользователей операторскими услугами в области

промышленного Интернета 12/2019

7* Ответственность за соблюдение требований и стандартов 12/2019

(*) Состав работ, выполняемых в рамках данных этапов уточняется на основании результатов этапов

1-2.

6.1.2. Описание работ

Работы проводятся в шесть этапов:

Этап I. Определение целей, субъектов, объектов и области действия стандартов рынка

промышленного Интернета, включая «Интернет вещей»

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка общих положений требований и стандартов;

1.1. Формулировка целей разрабатываемых стандартов и требований;

1.2. Определение основных понятий, используемых в разрабатываемых требованиях и

стандартах (в т.ч. киберфизические системы, интернет вещей, промышленный интернет);

1.3. Уточнение сферы действия стандартов;

1.4. Анализ существующего законодательства Российской Федерации в области

промышленного Интернета, включая «Интернет вещей»;

Page 53: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

7

1.5. Анализ результатов, полученных в рамках ранее выполненных работ на территории

Российской Федерации по данной тематике и координация с осуществляемыми в

настоящий момент проектами и инициативам.

2. Анализ основ деятельности, осуществляемой в рамках функционирования

промышленного Интернета, включая «Интернет вещей».

2.1. Услуги, предоставляемые в рамках функционирования промышленного Интернета,

включая «Интернет вещей».

2.2. Категории субъектов, предоставляющих услуги в рамках функционирования

промышленного Интернета, включая «Интернет вещей».

2.3. Категории операторов сетей и средств связи промышленного Интернета, включая

«Интернета вещей».

2.4. Категории потребителей услуг промышленного Интернета, включая «Интернет

вещей».

2.5. Организация деятельности, осуществляемой в рамках функционирования

промышленного Интернета, включая «Интернет вещей»:

- при создании объектов промышленного Интернета, включая «Интернет вещей»

(например, разработка (в том числе системы безопасности), наполнение, реализация,

испытание, лицензирование, установка);

- при эксплуатации объектов промышленного Интернета, включая «Интернет вещей»

(например, верификация, поддержка, обеспечение информационной безопасности,

модернизация, контроль);

- при выводе из эксплуатации объектов промышленного Интернета, включая «Интернет

вещей» (например, изменение назначения, утилизация).

2.6. Особенности деятельности, осуществляемой при создании и эксплуатации сетей

связи промышленного Интернета на приграничной территории Российской Федерации.

2.7. Регистрация права собственности и других имущественных прав на объекты

промышленного Интернета, включая «Интернет вещей».

2.8. Состав и структура рынка промышленного Интернета, включая «Интернет вещей».

2.9. Анализ потребностей рынка в регулировании операторов связи промышленного

Интернета, включая «Интернет вещей» в разрезе субъектов рынка.

3. Анализ и классификация типов сетей связей промышленного Интернета.

3.1. По территориальному признаку (районные, городские, субъектовые, федеральные и

иные).

3.2. По функциональному назначению (бытовые (например, умный дом), хозяйственные

(например, умный город), технологические (например, управление производством),

специальные (например, управление автомобилем или беспилотным летательным

аппаратом) и иные).

3.3. По ведомственной принадлежности (здравоохранение, военные, коммунальные,

транспортные и иные).

3.4. По среде передачи данных (проводные (например, в волоконно-оптических линиях

связи, в витой паре или в линиях электропередач), беспроводные (например, радиоканал) и

иные).

Page 54: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

8

3.5. По типам подключаемых киберфизических систем («Интернет вещей»,

автоматизированные системы управления технологическим процессом,

автоматизированные системы управления производством, беспилотные летательные

аппараты, системы военного назначения, робототехнические системы и иные).

3.6. По типу управления (автоматические, автоматизированные и иные).

3.7. По иным характеристикам.

Результатом выполненных по этапу работ будет являются следующие разделы требований:

Общие положения;

Виды деятельности, осуществляемой в рамках промышленного Интернета и подпадающей

под данное регламентирование, а также субъекты и объекты промышленного Интернета,

включая «Интернет вещей»;

Перечень потребностей рынка в регулировании операторов связи промышленного

Интернета, включая «Интернет вещей» в разрезе субъектов рынка.

Классификация типов сетей связи промышленного Интернета, включая «Интернет вещей».

Этап II. Анализ государственного регулирования деятельности рынка промышленного

Интернета, включая «Интернет вещей»

В рамках данного этапа Исполнителем должны быть выполнены:

1. Анализ существующих нормативно правовых актов, регулирующих деятельность рынка

промышленного Интернета на территории Российской Федерации.

1.1. Анализ существующих нормативных правовых актов, регулирующих деятельность

рынка промышленного Интернета зарубежных государств.

1.2. Анализ существующих нормативных правовых актов, регулирующих деятельность

рынка промышленного Интернета на территории Российской Федерации.

1.3. Анализ неохваченных законодательством Российской Федерации аспектов рынка

промышленного Интернета.

2. Подготовка перечня стандартов безопасности киберфизических систем с разбиением в

соответствии с ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в

стандарты.» название на:

основополагающие стандарты на безопасность;

групповые стандарты на безопасность;

стандарты на безопасность продукции;

стандарты на продукцию, содержащие аспекты безопасности.

Результатом работ по этапу должны являться:

Аналитический обзор о текущих положениях и нормативно правовых актах, регулирующих

в настоящий момент деятельность операторов промышленного Интернета.

Перечень стандартов безопасности киберфизических систем с разбиением в соответствии с

ГОСТ Р 51898-2002.

Page 55: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

9

Этап III. Разработка требований к регулированию деятельности операторов

промышленного интернета.

1. Организация регулирования деятельности операторов промышленного интернета.

2. Регулирование использования радиочастотного спектра.

3. Распределение радиочастотного спектра, используемого операторами промышленного

Интернета.

4. Выделение полос радиочастот и присвоение радиочастот или радиочастотных каналов.

5. Контроль за излучениями радиоэлектронных средств или радиочастотных каналов,

используемых операторами промышленного Интернета.

6. Регулирование ресурсов нумерации.

7. Федеральный государственный надзор в области промышленного Интернета, включая

«Интернет вещей».

8. Регулирование тарифов на услуги, предоставляемые в рамках функционирования

промышленного Интернета, включая «Интернет вещей».

9. Регулирование использование (применения) средств криптографической защиты

информации и оценки встраивания криптографических механизмов защиты в объекты

промышленного Интернета, включая «Интернет вещей».

10. Контроль за обеспечением безопасности объектов промышленного Интернета, в том

числе киберфизических систем.

Результатом работ по этапу является:

Раздел требований, регламентирующий правила, регулирующие деятельность операторов

промышленного Интернета на территории Российской Федерации.

Этап IV. Лицензирование деятельности

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка требований к лицензированию деятельности в области организации сетей

связи промышленного Интернета и оценка соответствия.

1.1. Общие принципы лицензирования деятельности в области организации и

эксплуатации сетей связи промышленного Интернета.

1.2. Разработка перечня осуществления лицензируемой деятельности в области оказания

услуг связи для промышленного Интернета.

1.3. Требования к заявлению о предоставлении лицензии на осуществление деятельности

оператора промышленного Интернета.

1.4. Правила торгов (аукционов, конкурсов) на получение лицензии оператора

промышленного Интернета.

1.5. Порядок рассмотрения заявления о предоставлении лицензии и выдаче лицензии

оператору промышленного Интернета.

1.6. Определение сроков действия лицензии оператора промышленного Интернета.

1.7. Определение условий отказа в выдаче лицензии.

1.8. Переоформление лицензии оператора промышленного Интернета.

1.9. Внесение изменений и дополнений в лицензию оператора промышленного

Интернета.

Page 56: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

10

1.10. Приостановление действий лицензии.

1.11. Аннулирование лицензии.

1.12. Формирование и ведение реестра лицензий на операторскую деятельность в области

промышленного Интернета.

1.13. Подтверждение соответствия средств связи промышленного Интернета и

предоставляемых оператором услуг.

1.14. Декларирование соответствия и регистрация деклараций о соответствии требованиям

к операторской деятельности в области промышленного Интернета.

Результатом работ по этапу должен являться раздел требований, описывающий

лицензирование деятельности операторов промышленного Интернета на территории

Российской Федерации.

Этап V. Предоставление услуг операторов промышленного Интернета

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка регламентов оказание услуг связи в области промышленного интернета.

1.1. Основные правила оказания услуг связи в области промышленного Интернета.

1.2. Использование проводной связи, радиосвязи, линий электропередач и иных каналов

связи в рамках оказания услуг промышленного Интернета.

1.3. Особенности предоставления услуг промышленного Интернета юридическим и

физическим лицам.

1.4. Использование языков и алфавитов при оказании услуг связи в области

промышленного Интернета.

1.5. Особенности оказание услуг промышленного Интернета, включая «Интернет вещей»

для нужд органов государственной власти, нужд обороны страны, безопасности

государства и обеспечения правопорядка.

1.6. Базы данных об абонентах операторов промышленного Интернета.

1.7. Оплата услуг операторов промышленного Интернета.

1.8. Подача жалоб и предъявление претензий к операторам промышленного Интернета и

их рассмотрение.

1.9. Лица, имеющие право на предъявление претензий к операторам промышленного

Интернета.

2. Разработка требований к операторам промышленного Интернета по обеспечению

информационной безопасности для каждого типа сетей связи промышленного Интернета, а

также по интеграции объектов промышленного Интернета с государственной системой

обнаружения, предупреждения и ликвидации последствий компьютерных атак на

информационные ресурсы Российской Федерации.

Результатом работ по этапу должен являться раздел требований, регламентирующий

предоставление услуг операторов промышленного Интернета, включая «Интернет вещей» на

территории Российской Федерации.

Page 57: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

11

Этап VI. Обеспечение защиты прав пользователей операторскими услугами в области

промышленного Интернета

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка требований по защите прав пользователей услуг операторов промышленного

Интернета, включая «Интернет вещей» на территории Российской Федерации.

1.1. Права пользователей услугами операторов промышленного Интернета, включая

«Интернет вещей».

1.2. Требования к конфиденциальности данных, передаваемых в сетях промышленного

Интернета, требования к обезличиванию персональных данных пользователей услуг

операторов промышленного Интернета, включая «Интернет вещей», требования к

безопасности информационных технологий массовой обработки данных пользователей

услуг операторов промышленного Интернета, включая «Интернет вещей» и иные

требования.

1.3. Обязанности операторов промышленного Интернета и ограничение прав

пользователей услугами операторов промышленного Интернета при проведении

оперативно-розыскных мероприятий по обеспечению безопасности Российской Федерации

и осуществлении следственных действий.

2. Разработка регламента управления сетью связи операторов промышленного Интернета в

чрезвычайных ситуациях и в условиях чрезвычайного положения.

Результатом работ по этапу должен являться разделы требований, описывающие требования

к защите прав пользователей услуг операторов промышленного Интернета, включая

«Интернет вещей» на территории Российской Федерации и регламентирующие управление

сетью связи операторов промышленного Интернета, включая «Интернет вещей» в

чрезвычайных ситуациях и в условиях чрезвычайного положения.

Этап VII. Ответственность за соблюдение требований и стандартов

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка проекта положений об ответственность за нарушение требований

к операторам промышленного Интернета, включая «Интернет вещей».

Результатом работ по этапу должен быть проект положений, содержащий санкции и штрафы

за нарушения требований к операторам промышленного Интернета, включая «Интернет

вещей».

6.1.3. Результаты работ

По окончании работ Исполнитель формирует комплект результатов исследования собранных

материалов, содержащих:

Аналитический обзор о текущих положениях и нормативно правовых актах, регулирующих

в настоящий момент деятельность операторов промышленного Интернета;

Требования к операторам промышленного Интернета (проект ГОСТ и/или НПА);

Проект НПА, содержащий санкции и штрафы за нарушения требований к операторам

промышленного Интернета, включая «Интернет вещей».

Page 58: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

12

6.2. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем, включая «Интернет

вещей». По результатам разработаны проекты стандартов безопасности киберфизических

систем, включая «Интернет вещей», а также - требования и методики проверки

киберфизических систем, включая «Интернет вещей».

6.2.1. Этапы выполнения работ

Наименование этапов и сроки выполнения работ представлены в таблице 2.

Таблица 2 – Наименования этапов и сроки выполнения работ

№ Наименование этапов работ Срок выполнения

работ по этапу

1 Анализ киберфизических систем 10/2019

2 Разработка перечня стандартов безопасности киберфизических систем 10/2019

3 Подготовительная работа для каждого стандарта включенного в перечень стандартов 10/2019

4* Разработка проектов стандартов безопасности 12/2019

5* Разработка требований по проведению проверок киберфизических систем 12/2019

6* Ответственность за соблюдение требований и стандартов 12/2019

(*) Состав работ, выполняемых в рамках данных этапов уточняется на основании результатов этапов

1-3.

6.2.2. Описание работ

Работы проводятся в шесть этапов:

Этап I. Анализ киберфизических систем

В рамках данного этапа Исполнителем должны быть выполнены:

1. Определение понятия киберфизическая система, категорирование и типизация

киберфизических систем;

2. Анализ существующих киберфизических систем;

2.1. Анализ структуры киберфизических систем, развернутых на территории Российской

федерации.

2.2. Анализ структуры киберфизических систем, развернутых за пределами территории

Российской федерации.

3. Анализ перспективных киберфизических систем;

4. Анализ пользователей киберфизических систем;

4.1. По отраслям и видам хозяйственной деятельности.

4.2. По целям и задачам внедрения киберфизических систем.

Page 59: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

13

4.3. По требованиям к скорости и надежности каналов связи в системе.

4.4. По количеству используемых оконечных устройств (физических сущностей).

4.5. По требованиям к степени защиты обрабатываемой информации.

4.6. По типам используемых физических сущностей, интегрируемых в киберфизическую

систему (природные, рукотворные, биологические или иные объекты).

5. Анализ ареалов размещения киберфизических систем;

5.1. По климатическим параметрам.

5.2. По параметрам доступности.

5.3. По параметрам среды (подземные, подводные, воздушные и т.д.).

5.4. По наличию негативных факторов, влияющих на каналы связи.

6. Анализ каналов связи киберфизических систем;

6.1. По средам передачи данных.

6.2. По типам приемо-передающего оборудования.

6.3. По параметрам скорости, надежности и защищенности.

6.4. По параметрам помехозащищенности и зависимости от климатических или иных

воздействий.

7. Анализ физических сущностей (оконечных устройств) включаемых в киберфизические

системы по типам;

7.1. Природные.

7.2. Рукотворные.

7.3. Биологические.

7.4. Иные.

8. Анализ существующих технологий передачи данных и возможность их применения для

киберфизических систем;

9. Тенденция развития технологий передачи данных и возможность их применения для

киберфизических систем;

10. Анализ рисков и угроз информационной безопасности, характерных для каждого типа

киберфизической системы;

11. Анализ нарушителей, характерных для каждого типа киберфизической системы;

12. Анализ требований функциональной безопасности для каждого типа киберфизических

систем;

13. Анализ требований к обеспечению информационной безопасности для каждого типа

киберфизических систем.

14. Анализ результатов, полученных в рамках ранее выполненных работ на территории

Российской Федерации по данной тематике и координация с осуществляемыми в настоящий

момент проектами и инициативам.

Результатом выполненных по этапу работ будет являться:

Аналитический обзор типов киберфизических систем и текущего уровня и перспектив

развития киберфизических систем в Российской федерации и за рубежом.

Альбом типовых технических решений по построению киберфизических систем на

территории Российской Федерации на основе существующих и перспективных технологий

Page 60: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

14

передачи данных с типовыми моделями угроз и нарушителей для каждой из указанных

киберфизических систем.

Требования к обеспечению функциональной и информационной безопасности для каждого

типа киберфизических систем.

Этап II. Разработка перечня стандартов безопасности киберфизических систем

В рамках данного этапа Исполнителем должны быть выполнены:

1. Проведение анализа и оценки адекватности рискам и угрозам информационной

безопасности существующих стандартов киберфизических систем;

1.1. Анализ существующих стандартов киберфизических систем.

1.2. Оценка существующих рисков и угроз информационной безопасности, характерных

для киберфизических систем.

1.3. Анализ и оценка адекватности рискам и угрозам информационной безопасности

существующих стандартов киберфизических систем.

2. Определение адресатов (исполнителей стандарта) для каждого стандарта в перечне;

2.1. Определение списка пользователей стандарта.

2.2. Определение типов использования стандарта.

2.3. Формирование списка требований к стандарту от пользователей, включая тех,

которые:

2.3.1. Обеспечивают выполнение требований стандарта;

2.3.2. Испытывают на себе его воздействие.

3. Определение основных целей стандарта для каждого стандарта в перечне.

3.1. Список основных аспектов безопасности.

3.2. Возможность использования стандарта для испытаний.

3.3. Возможность стандарта служить основой для подтверждения соответствия.

Результатом работ по этапу должны являться перечень стандартов безопасности

киберфизических систем с указанием для каждого стандарта в перечне:

Типа стандарта;

Адресатов (исполнителей) стандарта;

Типа использования стандарта;

Списка требований к стандарту;

Списка основных аспектов безопасности.

Этап III. Подготовительная работа для каждого стандарта, включенного в перечень

стандартов

В рамках данного этапа Исполнителем должны быть выполнены:

1. Определение содержания стандарта;

1.1. Описание аспектов безопасности, которые должны быть охвачены стандартом.

1.2. Сбор необходимой информации.

1.3. Подготовка плана будущего стандарта

1.4. Подготовка заключения специалистов, в котором должны быть отражены сведения,

требующиеся для разработки стандарта, в том числе:

Page 61: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

15

1.4.1. Сведения о продукции, процессе или услуге.

1.4.2. Сведения об инцидентах.

1.4.3. Информация от потребителей на основе опыта использования продукции,

процесса или услуги.

1.4.4. Сведения о доступных защитных мерах.

1.4.5. Сведения о перспективных разработках или образцах продукции, процесса

или услуги.

1.4.6. Правовые ограничения. 2. Рассмотрение аспектов безопасности;

2.1. Назначение.

2.2. Возможные типовые ошибки.

2.3. Способность к действию при ожидаемых условиях использования.

2.4. Совместимость с окружающей средой.

2.5. Эргономические факторы.

2.6. Безотказность.

2.7. Ремонтопригодность и удобство обслуживания.

2.8. Долговечность.

2.9. Сохраняемость.

2.10. Информационная безопасность.

2.11. Возможность утилизации (включая любые необходимые инструкции).

2.12. Специальные потребности пользователей продукции, процесса или услуги,

например, детей, пожилых людей, групп людей с ограниченными возможностями.

2.13. Характеристики отказов.

2.14. Маркировка и информация.

3. Оценка рисков для каждого аспекта безопасности.

Результатом работ по этапу должен быть комплект аналитических записок для каждого

стандарта в перечне, содержащих информацию, необходимую для разработки проекта

стандарта безопасности, в том числе:

Полный список аспектов безопасности, охватываемый стандартом;

План стандарта;

Заключения специалистов (при необходимости);

Подробное рассмотрение всех аспектов безопасности охватываемых стандартом.

Этап IV. Разработка проектов стандартов безопасности

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка общих положений, удовлетворяющих следующим требованиям:

1.1. Стандарт должен содержать требования, которые важны для устранения опасности

или снижения степени риска возникновения опасности.

1.2. Все требования следует выражать в терминах защитных мер.

1.3. Требования по защитным мерам следует излагать технически правильно, точным и

понятным языком.

Page 62: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

16

1.4. Требования по защитным мерам должны быть проверяемыми. Стандарты должны

содержать методики проверки выполнения этих требований.

2. Разработка требований безопасности использования стандартов в соответствии со

следующими принципами:

2.1. Стандарт должен определять, какую информацию по безопасности необходимо

предоставить различным пользователям, имеющим дело с системой.

2.2. Там, где безопасность системы в значительной степени зависит от безопасных

условий работы и где эти условия не являются самоочевидными, должно быть дано

описание безопасных условий работы, которые значительно уменьшают риск.

2.3. Следует избегать излишней или не являющейся необходимой информации, так как

это ведет к уменьшению ценности той информации, которая существенна для обеспечения

безопасности.

Результатом работ по этапу должен быть комплект документов для каждого стандарта из

перечня стандартов безопасности, состоящий из:

Проекта стандарта безопасности;

Аналитической записки.

Разработанные проекты стандартов должны быть согласованы с техническими комитетами

по стандартизации:

ТК 362 «Защита информации»;

ТК 26 «Криптографическая защита информации».

Этап V. Разработка требований и методик по проведению проверок киберфизических

систем

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка требований по проверке каждого типа киберфизических систем;

1.1. Виды проверок и лица, привлекаемые для их проведения.

1.2. Периодичность проверок.

1.3. Этапы проверок.

1.4. Ограничения при проверках.

2. Разработка методики проведения проверок для каждого типа киберфизических систем.

2.1. Методы и технологии, применяемые при проведении исследований.

2.2. Инструменты, используемые при проведении проверок.

2.3. Объекты, исследуемые в рамках проверок.

2.4. Этапы исследований, проводимых в рамках проверок.

2.5. Результаты проверок.

2.6. Контроль за исполнением результатов проверок.

Результатом работ по этапу должны быть:

Требования по проведению проверок киберфизических систем.

Методики проведения проверок для каждого типа киберфизических систем.

Page 63: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

17

Этап VI. Ответственность за соблюдение требований и стандартов

В рамках данного этапа Исполнителем должны быть выполнены:

1. Разработка проекта положений об ответственности за нарушение требований стандартов

безопасности киберфизических систем.

Результатом работ по этапу должен быть проект НПА, содержащий санкции и штрафы

за нарушения соответствия стандартам безопасности киберфизических систем, включая

«Интернет вещей».

6.2.3. Результаты работ

По окончании работ Исполнитель формирует комплект результатов исследования собранных

материалов, содержащих:

Аналитический обзор типов киберфизических систем и текущего уровня и перспектив

развития киберфизических систем в Российской федерации и за рубежом;

Альбом типовых технических решений по построению киберфизических систем на

территории Российской Федерации на основе существующих и перспективных технологий

передачи данных с типовыми моделями угроз и злоумышленников для каждой из указанных

киберфизических систем;

Проекты стандартов безопасности киберфизических систем;

Проект НПА, содержащий санкции и штрафы за нарушения соответствия стандартам

безопасности киберфизических систем, включая «Интернет вещей».

7. Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов должны учитываться

требования действующих нормативно-технических документов, указанных в п.1, а также:

ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному и издательскому

делу. Отчёт о научно-исследовательской работе. Структура и правила оформления»;

ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в рамках настоящей

работы, и состав документов, входящих в каждый из них, должны соответствовать требованиям

законодательства Российской Федерации.

Основной текст отчетных материалов оформляется на русском языке, печатным (машинным)

способом с использованием персонального компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом редакторе Microsoft Office

Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать стандартному формату А4 (210 ×

297 мм). В обоснованных случаях допускается использовать другой формат А3 (297 × 420 мм), при

этом листы должны быть укомплектованы в едином документе (формате).

Схемы, графические материалы оформляется с использованием графического редактора

AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных толкований, логически

последовательным. Ошибки, опечатки, графические неточности, помарки, повреждения листов не

Page 64: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

18

допускаются. Вносить в текст отчетных материалов отдельные слова, формулы, знаки, буквы,

символы, графики, рисунки рукописным способом не допускается.

Для наглядности и удобства изложения применяют таблицы, графический материал, схемы,

формулы.

В документации должны применяться общепринятые условные обозначения, единицы

величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и греческий алфавит, для

обозначения сокращения, формул, величин, символов и т.п.

Результаты работ (отчетные материалы) на бумажных носителях представляются в виде

оформленных сшитых томов. На титульном листе должны быть оригинальные печати организации

разработчика и подлинные подписи руководителя организации. На следующей странице должны

быть подписи руководителя работ и основных исполнителей. Таблицы, а также иные материалы,

расчеты и обоснования могут быть представлены в виде отдельных приложений. Объем

приложений не ограничивается. Электронные версии отчетных материалов и приложений

предоставляются на носителях (флеш-карта) в качестве приложения к отчетным материалам.

8. Требования к гарантийному сроку и объему предоставления гарантий качества

работы

Качество выполняемых Исполнителем работ должно соответствовать требованиям,

установленным в Требованиях (п. 3 настоящего технического задания), а также требованиям,

обычно предъявляемым к работам соответствующего рода. Результат выполненных работ должен в

момент передачи Заказчику обладать свойствами, указанными в Требованиях, и свойствами,

определенными обычно предъявляемыми требованиями к такому виду работ.

Если законом, иными правовыми актами или в установленном ими порядке предусмотрены

обязательные требования к работам, Исполнитель обязан выполнять работы, соблюдая эти

обязательные требования.

К обязательным требованиям, в том числе относятся: требования к качеству результата,

обеспечивающие его безопасность для жизни и здоровья населения, охрану окружающей среды.

Исполнитель принимает на себя обязательства по гарантии качества результатов, полученных

при выполнении работ. Срок предоставления гарантии качества - 12 (двенадцать) месяцев с даты

приемки результатов работ Заказчиком (дата подписания Заказчиком Акта сдачи-приемки

выполненных работ).

В гарантии качества, предоставляемые Исполнителем, должны входить выполняемые

по письменному обоснованному запросу Заказчика в гарантийный период работы по корректировке

проектов документов.

___________________________________________

Page 65: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

на выполнение работ по проведению экспертно-аналитического

сопровождения реализации федерального проекта, в том числе

предусматривающее выполнение отдельных мероприятий федерального

проекта

1. Общие сведения

Полное наименование работ: проведение экспертно-аналитического

сопровождения реализации федерального проекта, в том числе

предусматривающее выполнение отдельных мероприятий федерального

проекта.

Краткое наименование работ - Работы.

Заказчик работ -

Исполнитель работ -

2. Основания для осуществления работ

2.1. Нормативные правовые основания для осуществления работ

Паспорт федерального проекта «Информационная безопасность»

национальной программы «Цифровая экономика», утвержденный на

заседании президиума Правительственной комиссии по цифровому

развитию, использованию информационных технологий для улучшения

качества жизни и условий ведения предпринимательской деятельности

(протокол от 6 мая 2019 г. № 8).

2.2. Цель выполняемых работ

Проведение экспертно-аналитического сопровождения реализации

федерального проекта, в том числе предусматривающее выполнение

отдельных мероприятий федерального проекта.

2.3. Задачи

2.3.1. Проведение экспертно-аналитического сопровождения создания

системы отраслевого регулирования использования киберфизических систем,

включая устройств «Интернета вещей» и установления требований по

идентификации участников информационного взаимодействия, а также

регистрации оборудования сетей устройств «Интернета вещей».

2.3.2. Проведение экспертно-аналитического сопровождения

разработки требований к операторам промышленного Интернета, проектов

стандартов безопасности для киберфизических систем, включая устройства

«Интернета вещей».

Page 66: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

2.3.3. Проведение экспертно-аналитического сопровождения создания

технологии обработки инцидентов информационной безопасности с

использованием искусственного интеллекта для повышения уровня

автоматизации процессов принятия решений и уменьшения времени реакции

на инциденты.

2.3.4. Экспертно-аналитическое сопровождение разработки комплекса

стандартов обеспечения информационной безопасности сетей связи общего

пользования, обеспечивающих минимизацию рисков и угроз безопасного

функционирования сетей связи общего пользования.

2.3.5. Проведение экспертно-аналитического сопровождения анализа

существующих и перспективных средств защиты информации.

2.3.6. Проведение экспертно-аналитического сопровождения

разработки модели угроз информационной безопасности для персональных

устройств сбора биометрических данных (холтер, браслеты, часы, фитнес-

трекеры и пр.) и дорожной карты по обеспечению информационной

безопасности при использовании гражданами указанного класса технических

средств в Российской Федерации.

2.3.7. Экспертно-аналитическое сопровождение проведения

исследований рынка отечественного оборудования телерадиовещания,

определение потребностей российских компаний в сфере телерадиовещания

в указанном оборудовании.

2.4. Результаты работ

2.4.1. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения создания системы отраслевого

регулирования использования киберфизических систем, включая устройств

«Интернета вещей» и установления требований по идентификации

участников информационного взаимодействия, а также регистрации

оборудования сетей устройств «Интернета вещей».

2.4.2. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения разработки требований к

операторам промышленного Интернета, проектов стандартов безопасности

для киберфизических систем, включая устройства «Интернета вещей».

2.4.3. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения создания технологии обработки

инцидентов информационной безопасности с использованием

искусственного интеллекта для повышения уровня автоматизации процессов

принятия решений и уменьшения времени реакции на инциденты.

Page 67: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

2.4.4. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения разработки комплекса стандартов

обеспечения информационной безопасности сетей связи общего пользования,

обеспечивающих минимизацию рисков и угроз безопасного

функционирования сетей связи общего пользования.

2.4.5. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения анализа существующих и

перспективных средств защиты информации.

2.4.6. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения разработки модели угроз

информационной безопасности для персональных устройств сбора

биометрических данных (холтер, браслеты, часы, фитнес-трекеры и пр.) и

дорожной карты по обеспечению информационной безопасности при

использовании гражданами указанного класса технических средств в

Российской Федерации.

2.4.7. Подготовлен отчет по результатам работ по проведению

экспертно-аналитического сопровождения проведения исследований рынка

отечественного оборудования телерадиовещания, определение потребностей

российских компаний в сфере телерадиовещания в указанном оборудовании.

3. Требования к проведению работ

3.1 Проведение сопровождения реализации мероприятий

федерального проекта.

3.2 Проведение анализа международных практик по основным

сопровождаемым темам.

3.3 Создание, поддержка и актуализация экспертных групп по

отдельным направлениям реализации федерального проекта.

3.4 Обеспечение нормативной, справочной и другой необходимой

информацией экспертных групп.

3.5 Подготовка отчетности по выполнению сопровождения

реализации федерального проекта.

3.6 Организация сопровождения работ, контроль хода реализации

утвержденных ТЗ (задача, сроки), участие в мероприятиях на стадии сдачи

выполненных работ.

3.7 Организация передачи промежуточных и итоговых материалов

по выполняемым работам от исполнителей к экспертам.

3.8 Организация передачи экспертных оценок по промежуточным и

итоговым материалам заказчику.

3.9 Информирование заказчика об этапах сопровождения НИР и

выполнения работ.

3.10 Обеспечение материально-технического и финансово-правового

сопровождения работ.

Page 68: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

4. Требования к оформлению результатов работ

При разработке, оформлении и изложении отчетных материалов

должны учитываться требования действующих нормативно-технических

документов, указанных в п.1, а также:

ГОСТ 7.32-2017 «Система стандартов по информации, библиотечному

и издательскому делу. Отчёт о научно-исследовательской работе. Структура

и правила оформления»;

ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам.

Оформление проектов нормативных правовых актов, разработанных в

рамках настоящей работы, и состав документов, входящих в каждый из них,

должны соответствовать требованиям законодательства Российской

Федерации.

Основной текст отчетных материалов оформляется на русском языке,

печатным (машинным) способом с использованием персонального

компьютера (ЭВМ).

Набор текста в отчетных материалах производится в текстовом

редакторе Microsoft Office Word в файловых форматах *.doc или *.docx.

Страницы в отчетных материалах должны соответствовать

стандартному формату А4 (210 × 297 мм). В обоснованных случаях

допускается использовать другой формат А3 (297 × 420 мм), при этом листы

должны быть укомплектованы в едином документе (формате).

Схемы, графические материалы оформляется с использованием

графического редактора AutoCAD и графического редактора Microsoft Visio.

Текст должен быть кратким, точным, не допускающим различных

толкований, логически последовательным. Ошибки, опечатки, графические

неточности, помарки, повреждения листов не допускаются. Вносить в текст

отчетных материалов отдельные слова, формулы, знаки, буквы, символы,

графики, рисунки рукописным способом не допускается.

Для наглядности и удобства изложения применяют таблицы,

графический материал, схемы, формулы.

В документации должны применяться общепринятые условные

обозначения, единицы величин, символы и сокращения.

В тексте наравне с русским, допускается использовать латинский и

греческий алфавит, для обозначения сокращения, формул, величин, символов

и т.п.

Результаты работ (отчетные материалы) на бумажных носителях

представляются в виде оформленных сшитых томов. На титульном листе

должны быть оригинальные печати организации разработчика и подлинные

подписи руководителя организации. На следующей странице должны быть

подписи руководителя работ и основных исполнителей. Таблицы, а также

иные материалы, расчеты и обоснования могут быть представлены в виде

Page 69: АНО «Цифровая экономика»апэап.рф/sites/default/files/news_doc/_1_1.pdfПРОЕКТ Национальная программа «Цифровая экономика

отдельных приложений. Объем приложений не ограничивается. Электронные

версии отчетных материалов и приложений предоставляются на носителях

(флеш-карта) в качестве приложения к отчетным материалам.