Расширенный поиск
Приказ Федерального агентства по рыболовству от 26.09.2011 № 952М.П. М.П. Приложение N 1 к Государственному контракту от ________ N _____ ТЕХНИЧЕСКОЕ ЗАДАНИЕ на выполнение работ по проектированию аппаратно-программных комплексов интегрированной информационно-вычислительной системы Федерального агентства по рыболовству 1. Общие сведения 1.1. Полное и условное наименование проектируемых подсистем Полное наименование: "Система аппаратно-программных комплексов интегрированной информационно-вычислительной системы Федерального агентства по рыболовству" (далее по тексту - АПК ИИВС) Условное наименование: "АПК ИИВС". 1.2. Основание для проведения работ Работы, предусмотренные настоящим Техническим заданием выполняются на основании следующих документов: - Стратегия развития информационного общества в Российской Федерации. Утверждена Президентом Российской Федерации 7 февраля 2008 г. N Пр-212. - Концепция внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций. Утверждена приказом по Росрыболовству N 896 от 12 октября 2009 года. - Стратегия развития рыбохозяйственного комплекса Российской Федерации на период до 2020 года. Утверждена приказом ФАР от 30 марта 2009 N 246. 1.3. Требования к срокам выполнения работ Работы, предусмотренные настоящим Техническим заданием, должны быть выполнены в срок, не превышающий 40 дней со дня заключения Государственного контракта. 1.4. Источник финансирования работ по проектированию Федеральный бюджет. 2. Назначение АПК ИИВС и цели выполнения работ по проектированию 2.1. Назначение АПК ИИВС Федерального агентства по рыболовству. Назначением АПК ИИВС Федерального агентства по рыболовству является формирование масштабируемой, отказоустойчивой инфраструктуры ИИВС, способной обеспечить комплекс информационно-телекоммуникационных услуг для участников внутриведомственного и межведомственного информационного взаимодействия 3. Характеристика объектов автоматизации 3.1. Цели проведения работ по проектированию Целью проведения работ является выпуск комплекта проектно-сметной документации на АПК ИИВС Федерального агентства по рыболовству. Проектирование должно быть выполнено в соответствии с настоящим ТЗ. 3.2. Общие сведения об объекте Разработка проектной документации по развитию инфраструктуры интегрированной информационно-вычислительной системы (далее - ИИВС), техническому перевооружению и модернизации оборудования аппаратно-программных комплексов ИИВС Федерального агентства по рыболовству, проводится в соответствии с положениями Концепции внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций, утвержденной приказом по Росрыболовству N 896 от 12 октября 2009 года. Работы по проектированию по объекту ИИВС выполняются с учетом инфраструктуры зданий Федерального агентства по рыболовству, расположенных в Москве по следующим адресам: - Рождественский бульвар, д. 15 (объект "дом 15"); - Рождественский бульвар, д. 12 и 14 (объект "дом 12/14"). Также работы по проектированию по объекту ИИВС выполняются в зданиях 20 территориальных управлений Федерального агентства по рыболовству, расположенных по следующим адресам: - г. Хабаровск, ул. Ленина, д. 4 (Амурское управление); - г. Ростов-на-Дону, ул. Береговая, д. 21/2 (Азово-Черноморское управление); - Республика Бурятия, г. Улан-Удэ, ул. Смолина, д. 18 (Ангаро-Байкальское управление); - г. Мурманск, ул. Коминтерна, д. 7 (Баренцево-Беломорское управление); - г. Тверь, ул. Вокзальная, д. 1 (Верхневолжское управление); - г. Новосибирск, ул. Писарева, д. 1 (Верхнеобское управление); - г. Астрахань, ул. Яблочкова, д. 38-а (Волго-Каспийское управление); - г. Архангельск, ул. Чумбарова-Лучинского, д. 46 (Двинско-Печорское управление); - г. Красноярск, Остров отдыха (Енисейское управление); - г. Калининград, ул. Кирова, д. 15 (Западно-Балтийское управление); - Республика Саха Якутия, г. Якутск, ул. Каладаршвили, д. 5 (Ленское управление); - г. Москва, Варшавское шоссе, д. 39А (Московско-Окское управление); - г. Тюмень, ул. 30 лет Победы, д. 52 (Нижнеобское управление); - г. Магадан, ул. Гагарина д. 25-А (Охотское управление); - г. Владивосток, ул. Петра Великого, д. 2 (Приморское управление); - г. Южно-Сахалинск, ул. Емельянова, д. 43-а (Сахалино-Курильское управление); - г. Санкт-Петербург, ул. М. Морская, д. 18 (Северо-Западное управление); - г. Петропавловск-Камчатский, ул. Академика Королева, д. 58 (Северо-Восточное управление); - г. Самара, ул. Гая, д. 45 (Средневолжское управление); - г. Махачкала, ул. Даниялова, д. 26 (Западно-Каспийское управление). 3.3. Основные технико-экономические показатели Основные количественные характеристики: - количество АРМ на объектах в Москве - не менее 800; - количество АРМ в системе электронного документооборота - не менее 400; - количество АРМ, подключенных к корпоративной электронной почте - не менее 400; - количество АРМ в терминальном сегменте (ТРС) - не менее 400; - количество АРМ системы Унифицированных коммуникаций - не менее 600, в том числе, количество АРМ ВКС - 200. 3.4. Описание существующих систем ИИВС ИИВС Заказчика характеризуется разветвленной инфраструктурой территориально распределенных на территории России объектов и подразделений Росрыболовства, объединенных открытой телекоммуникационной сетью связи. Существующая локально-вычислительная сеть в Центральном аппарате Росрыболовства была построена в 2001 - 2009 годах и охватывает здания по адресам: Москва, Рождественский бульвар, д. 12, 14, 15. ЛВС построена на управляемых коммутаторах AVAYA серии 330, Cisco Catalyst 3560G и обеспечивает пропускную способность до 1000 Мбит/сек. Оборудование ЛВС распределено по локальным телекоммуникационным узлам связи (ЛТУС) и коммутационным шкафам следующим образом: 1. Центр обработки данных: Телекоммуникационное ядро - 32 порта оптических 1 Гбит/с Шкаф коммуникационный N 0 - 24 порта Ethernet 100 Мбит/с и 1 порт оптический Гбит/с на ядро Шкаф коммуникационный N 1 - в настоящий момент не используется Шкаф коммуникационный N 2 - 48 портов Ethernet 1 1 Гбит/с и 2 порта оптических 1 Гбит/с на ядро Шкаф коммуникационный N 3 - 48 портов Ethernet 1 1 Гбит/с и 1 порт оптический 1 Гбит/с на ядро 2. Ситуационный центр: 2 коммутатора по 48 портов Ethernet 1 Гбит/с и 2 порта оптических 1 Гбит/с на ядро 3. Дом 15: Этаж 5 шкаф N 15 3 - 48 портов Ethernet 1 Гбит/с и 1 порт оптический 1 Гбит/с на ядро Этаж 3 шкаф N 15 2 - 144 порта Ethernet 1 Гбит/с в том числе 1 порт на дом 15 пристройка и 1 порт оптический Гбит/с на ядро Этаж 2 пристройка шкаф N 15 1 - 48 портов Ethernet 1 Гбит/с в том числе 1 порт на дом 15 этаж 3 4. Дом 14: Этаж 2 шкаф N 14 2 - 24 порта Ethernet 100 Мбит/с в том числе 1 порт на дом 14 этаж 1 Этаж 2 шкаф N 14 1 - 24 порта Ethernet 100 Мбит/с в том числе 1 порт на дом 14 этаж 2 и 1 порт на дом 12 этаж 1 Дом 12: Этаж 2 шкаф N 12 2 - 144 порта Ethernet 1 Гбит/с и 1 порт оптический 1 Гбит/с на ядро Этаж 1 шкаф N 12 1 - 48 портов Ethernet 1 Гбит/с в том числе 1 порт на дом 14 этаж 1 и 1 порт оптический 1 Гбит/с на ядро. Объекты "дом 15", и "Дом 12/14" соединены между собой волоконно-оптическими линиями связи по схеме "звезда" с центром на объекте "Дом 15", где размещается центр обработки данных (ЦОД) и телекоммуникационное ядро ИИВС. В ЦОД находятся основные вычислительные мощности ИИВС, обеспечивающие функционирование большинства информационных сервисов ФАР. В "доме 12" находится Ситуационный центр, часть серверов и коммутаторов которого включенный в корпоративную ЛВС. На всех объектах построена структурированная кабельная система (СКС). Общее количество портов СКС на рабочих местах сотрудников Заказчика составляет около 400 Горизонтальная кабельная система построена на базе кабеля неэкранированная "витая пара" категории 5е. Вертикальная кабельная система каждого из зданий построена на базе многомодового оптоволоконного кабеля. Коммутация портов осуществляется в этажных локальных телекоммуникационных узлах связи (ЛТУС): 3 - на объекте "Дом 15", 4 - на объекте "Дом 12/14". Телекоммуникационная система ИИВС имеет трехуровневую архитектуру. В ядре системы (объект "Дом 15") установлены маршрутизирующие коммутаторы, объединенные с использованием технологии 100 Мбит/1 Гбит. В этажных ЛТУС зданий работают коммутаторы уровня доступа. В составе ИИВС функционирует терминальный сегмент, использующий адаптированную технологию "тонкого" клиента Hot Desk на базе серверного оборудования Sun Microsystems, терминалов Sun Ray 170, объединяющих 2 АРМ. Терминальный сегмент работает по принципу двухконтурной системы, где реализован безопасный доступ к двум сегментам ИИВС "Агентство" и "Интернет". В ЦОД работают 11 серверов. Используются серверные платформы на базе оборудования Sun Microsystems (Sun Fire 2200), Hewlett Packard (Proliant 380, 360). В составе ИИВС работает система IP-телефонии, построенная на базе решений Cisco Systems. К системе подключено 252 абонента. Используются IP-телефоны семейства 7900. ЦОД, и большинство ЛТУС используют локальные ИБП. Система управления ИИВС построена на базе программного обеспечения СА Unicenter NSM. В систему включены модули управления серверами, телекоммуникационной сетью, сетевой инфраструктурой, мониторинга производительности серверов. 4. Требования к системам АПК ИИВС 4.1. Общие требования к системам 4.1.1. Требования к структуре и функционированию проектируемых систем В состав проектируемых систем АПК ИИВС, входят следующие группы систем: - Системы инженерной инфраструктуры; - Системы вычислительной инфраструктуры; - Системы информационного взаимодействия; - Система информационной безопасности; - Система сервисного обслуживания пользователей. Требования к каждой группе указанных систем приведены в соответствующих разделах настоящего ТЗ. Проектирование АПК ИИВС должно быть произведено на основе стандартов открытых систем. Системы АПК ИИВС должны иметь возможность сопряжения с другими информационными системами. При проектировании систем АПК ИИВС отдавать предпочтение решениям, ориентированным на снижение энергопотребления. Оборудование автоматизированных рабочих мест (АРМ) должно быть эргономичным. При проектировании следует учитывать, что системы ИИВС должны обеспечивать надежную непрерывную круглосуточную работу программно-технических средств (ПТС). 4.2. Требования к инженерным системам 4.2.1. Общие требования к инженерным системам В результате проектирования инженерных систем должно быть разработано комплексное решение по инфраструктуре центров коммутации и обработки данных, которое объединит решения по инженерным системам, системам бесперебойного электропитания, климат-контроля, централизованного управления, видеонаблюдения, контроля доступа, охранно-пожарной сигнализации и т.д. По требованию Заказчика необходимо обеспечить разработку колористического решения установки наружного оборудования системы кондиционирования ЦОД. Проектируемая система бесперебойного электропитания должна обеспечивать электроснабжение активного сетевого оборудования и серверов, работающих в составе ИИВС, в течение не менее 40 минут при пропадании (сбоях) электропитания для штатного завершения (прерывания) их работы. Модернизация инженерной инфраструктуры ЦОД должна предусматривать реконструкцию помещения ЦОД в соответствии с требованиями нормативных документов и компании-производителя интегрированного решения инженерной инфраструктуры. В случае превышения предельной нагрузки на перекрытия пола ЦОД предусмотреть в проекте меры по увеличению их несущей способности, подтвержденные соответствующим расчетом. 4.2.2. Требования по составу комплекса инженерной инфраструктуры ЦОД В состав комплекса инженерной инфраструктуры центра обработки данных должны входить: - Инженерная система ЦОД, включающая: - источники бесперебойного электропитания модульного типа - не менее 2-х, мощностью не менее 40 кВт каждый в архитектуре N+1; - аппаратные стойки - не менее 10-и, высотой не менее 42U (1U=4,45 см); - система распределения электропитания по аппаратным стойкам, включая автоматы защиты с возможностью переключения по разным фазам, распределительные кабели к аппаратным стойкам; - система кондиционирования (не менее 4 блоков кондиционирования), включая блок распределения водяной смеси по блокам кондиционеров, а также датчики контроля температуры и влажности в каждой стойке, датчики протечки, система трубопроводов от блока распределения до блоков кондиционеров, дренажная система для отвода конденсата; - устройства перераспределения воздушных потоков в пространстве аппаратных стоек с телекоммуникационным оборудованием (не менее 4-х блоков для 4-х стоек); - комплект оборудования для организации изоляции горячего воздуха в помещении ЦОД, включая комплект дверей с замками для торцевых сторон "горячего коридора"; - система управления инженерным комплексом; - система видео-мониторинга и контроля доступа, интегрированные с системой управления комплексом; - консольные коммутаторы для управления серверами вычислительного комплекса ЦОД (не менее 2 устройств, обслуживающих не менее 16 серверов каждое); - консоли монитор/клавиатура/мышь (для каждого консольного коммутатора); - консольные серверы (не менее 2-х устройств, не менее 16 портов на каждом); - комплект сервисных пакетов по проектированию, монтажу, пуско-наладке, гарантийному и сервисному обслуживанию (срок не менее 3-х лет) всего инженерного комплекса ЦОД; - Подсистема подачи холодной водяной смеси для системы кондиционирования ЦОД с холодопроизводительностью не менее 60 кВт в составе: - чиллер с двумя холодильными контурами; - дополнительный гидромодуль (при необходимости); - трубопровод и необходимые гидравлические компоненты для связи с блоком распределения водяной смеси; - резервный бак; - водяная смесь. - Структурированная кабельная система в помещении ЦОД должна обеспечивать подключение не менее 48 экранированных портов "витая пара" на каждую стойку и не менее 48 оптоволоконных портов. СКС в помещении ЦОД также должна обеспечивать подключение дисковых хранилищ системы хранения данных и обеспечивать не менее 24 оптоволоконных портов на одно дисковое хранилище в пределах помещения ЦОД. СКС ЦОД должна быть интегрирована с инженерной инфраструктурой центра обработки данных. СКС ЦОД должна учитывать требования по информационной безопасности, предъявляемые к каналам связи. - Система мониторинга СКС ЦОД в составе: - сенсорные панели на все активное оборудование узла связи; - сенсорные панели на патч-панели для кабеля типа экранированная "витая пара" или патч-панели со встроенными сенсорами (только для панелей, расположенных в шкафах-центрах СКС ЦОД); - сенсорные панели на волоконно-оптические патч-панели или патч-панели со встроенными сенсорами (только для панелей, расположенных в шкафах-центрах СКС ЦОД); - модульный блок мониторинга с модулями на соответствующее количество портов в узле связи (общее число портов на активном и пассивном телекоммуникационном оборудовании); - монтажные кабели от сенсорных панелей до блока мониторинга; - пробник для тестирования; - модернизированные кроссовые кабели: волоконно-оптические и "витая пара" (со встроенными контактами для сенсорных панелей и сигнальным шнуром). - Система электроснабжения помещения ЦОД, включающая: - щиты электропитания для систем бесперебойного электропитания; - щиты электропитания для питания чиллера и гидромодуля; - комплекты силовых кабелей необходимого сечения для подключения оборудования к щиту в помещении ЦОД, а также для подключения щита ЦОД к ГРЩ здания. Источники бесперебойного электропитания должны быть дополнительно укомплектованы шкафом для установки дополнительных батарейных модулей, обеспечивающих необходимое время автономной работы системы электропитания оборудования для комплекса ЦОД. Аппаратные стойки должны быть дополнительно оснащены: - сегмент потолочного лотка для прокладки силовых кабелей; - сегмент потолочного лотка для прокладки информационных кабелей; - блок распределения электропитания коммутируемый (не менее 2-х); - блок переключения электропитания от 2-х независимых вводов; - комплект органайзеров для кабельной разводки; - комплект заглушек (не менее 15U на шкаф). 4.2.3. Требования к проектированию системы выделенного электропитания (СВЭП) В рамках модернизации системы выделенного электропитания автоматизированных рабочих мест и технологических помещений (ЛТУСов) предусмотреть организацию выделенных систем электроснабжения рабочих мест на объектах "Дом 15" и "Дом 12/14" с категорией надежности электроснабжения по ПУЭ соответствующей особой группе I категории надежности. Для чего предусмотреть централизованные ИБП (по одному на каждом объекте) с дизель-генераторными установками и выделенной системой распределения, включающей автоматические устройства ввода резерва, вводные, распределительные и групповые кабели с медными жилами, распределительные щиты и розетки рабочих мест. Мощности ИБП должно быть достаточно для поддержания электроснабжения АРМ (из расчета 0,5 кВт на рабочее место с коэффициентом спроса 0,7) и телекоммуникационного оборудования ЛТУСов в течение времени, необходимого для запуска и выхода на режим ДГУ. Комплект оборудования для ДГУ должен включать: - Плита дорожная (не менее 2 шт.) для установки контейнера с ДГУ; - Комплект силовых кабелей от ДГУ до устройства ввода резерва и комплект заземляющих кабелей от ДГУ до ГРЩ здания; - Контейнер дозировочный для дизтоплива с крышкой и заглушкой, с емкостью позволяющей требуемое время автономной работы. В проекте СВЭП предусмотреть на каждом рабочем месте установку блока розеток из 2-х двухполюсных электрических розеток с боковым заземляющим контактом красного цвета, подключенных по особой группе I категории надежности, для подключения компьютеров, и установку блока розеток из 2-х двухполюсных электрических розеток с боковым заземляющим контактом белого цвета, подключенных на объекте "Дом 12" по I категории надежности, а на объектах "Дом 14" и "Дом 15" по II категории надежности, для подключения прочих устройств. При необходимости разработать проект колористического решения размещения ДГУ. Согласовать проект СВЭП с техническими службами заказчика и органами, осуществляющими технический надзор. 4.2.4. Требования к проектированию инженерных систем в помещениях аппаратных СВЭП (ИС СВЭП) В состав инженерных систем в помещениях аппаратных СВЭП должны входить: - Система кондиционирования, включая: - Кондиционер шкафного типа с холодопроизводительностью не менее 15 кВт для аппаратной на объекте "Дом 15" и не менее 5 кВт для аппаратной на объекте "Дом 12/14"; - Низкотемпературные комплекты для каждого кондиционера; - Датчики протечки; - Выносные конденсаторные блоки; - Контроллеры скорости вращения вентиляторов; - Пленумы для горизонтальной раздачи; - Фильтр с датчиком засорения; - Сетевой адаптер управления по SNMP. - Комплект оборудования для модернизации системы электроснабжения: - Щит электропитания кондиционера; - Комплект кабелей для подключения щита электропитания кондиционеров к СВЭП; - Комплект кабелей для подключения оборудования к щиту электропитания. 4.2.5. Требования к проектированию структурированной кабельной системы (СКС) Проектированию подлежат: - СКС в помещении ЦОД, - СКС на объектах "Дом 15", "Дом 12/14". Проектом должна быть предусмотрена модернизация СКС на указанных объектах с целью замены существующих кабелей горизонтальной подсистемы на экранированную "витую пару" категории 5е., а в помещении ЦОД - на экранированную "витую пару" категории 6. На объектах "Дом 15" и "Дом 12/14" предусмотреть увеличение количества горизонтальных портов СКС из расчета 4 порта FTP на одно рабочее место. СКС должна быть построена по топологии "звезда" и иметь два уровня коммутации - этажные локальные телекоммуникационные узлы связи (ЛТУС) и главный распределительный пункт в ЦОД. Разработать проект СКС в помещении ЦОД. Проект должен обеспечивать подключение серверов вычислительного комплекса к серверному сегменту телекоммуникационной сети ИИВС. 4.2.6. Требования к проектированию системы мониторинга структурированной кабельной системы (СМСКС) Проектированию подлежит система мониторинга структурированной кабельной системы на объектах "Дом 15" и "Дом 12/14". В состав системы мониторинга структурированной кабельной системы должны входить: - Устройства мониторинга и комплекты модернизации для узлов связи ЛТУС, ЦОД объекта "Дом 15"; - Центральный управляющий комплекс, включающий серверы баз данных и приложений, а также управляющее ПО; - Устройства мониторинга и комплекты модернизации для узлов связи ЛТУС объекта "Дом 12/14"; В состав комплектов мониторинга для узлов связи должны входить: - сенсорные панели на все активное оборудование узлов связи; - сенсорные панели на все патч-панели для кабеля типа экранированная "витая пара" или патч-панели со встроенными сенсорами; - сенсорные панели на все волоконно-оптические патч-панели или патч-панели со встроенными сенсорами; - модульный блок мониторинга с модулями на соответствующее количество портов в узле связи (общее число портов на активном и пассивном телекоммуникационном оборудовании); - монтажные кабели от сенсорных панелей до блока мониторинга; - пробник для тестирования; - модернизированные кроссовые кабели: волоконно-оптические и "витая пара" (со встроенными контактами для сенсорных панелей и сигнальным шнуром). В состав центрального управляющего комплекса должны входить: - серверы системы мониторинга (не менее 2-х); - серверы СУБД для системы мониторинга (не менее 2-х); - программное обеспечение системы мониторинга для работы не менее чем 10 пользователей, не менее, чем с 5 000 контролируемыми портами. 4.2.7. Требования к проектированию систем контроля доступа, видеонаблюдения, охранно-пожарной сигнализации, автоматического газового пожаротушения (СКД, СВН, СОПС, САГП) 4.2.7.1. Общие требования Помещения, отведенные под технологические помещения связи ИИВС (ЦОД, помещение серверной ситуационного центра, ЛТУСы на объектах "Дом 15" и "Дом 12/14", помещения узлов связи ТУ Заказчика) должны соответствовать требованиям стандарта EIA/T1A 569. Системы контроля доступа, видеонаблюдения, охранно-пожарной сигнализации, автоматического газового пожаротушения должны охватывать все технологические помещения, используемые для функционирования узловых элементов ИИВС: телекоммуникационные узлы связи, центр обработки данных, специализированные помещения и т.д. В рамках проекта должны быть представлены решения по созданию единых систем контроля доступа, видеонаблюдения, охранной сигнализации в технологических помещениях ИИВС. Системы контроля доступа, видеонаблюдения, охранной сигнализации в технологических помещениях ИИВС должны быть интегрированы в инфраструктуру управления центром обработки данных, которая также обеспечивает мониторинг систем бесперебойного электропитания, контроля параметров среды, кондиционирования. Предусмотреть создание единого диспетчерского центра (ЕДЦ) мониторинга и управления подсистемами технологических помещений, включая мониторинг подсистем ИИВС ТУ Заказчика. Система мониторинга и управления инфраструктурой технологических помещений ИИВС должна быть также интегрирована с центральной системой управления ИИВС (ЦСУ ИИВС), выполняющей основные задачи по мониторингу и управлению телекоммуникационной системой ИИВС, вычислительным комплексом ИИВС и автоматизированными рабочими местами ИИВС. Система видеонаблюдения должна обеспечивать хранение данных видеоархива в течение не менее 2 месяцев. Доступ к видеоархиву, а также к оперативным видеоданным должен обеспечиваться по каналам отделенным от корпоративной сети ИИВС. Предусмотреть решения по интеграции систем контроля доступа, видеонаблюдения, охранной сигнализации в технологических помещениях ИИВС с аналогичными существующими системами на объектах Заказчика. Предусмотреть согласование проектов СКД, СВН, СОПС и САГП с техническими службами заказчика и организациями, осуществляющими технический надзор. 4.2.7.2. Требования к составу систем АГП технологических помещений Проектируемые системы автоматического газового пожаротушения должны включать в себя: - оборудование пожарного поста; - оборудование защищаемого помещения; - резерв на складе модулей и огнетушащего состава; - комплект монтажных проводов; - переносной дымосос; - комплект автоматических заслонок для приточно-вытяжной вентиляции (кроме САГП в помещении ЦОД). 4.2.8. Требования к проектированию систем климат-контроля (СКК) Предусмотреть построение СКК в помещениях ЛТУС на объектах "Дом 15" и "Дом 12/14". Должны быть применены единые архитектурные решения для инфраструктуры узлов связи, объединяющие СКК, СБП, систему управления. Все решения по СКК должны быть интегрированы в единую инфраструктуру центра обработки данных и узлов связи. В рамках модернизации систем СКК, связанных с увеличением потребляемой мощности, на всех объектах предусмотреть необходимую реконструкцию систем электроснабжения, включая питающие кабели, щитовое оборудование. 4.2.9. Требования к проектированию оптоволоконных линий связи Разработать проект организации оптоволоконных каналов связи между объектами "Дом 15" и "Дом 12/14" на базе одномодового кабеля с емкостью жил не менее 24. Необходимо реализовать как топологию "звезда" (каждый ЛТУС соединен с ЦОД) так и топологию "кольцо" (все ЛТУСы и ЦОД). Параметры волокна должны быть оптимизированы для передачи сигнала Ethernet 10 Гб/с. Жилы кабеля должны быть заведены на соответствующие кроссы. Кабель должен быть введен в помещения телекоммуникационных узлов соответствующих объектов. 4.2.10. Требования к проектированию автоматизированной системы оперативного диспетчерского управления (АСОДУ) Полное наименование системы - "Система диспетчеризации и управления инженерным оборудованием информационной вычислительной системы" Административные здания Федерального агентства по рыболовству расположенного по адресу: г. Москва, Рождественский бульвар, д. 12/14, 15. Краткое наименование системы - "АСОДУ". АСОДУ является средством интеграции технических решений по автоматизации и диспетчеризации инженерных систем и систем обеспечения безопасности. АСОДУ должна интегрировать следующие инженерные системы: - энергоснабжения; - кондиционирования и холодоснабжения; - контроля и управления доступом; - газового пожаротушения (пульт контроля и управления охранно-пожарной сигнализацией); - управление освещением. Все технические средства системы должны предназначаться для эксплуатации в макроклиматическом районе с умеренным климатом (исполнение УХЛ) по ГОСТ 15150-69. Реализация технических решений должна базироваться на четырех основных принципах: - стандартизация; - открытость и информативность; - модульность и расширяемость; - отказоустойчивость. В практическом плане реализация этих принципов должна обеспечивать следующие технико-экономические преимущества и дополнительные функциональные возможности: - включение в состав системы новых функций по мере необходимости; - использование в системе как уже имеющихся аппаратных и программных средств, так и вновь внедряемых; - интеграция в единую систему наиболее оптимальных решений и продуктов от различных производителей; - обеспечение высокой степени масштабируемости системы; - адаптируемость системы под изменение требований и включение в ее состав новых функций; - формализованность технического обслуживания и сопровождения системы в эксплуатации; - высокая ремонтопригодность, восстанавливаемость и живучесть системы; - передачи информации удаленным пользователям. АСОДУ должна выполнять следующие функции: - осуществлять дистанционный контроль работы оборудования инженерных систем; - получать оперативную информацию о состоянии и технологических параметрах работы оборудования в реальном масштабе времени; - обрабатывать текущий объем получаемой информации; - обеспечивать хранение получаемой информации; - обеспечивать визуализацию технологических процессов работы всех подсистем (в виде мнемосхем, таблиц, графиков). Образец мнемосхем приведен в Приложении 2; - организация уровневой системы доступа операторов к управлению системой; - производить документирование и регистрацию технологических процессов инженерных систем и действий диспетчеров служб; - реализацию модели управления и регулирования, обеспечивающую экономичное использование энергии; - передача информации удаленным пользователям; - автоматизировать диагностику и контроль периодичности обслуживания оборудования, обеспечивать возможность подключения к системе дополнительного оборудования, увеличение точек контроля и функций управления без нарушения работоспособности системы. АСОДУ должна строится по иерархическому принципу: Основой системы является структурированная кабельная сеть (СКС) используемая для организации основы сети передачи данных, что обеспечивает универсальность и гибкость проектных решений, удобство наращивания и расширяемость системы. - Первый уровень иерархии - первичные датчики и исполнительные устройства, а также устройства согласования сигналов первичных датчиков с входами контроллеров сбора информации. - Второй уровень иерархии - контроллеры сбора информации (удаленные модули ввода/вывода), программируемые логические контроллеры (ПЛК), специализированное оборудование преобразования сигналов. - Третий уровень иерархии - серверы ввода/вывода интегрируемых систем, которые содержат средства организации обмена информацией между диспетчерскими (по ЛВС Ethernet) и контроллерами ввода/вывода информации (по объектовым шинам). - Четвертый уровень иерархии - специализированное прикладное программное обеспечение, функционирующее на автоматизированных рабочих местах (АРМ) диспетчеров на базе SCADA-системы. Построение АРМ диспетчеров выполняется на основе единой информационной структуры САУД с учетом функций и полномочий персонала. В системе применять оборудование, совместимое как по физическим интерфейсам, так и по информационным протоколам. В качестве физических интерфейсов использовать только стандартизованные интерфейсы (EIA/TIA 232, EIA/TIA 485 и т.п.). В качестве информационных протоколов передачи данных использовать только открытые протоколы (TCP/IP, MODBUS, M-Bus, LONTalk и т.п.). 4.2.11. Требования к определению мер по строительной подготовке ЦОД В рамках проекта должны быть определены меры по строительной подготовке ЦОД, расположенного по адресу: г. Москва Рождественский б-р д. 15. - Помещение должно быть не ниже II степени огнестойкости. - Размеры дверного проема не менее 2,1 м по высоте и 1,2 м по ширине и оборудованный двупольными дверями, с доводчиком. - Заполнения дверных проемов должны быть герметизированы уплотняющими прокладками в притворах. - Чистые полы в помещениях должны настилаться на несгораемое основание (цемент, песчаная стяжка и т.п.) - Полы должны быть ровными, беспыльными, легко поддающимися очистке пылесосом и допускающими влажную уборку. - В помещении необходимо смонтировать фальшпол. Высота фальшпола 400 мм от чистого пола. - Покрытие фальшпола должно обеспечивать отекание и отвод электростатического электричества. Металлические элементы фальшпола должны быть заземлены. - Фальшпол должен выдерживать нагрузку не менее 1 000 кг/м.кв. - Стены должны быть сложены из пеноблоков или кирпича. Должна быть обеспечена огнестойкость и герметичность. - Поверхность стен и потолков должна быть гладкая из материалов, не выделяющих пыль и допускающих систематическую очистку от пыли. - Не допускается присутствие в ЦОД жидкостных коммуникаций. - Заземляющий защитный проводник ЦОД выполнить из металлической полосы 40x4 закрепленной по периметру помещения без образования контура на высоте 300 мм от фальшпола. - Оптимальная скорость потока воздуха в помещении - 0,2 м/с (не более 0,3 м/с для холодного, 0,5 м/с для теплого периодов). - Запыленность воздуха помещения не должна превышать - 0,75 мг/м3, с размерами частиц не более 3 мкм (атм. пыль, сажа, дым, споры, асбест). - Допустимый уровень шума не более 65 дБ. Допустимый уровень вибрации не должен превышать по амплитуде 0,1 мм и по частоте 25 Гц. - В помещении, должно быть предусмотрено: - отключение вентиляции при срабатывании не менее 2-х датчиков пожарной сигнализации; - установка автоматизированных огнезадерживающих и герметизирующих заслонок и клапанов на воздуховодах; - удаление дыма и газа после пожара из защищаемых помещений в объеме не менее 3-х кратного воздухообмена в час, вытяжные шахты с ручным или автоматическим открыванием в случае пожара, сечение которых не менее 0,2 % площади помещения. - Предусмотреть организацию системы закладных устройств (СЗУ). СЗУ для прокладки силовых и слаботочных кабельных сетей через стены должна осуществляться в отрезках несгораемых труб с соответствующей их герметизацией несгораемыми материалами и выполнятся в отдельных трубах, разнесенных между собой на расстояние не менее чем на 500 мм (количество, диаметр и место установки закладных устройств определяется на этапе строительства). 4.2.12. Требования к определению мер по строительной подготовке ЛТУС В рамках проекта должны быть определены меры по строительной подготовке ЛТУС, расположенных по адресу: г. Москва Рождественский б-р д. 12, 14, 15. - Помещение должно быть не ниже II степени огнестойкости. - Размеры дверного проема не менее 2,1 м по высоте и 1 м по ширине и оборудованный дверями, с доводчиком. - Заполнения дверных проемов должны быть герметизированы уплотняющими прокладками в притворах. - Чистые полы в помещениях должны настилаться на несгораемое основание (цемент, песчаная стяжка и т.п.) - Полы должны быть ровными, беспыльными, легко поддающимися очистке пылесосом и допускающими влажную уборку. - Стены должны быть сложены из пеноблоков или кирпича. Должна быть обеспечена огнестойкость и герметичность. - В помещениях ЛТУС не должно быть фальшпотолка. - Поверхность стен и потолков должна быть гладкая из материалов, не выделяющих пыль и допускающих систематическую очистку от пыли. - Не допускается присутствие в ЛТУС жидкостных коммуникаций. - Заземляющий защитный проводник ЛТУС выполнить из металлической полосы 40x4 закрепленной по периметру помещения без образования контура на высоте 300 мм от фальшпола. - Оптимальная скорость потока воздуха в помещении - 0,2 м/с (не более 0,3 м/с для холодного, 0,5 м/с для теплого периодов). - Запыленность воздуха помещения не должна превышать - 0,75 мг/м3, с размерами частиц не более 3 мкм (атм. пыль, сажа, дым, споры, асбест). - Допустимый уровень шума не более 65 дБ. Допустимый уровень вибрации не должен превышать по амплитуде 0,1 мм и по частоте 25 Гц. - В помещении, должно быть предусмотрено: - отключение вентиляции при срабатывании не менее 2-х датчиков пожарной сигнализации; - установка автоматизированных огнезадерживающих и герметизирующих заслонок и клапанов на воздуховодах; - удаление дыма и газа после пожара из защищаемых помещений в объеме не менее 3-х кратного воздухообмена в час, вытяжные шахты с ручным или автоматическим открыванием в случае пожара, сечение которых не менее 0,2 % площади помещения. - Предусмотреть организацию системы закладных устройств (СЗУ). СЗУ для прокладки силовых и слаботочных кабельных сетей через стены должна осуществляться в отрезках несгораемых труб с соответствующей их герметизацией несгораемыми материалами и выполнятся в отдельных трубах, разнесенных между собой на расстояние не менее чем на 500 мм (количество, диаметр и место установки закладных устройств определяется на этапе строительства). 4.2.13. Требования к освещению автоматизированных рабочих мест Общие требования: В компьютерных залах должно быть естественное и искусственное освещение. Естественное освещение обеспечивается через оконные проемы с коэффициентом естественного освещения КЕО не ниже 1,2%. Искусственное освещение в помещениях эксплуатации компьютеров должно осуществляться системой общего равномерного освещения с возможностью плавного регулирования интенсивностью освещения и дистанционного управления включением-отключением групп светильников. Освещенность на поверхности стола в зоне размещения документа должна быть 300-500 лк. Допускается установка светильников местного освещения для подсветки документов. Местное освещение не должно создавать бликов на поверхности экрана и увеличивать освещенность экрана более 300 лк. Для искусственного освещения помещений с персональными компьютерами следует применять светильники типа ЛПО36 с зеркализованными решетками, укомплектованные высокочастотными пускорегулирующими аппаратами. Допускается применять светильники прямого света, преимущественно отраженного света типа ЛПО13, ЛПО5, ЛСО4, ЛПО34, ЛПО31 с люминесцентными лампами типа ЛБ. 4.3. Требования к системам вычислительной инфраструктуры 4.3.1. Общие требования к системам вычислительной инфраструктуры В рамках проектирования должны быть разработаны технические решения систем вычислительной инфраструктуры для текущих потребностей существующих систем ИИВС, с учетом их миграции на проектируемый АПК. В том числе должны быть предусмотрены вычислительные ресурсы для размещения программного обеспечения и данных существующего ситуационного центра Агентства. Также должно быть обеспечено удовлетворение перспективных потребностей ИИВС в вычислительной инфраструктуре, связанных с реализацией "Концепции внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций". В обязательном порядке должна быть спроектирована инфраструктура для размещения сервисов "Электронная библиотека", внутреннего и внешнего порталов Федерального агентства по рыболовству, системы электронного документооборота. Проектом должно быть предусмотрено подключение к системе электронного документооборота, входящей в состав, ИИВС: - 2-х принтеров с возможностью печати на конвертах (подсистема печати) - 2-х потоковых сканеров типа СКАМАКС 2600М или эквивалента (подсистема сканирования) Исходя из распределения по одному комплекту принтер-сканер на каждом из двух объектов центрального аппарата Заказчика. Для всех подсистем и функциональных модулей должны быть рассмотрены вопросы кластеризации с целью обеспечения отказоустойчивости в режиме горячего резервирования. Технические решения по системам, входящим в состав систем вычислительной инфраструктуры, должны позволять реализацию катастрофоустойчивых решений для ЦОД. 4.3.2. Требования к структуре и функционированию систем вычислительной инфраструктуры Основные информационные ресурсы Системы должны быть расположены в Центре обработки данных, обеспечивающем постоянное круглосуточное функционирование ИИВС. Должно быть организовано централизованное управление информационными ресурсами с возможностью передачи административных полномочий по управлению выделенными службами региональным структурным подразделениям, с сохранением контроля на верхних уровнях иерархии. В состав систем вычислительной инфраструктуры АПК ИИВС входят: - Сеть хранения данных в ЦОД; - Вычислительные комплексы ЦОД; - Система хранения данных; - Централизованная система управления. 4.3.2.1. Требования к доступности (готовности) системы Система должна эксплуатироваться в режиме 24 часа в сутки, 7 дней в неделю, 365 дней в году. Доступность системы должна составлять не менее 99,99%. Под доступностью понимается способность Системы при обращении пользователей к ней исполнять требуемые функции в установленный период времени эксплуатации с учетом всех режимов ее работы (плановых и неплановых простоев). Недоступность ЦОД подразделяется на плановую, во время которой проводятся плановые работы в сервисном режиме работы ЦОД (апгрейды памяти, системного программного обеспечения, устройств и т.п.), и неплановую, причиной которой являются физические сбои оборудования, отказы питания и т.п. Плановые работы должны проводиться без остановки ЦОД. 4.3.2.2. Определение совокупности нарушений работоспособности При проектировании должны быть учтены возможные причины простоя (неработоспособности) Системы и предусмотрено резервирование основных функциональных компонентов программного и аппаратного обеспечения. К причинам неработоспособности следует отнести: Плановые отключения Системы. Позволяют выполнять профилактические мероприятия, проводить наращивание аппаратного обеспечения, выполнять установку пакетов обновлений программного обеспечения; Отказы программных средств Системы. В эксплуатационной документации должны быть даны рекомендации по их устранению; Отказы аппаратных средств Системы. Необходимо предусмотреть избыточность и резервирование компонентов аппаратного обеспечения. Под отказом Системы понимается временное нарушение работоспособности по причине аппаратных и программных сбоев. Для восстановления работоспособности Системы в случае отказов должно быть предусмотрено наличие комплектов ЗИП, сформированное на этапе проектирования. АПК ИИВС должен обеспечивать функционирование в следующих режимах: - Штатный режим. Режим функционирования, при котором обеспечивается выполнение функциональных возможностей системы в объеме функций, соответствующем данному этапу реализации; - Автономный режим. Характеризуется ограничением возможностей управления, связанного с нарушением информационного взаимодействия между пунктами управления. В этом случае пункты управления самостоятельно решают задачи по обеспечению заданных уровней сервисов в отведенной зоне ответственности; - Сервисный режим (для проведения обслуживания, реконфигурации и пополнения системы управления новыми компонентами). Сервисный режим должен обеспечивать реализацию наиболее критичных функций, необходимых для поддержания основных сервисов и режимов работы основных ресурсов. 4.3.2.3. Требования по сохранности и восстановлению информации Сохранность и восстановление информации должно обеспечиваться применением систем резервного копирования. Требования к системе резервного копирования описаны в разделе 4.5. 4.3.2.4. Требования по доступу к информационным ресурсам Необходимо предусмотреть возможность предоставления безопасного и защищенного доступа к информационным ресурсам Системы, как из локальной сети, так и через публичные сети. 4.3.2.5. Требования к сети хранения данных ЦОД В рамках проектирования ядра сети хранения данных в ЦОД предусмотреть создание ядра на базе модульных коммутаторов Fibre Channel (не менее 2-х для создания отказоустойчивого ядра). Коммутаторы SAN ЦОД должны поддерживать современные скоростные стандарты передачи данных Fibre Channel (не менее 8 Гб/с). Количество портов у коммутаторов SAN ОЦОД для подключения оборудования должно быть не менее 32 (для каждого коммутатора). Необходимо разработать проектные решения по подключения серверов ЦОД (в том числе и существующих) к SAN. В техническом решении необходимо использовать отказоустойчивые схемы подключения серверов к SAN. В проекте предусмотреть внедрение единой системы управления SAN, интеграцию системы управления SAN с единой ЦСУ. 4.3.2.6. Требования к системе хранения данных В рамках развития системы хранения данных ЦОД предусмотреть установку современной системы хранения данных с общей емкость не менее 50 ТБ с возможностью расширения и подключением к сети хранения данных по высокоскоростным каналам Fibre Channel на скорости не менее 8 Гбит/с. Система должна предусматривать хранение данных автоматизированных систем Заказчика, служебных данных вычислительных комплексов с использованием технологий виртуализации, а также размещения кластерных комплексов серверов СУБД ЦОД. 4.3.2.7. Требования к вычислительным комплексам центров обработки данных В составе проектных решений необходимо предусмотреть модернизацию центрального комплекса СУБД. Проектные решения должны предусматривать соблюдение принципов отказоустойчивости и масштабируемости решения. В составе проектных решений по вычислительным комплексам предусмотреть: - Главный центр обработки данных (ЦОД), для функционирования централизованных систем масштаба агентства. Для функционирования систем уровня Территориальных управлений должны быть спроектирован типовой вычислительный комплекс территориального управления. - Использование технологий виртуализации в ЦОД с гибким распределением вычислительных ресурсов в зависимости от требований прикладных задач. Должно быть обеспечено масштабирование логической емкости созданием вплоть до 760 виртуальных машин; - Масштабирование вычислительных комплексов - центрального ЦОД и региональных; - Решения по удаленному мониторингу и управлению серверным и телекоммуникационным оборудованием; - Проектные решения по переводу серверов вычислительного комплекса центров обработки данных на новые версии операционных систем, выбор наиболее оптимальных версий ОС для новых серверов ЦОД и Территориальных Управлений Заказчика. - Проектные решения по переводу серверов вычислительного комплекса центров обработки данных на новые версии СУБД, выбор наиболее оптимальных версий СУБД для новых серверов. - Проектные решения миграции физических серверов в виртуальную среду выполнения приложений, решение задач лицензирования ПО виртуализации для серверов вычислительных комплексов центра обработки данных. 4.3.2.8. Требования к централизованной системе управления Централизованная система управления должна включать в себя следующие подсистемы: - Подсистема мониторинга и управления вычислительными ресурсами; - Подсистема управления и мониторинга распределенной телекоммуникационной сетью; - Подсистема управления производительностью серверов и телекоммуникационного оборудования; - Подсистема съема и анализа сетевого трафика; - Подсистема контроля качества каналов связи; - Подсистема инвентаризации и управления парком АРМ; - Подсистема мониторинга и управления парком принтеров. 4.3.2.9. Требования к функциям, подсистем ЦСУ Подсистема мониторинга и управления вычислительными ресурсами должна обеспечивать следующие функции: - автоматическое обнаружение, визуализацию и управление гетерогенными информационными системами ИИВС; - возможности по управлению ресурсами, разделенными межсетевыми экранами; - поддержку управления сетями хранения данных (SAN); - реализацию технологии, позволяющей администраторам визуально объединять ресурсы, выполняющие одну и ту же задачу, в бизнес-процесс; - механизм управления на базе событий, обеспечивающий корреляцию событий и автоматизированное управление ресурсами на базе заданных реакций на определенные события; - централизованное, мульти платформенное управление, мониторинг всех операционных систем, используемых в ИИВС (Solaris, Windows, Linux) с одинаковым объемом функциональных возможностей для всех используемых в ИИВС операционных систем; - автоматическое обнаружение ресурсов, графический интерфейс для отображения как статистической, так и текущей информации, поддержка различных способов визуализации и оповещения, в том числе, в виде топологии и бизнес-процессов, - полный набор агентов, позволяющих осуществлять мониторинг сетей, систем и приложений при помощи обнаружения и фильтрации событий, происходящих в масштабе всей сети ИИВС с последующей отправкой наиболее значимых событий (например, события перехода статуса какого-либо устройства в критическое состояние) на одну или несколько управляющих станций или в виде голосовых сообщений, электронной почты; - функции искусственного интеллекта, обеспечивающие анализ и корреляцию событий для быстрой идентификации источника проблемы и включающие средства упреждающего управления для предотвращения проблем, средства работы со статистикой для воссоздания всей последовательности событий, приведших к проблеме и предотвращения их в будущем; - управление распределением рабочей нагрузки. Подсистема управления и мониторинга распределенной телекоммуникационной сетью ИИВС должна обеспечивать следующие функции: - управление неисправностями; - управление производительностью сетевой инфраструктуры; - поддержка телекоммуникационного оборудования различных производителей; - развитые механизмы корреляции событий; - поддержка анализа первопричин; - наличие готовых механизмов для интеграции с внешними системами; - автоматически обновляемая карта топологии сети и подключенных к ней устройств в табличном и графическом виде с возможностью вывода ее на печать; - возможность определения метрик SLA и контроля за их соблюдением; - поддержка распространенных сетевых протоколов и технологий; - настройка таймеров для измерения заданных параметров работоспособности; - настройка пороговых значений параметров работоспособности; - журналирование значений параметров работоспособности; - генерация исторических отчетов об изменении заданных параметров работоспособности; - оповещение о превышении пороговых значений заданных параметров; - быстрое обнаружение и устранение сетевых отказов, вызванных перегрузкой оборудования; - прогноз сетевых отказов, вызванных перегрузкой оборудования; - считывание конфигурации NVRAM из сетевого оборудования по запросу оператора, или автоматически по запланированному расписанию; - Централизованное хранение конфигураций сетевого оборудования; - сравнение конфигураций оборудования на разные моменты времени, поиск внесенных изменений; - загрузка конфигурации в устройство по запросу оператора; - экспорт конфигурации сетевого элемента в файл; - определение оборудования, которое имеет наибольшее количество отказов; - выявление наиболее часто встречающихся отказов оборудования; инвентаризация сетевого оборудования и его классификация; - определение версий ПО активного оборудования и OS рабочих станций и серверов; - определение вновь созданных или удаленных моделей устройств за отчетный период; - определение количества свободных портов для подключения пользователей; - определение степени работоспособности сети и ее элементов; - оценка уровня доступности сервисов в режиме реального времени и степени воздействия возникающих неисправностей на работу пользователей; - получение тревожных сообщений модели SLA, различной степени критичности, которые вырабатываются при превышении пороговых значений, устанавливаемых соглашением или при наличии предпосылок для преодоления порога; - анализ основных причин, приводящих к деградации сервисов; - определение периодов плановых перерывов в предоставлении услуг или проведения профилактических работ; - исключение определенных перерывов в предоставлении услуг при оценке соблюдения условий SLA; - создание моделей сервисов, пользователей, правил мониторинга, SLA, гарантийных обязательств и периодов плановых остановок в виде файлов конфигурации XML, с их дальнейшим импортом/экспортом; - обнаружение и визуализация разрыва соединения логического соединения; - обнаружение и локализация перегруженного оборудования ретрансляции кадров; - сигнализация о необходимости увеличения полосы пропускания канала. Подсистема управления производительностью серверов и телекоммуникационного оборудования корпоративной сети должна обеспечивать: - интегрирование управления производительностью сложных мультивендорных сетей с несколькими технологиями, сведение данных из нескольких источников и отображение их в виде единого, персонализированного представления; - накопление в ретроспективной базе данных сведений о событиях, использование архива для анализа тенденций и обнаружения проблем до того, как они отразятся на пользователях; - обеспечение механизма нахождения узких мест сетевых элементов и соединений, а также документирования потребностей в дополнительных мощностях; - поиск недостаточно используемых ресурсов, оптимизация сетевой инфраструктуры; - обеспечение функции управления качеством услуг, для настройки различных классов услуг и назначения им целей, основных пороговых значений и других показателей производительности; - предоставление отчетов об уровне предоставляемых услуг, предоставление информации о достигнутом качество услуг (QoS) и выполнения сервисными провайдерами внешних соглашений SLA; - предоставление отчетов типа: "Top N", "Trend", "At-A-Glance", "MyHealth", "Health", "Service Level", "End-To-End PVC", "QoS analysis", обеспечение специальных видов отчетов под ключевых пользователей системы: руководство, ИТ-персонал, пользователи; - система визуализации графических отчетов для специализированных задач оператора; - возможность проведения анализа тенденций роста загруженности сетевых элементов и ИТ-ресурсов; - расчет нормативных характеристик сетевой активности в первую неделю функционирования системы после запуска, дальнейшее обеспечение быстрого выявления исключительных и нестандартных событий в работе всей контролируемой части сети оператора; - обеспечение механизмов по анализу планирования пропускной способности сети с поддержкой метода "Что если..." для упрощения принятия решения при развитии сети; - интеграция подсистемы с комплексом управления неисправностями для определения проблем на сети до момента обнаружения конечными пользователями снижения качества предоставляемой услуги/сервиса. Подсистема съема и анализа сетевого трафика должна обеспечивать: - сбор данных по протоколам Netflow версий 5, 7, 9, J-flow, sFlow, NBAR, IPFIX; - возможность получения статистики от SNMP устройств с интервалом в 1 сек; - хранение данных сетевого трафика в "сыром" виде не менее 7 дней с гранулярностью в 1 сек; - хранение данных SNMP статистики в "сыром" виде не менее 12 месяцев; - построение нормативных значений для каждой характеристики с расчетом наблюдений не менее 10 недель каждые 15 минут; - возможность получения и обработки потока сетевого трафика со скоростью до 15 млн. flow/min; - задание динамических и статических пороговых значений для характеристик мониторинга; - возможность перехода из SNMP отчетов в статистику по сетевому трафику; - возможность построения отчетов типа Top Talkers, Top conversations, Top Talkers with Applications, Top Applications; - возможность создавать и управлять тестами IP SLA; - оповещать пользователя о превышении пороговых значений показателей загруженности сетевого трафика; - возможность осуществлять двусторонний обмен данными с подсистемой управления и мониторинга распределенной телекоммуникационной сетью; - получение данных из подсистемы управления телефонной ip-связью; - возможность горячего резервирования данных; - возможность получения статистики о виртуальной среде; - наличие открытой архитектуры для обмена данными со сторонними системами. Подсистема контроля качества каналов связи должна обеспечивать: - контроль посредством генерации тестового трафика с полезной нагрузкой в виде потока данных, кодированных в соответствии со стандартами G.711, G.726, G.723; - генерации двунаправленного тестового трафика; - односторонние задержки передачи данных в обоих направлениях; - односторонний джиггер передаваемых пакетов в обоих направлениях; - процент потерь данных в обоих направлениях; - оценку MOS и MDI в обоих направлениях; - контроль полосы пропускания путем генерации тестового трафика, использующего протоколы TCP, UDP, RTP; - контроль полосы пропускания путем генерации смешанного тестового трафика, использующего протоколы как TCP, так и UDP; - возможность установки максимального значения генерируемого тестового трафика; - также измерение и вычисление следующих характеристик канала: - полоса пропускания канала в Мб/с; - время ответа; - процент потерь пакетов; - наличие готовых сценариев для приложений организации в количестве не менее 20; - возможность настройки сценариев тестирования, путем разработки скриптов и захвата трафика приложений организации; - возможность настройки сценариев тестирования, путем разработки скриптов и захвата трафика приложений организации; - возможность использования реального трафика приложений в сети для выполнения тестирования; - возможность централизованной настройки сценариев тестирования, выполняющих одновременную генерацию трафика, содержащего информацию VoIP и Video; - возможность настройки сценариев тестирования, выполняющих генерацию TCP/UDP трафика, содержащего пакеты с наполнением из задаваемого файла; - все управление сценариями тестирования и изменение режима и функционала аппаратно-программных зондов должно производиться из центральной консоли системы без непосредственного внесений изменений в настройки зондов; - обеспечивать отправку событий в подсистему мониторинга и управлению сетью по протоколу SNMP. Подсистема инвентаризации и управления парком АРМ должна обеспечивать: - автоматическое распространение любых типов файлов, включая установку программного обеспечения и обновлений одновременно по группе рабочих станций в соответствии с указанными политиками; - подготовку установочных пакетов программного обеспечения для последующей инсталляции на пользовательских АРМ; - сбор актуальной информации об установленном на удаленной рабочей станции программном обеспечении; - регистрацию детальной информации о модели, программных и аппаратных компонентах рабочих станций; - выявление изменений в программном и аппаратном обеспечении удаленных рабочих станций; - дистанционный контроль и администрирование АРМ; - построение отчетов о комплектации (аппаратной конфигурации) и программном обеспечении имеющихся в организации АРМ; - оповещение администраторов подсистемы об изменении аппаратных и программных конфигураций АРМ организации; - планирование задач, возможность настройки выполнения по расписанию различных задач по обслуживанию АРМ; - возможность создания собственных шаблонов, описывающих ПО (перечень exe, dll и др.), для сбора информации и последующего автоматического анализа; - возможность проводить инвентаризацию в автоматическом режиме согласно расписанию, заданному администратором; - возможность проводить инвентаризацию в ручном режиме по команде администратора; - возможность проводить инвентаризацию каждый раз при включении рабочей станции пользователя; - распространение пакетов ПО по команде администратора или по расписанию; - автоматическое отслеживание и предоставление возможности администратору вносить необходимые изменения в программную конфигурацию для приведения ее в соответствие регламентируемой; - возможность деинсталляции установленного ПО (данное требование актуально только для категории программного обеспечения, в дистрибутив которого включена процедура деинсталляции); - интерфейс для подключения к удаленному рабочему столу пользователей, чата и передачи файлов; - возможность одновременного запуска несколько удаленных сессий администратором. Подсистема мониторинга и управления принтерными ресурсами должна обеспечивать: - обнаружение всех сетевых и локальных принтеров; - отслеживание фактических затрат на печать по подразделениям, местоположению и для отдельных принтеров; - использование множества параметров затрат, в том числе по аренде, расходным материалам и обслуживанию; - измерение эффективности использования по всей организации, а также по - подразделениям и местоположению; - использование правил уведомления об инцидентах заранее определенных или заданных пользователем; - сбор до 500 параметров принтеров для идентификации и анализа; - предполагаемую дату замены расходных материалов и предполагаемое кол-во оставшихся страниц; - показатели доступности принтера - оповещение об отсутствии связи с устройством в течение заданного периода времени; - отслеживание счетчиков печати (монохромной цветной), принятых факсов, сделанных копий (на поддерживающих эти возможности устройствах), данных о двухсторонней печати и о печати на бумаге разных форматов и счетчиков времени работы; - отслеживание времени простоев и ремонта, а также частоты ошибок; - отслеживание всех устраненных и не устраненных инцидентов; - группировку, сортировку и фильтрацию данных по различным параметрам; - использование стандартных или создание специальных отчетов; - настройку группирования, сортировки, суммирования и усреднения данных в течение определенного времени; - экспорт данных в форматы xls, txt, pdf и html; - задание графика составления и рассылки отчетов по электронной почте; - автоматическое, без установки агентов, обнаружение и сбор данных без существенного влияния на сетевой трафик; 4.3.2.10. Требования к организации АРМ Должны быть собраны требования к оснащению рабочих мест (организации АРМ) сотрудников Федерального агентства по рыболовству в зависимости от выполняемых сотрудником функций, используемых приложений и предъявляемых требований информационной безопасности. Должен быть спроектирован набор типовых АРМ, отвечающих зафиксированным и согласованным с Заказчиком требованиям. Во всех случаях, когда это возможно, предпочтение должно отдаваться организации рабочих мест с использованием технологий терминального доступа. Должны быть спроектированы АРМ заграничных представительств, учитывающие требования защиты информации и необходимость участия в сеансах видеоконференцсвязи с Ситуационным Центром Федерального агентства по рыболовству. 4.3.2.11. Требования к комплексу терминального доступа Терминальная сеть должна состоять из следующих контуров: - контур с открытыми информационными ресурсами, не содержащими служебной информации ограниченного распространения (внешний контур); - контур с информационными ресурсами конфиденциального характера, не содержащими сведения, составляющие государственную тайну (внутренний контур). Пользователь должен иметь возможность безопасной работы одновременно в двух контурах. Характеристики программно-аппаратных средств должны обеспечивать возможность работы пользователей с информацией разных категорий с одного рабочего места. Согласно принципу терминальной обработки информации комплекс должен обеспечивать только ввод/вывод и отображение результатов обработки информации. Проектом необходимо предусмотреть возможности увеличения количества АРМ в существующем терминальном сегменте до 400 шт. и модернизацию существующего серверного пула терминального сегмента для обеспечения приемлемых параметров по производительности при сохранении требований к информационной безопасности. Обеспечить интеграцию новых серверов терминального сегмента в инфраструктуру центра обработки данных, в котором они будут размещены, а также ТРМ в телекоммуникационную сеть ИИВС Агентства. Проектные решения для серверов приложений терминального сегмента должны обеспечивать выполнение приложений, работающих на платформах MS Windows, обеспечивая доступность всех основных сервисов, предоставляемых ЦОД ИИВС Росрыболовства на АРМ КЗТД. Терминальная сеть должна строиться на основе сервера терминального доступа Windows Terminal Services. В состав комплекта ТРМ КЗТД должны входить: - терминал с монитором; - клавиатура; - мышь; - персональный носитель аутентифицирующей информации (смарт-карты, Token, iButton). 4.3.2.12. Требования к системам обеспечения информационного взаимодействия В состав систем обеспечения информационного взаимодействия входят: - Телекоммуникационная система ИИВС; - Система унифицированных коммуникаций; - Система видеоконференцсвязи; - Система связи специального назначения. 4.3.2.13. Телекоммуникационная система ИИВС В рамках проектирования необходимо предусмотреть создание серверного сегмента в помещении ЦОД с возможностью подключения не менее 48 дублированных каналов Gigabit Ethernet для серверов вычислительного комплекса в каждом из сегментов "Агентство" и "Интернет". Должны быть разработаны решения, обеспечивающие отказоустойчивую работу всех составляющих телекоммуникационной системы ИИВС в режиме горячего резервирования, а также способы резервирования и агрегации каналов связи В серверном сегменте ЦОД сегмента "Интернет" предусмотреть подсистемы межсетевого экранирования и обнаружения вторжений. Обеспечить полосы пропускания в магистральных каналах между коммутаторами ядра и распределения не менее 10 Гбит/с в сегменте "Агентство". При создании проектных решений по созданию сегмента "Интернет" корпоративной сети ИИВС предусмотреть подключение резервных каналов от независимых провайдеров на всех объектах центрального аппарата Заказчика. При создании сегмента "Интернет" предусмотреть полосы пропускания магистральных каналов связи, как между зданиями, так и внутри зданий до уровня не менее чем 1 Гбит/с. Для каналов связи между зданиями предусмотреть использование дублированных каналов. Внедрение проектных решений по Системе не должно приводить к остановке функционирования телекоммуникационной системы ИИВС. Предусмотреть развитие ИИВС 20 Территориальных Управлений (ТУ) ФАР для обеспечения удаленного включения их в сегмент "Агентство". Для каждого ТУ предусмотреть коммутатор ядра, обеспечивающий подключение АРМ СУНИКОМ Управления и серверов ИИВС Управления и граничный маршрутизатор, обеспечивающий связь ТУ с объектами центрального аппарата Заказчика. Рассмотреть требования к каналам операторов связи для подключения ТУ с учетом требований существующих и планируемых к внедрению информационных систем. 4.3.2.14. Требования к коммутаторам ядра сегментов "Агентство" и "Интернет" При создании ядра сегментов "Агентство" и "Интернет" предусмотреть возможность организации 10 Гб/с каналов связи между коммутаторами ядра и распределения, полное дублирование коммутаторов уровня ядра и серверных сегментов в центре обработки данных. 4.3.2.15. Требования к коммутаторам доступа/распределения сегментов "Агентство" и "Интернет" При модернизации коммутаторов уровня доступа и распределения сегментов "Агентство" и "Интернет" предусмотреть замену коммутаторов с фиксированным числом портов на модульные коммутаторы на базе шасси. Модули в коммутаторах уровня доступа сегмента "Агентство" должны обеспечивать функцию передачи питания по каналам сети Ethernet (Power over Ethernet - PoE) для обеспечения питания абонентского оборудования системы IP-телефонии (не менее 50% портов). 4.3.2.16. Требования к граничному маршрутизатору ТУ Заказчика Выбор и граничного маршрутизатора и схемы его включения должны учитывать количество подключаемых сотрудников, требования к информационным сервисам и всем необходимым каналам оператора (операторов) связи. Должна быть спроектирована схема резервирования и способы подключения Центрального аппарата Заказчика и ТУ. 4.3.2.17. Требования к системе унифицированных коммуникаций (СУНИКОМ) Проектом по созданию системы унифицированных коммуникаций предусмотреть решения по: - Модернизации системы IP-телефонии (IPT) до 600 абонентов в составе: - Модернизации подсистемы обработки вызовов - Созданию подсистемы связи с телефонной станцией ТфОП (УАТС) на объекте "Дом 15" - Модернизации автоматизированных рабочих мест на основе IP-телефонов Cisco 7960 - Модернизации подсистемы голосовой почты - Модернизации подсистемы корпоративного телефонного справочника - Модернизации подсистемы сервиса мобильных абонентов - Созданию подсистемы контакт-центра - Модернизации подсистемы динамического контроля статуса абонентов - Создание аппаратно-программных комплексов СУНИКОМ 20 Территориальных Управлений ФАР. - Модернизацию системы управления унифицированными коммуникациями. 4.3.2.18. Требования по составу подсистем СУНИКОМ В состав подсистемы обработки вызовов должны входить: - Аппаратное и программное обеспечение подсистемы обработки вызовов. - Лицензии на телефоны в составе АРМ для программного обеспечения обработки вызовов. В состав подсистемы связи с УАТС должны входить: - Шлюз с подключением по каналу Е1. - Модуль El для УАТС. - Канал связи между шлюзом и УАТС. - Должны быть оборудованы следующие автоматизированные рабочие места: - АРМ (тип 1) для руководителей центрального аппарата Заказчика. - АРМ (тип 2) для руководителей высшего звена центрального аппарата ФАР и руководителей ТУ Заказчика и их приемных. - АРМ (тип 3) для диспетчеров единого диспетчерского центра ИИВС и руководителей низшего звена центрального аппарата Росрыболовства. - АРМ (тип 4) для сотрудников. В состав АРМ (тип 1) должны входить (существующие или поставляемые): - Телефонный аппарат 1 шт. - Панель расширения - 2 шт. - Подставка под две панели расширения - 1 шт. - Комплект из камеры и программного обеспечения для видеосвязи - 1 шт. - Блок питания для телефонного аппарата и панели расширения - 2 шт. В состав АРМ (тип 2) должны входить (существующие или поставляемые): - Телефонный аппарат 1 шт. - Панель расширения - 1 шт. - Подставка под панель расширения - 1 шт. - Комплект из камеры и программного обеспечения для видеосвязи - 1 шт. - Блок питания для телефонного аппарата и панели расширения - 1 шт. В состав АРМ (тип 3) должны входить (существующие или поставляемые): - Телефонный аппарат 1 шт. - Комплект из камеры и программного обеспечения для видеосвязи - 1 шт. - Блок питания для телефонного аппарата - 1 шт. В состав АРМ (тип 4) должны входить (существующие или поставляемые): - Телефонный аппарат 1 шт. - Блок питания для телефонного аппарата - 1 шт. - Сервис/гарантия на 1 год на оборудование и программное обеспечение в составе АРМ. В состав подсистемы голосовой почты должны входить: - Аппаратное и программное обеспечение подсистемы голосовой почты. - Комплект дистрибутивов программного обеспечения голосовой почты. - Программное обеспечение хранилища сообщений. - Программное обеспечение хранилища данных голосовой почты. В состав подсистемы корпоративного телефонного справочника должны входить: - Программное обеспечение корпоративного телефонного справочника. - Сервер для корпоративного телефонного справочника. Должны быть обеспечены гарантия и сервисное обслуживание ТС всех внедряемых подсистем, а также обеспечена поддержка производителя на поставляемое ПО (включение в поставку гарантийных и сервисных контрактов с производителем, а также обязательных сервисов по инсталляции ПО и ТС). 4.3.2.19. Требования к системе видеоконференцсвязи (ВКС) В рамках работ по проекту необходимо создание системы видеоконференцсвязи (ВКС) на 200 абонентов (включая 40 абонентов ВКС в ТУ Заказчика). Функциональные требования к системе должны быть уточнены на этапе обследования. Проектом должна быть предусмотрена замена не менее 200 АРМ в составе АРМ СУНИКОМ оборудованных аппаратурой ВКС, функционирующих в составе ИИВС Агентства. В состав новых АРМ должны входить: современный производительный компьютер с установленной операционной системой, поддерживающий работу приложений Заказчика, монитор, клавиатура, манипулятор "мышь", монохромный лазерный принтер. Количество принтеров уточнить при проектировании. Все АРМ должны быть установлены на места эксплуатации и настроены для работы конечного пользователя в соответствии с его функциональными обязанностями. 4.3.2.20. Требования к системе связи специального назначения Система связи специального назначения предназначен для построения виртуальных частных сетей между сетевыми сегментами заинтересованных субъектов информационных отношений. Система связи специального назначения должна выполнять следующие функции: - построение виртуальных частных сетей; - поддержка постоянно действующих туннелей виртуальной частной сети; - возможность использования динамической маршрутизации для получения сведений о сетевых сегментах, подключенных к виртуальной частной сети; - возможность учета сведений, полученных посредством динамической маршрутизации при построении туннелей виртуальной частной сети; - шифрование/дешифрование информации, передаваемой через виртуальную частную сеть, с использованием алгоритма шифрования ГОСТ 28147-89 с применением сертифицированных средств криптографической защиты; - аутентификация сетевых сегментов. 4.4. Системы информационной безопасности 4.4.1. Общие требования к СИБ СИБ должна допускать возможность увеличения производительности и расширения функциональности при дальнейшем развитии информационно-вычислительной системы. СИБ должна обладать модульной структурой, учитывая возможности дальнейшего расширения. Система обеспечения информационной безопасности ИИВС Росрыболовства должна представлять собой решения по комплексу программно-технических, технологических и организационных решений, в соответствии с требованиями руководящих документов ФСТЭК России, предъявляемых к автоматизируемым системам класса не ниже "1Г". Используемые средства криптографической защиты информации, должны соответствовать требованиям ФСБ России к применению криптографических преобразований и сертифицированных средств криптографической защиты информации. Обеспечение защиты персональных данных должно осуществляться в соответствии с разработанными ФСТЭК нормами и требованиями. Класс информационных систем обработки персональных данных Росрыболовства необходимо определить на стадии выполнения предпроектного обследования. Проектные решения по обеспечению информационной безопасности ИИВС Росрыболовства должны представлять собой комплекс организационно-режимных мероприятий, программных и технических средств защиты, а также технологии их применения, и должны определяться действующими в области обеспечения информационной безопасности нормативно-распорядительными документами и разработанной и утвержденной Росрыболовством политикой обеспечения безопасности информационных и технических ресурсов. Средства обеспечения безопасности информационных ресурсов ИИВС Росрыболовства, используемые в проектных решениях, должны осуществлять защиту от влияния как преднамеренных, так и случайных потенциально возможных событий, процессов или явлений, приводящих к несанкционированному доступу к конфиденциальной информации, ее искажению, уничтожению, копированию, блокированию доступа к ней. Защита ИИВС Росрыболовства должна обеспечиваться на всех технологических этапах обработки конфиденциальной информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Должны быть определены меры и требования по разделению контуров открытого и закрытого доступа, созданию демилитаризованных зон для размещения существующих и запланированных к созданию информационных систем Федерального агентства по рыболовству. Технические решения СИБ должны содержать решения по обеспечению безопасного терминального доступа на основе Windows Terminal Services. Проектные решения должны учитывать результаты ранее выполненных НИР и ОКР Федерального агентства по рыболовству в области информационной безопасности. Все проектные решения должны быть согласованы с Заказчиком. 4.4.2. Требования к структуре и функциям СИБ Структурно СИБ должна включать в себя следующие подсистемы: - защиты от НСД; - безопасного межсетевого взаимодействия; - криптографическую подсистему; - централизованного управления; - антивирусной защиты; - резервного копирования; - защиты от утечек информации. 4.4.3. Требования к подсистеме защиты от НСД Подсистема защиты от НСД должна обеспечивать эффективное противодействие, как известным, так и потенциально возможным атакам на защищаемые объекты. Подсистема защиты от НСД должна обеспечивать защиту доступа к сетевым принтерам и сканерам, а также принтерам и сканерам, подключаемым локально к терминалам пользователей. Подсистема защиты от НСД должна обеспечивать защищенную работу пользователей с подключаемыми внешними носителями информации. Подсистема защиты от НСД должна осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти АРМ и серверов. Подсистема защиты от НСД должна осуществлять сигнализацию попыток несанкционированного доступа к информационным ресурсам. Подсистема должна быть реализована в составе следующих модулей: - модуль регистрации и учета; - модуль обеспечения целостности; - модуль контроля доступа. Требования к модулю регистрации и учета Должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения технических средств ИИВС. В параметрах регистрации должно указываться: - дата и время входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы; - результат попытки входа: успешный или неуспешный несанкционированный; - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; - код или пароль, предъявленный при неуспешной попытке. Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации должно указываться: - время и дата выдачи (обращения к подсистеме вывода); - спецификация устройства выдачи (логическое имя/номер внешнего устройства); - краткое содержание (наименование, вид, шифр, код); - уровень конфиденциальности документа; - идентификатор субъекта доступа, запросившего документ. Должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации должно указываться: - дата и время запуска; - имя (идентификатор) программы (процесса, задания); - идентификатор субъекта доступа, запросившего программу (процесс, задание); - результат запуска (успешный, неуспешный несанкционированный). Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации должно указываться: дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого файла. Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: АРМ, серверам, активному сетевому оборудованию, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого объекта (логическое имя/номер). Должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки, учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи/приема. Требования к модулю обеспечения целостности Должна быть обеспечена целостность информации, циркулирующей в ИИВС. Целостность информации обеспечивается на основе применения алгоритмов расчета контрольных сумм в соответствии с перечнем задаваемых файлов, каталогов или областей жесткого диска. Должна быть обеспечена целостность программных средств СИБ в составе ИИВС Росрыболовства. Следует учитывать, что средства защиты информации, проектируемые в рамках СИБ, должны обеспечивать контроль неизменности своей программной среды. Требования к модулю контроля доступа Модуль контроля доступа должен реализовывать функции идентификации и проверки подлинности субъектов доступа при доступе к информационным ресурсам с использованием средств многофакторной аутентификации. В процессе функционирования модуль должен обеспечивать реализацию следующих функций: - ограничение максимального количество неудачных попыток аутентификации внутренних пользователей, после которого производится блокировка АРМ; - идентификация АРМ, серверов, каналов связи, внешних устройств по логическим именам; - идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; - контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; - безопасное хранение и управление идентификационными параметрами пользователей. Доступ к информационным ресурсам ИИВС не может осуществляться в случае некорректного завершения процессов идентификации и аутентификации пользователя. Должна обеспечивать процедура идентификации и аутентификации пользователей с использование интеллектуальных пластиковых карт, либо устройств типа Token и iButton. Разграничение доступа пользователей к информационным ресурсам должен нести запретительный характер, то есть ресурс, к которому не разрешен доступ в явном виде, должен быть недоступен пользователю. 4.4.4. Требования к подсистеме безопасного межсетевого взаимодействия Подсистема безопасного межсетевого взаимодействия должна обеспечивать целостность, доступность и конфиденциальность информации при межсетевом и межсегментном взаимодействии. Технические решения подсистемы должны быть реализованы на основе применения программных или программно-аппаратных средств защиты информации. Подсистема межсетевого экранирования должна строиться с использованием сертифицированных средств защиты информации, в соответствии со следующими требованиями: - не ниже 4-го класса защиты от НСД; - не ниже 4-го уровня контроля отсутствия НДВ; - с правом использования в автоматизированных системах класса "1Г" или для систем обработки персональных данных не ниже класса "К2". Подсистема должна быть реализована в составе следующих модулей: - модуль межсетевого экранирования; - модуль обеспечения удаленного доступа; - модуль связи специального назначения. Требования к модулю межсетевого экранирования Модуль межсетевого экранирования должен обеспечивать, как безопасное взаимодействие ИИВС с сетями общего доступа, так и требуемый уровень защищенности при взаимодействии сетевых сегментов ИИВС между собой. Модуль межсетевого экранирования должен выполнять следующие функции: - межсетевое экранирование на основе фильтрации и анализа сетевого трафика; - разделение ИИВС на сегменты безопасности; - разграничение доступа устройств к информационным ресурсам в разных сегментах безопасности на основе данных о сетевом адресе устройства; - аутентификация пользователей и разграничение доступа к информационным ресурсам в разных сегментах безопасности на основе данных аутентификации; - обнаружение и предотвращение вторжений на основе сигнатурного анализа трафика; - блокировку или завершение нежелательных сетевых соединений (в том числе установки динамических фильтров на межсетевых экранах для блокирования атакующих), выдача HTML ответа пользователю с детализацией ошибки по факту блокирования. Требования к модулю обеспечения удаленного доступа Модуль удаленного доступа предназначен для подключения к ИИВС пользователей, расположенных за границами контролируемой зоны Росрыболовства. Модуль удаленного доступа должен выполнять следующие функции: - удаленный доступ к выделенному перечню информационных ресурсов ИИВС из сетей связи общего пользования (включая Интернет); - добавление, хранение, изменение, удаление учетных записей удаленных пользователей и сведений о правах их доступа; - двухфакторная аутентификация и разграничение доступа удаленных пользователей к выделенным информационным ресурсам ИИВС; - защита данных на потерянных или украденных устройствах посредством блокировки устройства и удаления данных; - разграничение доступа пользователей к корпоративным ресурсам; подключение к информационным ресурсам через портал из Интернет-браузера. 4.4.5. Требований к криптографической подсистеме Используемые средства криптографической защиты информации должны удовлетворять требованиям ФСБ России, предъявляемым к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Должно обеспечиваться управление ключевой информацией (генерация ключей и смена ключей), используемой в различных модулях СИБ. 4.4.6. Требования к подсистеме управления Область действия подсистемы управления информационной безопасностью должна охватывать все значимые информационные ресурсы ИИВС. Подсистема управления информационной безопасностью должна включать в себя комплект нормативных и организационно-распорядительных документов, необходимых для обеспечения требуемого уровня информационной безопасности. Подсистема управления информационной безопасностью должна обеспечивать возможность управления: - компонентами СИБ; - жизненным циклом средств многофакторной аутентификации; - учетными записями пользователей; - инцидентами информационной безопасности. Подсистема управления информационной безопасностью должна обеспечить сбор и анализ информации о действиях пользователей (администраторов) на рабочих станциях. Подсистема управления информационной безопасностью должна реализовывать программу обучения, осведомленности и компетентности персонала в вопросах обеспечения информационной безопасности. Подсистема управления информационной безопасностью должна состоять из следующих модулей: - модуль анализа защищенности; - модуль мониторинга и реагирования; - модуль управления учетными записями; - модуль управления жизненным циклом средств многофакторной аутентификации. Требования к модулю анализа защищенности Модуль должен обеспечивать контроль состояний систем и программного обеспечения входящего в ИИВС с целью соблюдения необходимых требований политик, стандартов и выявления технических уязвимостей. Модуль анализа защищенности должен реализовывать следующие функции: - реализовывать как механизмы анализа в режиме тестирования на проникновение (без дополнительных привилегий), так и системного сканирования (при наличии привилегий на узле); - иметь возможность регулярного обновления баз данных проверяемых уязвимостей, а также требований и рекомендаций; - реализовывать функции автоматизации типичных задач, таких как анализ, генерация отчетов и т.д. с возможностью назначения расписания для автоматического выполнения задач. Модуль мониторинга и реагирования в ИС должна реализовывать следующие функции: - управление системой как при помощи локальной консоли в виде исполняемого файла ОС, так и через Web-интерфейс; - первоначальной фильтрации и агрегирования событий на стороне агентского модуля; - задание уникальных идентификаторов, для событий, поступающих с аналогичных устройств (в случае одинаковых ОС, IP-адресов, MAC-адресов, одинакового оборудования); - категоризация ресурсов с использованием нескольких уровней вложенности (не менее 3-х); - задание важности (ценности) ресурсов, групп ресурсов; - просмотр событий реального времени, с возможностью ретроспективного анализа (работа с предыдущими событиями); - создание комплексных правил фильтрации событий; - возможность тестирования правил на основе предварительно созданного набора событий; - отслеживание внутренних событий и процессов самой системы корреляции событий; - документирование и фиксация инцидентов с отслеживанием всего цикла работы с инцидентом (workflow); - детального анализа событий из консоли реального времени; - формирование встроенных и специализированных отчетов; - выполнение команд ОС при возникновении каких-либо событий; - построение карты и топологии сети; - локализация компонентов системы. Требования к модулю управления учетными записями Модуль управления учетными записями должен взаимодействовать с кадровой системой с целью синхронизации данных о пользователях. Модуль должен получать всю необходимую информацию о сотруднике: ФИО, должность, структурное подразделение, операция (прием, увольнение, изменение статуса). По результатам анализа полученной информации, в соответствии с заложенными политиками безопасности, модуль должен создавать учетные записи во всех информационных системах, куда разрешен доступ пользователю: - служба каталога; - электронная почта; - приложения ИИВС. Модуль должен обеспечивать синхронизацию всех каталогов и баз данных, содержащих информацию о пользователе (адресную книгу, хранилище паролей и т.д.). Требования к модулю управления жизненным циклом средств двухфакторной аутентификации Модуль управления жизненным циклом средств много факторной аутентификации должен обеспечивать: - взаимодействие с криптографической подсистемой; - централизованное управление всеми параметрами жизненного цикла средств многофакторной аутентификации; - идентификацию и анализ использования средств многофакторной аутентификации; - реализацию сценариев утери или временной утраты пользователем средств многофакторной аутентификации; - временное блокирование средств многофакторной аутентификации по их идентификатору без отзыва сертификата ключа подписи. 4.4.7. Требования к подсистеме антивирусной защиты Подсистема антивирусной защиты должна обнаруживать и предотвращать проникновение в ИИВС различных вредоносных программ, троянского и шпионского ПО и другого деструктивного кода. Подсистема антивирусной защиты должна обеспечивать возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов. При обнаружении вирусного заражения подсистема антивирусной защиты должна позволять предпринять необходимое воздействие над объектом в зависимости от типа обнаруженной угрозы. Подсистема антивирусной защиты должна обеспечивать централизованное управление сканированием, удалением вирусов и протоколированием вирусной активности. Подсистема антивирусной защиты должна обеспечивать централизованную автоматическую инсталляцию клиентского ПО. Подсистема антивирусной защиты должна обеспечивать централизованное автоматическое обновление вирусных сигнатур. Подсистема антивирусной защиты должна позволять формировать отчеты по результатам работы, содержащие следующую информацию: тип обнаруженного вируса, описание вируса, дату и время обнаружения вируса, результат удаления вируса, другую справочную информацию. Подсистема антивирусной защиты должна обеспечивать надежный контроль над всеми потенциальными источниками проникновения компьютерных вирусов и включать следующие модули: - антивирусной защиты серверов; - антивирусной защиты виртуальной среды; - антивирусной защиты информационных потоков. Модуль антивирусной защиты серверного оборудования должен обеспечивать: - непрерывную защиту от различных видов вредоносного ПО; - возможность централизованного управления всей системой с одного рабочего места (например, с рабочей станции администратора); - ведение журналов работы в удобной настраиваемой форме; - возможность отправки оповещений о происходящих событиях; - возможность отключения зараженного компьютера от сети; - возможность добавления администратором любого исполняемого файла в карантин; - регулярное сканирование системы без заметного влияния на общую производительность. Модуль антивирусной защиты виртуальной среды должен обеспечивать: - блокирование приложений и устройств в соответствии с установленной политикой безопасности; - снижение нагрузки на средства виртуализации за счет функционирования на уровне сервера виртуализации; - автоматическую отправку помеченных файлов в службу поддержки антивируса, для анализа и оперативного размещения в базах. Модуль антивирусной защиты информационных потоков должен обеспечивать: - выявление и блокирование вредоносных и потенциально опасных программ в потоке данных, передаваемых по протоколам HTTP/FTP; - информирование пользователей о текущем статусе загрузки файла до момента завершения его антивирусной проверки; - проверку всего входящего и исходящего почтового трафика; - отклонение входящих писем, не позволяющих провести их антивирусную проверку (о чем должен информироваться отправитель письма); - непрерывный контроль и анализ сетевого трафика на предмет наличия вредоносной нагрузки. 4.4.8. Требования к подсистеме резервного копирования Подсистема резервного копирования должна представлять собой комплекс мер, направленных на обеспечение процесса резервного копирования, архивирования и восстановления критичных данных и настроек программных и программно-аппаратных средств. Проектные решения для системы резервного копирования должны обеспечивать резервное копирование и восстановление данных в объеме не менее 50 ТБ. Подсистема резервного копирования должна обеспечивать возможность быстрого восстановления работоспособности компонентов, нарушение работоспособности которых может нанести ущерб Росрыболовству. Резервные копии должны храниться на сменных носителях в течение определенного регламентом срока. Необходимо разработать проектные решения по созданию системы архивирования данных для архива систем КЭП и СЭДО. Требуемую емкость системы определить в процессе проектирования. 4.4.9. Требования к подсистеме защиты от утечек Подсистема должна реализовать следующие функции: - определение документов и данных, являющихся конфиденциальными; - обнаружение и предотвращение передачи конфиденциальной информации в сетевом трафике; Подсистема должна обеспечивать реализацию превентивных мер при нарушении политики безопасности в зависимости от канала утечки: - блокировка передачи данных; - изолирование в карантин; - оповещение сотрудника службы безопасности; - шифрование и электронную подпись передаваемых сообщений; - передача сообщения об инциденте в подсистему управления. Подсистема должна позволять управление настройками модулей подсистемы с возможностью делегирования полномочий и разделения функций администраторов. Подсистема состоит из следующих модулей: - модуль защиты электронных сообщений; - модуль защиты от нежелательной корреспонденции; - модуль защиты конфиденциальных данных. Модуль защиты электронных сообщений должен реализовывать следующие функции: - превентивная защита на основе оценки (рейтинге) IP-адресов отправителей на этапе входящего SMTP-подключения; - поддержка SMTP-аутентификации и протокола LDAP для доступа к существующим в организации базам пользователей, с возможностью привязки политик почты к информации из этих баз; - шифрование и формирование электронной подписи, как самих электронных сообщений, так и всех передаваемых вложений. Модуль защиты от нежелательной корреспонденции должен реализовывать следующие функции: - снижение нагрузки на почтовые серверы за счет фильтрация нежелательной корреспонденции; - сокращение расходов за счет ограничения трафика не связанного с бизнес-процессами. - защита персональных компьютеров пользователей от потенциально опасных ресурсов и объектов, и как следствие повышение отказоустойчивости и производительности работы подразделений; - сохранение конфиденциальности корпоративной информации за счет предотвращения заражения компьютеров пользователей во время работы в Internet программным обеспечением, похищающим информацию. Модуль защиты конфиденциальных данных должен реализовывать следующие функции: - классификация конфиденциальной информации на основе нахождения на регламентированном файловом ресурсе, в каталоге, в базе данных; - контроль хранения, обработки и передачи конфиденциальной информации на рабочих станциях корпоративных пользователей на основе ключевых слов, контекстной информации (с использованием технологии цифровых слепков - "fingerprint"), электронной цифровой подписи; - автоматизированное обнаружение копий конфиденциальной информации на компьютерах пользователей и нерегламентированном файловом ресурсе; - контроль информационных потоков на границах корпоративной информационной среды (почта, web, протоколы мгновенного обмена сообщениями и т.д.); Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|