Открытое акционерное общество «Универсальная электронная карта» (оао «уэк»)

Скачать 347.78 Kb.

Название	Открытое акционерное общество «Универсальная электронная карта» (оао «уэк»)
страница	5/5
Тип	Документы

blankidoc.ru > Договоры > Документы

1 2 3 4 5

Состав и содержание услуг по проведению сертификационных испытаний. Этап 2

Проведение услуг происходит в несколько этапов:

Подписка на сервис ASV-сканирования

На данном этапе Заказчику предоставляются учетные данные для сервиса автоматизированного ASV-сканирования уязвимостей периметра сети. Предоставляется подписка на один год для неограниченного количества сканирований 20 внешних IP-адресов при помощи инструмента HackerGardian сертифицированного поставщика услуг ASV-сканирования Comodo.

Результатом данного этапа является предоставление учетных данных для автоматизированного ASV-сканирования Заказчику.

Тестирование на проникновение

Мероприятие по активному обследованию технической защищенности информационной инфраструктуры Заказчика, представляющее собой моделирование действий потенциального злоумышленника. Выполнение тестирования на проникновение регламентировано требованием 11.3 Стандарта. Тестирование выполняется специалистами Исполнителя на уровне сети и на уровне приложений, при этом используются две модели нарушителя – внешний (из сети информационно-телекоммуникационной сети Интернет, по периметру внешних IP-интерфейсов) и внутренний (инсайдер, с использованием удаленного доступа к информационной инфраструктуре). Тестирование проводится удаленно при предоставлении VPN-доступа.

Результатом данного этапа является «Экспертное заключение о результатах тестирования на проникновение».

Сбор и анализ документации ОАО «УЭК»

Целью данного этапа является определение актуальной области применения Стандарта, а также согласование объема выполняемых услуг при проведении обследования ИС Заказчика после устранения несоответствий стандарту на предыдущих этапах услуг.

Для определения области применения Стандарта и последующей подготовки плана-графика проведения обследования Исполнитель на условиях конфиденциальности запрашивает, а Заказчик предоставляет в полном объеме техническую документацию об архитектуре ИС, а также при необходимости проводит интервьюирование ответственных работников Заказчика.

На этом этапе выделяются типовые системные компоненты среды данных платежных карт: рабочие станции, серверные платформы, сегменты локальной вычислительной сети (ЛВС) и сетевые устройства, приложения обработки, хранения и передачи информации, подлежащие последующему сертификационному аудиту на соответствие требованиям Стандарта.

При выполнении данных услуг производится сбор актуальных сведений:

об организационной структуре Заказчика;
о структуре комплекса используемых программно-технических средств;
о топологии ЛВС;
о процедурах обеспечения безопасности ИС Заказчика;
о системе защиты информации о держателях платежных карт;
о процедурах управления уязвимостями;
о реализации системы управления доступом;
о процедурах мониторинга и контроля в ИС Заказчика;
о соблюдении политики информационной безопасности.

Сбор всех необходимых сведений производится путем изучения нормативной документации Заказчика, проведения интервью с персоналом Заказчика, заполнения необходимых анкет (опросников) персоналом Заказчика, анализа конфигурационных файлов программных и программно-технических системных компонентов, демонстрирования работниками Заказчика выполняемых ими процедур.

Во избежание нарушения корректного функционирования ИС Заказчика Исполнитель не производит самостоятельный сбор конфигурационных файлов и настроек системных компонентов. Данные работы проводят компетентные работники Заказчика, отвечающие за администрирование и эксплуатацию ИС.

Использование средств автоматизации процедур обследования ИС дополнительно оговаривается и согласовывается с ответственными лицами Заказчика.

Результатом этапа являются собранные сведения, используемые аудитором для работы на последующих этапах.

Результатом данного этапа является согласованный перечень обследуемых физических, программных и информационных ресурсов, функциональных подсистем и площадок Заказчика.

Проведение сертификационного аудита безопасности на месте

Целью данного этапа является оценка текущего уровня соответствия ИС требованиям Стандарта.

На данном этапе выполняется анализ ИС на соответствие требованиям Стандарта, для чего проводятся следующие услуги:

анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков;
анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа;
анализ используемых сетевых протоколов с точки зрения безопасности;
анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.);
анализ принципов и технологий обработки критичной информации о держателях платежных карт;
проверка наличия процедуры своевременного обновления системных компонентов и антивирусного программного обеспечения (ПО) на серверах и рабочих станциях;
проверка наличия механизмов регулярного мониторинга сети и информационных ресурсов.

Результатом услуг на данном этапе является Отчет о соответствии (RоC) требованиям Стандарта. Данный отчет включает в себя описание проверенной инфраструктуры, описание текущей области применимости требований Стандарта и входящих в неё системных компонентов, доказательства выполнения требований.

В случае выполнения требований Стандарта на 100%, результатом услуг также является Свидетельство о соответствии (Attestation of Compliance) и Сертификат соответствия.

Проведение приемки услуг

Результатом услуг на данном этапе являются следующие документы:

Учетные данные для автоматизированного ASV-сканирования
Экспертное заключение о результатах тестирования на проникновение
Отчет о соответствии (RоC)
В случае выполнения требований Стандарта на 100% свидетельство о соответствии (Attestation of Compliance) и сертификат соответствия

Состав отчетных документов

По итогам оказания услуг Заказчику передается следующая отчетная документация:

Этап 1:

Предварительный отчет о соответствии ОАО «УЭК» требованиям стандарта PCI DSS.
Экспертное заключение с рекомендациями по приведению ОАО «УЭК» в соответствие требованиям PCI DSS.

Этап 2:

Учетные данные для автоматизированного ASV-сканирования.
Экспертное заключение о результатах проведения тестирования на проникновение.
Отчет о соответствии (Report on Compliance).
Свидетельство о соответствии (Attestation of Compliance).
Сертификат соответствия.

Требования к участникам

Компания, выполняющая работы должна иметь:

Подтвержденный статус PCI Qualified Security Assessor (PCI QSA).
Подтвержденный статус PCI Approved Scanning Vendor (PCI ASV), или наличие партнерских соглашений с организацией, имеющей статус PCI ASV.
Не менее 5 лет опыта аудита в качестве PCI QSA.
Не менее 10 проведенных аудитов PCI DSS в Российской Федерации.
Не менее 2 русскоязычных сотрудников с сертификатом квалифицированного аудитора PCI QSA.
Не менее 1 русскоязычного сотрудника с сертификатом квалифицированного аудитора PCI PA-QSA.
Исследовательскую лабораторию (для подтверждения квалификации аудиторов при проведении тестирования на проникновение).

Не менее 10 исследований безопасности приложений и систем за период 2012-2014гг (для подтверждения квалификации аудиторов при проведении тестирования на проникновение)

Требования к отчетным документам

Документы предоставляются Заказчику:

- в электронном виде на CD/DVD диске;

- в документарной форме, при этом передаваемые отчетные документы должны содержать подпись и печать Исполнителя, если это предусмотрено формой документа.

Приложение № 2

к Договору возмездного оказания услуг

№ от 2014 г.
Календарный план

№ п/п	Наименование услуги	Действия Исполнителя	Действия Заказчика	Сроки выполнения услуг	Результат оказания услуг
Этап 1. Предварительный аудит на соответствие требованиям стандарта PCI DSS 3.0
1.1	Сбор и анализ документации ОАО «УЭК»	Анализирует предоставленные документы	Предоставляет документы по запросу Исполнителя	7 дней	Перечень обследуемых ресурсов и функциональных подсистем
1.2	Проведение вводного совещания для работников ОАО «УЭК»	Предоставляет сотрудника для проведения семинара	Предоставляет помещение, выделяет работников	1 день
1.3	Проведение предварительного аудита безопасности на месте	Предоставляет сотрудника для проведения аудита	Предоставляет доступ к информационным ресурсам, выделяет работников для проведения интервью. Консультирует Исполнителя, Принимает услуги	5 дней	Предварительный Отчет о соответствии
1.4	Подготовка рекомендаций по приведению ОАО «УЭК» в соответствие требованиям PCI DSS	Предоставляет сотрудника для составления рекомендаций		5 дней	Экспертное заключение, содержащее рекомендации по устранению несоответствий требованиям стандарта PCI DSS
Этап 2. Проведение сертификационных испытаний
2.1	Подписка на сервис ASV-сканирования	Предоставляет аутентификационные данные для работы с системой сканирования	Принимает аутентификационные данные	2 дня	Аутентификационные данные
2.2	Проведение тестирования на проникновение	Предоставляет сотрудника для проведения тестирования	Предоставляет доступ к информационным ресурсам, выделяет работников для необходимого взаимодействия	5 дней	Экспертное заключение о результатах тестирования на проникновение
2.3	Сбор и анализ документации ОАО «УЭК»	Анализирует предоставленные документы	Предоставляет документы по запросу Исполнителя	7 дней	Перечень обследуемых ресурсов и функциональных подсистем
2.4	Проведение сертификационного QSA-аудита по стандарту PCI DSS	Предоставляет сотрудника для проведения аудита. Готовит документы	Консультирует Исполнителя	15 дней	Свидетельство о соответствии (Attestation of Compliance); Сертификат соответствия; Отчет о соответствии
2.5	Проведение приемки работ	Предоставляет акты сдачи-приемки работ	Принимает работы	1 день	Акт сдачи-приемки работ

ОТ ЗАКАЗЧИКА:

Вице-президент

ОАО «УЭК»
_________________/ Лахтин И.М.
М.П.

ОТ ИСПОЛНИТЕЛЯ:

__________________/
М.П

Приложение № 3

к Договору возмездного оказания услуг № от 2014 г.

Расчет стоимости услуг

ОТ ЗАКАЗЧИКА:

Вице-президент

ОАО «УЭК»
_________________/ Лахтин И.М.
М.П.

ОТ ИСПОЛНИТЕЛЯ:

__________________/
М.П

1 2 3 4 5

	Акционерное общество «Универсальная электронная карта» (ао «уэк») Акционерное общество «Универсальная электронная карта» (ао «уэк»), именуемое в дальнейшем «Заказчик», в лице Вице-президента Лахтина...		Что такое универсальная электронная карта (карта уэк)? Универсальная электронная карта (далее уэк) представляет собой материальный носитель, содержащий в графической и электронной формах...
	Что такое универсальная электронная карта (карта уэк)?		Что такое универсальная электронная карта (карта уэк)?
	Ханты-мансийского автономного округа югры югорский нии информационных технологий утверждаю Принцип «одного окна», многофункциональные центры, электронная подпись, универсальная электронная карта (уэк) 19		Методические рекомендации в части условий приема заявлений в рамках... «Универсальная электронная карта» на территории Ханты Мансийского автономного округа Югры
	Что такое универсальная электронная карта и зачем она нужна? ...		Что такое универсальная электронная карта и зачем она нужна? ...
	Что такое универсальная электронная карта (карта уэк)? На поверхность карты уэк нанесены следующие сведения: фамилия, имя, отчество гражданина, пол, дата рождения, образец подписи, фотография,...		Какие данные есть на уэк Проект «Универсальная электронная карта» имеет государственное значение, реализуется под контролем Министерства экономического развития...

Открытое акционерное общество «Универсальная электронная карта» (оао «уэк»)

Состав и содержание услуг по проведению сертификационных испытаний. Этап 2

Состав отчетных документов

Требования к участникам

Требования к отчетным документам

Похожие: