Общая информация

Номер извещения: 0387200010024000018

Наименование объекта закупки: Проведение комплекса услуг по актуализации системы защиты информации и аттестации информационных систем

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: РОСЭЛТОРГ (АО«ЕЭТП»)

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://roseltorg.ru

Размещение осуществляет: Заказчик БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА - ЮГРЫ "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ СБОРНЫХ КОМАНД ЮГРЫ"

Контактная информация

Организация, осуществляющая размещение: БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА - ЮГРЫ "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ СБОРНЫХ КОМАНД ЮГРЫ"

Почтовый адрес: 628002, Ханты-Мансийский автономный округ - Югра , Г. ХАНТЫ-МАНСИЙСК, УЛ. ОТРАДНАЯ, Д.9

Место нахождения: 628002, Ханты-Мансийский автономный округ - Югра , Г. ХАНТЫ-МАНСИЙСК, УЛ. ОТРАДНАЯ, Д.9

Ответственное должностное лицо: Черкашин М. А.

Адрес электронной почты: CherkashinMA@csp-ugra.ru

Номер контактного телефона: 36-11-15

Факс: Информация отсутствует

Дополнительная информация: КОНТАКТНАЯ ИНФОРМАЦИЯ: Заказчик : БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА - ЮГРЫ "ЦЕНТР СПОРТИВНОЙ ПОДГОТОВКИ СБОРНЫХ КОМАНД ЮГРЫ"; Контактная информация : Местонахождение: 628002, Ханты-Мансийский автономный округ - Югра , Г. ХАНТЫ-МАНСИЙСК, УЛ. ОТРАДНАЯ, Д.9; Телефон: 7-3467-361115; E-mail: CherkashinMA@csp-ugra.ru; Контактное лицо заказчика: Черкашин Максим Анатольевич; Номер контактного телефона: 36-11-15; E-mail: CherkashinMA@csp-ugra.ru; Реквизиты счета, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику, реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст.44 44-ФЗ: ; Получатель: ДЕПАРТАМЕНТ ФИНАНСОВ ХАНТЫ-МАНСИЙСКОГО АВТОНОМНОГО ОКРУГА - ЮГРЫ (ДЕПСПОРТ ЮГРЫ, лицевой счет: 04872005350) Банк получателя: РКЦ ХАНТЫ-МАНСИЙСК//УФК по Ханты-Мансийскому автономному округу-Югре г. Ханты-Мансийск, БИК: 007162163, счет банка получателя: 40102810245370000007, расчетный счет: 03224643718000008700, КБК: 270.1161.0056020000.140 ИНН/КПП: 8601003240/860101001 ОГРН: 1028600515283 ОКТМО: 71871000001;

Информация о процедуре закупки

Дата и время окончания срока подачи заявок: 02.08.2024 10:00

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 02.08.2024

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 05.08.2024

Условия контракта

Начальная (максимальная) цена контракта: 1328198.67 Российский рубль

Информация о сроках исполнения контракта и источниках финансирования

Дата начала исполнения контракта: 0 рабочих дней с даты заключения контракта

Срок исполнения контракта: 57 рабочих дней

Закупка за счет бюджетных средств: Нет

Закупка за счет собственных средств организации: Да

Финансовое обеспечение закупки

Всего: - Оплата за 2024 год - Оплата за 2025 год - Оплата за 2026 год - Сумма на последующие годы

1328198.67 - 1328198.67 - 0.00 - 0.00 - 0.00

Этапы исполнения контракта

Контракт не разделен на этапы исполнения контракта

Финансирование за счет внебюджетных средств

Всего: - Оплата за 2024 год - Оплата за 2025 год - Оплата за 2026 год - Сумма на последующие годы

1328198.67 - 1328198.67 - 0.00 - 0.00 - 0.00

Код видов расходов - Код поступления - Сумма контракта (в валюте контракта)

на 2024 год - на 2025 год - на 2026 год - на 2027 год

1 - 2 - 3 - 4 - 5 - 6

244 - - 1328198.67 - 0 - 0 - 0

- Итого - 1328198.67 - 0.00 - 0.00 - 0.00

Идентификационный код закупки: 242860102473086010100100890010000244

Место поставки товара, выполнения работы или оказания услуги: 628002 ХМАО-Югра, г. Ханты-Мансийск, ул. Отрадная д.9.

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Объект закупки

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070691 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 143666.67 - 143666.67

Услуги по обследованию аттестуемых информационных систем персональных данных, в том числе: - Проведение обследования процессов обработки защищаемой информации, локальной документации, объектов аттестации, информационной инфраструктуры и подготовленности работников в области обработки и защиты персональных данных с оформлением результатов обследования в виде рекомендаций необходимых для защиты информации с отсылками на законодательство РФ. Количество: 1 - - Значение характеристики не может изменяться участником закупки

Услуги по внедрению системы защиты персональных данных, в том числе: - Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации в соответствии с требованиями ФСТЭК России и ФСБ России Количество: на 82 СВТ - - Значение характеристики не может изменяться участником закупки

Создание комплексной системы защиты информации с учетом структурно-функциональных характеристик информационной системы и потребностей оператора. Количество: 1

Повышение осведомленности и компетентности работников в части защиты персональных данных Количество: 1

17. Требования к обеспечению безопасности в ходе выполнения работ - 17.1 Общее положение Все сведения о составе и характеристиках объекта информатизации являются конфиденциальной информацией. Обязательство Исполнителя не разглашать конфиденциальную информацию определяется Соглашением о конфиденциальности. - - Значение характеристики не может изменяться участником закупки

17.2. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

17.3. Исполнитель обязуется: - не проводить противозаконные действия по сбору, копированию, использованию и передаче третьей стороне информации, циркулирующей и хранящейся на объектах информатизации; - не осуществлять несанкционированный доступ к информационным ресурсам объектов информатизации; - не предпринимать манипулирование информацией, циркулирующей или хранящейся на объектах информатизации (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию); - не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации; - не внедрять на объектах информатизации программы-вирусы (загрузочные, файловые и др.); - не устанавливать программные и аппаратные закладные устройства в технические средства объектов информатизации.

1. Описание предмета закупки - 1.1. Предметом закупки является оказание комплекса услуг по выполнению требований законодательства РФ в области защиты информации: услуга по актуализации системы защиты информации и проведение аттестации информационных систем персональных данных «Бухгалтерия и кадры» и «Методисты» согласно требованиям по безопасности информации для Бюджетного учреждения Ханты-Мансийского автономного округа – Югры «Центр спортивной подготовки сборных команд Югры» (далее – БУ «ЦСПСКЮ», Заказчик). - - Значение характеристики не может изменяться участником закупки

1.2. В комплекс услуг по актуализации системы защиты информации и проведению аттестации информационных систем персональных данных БУ «ЦСПСКЮ» согласно требованиям по безопасности информации должны входить услуги по проведению обследования информационной инфраструктуры и процессов обработки защищаемой информации, проверки соответствия требованиям законодательства, актуализации и доработке локальной документации (по результатам обследования, в случаях если доработка необходима), актуализации системы защиты информации, защите объектов информатизации и аттестации информационных систем по требованиям безопасности информации (далее – Комплекс услуг).

1.3. В результате оказания Комплекса услуг по настоящему техническому заданию сформированная система защиты информации должна отвечать требованиям законодательства по защите персональных данных, руководящих документов по технической защите информации, должна оптимизировать трудозатраты сотрудников на деятельность по защите информации, а также обеспечивать соответствие информационных систем, при её эксплуатации в реальных условиях, требуемому уровню защищенности согласно норм действующего законодательства. Сформированная система защиты информации должна успешно пройти аттестационные испытания (в случае соответствия систем защиты информации, выданы Аттестаты соответствия на каждую систему).

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio.

11. Требования к услуге по актуализации и доработке локальной документации по защите персональных данных - 11.1. Организационно-распорядительные документы по защите информации должны включать локальные акты, регламентирующие процедуры защиты информации в ходе эксплуатации ИСПДн (политики, положения, планы, перечни, инструкции). - - Значение характеристики не может изменяться участником закупки

11.2. Организационно-распорядительные документы по защите информации должны определять правила и процедуры: - управления (администрирования) системой защиты информации ИСПДн; - выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них; - управления конфигурацией ИСПДн и системы защиты информации ИСПДн; - контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИСПДн.

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - Приказ об организации работ по обеспечению безопасности персональных данных. - Приказ о создании комиссии по классификации информационных систем. - Приказ о назначении ответственного за обеспечение безопасности персональных данных в информационных системах и администратора информационной безопасности. - Приказ об утверждении списка лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Приказ о введении в действие организационно-распорядительной документации по защите информации. - Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах. - Инструкция администратора информационной безопасности. - Инструкция пользователя информационных систем. - Инструкция по идентификации и аутентификации субъектов доступа и объектов доступа. - Инструкция по организации парольной защиты. - Инструкция по управлению доступом субъектов доступа к объектам доступа. - Инструкция по ограничению программной среды. - Инструкция по защите машинных носителей. - Инструкция по организации антивирусной защиты. - Инструкция по управлению обновлениями программного обеспечения. - Инструкция по резервному копированию и восстановлению данных. - Инструкция по защите технических средств информационных систем. - Инструкция по обеспечению целостности информационных систем. - Инструкция по защите среды виртуализации. - Инструкция по осуществлению внутреннего контроля соответствия требованиям к защите персональных данных. - Перечень информационных систем, автоматизированных рабочих мест и программного обеспечения, используемого при обработке персональных данных.

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - План мероприятий по защите персональных данных. - Приказ об определении границ контролируемой зоны. - Регламент по выявлению инцидентов информационной безопасности и реагирования на них. - Регламент регистрации и мониторинга событий информационной безопасности. - Регламент управления уязвимостями в информационных системах. - Регламент управления конфигурацией информационных систем. - Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Журнал учета машинных носителей персональных данных. - Журнал учета средств защиты информации, эксплуатационной и технической документации к ним. - Журнал учёта ключей от сейфов и помещений. - Журнал учета работ в информационных системах персональных данных. - Журнал учета инцидентов информационной безопасности.

10. Требования к услуге по формированию требований к защите информации и разработке системы защиты информации информационных систем - 10.1. Определение актуальных угроз безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности в аттестуемых ИСПДн, осуществляется Исполнителем на основании информации, собранной по результатам обследования. - - Значение характеристики не может изменяться участником закупки

10.3. В качестве исходных данных для оценки угроз безопасности Исполнителем должен использоваться: - Банк данных угроз безопасности информации, размещенный в сети «Интернет» (www.bdu.fstec.ru); - Описание векторов (шаблоны) компьютерных атак, содержащихся в базы данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT CK, OWASP, STIX, WASC и др.).

10.2. Модель угроз должна быть разработана в соответствии с методическим документом Методика оценки угроз безопасности информации, утвержденным ФСТЭК России 05.02.2021, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденными ФСБ России 31.03.2015 № 149/7/2/6-432, и включает следующие этапы: - определение перечня компонентов ИСПДн и определение возможных объектов воздействия угроз безопасности информации; - определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации; - оценка способов реализации (возникновения) угроз безопасности - оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации; - оценка сценариев реализации угроз безопасности информации в ИСПДн.

10.4. В рамках моделирования угроз безопасности должен быть проведен анализ возможных уязвимостей ИСПДн и их программных, программно-аппаратных средств и определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации ИСПДн для последующего включения реализованных сценариев в модель угроз безопасности информации.

10.5. Определение требований к системе защиты информации ИСПДн осуществляется Исполнителем в зависимости от уровня защищенности персональных данных, структурно-функциональных характеристик ИСПДн, информационных технологий, особенностей функционирования ИСПДн и актуальных угроз безопасности информации, включенных в Модель угроз безопасности информации.

10.6. По результатам определения требований к системе защиты информации ИСПДн формируются Частные технические задания на создание системы защиты информации ИСПДн.

10.7. Частное техническое задание на создание системы защиты информации разрабатывается с учетом ГОСТ 34.602-2020, ГОСТ Р 51583-2014 и должно содержать: - цель и задачи обеспечения защиты информации в ИСПДн; - уровень защищенности персональных данных ИСПДн; - перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИСПДн; - перечень объектов защиты ИСПДн; - требования к мерам и средствам защиты информации, применяемым в ИСПДн; - стадии (этапы работ) создания системы защиты ИСПДн; - требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации; - функции заказчика и исполнителя по обеспечению защиты информации в ИСПДн; - требования к защите средств и систем, обеспечивающих функционирование ИСПДн (обеспечивающей инфраструктуре); - требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

10.8. Отчетные документы по данному разделу услуг: - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты».

5. Комплекс услуг по аттестации ИСПДн должен быть выполнен в соответствии с требованиями и рекомендациями следующих нормативных документов - • Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - - Значение характеристики не может изменяться участником закупки

• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;

• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;

• Приказ ФСТЭК от 18.02.2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - приказ ФСТЭК № 21);

• Приказ ФСТЭК от 29 апреля 2021 г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее - приказ ФСТЭК № 77);

• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее - приказ ФСБ № 378);

• Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее - приказ ФАПСИ № 152);

• «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432);

• «Требования к средствам контроля съемных машинных носителей информации», утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87;

«Требования к средствам антивирусной защиты», утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28;

• ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

• Национальный стандарт РФ ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

• ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

• ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

• ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

• ГОСТ Р 53131-2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»;

• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

• ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования».

9. Требования к услуге по обследованию процессов и инфраструктуры обработки персональных данных - 9.1. Обследование аттестуемых ИСПДн осуществляется Исполнителем на основе исходных данных. Сбор исходных данных проводится Исполнителем с целью получения первичной (исходной) информации о ИСПДн методом анкетирования (интервьюирования) сотрудников Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, и включает следующие мероприятия: - определение перечня и состава информации, содержащейся в ИСПДн; - описание технологического процесса обработки информации в ИСПДн; - описание используемого аппаратного и программного обеспечения в ИСПДн; - определение структуры и состава подсистем ИСПДн, а также их взаимодействия между собой; - определение наличия и характера взаимодействия ИСПДн с другими информационными системами. - - Значение характеристики не может изменяться участником закупки

9.2. Заполнение и оформление опросных листов, а также других дополнительных информационных материалов (схемы, перечни, таблицы и т.д.), необходимых для сбора исходных данных, осуществляется представителями Исполнителя самостоятельно.

9.3. Заказчик должен обеспечить доступ сотрудникам Исполнителя к средствам вычислительной техники и местам оказания услуг для их выполнения.

9.4. В рамках обследования после определения границ и состава ИСПДн в целях дальнейшего определения угроз безопасности информации Исполнителем должен быть проведен анализ уязвимостей аттестуемых ИСПДн с использованием сертифицированного ФСТЭК России средства анализа защищенности.

9.5. Устранение выявленных уязвимостей и иных недостатков функционирования ИСПДн осуществляется сотрудниками Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, на основании отчетных сведений, предоставленных Исполнителем.

9.6. Отчетные документы по данному разделу услуг: - Отчёт о проведении обследования ИСПДн; - Проекты актов определения уровня защищенности ИСПДн.

Формирование требований к защите информации и разработка системы защиты информации информационных систем, в том числе: - Разработка Модели угроз безопасности информации для информационной системы персональных данных Количество: 2 - - Значение характеристики не может изменяться участником закупки

Разработка Частного технического задания на создание системы защиты информации для информационной системы персональных данных Количество: 2

12. Требования к услуге по внедрению системы защиты персональных данных - 12.1. Для обеспечения защиты информации, содержащейся в аттестуемых ИСПДн, проводятся следующие мероприятия: - формирование требований к защите информации, содержащейся в информационной системе; - разработка системы защиты информации информационной системы; - внедрение системы защиты информации информационной системы. - - Значение характеристики не может изменяться участником закупки

12.2. Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации осуществляется с целью обеспечения защиты информации ИСПДн.

12.3. Обновление СЗИ от НСД необходимо с целью соответствия техническим условиям и обеспечения единообразия в создаваемой системе защиты информации БУ «ЦСПСКЮ», СЗИ «Secret Net Studio» используются БУ «ЦСПСКЮ».

12.4. В ИСПДн должны быть обеспечены правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением

12.5. Обновление, установка, настройка и проверка конфигурации СЗИ и СКЗИ в аттестуемых ИСПДН должны осуществляться в соответствии с требованиями ФСТЭК России и ФСБ России.

12.6. Основные требования к поставляемым средствам защиты информации приведены в п.13 и Приложении №2 настоящего Технического задания.

12.7. Создаваемая система защиты информации должна иметь централизованное управление, которая должна обеспечивать: - возможность удаленно управлять групповыми и индивидуальными настройками защиты пользователей; - получать оперативные уведомления об угрозах и сигналах защитных механизмов с всех защищенных рабочих станций; - осуществлять регистрацию, учет и контроль событий безопасности; - информировать ответственных лиц.

12.8. По результатам оказания услуг сотрудники БУ «ЦСПСКЮ» должны быть подготовлены к эксплуатации используемых средств защиты ИСПДн.

12.9. Исполнитель проводит повышение осведомленности и компетентности работников в части защиты информации: 12.9.1. Исполнитель проводит соответствующего ознакомление пользователей СКЗИ правилам организации и обеспечении безопасности при использовании средств криптографической защиты информации: - ознакомление пользователей СКЗИ согласно требований законодательства в части эксплуатации СКЗИ (требования пункта 21 Приказа ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»), - оформление на пользователя СКЗИ заключения о подготовке и допуске к самостоятельной работе с криптографическим (шифровальным) средством (для не более 10 пользователей СКЗИ). 12.9.2. Исполнитель проводит ознакомление пользователей ИСПДн с правилами эксплуатации используемых средств защиты информации.

12.10. Для контроля и подтверждения факта выполнения услуг Исполнителем по повышению осведомленности сотрудников у БУ «ЦСПСКЮ» должен быть доступ к итогам обучения и контроля знаний сотрудников. Доступ может быть предоставлен в виде протокола повышения осведомленности или доступа к электронному сервису контроля и оценки осведомленности сотрудников с требованиями к обработке и защите персональных данных. При использовании электронного сервиса контроля и оценки осведомленности сотрудников Исполнитель регистрирует ответственное лицо со стороны БУ «ЦСПСКЮ» в электронном сервисе с произвольными логином и паролем и передает их ответственному лицу вручную.

12.11. По результатам оказания услуг должны быть предоставлены следующие документы: - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Эксплуатационная документация на используемые в аттестуемой ИСПДн средства защиты.

14. Требования к услуге по аттестации информационной системы персональных данных - 14.1. Проведение аттестационных испытаний ИСПДн на соответствие требованиям по защите информации включает оценку соответствия системы защиты информации ИСПДн требованиям действующего законодательства РФ в области информационной безопасности. - - Значение характеристики не может изменяться участником закупки

14.2. Аттестация каждой информационной системы проводится в соответствии с программой и методиками аттестационных испытаний. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.

14.3. При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний): - экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы; - анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации; - испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.

14.4. По результатам аттестационных испытаний каждую систему оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.

14.5. В рамках проведения аттестационных испытаний Исполнителем производится анализ уязвимостей ИСПДн. При анализе уязвимостей ИСПДн проверяется отсутствие известных уязвимостей СЗИ, технических средств и программного обеспечения, правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением. Отчет об анализе уязвимостей оформляется приложением к Протоколу аттестационных испытаний ИСПДн.

14.6. Аттестаты соответствия выдаются Исполнителем БУ «ЦСПСКЮ» на весь срок эксплуатации ИСПДн.

14.7. Отчетные документы по данному разделу: - Проекты технических паспортов ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

7. Сведения об объектах обследования и аттестации, объем оказываемых услуг - 7.1. Опросу в части обработки и защиты персональных данных потребуется осуществить до 75 работников БУ «ЦСПСКЮ». Общая структура БУ «ЦСПСКЮ» размещена на официальном сайте https://www.csp-ugra.ru/uchrezhdeniya/o-nas/struktura-uchrezhdeniya/. - - Значение характеристики не может изменяться участником закупки

7.2. Аттестации по требованиям безопасности персональных данных подлежат 2 (два) объекта информатизации (ОИ) на базе 2 серверов и 80 АРМ, представляющие собой 2 (две) ИСПДн («Методисты», «Бухгалтерия и Кадры»).

7.3. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Методисты) - В соответствии с условиями, указанными в Описании объекта закупки.

7.4. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Бухгалтерия и Кадры) - В соответствии с условиями, указанными в Описании объекта закупки.

7.5. ИСПДн предназначены для обработки информации, не содержащей сведения, составляющие государственную тайну.

7.6. По результатам обследования информационной инфраструктуры в случае выявления несоответствия аттестуемых ИСПДн требованиям нормативных документов, указанных в п. 5. Исполнитель обязуется разработать меры по приведению аттестуемых ИСПДн в соответствие требованиям указанных нормативных документов, осуществить настройку необходимых средств защиты информации и программ, разработать (доработать, актуализировать) организационно-распорядительные документы на аттестуемые ИСПДн.

8. Требования к исполнителю и условия оказания комплекса услуг - 8.2. Исполнитель обязан оказать услуги собственными силами. - - Значение характеристики не может изменяться участником закупки

8.3. Установка и настройка СЗИ в ИСПДн должна осуществляться локально. Удаленный доступ к ИСПДн не допускается.

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

15. Требования к отчетным документам, передаваемым БУ «ЦСПСКЮ», по результатам оказанного комплекса услуг - 15.1. Разработка отчетных документов по итогам оказанных услуг производится в строгом соответствии с действующими нормативными документами ФСТЭК России и ФСБ России. - - Значение характеристики не может изменяться участником закупки

15.2. Отчетные документы должны быть представлены на бумажных носителях в одном экземпляре, а также в электронном виде в формате *.doc или *.docx, в пределах срока оказания услуг.

15.3. Отчетные документы должны быть исполнены без грамматических и орфографических ошибок, опечаток и описок; официальным языком системы аттестации является русский язык, на котором оформляются все документы, используемые и выдаваемые в рамках системы аттестации.

15.3.1. На бумажном носителе передаются следующие документы: - Отчёт о проведении обследования ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

15.4. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

15.5. Передача документации БУ «ЦСПСКЮ» в электронном виде осуществляется следующим защищенным способом: 15.5.1. Исполнитель должен разработать и предоставить БУ «ЦСПСКЮ» доступ к веб-сервису поддержки (приложению). Веб-сервис поддержки должен функционировать в режиме 24 часа 7 дней в неделю, за исключением нештатных ситуаций (отключение света, сбой и т. п.). Веб-сервис должен иметь клиент-серверную архитектуру, серверная часть должна быть развернута на серверных мощностях Исполнителя. 15.5.2. Для предоставления доступа Исполнитель регистрирует ответственного лица со стороны БУ «ЦСПСКЮ» в веб-сервисе с произвольными логином и паролем и передает их ответственному лицу вручную. 15.5.3. Передача разработанной документации Исполнителем должна осуществляться посредством веб-сервиса (с выгрузкой комплекта). 15.5.4. Требования к сервису: 1) Обеспечение работы на АРМ при использовании пользователями программного обеспечения на базе браузеров Microsoft IE, Microsoft Edge, Chromium и Mozilla Firefox, включая поддержку мобильных устройств. 2) Обеспечение идентификации и аутентификации пользователя с журналированием доступа (логин, время, IP-адрес). 3) Обеспечение функций по формированию и работе с заявками для консультирования и поддержки БУ «ЦСПСКЮ». 4) Обеспечение функций по загрузке, скачиванию, удалению файлов. 5) Поле списка документов должно иметь вид таблицы и содержать список загруженных администратором или пользователем файлов со следующим столбцами: - Наименование - Тип документа - Дата создания - Формат - Размер. 6) Обеспечение работы с форматами электронных документов и изображений (например, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.png, *.vsd). 15.5.5. Веб-сервис при загрузке пользователем электронных документов должен осуществлять их шифрование и расшифрование при их выгрузке. 15.5.6. Веб-сервис должен использовать защищенный протокол HTTPS с TLS-сертификатом.

15.6. Исполнителем подготавливается проект Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (в Роскомнадзор).

15.7. В процессе оказания Услуг возможно изменение состава (перечня) и наименования организационно-распорядительных документов, при обосновании таких изменений требованиями нормативных или методических документов и согласовании таких изменений с БУ «ЦСПСКЮ». В случае, если в период оказания Услуг изменится действующие законодательство, нормативные или методические документы по защите информации, то результаты работ должны быть выполнены и сданы с учетом таких изменений законодательства.

Услуги по актуализации и доработке локальной документации по защите персональных данных, в том числе: - Доработка, актуализация организационно-распорядительной документации в соответствии с требованиями законодательства по защите персональных данных Количество: 1 - - Значение характеристики не может изменяться участником закупки

Услуги по аттестации информационной системы персональных данных, в том числе: - Проведение аттестационных испытаний с разработкой программы и методики аттестационных испытаний, протокола и заключения по результатам аттестационных испытаний. Количество: 2 - - Значение характеристики не может изменяться участником закупки

Выдача аттестата соответствия требованиям по безопасности информации в соответствии с требованиями ФСТЭК России (в случае положительного Заключения) Количество: 2

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070692 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 29 - Условная единица - 10500.00 - 304500.00

Требования к функциональности: - Организовать доверенную информационную среду. - - Значение характеристики не может изменяться участником закупки

Разграничение доступа пользователей к информации и ресурсам системы.

Контроль входа пользователей в систему.

Создание для пользователей ограниченной замкнутой среды программного обеспечения.

Контроль потоков конфиденциальной информации в системе.

Виртуальная сегментация сети. Шифрование трафика при обмене между машинами виртуального сегмента.

Контроль целостности защищаемых ресурсов.

Контроль подключения и изменения устройств компьютера.

Функциональный контроль ключевых компонентов СЗИ.

Защита содержимого дисков при несанкционированной загрузке.

Уничтожение (затирание) содержимого файлов при их удалении.

Теневое копирование выводимой информации.

Централизованное управление и мониторинг средствами защиты информации.

Удаленное изменение групповых и индивидуальных настроек защиты пользователей.

Регистрация событий безопасности в едином журнале СЗИ.

Поддержка ОС Microsoft Windows 7/10/Windows Server 2019.

В государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки сроком не менее 2024 года.

Требования по комплектации: - Бессрочное право на использование. - - Значение характеристики не может изменяться участником закупки

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio. - Наличие - - Значение характеристики не может изменяться участником закупки

Комплексная система должна осуществлять: - Идентификацию и аутентификацию пользователей в системе. - - Значение характеристики не может изменяться участником закупки

Защиту информации от несанкционированного доступа.

Межсетевое экранирование узлов (хостов) информационной системы.

Контроль съемных машинных носителей информации.

Совместимо с комплексной системой Средств защиты информации от НСД и контроля устройств.

Централизованное и оперативное управление модулями защиты.

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

Право на использование комплекта «Постоянная защита» Средства защиты информации Secret Net Studio 8 - Наличие - - Значение характеристики не может изменяться участником закупки

Требование по наличию сертификата ФСТЭК России: - Являться программным средством защиты от несанкционированного доступа к информации. - - Значение характеристики не может изменяться участником закупки

Сертификат ФСТЭК России по не менее 6 уровню контроля на отсутствие НДВ, не менее 6 классу защищенности по СВТ, не менее 6 классу защиты СКН, по не менее 6 классу защиты МЭ типа «В».

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070693 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 81900.00 - 81900.00

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» должен распространяться на 39 имеющихся лицензий СЗИ Secret Net Studio 8, комплект «Постоянная защита» - Наличие - - Значение характеристики не может изменяться участником закупки

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio. - Наличие - - Значение характеристики не может изменяться участником закупки

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» для СЗИ Secret Net Studio 8, комплект «Постоянная защита» - Наличие - - Значение характеристики не может изменяться участником закупки

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070694 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 22120.00 - 22120.00

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» для СЗИ Secret Net Studio 8, модули защиты от НСД и контроль устройств - Наличие - - Значение характеристики не может изменяться участником закупки

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio. - Наличие - - Значение характеристики не может изменяться участником закупки

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» должен распространяться на 14 имеющихся лицензий СЗИ Secret Net Studio 8 модули защиты от НСД и контроль устройств - Наличие - - Значение характеристики не может изменяться участником закупки

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070695 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 4480.00 - 4480.00

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» для СЗИ Secret Net Studio 8, модуль персонального межсетевого экрана - Наличие - - Значение характеристики не может изменяться участником закупки

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio. - Наличие - - Значение характеристики не может изменяться участником закупки

Ключ активации сервиса прямой технической поддержки уровня «Стандартный» должен распространяться на 14 имеющихся лицензий СЗИ Secret Net Studio 8, модуль персонального межсетевого экрана - Наличие - - Значение характеристики не может изменяться участником закупки

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070696 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 8640.00 - 8640.00

Требования по комплектации: - Право на использование. Копия сертификата ФСТЭК России. Формуляр. - - Значение характеристики не может изменяться участником закупки

Носитель с дистрибутивом.

Требования к функциональности: - Обнаружение неустановленных обновлений безопасности. - - Значение характеристики не может изменяться участником закупки

Инвентаризация ресурсов системы.

Отслеживание изменений конфигурации системы.

Поддержка ОС семейства Microsoft Windows и Linux.

Средство анализа защищенности должно осуществлять: - Выявление, анализ уязвимостей информационной системы; - - Значение характеристики не может изменяться участником закупки

Проверка стойкости паролей;

Формирование отчетов с техническими рекомендациями по устранению обнаруженных уязвимостей в защите.

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

Лицензия должна распространяться на не менее 4 IP-адресов. - Наличие - - Значение характеристики не может изменяться участником закупки

Требование по наличию сертификата ФСТЭК России: - Сертификат ФСТЭК России по не менее 6 уровню доверия и технических условий. - - Значение характеристики не может изменяться участником закупки

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070697 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 274500.00 - 274500.00

Услуги по обследованию аттестуемых информационных систем персональных данных, в том числе: - Проведение обследования процессов обработки защищаемой информации, локальной документации, объектов аттестации, информационной инфраструктуры и подготовленности работников в области обработки и защиты персональных данных с оформлением результатов обследования в виде рекомендаций необходимых для защиты информации с отсылками на законодательство РФ. Количество: 1 - - Значение характеристики не может изменяться участником закупки

15. Требования к отчетным документам, передаваемым БУ «ЦСПСКЮ», по результатам оказанного комплекса услуг - 15.3. Отчетные документы должны быть исполнены без грамматических и орфографических ошибок, опечаток и описок; официальным языком системы аттестации является русский язык, на котором оформляются все документы, используемые и выдаваемые в рамках системы аттестации. - - Значение характеристики не может изменяться участником закупки

15.3.1. На бумажном носителе передаются следующие документы: - Отчёт о проведении обследования ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

15.5. Передача документации БУ «ЦСПСКЮ» в электронном виде осуществляется следующим защищенным способом: 15.5.1. Исполнитель должен разработать и предоставить БУ «ЦСПСКЮ» доступ к веб-сервису поддержки (приложению). Веб-сервис поддержки должен функционировать в режиме 24 часа 7 дней в неделю, за исключением нештатных ситуаций (отключение света, сбой и т. п.). Веб-сервис должен иметь клиент-серверную архитектуру, серверная часть должна быть развернута на серверных мощностях Исполнителя. 15.5.2. Для предоставления доступа Исполнитель регистрирует ответственного лица со стороны БУ «ЦСПСКЮ» в веб-сервисе с произвольными логином и паролем и передает их ответственному лицу вручную. 15.5.3. Передача разработанной документации Исполнителем должна осуществляться посредством веб-сервиса (с выгрузкой комплекта). 15.5.4. Требования к сервису: 1) Обеспечение работы на АРМ при использовании пользователями программного обеспечения на базе браузеров Microsoft IE, Microsoft Edge, Chromium и Mozilla Firefox, включая поддержку мобильных устройств. 2) Обеспечение идентификации и аутентификации пользователя с журналированием доступа (логин, время, IP-адрес). 3) Обеспечение функций по формированию и работе с заявками для консультирования и поддержки БУ «ЦСПСКЮ». 4) Обеспечение функций по загрузке, скачиванию, удалению файлов. 5) Поле списка документов должно иметь вид таблицы и содержать список загруженных администратором или пользователем файлов со следующим столбцами: - Наименование - Тип документа - Дата создания - Формат - Размер. 6) Обеспечение работы с форматами электронных документов и изображений (например, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.png, *.vsd). 15.5.5. Веб-сервис при загрузке пользователем электронных документов должен осуществлять их шифрование и расшифрование при их выгрузке. 15.5.6. Веб-сервис должен использовать защищенный протокол HTTPS с TLS-сертификатом.

15.6. Исполнителем подготавливается проект Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (в Роскомнадзор).

15.7. В процессе оказания Услуг возможно изменение состава (перечня) и наименования организационно-распорядительных документов, при обосновании таких изменений требованиями нормативных или методических документов и согласовании таких изменений с БУ «ЦСПСКЮ». В случае, если в период оказания Услуг изменится действующие законодательство, нормативные или методические документы по защите информации, то результаты работ должны быть выполнены и сданы с учетом таких изменений законодательства.

15.4. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

15.2. Отчетные документы должны быть представлены на бумажных носителях в одном экземпляре, а также в электронном виде в формате *.doc или *.docx, в пределах срока оказания услуг.

15.1. Разработка отчетных документов по итогам оказанных услуг производится в строгом соответствии с действующими нормативными документами ФСТЭК России и ФСБ России.

17. Требования к обеспечению безопасности в ходе выполнения работ - 17.1 Общее положение Все сведения о составе и характеристиках объекта информатизации являются конфиденциальной информацией. Обязательство Исполнителя не разглашать конфиденциальную информацию определяется Соглашением о конфиденциальности. - - Значение характеристики не может изменяться участником закупки

17.2. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

17.3. Исполнитель обязуется: - не проводить противозаконные действия по сбору, копированию, использованию и передаче третьей стороне информации, циркулирующей и хранящейся на объектах информатизации; - не осуществлять несанкционированный доступ к информационным ресурсам объектов информатизации; - не предпринимать манипулирование информацией, циркулирующей или хранящейся на объектах информатизации (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию); - не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации; - не внедрять на объектах информатизации программы-вирусы (загрузочные, файловые и др.); - не устанавливать программные и аппаратные закладные устройства в технические средства объектов информатизации.

9. Требования к услуге по обследованию процессов и инфраструктуры обработки персональных данных - 9.1. Обследование аттестуемых ИСПДн осуществляется Исполнителем на основе исходных данных. Сбор исходных данных проводится Исполнителем с целью получения первичной (исходной) информации о ИСПДн методом анкетирования (интервьюирования) сотрудников Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, и включает следующие мероприятия: - определение перечня и состава информации, содержащейся в ИСПДн; - описание технологического процесса обработки информации в ИСПДн; - описание используемого аппаратного и программного обеспечения в ИСПДн; - определение структуры и состава подсистем ИСПДн, а также их взаимодействия между собой; - определение наличия и характера взаимодействия ИСПДн с другими информационными системами. - - Значение характеристики не может изменяться участником закупки

9.2. Заполнение и оформление опросных листов, а также других дополнительных информационных материалов (схемы, перечни, таблицы и т.д.), необходимых для сбора исходных данных, осуществляется представителями Исполнителя самостоятельно.

9.3. Заказчик должен обеспечить доступ сотрудникам Исполнителя к средствам вычислительной техники и местам оказания услуг для их выполнения.

9.6. Отчетные документы по данному разделу услуг: - Отчёт о проведении обследования ИСПДн; - Проекты актов определения уровня защищенности ИСПДн.

9.5. Устранение выявленных уязвимостей и иных недостатков функционирования ИСПДн осуществляется сотрудниками Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, на основании отчетных сведений, предоставленных Исполнителем.

9.4. В рамках обследования после определения границ и состава ИСПДн в целях дальнейшего определения угроз безопасности информации Исполнителем должен быть проведен анализ уязвимостей аттестуемых ИСПДн с использованием сертифицированного ФСТЭК России средства анализа защищенности.

10. Требования к услуге по формированию требований к защите информации и разработке системы защиты информации информационных систем - 10.2. Модель угроз должна быть разработана в соответствии с методическим документом Методика оценки угроз безопасности информации, утвержденным ФСТЭК России 05.02.2021, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденными ФСБ России 31.03.2015 № 149/7/2/6-432, и включает следующие этапы: - определение перечня компонентов ИСПДн и определение возможных объектов воздействия угроз безопасности информации; - определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации; - оценка способов реализации (возникновения) угроз безопасности - оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации; - оценка сценариев реализации угроз безопасности информации в ИСПДн. - - Значение характеристики не может изменяться участником закупки

10.6. По результатам определения требований к системе защиты информации ИСПДн формируются Частные технические задания на создание системы защиты информации ИСПДн.

10.8. Отчетные документы по данному разделу услуг: - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты».

10.7. Частное техническое задание на создание системы защиты информации разрабатывается с учетом ГОСТ 34.602-2020, ГОСТ Р 51583-2014 и должно содержать: - цель и задачи обеспечения защиты информации в ИСПДн; - уровень защищенности персональных данных ИСПДн; - перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИСПДн; - перечень объектов защиты ИСПДн; - требования к мерам и средствам защиты информации, применяемым в ИСПДн; - стадии (этапы работ) создания системы защиты ИСПДн; - требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации; - функции заказчика и исполнителя по обеспечению защиты информации в ИСПДн; - требования к защите средств и систем, обеспечивающих функционирование ИСПДн (обеспечивающей инфраструктуре); - требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

10.5. Определение требований к системе защиты информации ИСПДн осуществляется Исполнителем в зависимости от уровня защищенности персональных данных, структурно-функциональных характеристик ИСПДн, информационных технологий, особенностей функционирования ИСПДн и актуальных угроз безопасности информации, включенных в Модель угроз безопасности информации.

10.4. В рамках моделирования угроз безопасности должен быть проведен анализ возможных уязвимостей ИСПДн и их программных, программно-аппаратных средств и определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации ИСПДн для последующего включения реализованных сценариев в модель угроз безопасности информации.

10.3. В качестве исходных данных для оценки угроз безопасности Исполнителем должен использоваться: - Банк данных угроз безопасности информации, размещенный в сети «Интернет» (www.bdu.fstec.ru); - Описание векторов (шаблоны) компьютерных атак, содержащихся в базы данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT CK, OWASP, STIX, WASC и др.).

10.1. Определение актуальных угроз безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности в аттестуемых ИСПДн, осуществляется Исполнителем на основании информации, собранной по результатам обследования.

7. Сведения об объектах обследования и аттестации, объем оказываемых услуг - 7.6. По результатам обследования информационной инфраструктуры в случае выявления несоответствия аттестуемых ИСПДн требованиям нормативных документов, указанных в п. 5. Исполнитель обязуется разработать меры по приведению аттестуемых ИСПДн в соответствие требованиям указанных нормативных документов, осуществить настройку необходимых средств защиты информации и программ, разработать (доработать, актуализировать) организационно-распорядительные документы на аттестуемые ИСПДн. - - Значение характеристики не может изменяться участником закупки

7.5. ИСПДн предназначены для обработки информации, не содержащей сведения, составляющие государственную тайну.

7.4. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Бухгалтерия и Кадры) - В соответствии с условиями, указанными в Описании объекта закупки.

7.3. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Методисты) - В соответствии с условиями, указанными в Описании объекта закупки.

7.2. Аттестации по требованиям безопасности персональных данных подлежат 2 (два) объекта информатизации (ОИ) на базе 2 серверов и 80 АРМ, представляющие собой 2 (две) ИСПДн («Методисты», «Бухгалтерия и Кадры»).

7.1. Опросу в части обработки и защиты персональных данных потребуется осуществить до 75 работников БУ «ЦСПСКЮ». Общая структура БУ «ЦСПСКЮ» размещена на официальном сайте https://www.csp-ugra.ru/uchrezhdeniya/o-nas/struktura-uchrezhdeniya/.

14. Требования к услуге по аттестации информационной системы персональных данных - 14.3. При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний): - экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы; - анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации; - испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации. - - Значение характеристики не может изменяться участником закупки

14.4. По результатам аттестационных испытаний каждую систему оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.

14.5. В рамках проведения аттестационных испытаний Исполнителем производится анализ уязвимостей ИСПДн. При анализе уязвимостей ИСПДн проверяется отсутствие известных уязвимостей СЗИ, технических средств и программного обеспечения, правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением. Отчет об анализе уязвимостей оформляется приложением к Протоколу аттестационных испытаний ИСПДн.

14.6. Аттестаты соответствия выдаются Исполнителем БУ «ЦСПСКЮ» на весь срок эксплуатации ИСПДн.

14.7. Отчетные документы по данному разделу: - Проекты технических паспортов ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

14.2. Аттестация каждой информационной системы проводится в соответствии с программой и методиками аттестационных испытаний. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.

14.1. Проведение аттестационных испытаний ИСПДн на соответствие требованиям по защите информации включает оценку соответствия системы защиты информации ИСПДн требованиям действующего законодательства РФ в области информационной безопасности.

5. Комплекс услуг по аттестации ИСПДн должен быть выполнен в соответствии с требованиями и рекомендациями следующих нормативных документов - • ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования». - - Значение характеристики не может изменяться участником закупки

• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

• ГОСТ Р 53131-2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»;

• ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

• ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

• ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

• Национальный стандарт РФ ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

«Требования к средствам антивирусной защиты», утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28;

• «Требования к средствам контроля съемных машинных носителей информации», утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87;

• «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432);

• Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее - приказ ФАПСИ № 152);

• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее - приказ ФСБ № 378);

• Приказ ФСТЭК от 29 апреля 2021 г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее - приказ ФСТЭК № 77);

• Приказ ФСТЭК от 18.02.2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - приказ ФСТЭК № 21);

• Постановление Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;

• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;

• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

Формирование требований к защите информации и разработка системы защиты информации информационных систем, в том числе: - Разработка Частного технического задания на создание системы защиты информации для информационной системы персональных данных Количество: 2 - - Значение характеристики не может изменяться участником закупки

Разработка Модели угроз безопасности информации для информационной системы персональных данных Количество: 2

11. Требования к услуге по актуализации и доработке локальной документации по защите персональных данных - 11.2. Организационно-распорядительные документы по защите информации должны определять правила и процедуры: - управления (администрирования) системой защиты информации ИСПДн; - выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них; - управления конфигурацией ИСПДн и системы защиты информации ИСПДн; - контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИСПДн. - - Значение характеристики не может изменяться участником закупки

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - План мероприятий по защите персональных данных. - Приказ об определении границ контролируемой зоны. - Регламент по выявлению инцидентов информационной безопасности и реагирования на них. - Регламент регистрации и мониторинга событий информационной безопасности. - Регламент управления уязвимостями в информационных системах. - Регламент управления конфигурацией информационных систем. - Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Журнал учета машинных носителей персональных данных. - Журнал учета средств защиты информации, эксплуатационной и технической документации к ним. - Журнал учёта ключей от сейфов и помещений. - Журнал учета работ в информационных системах персональных данных. - Журнал учета инцидентов информационной безопасности.

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - Приказ об организации работ по обеспечению безопасности персональных данных. - Приказ о создании комиссии по классификации информационных систем. - Приказ о назначении ответственного за обеспечение безопасности персональных данных в информационных системах и администратора информационной безопасности. - Приказ об утверждении списка лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Приказ о введении в действие организационно-распорядительной документации по защите информации. - Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах. - Инструкция администратора информационной безопасности. - Инструкция пользователя информационных систем. - Инструкция по идентификации и аутентификации субъектов доступа и объектов доступа. - Инструкция по организации парольной защиты. - Инструкция по управлению доступом субъектов доступа к объектам доступа. - Инструкция по ограничению программной среды. - Инструкция по защите машинных носителей. - Инструкция по организации антивирусной защиты. - Инструкция по управлению обновлениями программного обеспечения. - Инструкция по резервному копированию и восстановлению данных. - Инструкция по защите технических средств информационных систем. - Инструкция по обеспечению целостности информационных систем. - Инструкция по защите среды виртуализации. - Инструкция по осуществлению внутреннего контроля соответствия требованиям к защите персональных данных. - Перечень информационных систем, автоматизированных рабочих мест и программного обеспечения, используемого при обработке персональных данных.

11.1. Организационно-распорядительные документы по защите информации должны включать локальные акты, регламентирующие процедуры защиты информации в ходе эксплуатации ИСПДн (политики, положения, планы, перечни, инструкции).

Услуги по внедрению системы защиты персональных данных, в том числе: - Повышение осведомленности и компетентности работников в части защиты персональных данных Количество: 1 - - Значение характеристики не может изменяться участником закупки

Создание комплексной системы защиты информации с учетом структурно-функциональных характеристик информационной системы и потребностей оператора. Количество: 1

Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации в соответствии с требованиями ФСТЭК России и ФСБ России Количество: на 82 СВТ

8. Требования к исполнителю и условия оказания комплекса услуг - 8.2. Исполнитель обязан оказать услуги собственными силами. - - Значение характеристики не может изменяться участником закупки

8.3. Установка и настройка СЗИ в ИСПДн должна осуществляться локально. Удаленный доступ к ИСПДн не допускается.

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

12. Требования к услуге по внедрению системы защиты персональных данных - 12.1. Для обеспечения защиты информации, содержащейся в аттестуемых ИСПДн, проводятся следующие мероприятия: - формирование требований к защите информации, содержащейся в информационной системе; - разработка системы защиты информации информационной системы; - внедрение системы защиты информации информационной системы. - - Значение характеристики не может изменяться участником закупки

12.2. Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации осуществляется с целью обеспечения защиты информации ИСПДн.

12.3. Обновление СЗИ от НСД необходимо с целью соответствия техническим условиям и обеспечения единообразия в создаваемой системе защиты информации БУ «ЦСПСКЮ», СЗИ «Secret Net Studio» используются БУ «ЦСПСКЮ».

12.5. Обновление, установка, настройка и проверка конфигурации СЗИ и СКЗИ в аттестуемых ИСПДН должны осуществляться в соответствии с требованиями ФСТЭК России и ФСБ России.

12.7. Создаваемая система защиты информации должна иметь централизованное управление, которая должна обеспечивать: - возможность удаленно управлять групповыми и индивидуальными настройками защиты пользователей; - получать оперативные уведомления об угрозах и сигналах защитных механизмов с всех защищенных рабочих станций; - осуществлять регистрацию, учет и контроль событий безопасности; - информировать ответственных лиц.

12.9. Исполнитель проводит повышение осведомленности и компетентности работников в части защиты информации: 12.9.1. Исполнитель проводит соответствующего ознакомление пользователей СКЗИ правилам организации и обеспечении безопасности при использовании средств криптографической защиты информации: - ознакомление пользователей СКЗИ согласно требований законодательства в части эксплуатации СКЗИ (требования пункта 21 Приказа ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»), - оформление на пользователя СКЗИ заключения о подготовке и допуске к самостоятельной работе с криптографическим (шифровальным) средством (для не более 10 пользователей СКЗИ). 12.9.2. Исполнитель проводит ознакомление пользователей ИСПДн с правилами эксплуатации используемых средств защиты информации.

12.10. Для контроля и подтверждения факта выполнения услуг Исполнителем по повышению осведомленности сотрудников у БУ «ЦСПСКЮ» должен быть доступ к итогам обучения и контроля знаний сотрудников. Доступ может быть предоставлен в виде протокола повышения осведомленности или доступа к электронному сервису контроля и оценки осведомленности сотрудников с требованиями к обработке и защите персональных данных. При использовании электронного сервиса контроля и оценки осведомленности сотрудников Исполнитель регистрирует ответственное лицо со стороны БУ «ЦСПСКЮ» в электронном сервисе с произвольными логином и паролем и передает их ответственному лицу вручную.

12.11. По результатам оказания услуг должны быть предоставлены следующие документы: - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Эксплуатационная документация на используемые в аттестуемой ИСПДн средства защиты.

12.8. По результатам оказания услуг сотрудники БУ «ЦСПСКЮ» должны быть подготовлены к эксплуатации используемых средств защиты ИСПДн.

12.6. Основные требования к поставляемым средствам защиты информации приведены в п.13 и Приложении №2 настоящего Технического задания.

12.4. В ИСПДн должны быть обеспечены правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением

1. Описание предмета закупки - 1.2. В комплекс услуг по актуализации системы защиты информации и проведению аттестации информационных систем персональных данных БУ «ЦСПСКЮ» согласно требованиям по безопасности информации должны входить услуги по проведению обследования информационной инфраструктуры и процессов обработки защищаемой информации, проверки соответствия требованиям законодательства, актуализации и доработке локальной документации (по результатам обследования, в случаях если доработка необходима), актуализации системы защиты информации, защите объектов информатизации и аттестации информационных систем по требованиям безопасности информации (далее – Комплекс услуг). - - Значение характеристики не может изменяться участником закупки

1.1. Предметом закупки является оказание комплекса услуг по выполнению требований законодательства РФ в области защиты информации: услуга по актуализации системы защиты информации и проведение аттестации информационных систем персональных данных «Бухгалтерия и кадры» и «Методисты» согласно требованиям по безопасности информации для Бюджетного учреждения Ханты-Мансийского автономного округа – Югры «Центр спортивной подготовки сборных команд Югры» (далее – БУ «ЦСПСКЮ», Заказчик).

1.3. В результате оказания Комплекса услуг по настоящему техническому заданию сформированная система защиты информации должна отвечать требованиям законодательства по защите персональных данных, руководящих документов по технической защите информации, должна оптимизировать трудозатраты сотрудников на деятельность по защите информации, а также обеспечивать соответствие информационных систем, при её эксплуатации в реальных условиях, требуемому уровню защищенности согласно норм действующего законодательства. Сформированная система защиты информации должна успешно пройти аттестационные испытания (в случае соответствия систем защиты информации, выданы Аттестаты соответствия на каждую систему).

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio.

Услуги по актуализации и доработке локальной документации по защите персональных данных, в том числе: - Доработка, актуализация организационно-распорядительной документации в соответствии с требованиями законодательства по защите персональных данных Количество: 1 - - Значение характеристики не может изменяться участником закупки

Услуги по аттестации информационной системы персональных данных, в том числе: - Проведение аттестационных испытаний с разработкой программы и методики аттестационных испытаний, протокола и заключения по результатам аттестационных испытаний. Количество: 2 - - Значение характеристики не может изменяться участником закупки

Выдача аттестата соответствия требованиям по безопасности информации в соответствии с требованиями ФСТЭК России (в случае положительного Заключения) Количество: 2

Услуги в области технических испытаний, исследований и анализа Идентификатор: 157070698 Обоснование включения дополнительной информации в сведения о товаре, работе, услуге: Конкретизация характеристик оказываемых услуг в части детального описания для получения услуг соответствующего качества, отвечающих потребности Заказчика. - 71.20.10.000-00000004 - - - - - 1 - Условная единица - 488392.00 - 488392.00

Услуги по обследованию аттестуемых информационных систем персональных данных, в том числе: - Проведение обследования процессов обработки защищаемой информации, локальной документации, объектов аттестации, информационной инфраструктуры и подготовленности работников в области обработки и защиты персональных данных с оформлением результатов обследования в виде рекомендаций необходимых для защиты информации с отсылками на законодательство РФ. Количество: 1 - - Значение характеристики не может изменяться участником закупки

15. Требования к отчетным документам, передаваемым БУ «ЦСПСКЮ», по результатам оказанного комплекса услуг - 15.3. Отчетные документы должны быть исполнены без грамматических и орфографических ошибок, опечаток и описок; официальным языком системы аттестации является русский язык, на котором оформляются все документы, используемые и выдаваемые в рамках системы аттестации. - - Значение характеристики не может изменяться участником закупки

15.3.1. На бумажном носителе передаются следующие документы: - Отчёт о проведении обследования ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

15.5. Передача документации БУ «ЦСПСКЮ» в электронном виде осуществляется следующим защищенным способом: 15.5.1. Исполнитель должен разработать и предоставить БУ «ЦСПСКЮ» доступ к веб-сервису поддержки (приложению). Веб-сервис поддержки должен функционировать в режиме 24 часа 7 дней в неделю, за исключением нештатных ситуаций (отключение света, сбой и т. п.). Веб-сервис должен иметь клиент-серверную архитектуру, серверная часть должна быть развернута на серверных мощностях Исполнителя. 15.5.2. Для предоставления доступа Исполнитель регистрирует ответственного лица со стороны БУ «ЦСПСКЮ» в веб-сервисе с произвольными логином и паролем и передает их ответственному лицу вручную. 15.5.3. Передача разработанной документации Исполнителем должна осуществляться посредством веб-сервиса (с выгрузкой комплекта). 15.5.4. Требования к сервису: 1) Обеспечение работы на АРМ при использовании пользователями программного обеспечения на базе браузеров Microsoft IE, Microsoft Edge, Chromium и Mozilla Firefox, включая поддержку мобильных устройств. 2) Обеспечение идентификации и аутентификации пользователя с журналированием доступа (логин, время, IP-адрес). 3) Обеспечение функций по формированию и работе с заявками для консультирования и поддержки БУ «ЦСПСКЮ». 4) Обеспечение функций по загрузке, скачиванию, удалению файлов. 5) Поле списка документов должно иметь вид таблицы и содержать список загруженных администратором или пользователем файлов со следующим столбцами: - Наименование - Тип документа - Дата создания - Формат - Размер. 6) Обеспечение работы с форматами электронных документов и изображений (например, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.png, *.vsd). 15.5.5. Веб-сервис при загрузке пользователем электронных документов должен осуществлять их шифрование и расшифрование при их выгрузке. 15.5.6. Веб-сервис должен использовать защищенный протокол HTTPS с TLS-сертификатом.

15.6. Исполнителем подготавливается проект Информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (в Роскомнадзор).

15.7. В процессе оказания Услуг возможно изменение состава (перечня) и наименования организационно-распорядительных документов, при обосновании таких изменений требованиями нормативных или методических документов и согласовании таких изменений с БУ «ЦСПСКЮ». В случае, если в период оказания Услуг изменится действующие законодательство, нормативные или методические документы по защите информации, то результаты работ должны быть выполнены и сданы с учетом таких изменений законодательства.

15.4. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

15.2. Отчетные документы должны быть представлены на бумажных носителях в одном экземпляре, а также в электронном виде в формате *.doc или *.docx, в пределах срока оказания услуг.

15.1. Разработка отчетных документов по итогам оказанных услуг производится в строгом соответствии с действующими нормативными документами ФСТЭК России и ФСБ России.

17. Требования к обеспечению безопасности в ходе выполнения работ - 17.1 Общее положение Все сведения о составе и характеристиках объекта информатизации являются конфиденциальной информацией. Обязательство Исполнителя не разглашать конфиденциальную информацию определяется Соглашением о конфиденциальности. - - Значение характеристики не может изменяться участником закупки

17.2. Обмен документацией, конфиденциальной информацией с Заказчиком осуществляется доверенным способом обмена документами (собственноручно или через защищенные каналы передачи).

17.3. Исполнитель обязуется: - не проводить противозаконные действия по сбору, копированию, использованию и передаче третьей стороне информации, циркулирующей и хранящейся на объектах информатизации; - не осуществлять несанкционированный доступ к информационным ресурсам объектов информатизации; - не предпринимать манипулирование информацией, циркулирующей или хранящейся на объектах информатизации (фальсифицировать, модифицировать, подделывать, блокировать, уничтожать или искажать информацию); - не нарушать технологию сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации, в результате чего может быть осуществлено искажение, потеря или незаконное использование информации; - не внедрять на объектах информатизации программы-вирусы (загрузочные, файловые и др.); - не устанавливать программные и аппаратные закладные устройства в технические средства объектов информатизации.

9. Требования к услуге по обследованию процессов и инфраструктуры обработки персональных данных - 9.1. Обследование аттестуемых ИСПДн осуществляется Исполнителем на основе исходных данных. Сбор исходных данных проводится Исполнителем с целью получения первичной (исходной) информации о ИСПДн методом анкетирования (интервьюирования) сотрудников Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, и включает следующие мероприятия: - определение перечня и состава информации, содержащейся в ИСПДн; - описание технологического процесса обработки информации в ИСПДн; - описание используемого аппаратного и программного обеспечения в ИСПДн; - определение структуры и состава подсистем ИСПДн, а также их взаимодействия между собой; - определение наличия и характера взаимодействия ИСПДн с другими информационными системами. - - Значение характеристики не может изменяться участником закупки

9.2. Заполнение и оформление опросных листов, а также других дополнительных информационных материалов (схемы, перечни, таблицы и т.д.), необходимых для сбора исходных данных, осуществляется представителями Исполнителя самостоятельно.

9.3. Заказчик должен обеспечить доступ сотрудникам Исполнителя к средствам вычислительной техники и местам оказания услуг для их выполнения.

9.6. Отчетные документы по данному разделу услуг: - Отчёт о проведении обследования ИСПДн; - Проекты актов определения уровня защищенности ИСПДн.

9.5. Устранение выявленных уязвимостей и иных недостатков функционирования ИСПДн осуществляется сотрудниками Заказчика, участвующих в обслуживании и эксплуатации ИСПДн, на основании отчетных сведений, предоставленных Исполнителем.

9.4. В рамках обследования после определения границ и состава ИСПДн в целях дальнейшего определения угроз безопасности информации Исполнителем должен быть проведен анализ уязвимостей аттестуемых ИСПДн с использованием сертифицированного ФСТЭК России средства анализа защищенности.

10. Требования к услуге по формированию требований к защите информации и разработке системы защиты информации информационных систем - 10.2. Модель угроз должна быть разработана в соответствии с методическим документом Методика оценки угроз безопасности информации, утвержденным ФСТЭК России 05.02.2021, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденными ФСБ России 31.03.2015 № 149/7/2/6-432, и включает следующие этапы: - определение перечня компонентов ИСПДн и определение возможных объектов воздействия угроз безопасности информации; - определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации; - оценка способов реализации (возникновения) угроз безопасности - оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации; - оценка сценариев реализации угроз безопасности информации в ИСПДн. - - Значение характеристики не может изменяться участником закупки

10.6. По результатам определения требований к системе защиты информации ИСПДн формируются Частные технические задания на создание системы защиты информации ИСПДн.

10.8. Отчетные документы по данному разделу услуг: - Модели угроз безопасности информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты»; - Частные технические задания на создание системы защиты информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты».

10.7. Частное техническое задание на создание системы защиты информации разрабатывается с учетом ГОСТ 34.602-2020, ГОСТ Р 51583-2014 и должно содержать: - цель и задачи обеспечения защиты информации в ИСПДн; - уровень защищенности персональных данных ИСПДн; - перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИСПДн; - перечень объектов защиты ИСПДн; - требования к мерам и средствам защиты информации, применяемым в ИСПДн; - стадии (этапы работ) создания системы защиты ИСПДн; - требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации; - функции заказчика и исполнителя по обеспечению защиты информации в ИСПДн; - требования к защите средств и систем, обеспечивающих функционирование ИСПДн (обеспечивающей инфраструктуре); - требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

10.5. Определение требований к системе защиты информации ИСПДн осуществляется Исполнителем в зависимости от уровня защищенности персональных данных, структурно-функциональных характеристик ИСПДн, информационных технологий, особенностей функционирования ИСПДн и актуальных угроз безопасности информации, включенных в Модель угроз безопасности информации.

10.4. В рамках моделирования угроз безопасности должен быть проведен анализ возможных уязвимостей ИСПДн и их программных, программно-аппаратных средств и определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации ИСПДн для последующего включения реализованных сценариев в модель угроз безопасности информации.

10.3. В качестве исходных данных для оценки угроз безопасности Исполнителем должен использоваться: - Банк данных угроз безопасности информации, размещенный в сети «Интернет» (www.bdu.fstec.ru); - Описание векторов (шаблоны) компьютерных атак, содержащихся в базы данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT CK, OWASP, STIX, WASC и др.).

10.1. Определение актуальных угроз безопасности информации, реализация (возникновение) которых может привести к нарушению безопасности в аттестуемых ИСПДн, осуществляется Исполнителем на основании информации, собранной по результатам обследования.

7. Сведения об объектах обследования и аттестации, объем оказываемых услуг - 7.6. По результатам обследования информационной инфраструктуры в случае выявления несоответствия аттестуемых ИСПДн требованиям нормативных документов, указанных в п. 5. Исполнитель обязуется разработать меры по приведению аттестуемых ИСПДн в соответствие требованиям указанных нормативных документов, осуществить настройку необходимых средств защиты информации и программ, разработать (доработать, актуализировать) организационно-распорядительные документы на аттестуемые ИСПДн. - - Значение характеристики не может изменяться участником закупки

7.5. ИСПДн предназначены для обработки информации, не содержащей сведения, составляющие государственную тайну.

7.4. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Бухгалтерия и Кадры) - В соответствии с условиями, указанными в Описании объекта закупки.

7.3. Общие, информационные, технические и эксплуатационные характеристики аттестуемой ИСПДн (Методисты) - В соответствии с условиями, указанными в Описании объекта закупки.

7.2. Аттестации по требованиям безопасности персональных данных подлежат 2 (два) объекта информатизации (ОИ) на базе 2 серверов и 80 АРМ, представляющие собой 2 (две) ИСПДн («Методисты», «Бухгалтерия и Кадры»).

7.1. Опросу в части обработки и защиты персональных данных потребуется осуществить до 75 работников БУ «ЦСПСКЮ». Общая структура БУ «ЦСПСКЮ» размещена на официальном сайте https://www.csp-ugra.ru/uchrezhdeniya/o-nas/struktura-uchrezhdeniya/.

14. Требования к услуге по аттестации информационной системы персональных данных - 14.3. При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний): - экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы; - анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации; - испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации. - - Значение характеристики не может изменяться участником закупки

14.4. По результатам аттестационных испытаний каждую систему оформляются протоколы аттестационных испытаний, заключение о соответствии информационной системы требованиям о защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.

14.5. В рамках проведения аттестационных испытаний Исполнителем производится анализ уязвимостей ИСПДн. При анализе уязвимостей ИСПДн проверяется отсутствие известных уязвимостей СЗИ, технических средств и программного обеспечения, правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением. Отчет об анализе уязвимостей оформляется приложением к Протоколу аттестационных испытаний ИСПДн.

14.6. Аттестаты соответствия выдаются Исполнителем БУ «ЦСПСКЮ» на весь срок эксплуатации ИСПДн.

14.7. Отчетные документы по данному разделу: - Проекты технических паспортов ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Программа и методики аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Протоколы аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Заключения по результатам аттестационных испытаний для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты». - Аттестаты соответствия требованиям по защите информации для ИСПДн «Бухгалтерия и кадры» и ИСПДн «Методисты» (при положительных заключениях).

14.2. Аттестация каждой информационной системы проводится в соответствии с программой и методиками аттестационных испытаний. Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России.

14.1. Проведение аттестационных испытаний ИСПДн на соответствие требованиям по защите информации включает оценку соответствия системы защиты информации ИСПДн требованиям действующего законодательства РФ в области информационной безопасности.

5. Комплекс услуг по аттестации ИСПДн должен быть выполнен в соответствии с требованиями и рекомендациями следующих нормативных документов - • ГОСТ Р 51624-2000. «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования». - - Значение характеристики не может изменяться участником закупки

• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;

• ГОСТ Р 53131-2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения»;

• ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

• ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

• ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;

• Национальный стандарт РФ ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;

«Требования к средствам антивирусной защиты», утверждены приказом ФСТЭК России от 20 марта 2012 г. № 28;

• «Требования к средствам контроля съемных машинных носителей информации», утверждены приказом ФСТЭК России от 28 июля 2014 г. № 87;

• «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждены руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432);

• Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (далее - приказ ФАПСИ № 152);

• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее - приказ ФСБ № 378);

• Приказ ФСТЭК от 29 апреля 2021 г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее - приказ ФСТЭК № 77);

• Приказ ФСТЭК от 18.02.2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - приказ ФСТЭК № 21);

• Постановление Правительства Российской Федерации от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;

• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;

• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;

Формирование требований к защите информации и разработка системы защиты информации информационных систем, в том числе: - Разработка Частного технического задания на создание системы защиты информации для информационной системы персональных данных Количество: 2 - - Значение характеристики не может изменяться участником закупки

Разработка Модели угроз безопасности информации для информационной системы персональных данных Количество: 2

11. Требования к услуге по актуализации и доработке локальной документации по защите персональных данных - 11.2. Организационно-распорядительные документы по защите информации должны определять правила и процедуры: - управления (администрирования) системой защиты информации ИСПДн; - выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них; - управления конфигурацией ИСПДн и системы защиты информации ИСПДн; - контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в ИСПДн. - - Значение характеристики не может изменяться участником закупки

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - План мероприятий по защите персональных данных. - Приказ об определении границ контролируемой зоны. - Регламент по выявлению инцидентов информационной безопасности и реагирования на них. - Регламент регистрации и мониторинга событий информационной безопасности. - Регламент управления уязвимостями в информационных системах. - Регламент управления конфигурацией информационных систем. - Список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Журнал учета машинных носителей персональных данных. - Журнал учета средств защиты информации, эксплуатационной и технической документации к ним. - Журнал учёта ключей от сейфов и помещений. - Журнал учета работ в информационных системах персональных данных. - Журнал учета инцидентов информационной безопасности.

11.3. Отчетные документы по данному разделу услуг: Точный состав и содержание комплекта организационно-распорядительных документов должен быть предварительно согласован с Заказчиком и учитывать требования к документации, определенные в Частном техническом задании на создание системы защиты информации ИСПДн. Минимум по данному разделу: - Приказ об организации работ по обеспечению безопасности персональных данных. - Приказ о создании комиссии по классификации информационных систем. - Приказ о назначении ответственного за обеспечение безопасности персональных данных в информационных системах и администратора информационной безопасности. - Приказ об утверждении списка лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. - Приказ о введении в действие организационно-распорядительной документации по защите информации. - Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах. - Инструкция администратора информационной безопасности. - Инструкция пользователя информационных систем. - Инструкция по идентификации и аутентификации субъектов доступа и объектов доступа. - Инструкция по организации парольной защиты. - Инструкция по управлению доступом субъектов доступа к объектам доступа. - Инструкция по ограничению программной среды. - Инструкция по защите машинных носителей. - Инструкция по организации антивирусной защиты. - Инструкция по управлению обновлениями программного обеспечения. - Инструкция по резервному копированию и восстановлению данных. - Инструкция по защите технических средств информационных систем. - Инструкция по обеспечению целостности информационных систем. - Инструкция по защите среды виртуализации. - Инструкция по осуществлению внутреннего контроля соответствия требованиям к защите персональных данных. - Перечень информационных систем, автоматизированных рабочих мест и программного обеспечения, используемого при обработке персональных данных.

11.1. Организационно-распорядительные документы по защите информации должны включать локальные акты, регламентирующие процедуры защиты информации в ходе эксплуатации ИСПДн (политики, положения, планы, перечни, инструкции).

Услуги по внедрению системы защиты персональных данных, в том числе: - Повышение осведомленности и компетентности работников в части защиты персональных данных Количество: 1 - - Значение характеристики не может изменяться участником закупки

Создание комплексной системы защиты информации с учетом структурно-функциональных характеристик информационной системы и потребностей оператора. Количество: 1

Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации в соответствии с требованиями ФСТЭК России и ФСБ России Количество: на 82 СВТ

8. Требования к исполнителю и условия оказания комплекса услуг - 8.2. Исполнитель обязан оказать услуги собственными силами. - - Значение характеристики не может изменяться участником закупки

8.3. Установка и настройка СЗИ в ИСПДн должна осуществляться локально. Удаленный доступ к ИСПДн не допускается.

13. Требования к средствам защиты информации и программным средствам - 13.1. Средства защиты информации должны присутствовать в реестре российских программ, должны быть сертифицированы ФСТЭК России. Исполнитель использует сертифицированные СЗИ в комплекте с дистрибутивом, формуляром и сертификатом соответствия. - - Значение характеристики не может изменяться участником закупки

13.2. СЗИ должны реализовывать в системе защиты ИСПДн меры защиты в соответствии требуемого уровня защищенности, согласно норм действующего законодательства: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей персональных данных; - регистрация событий безопасности; - антивирусная защита; - контроль (анализ) защищенности персональных данных; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них.

13.3. Для сертифицированных СЗИ в государственном реестре сертифицированных средств защиты информации N РОСС RU.0001.01БИ00 должна быть указана информация об окончании срока технической поддержки (не менее 2024 года).

13.4. СЗИ должны обеспечить централизованное управление и мониторинг создаваемой системы защиты ИСПДн. Для централизованного управления и мониторинга выделено рабочее место.

13.5. Программные средства должны соответствовать качественным и иным характеристикам, изложенным в Приложении № 1 к настоящему ТЗ.

12. Требования к услуге по внедрению системы защиты персональных данных - 12.1. Для обеспечения защиты информации, содержащейся в аттестуемых ИСПДн, проводятся следующие мероприятия: - формирование требований к защите информации, содержащейся в информационной системе; - разработка системы защиты информации информационной системы; - внедрение системы защиты информации информационной системы. - - Значение характеристики не может изменяться участником закупки

12.2. Поставка, обновление, установка и настройка программного обеспечения и сертифицированных средств защиты информации осуществляется с целью обеспечения защиты информации ИСПДн.

12.3. Обновление СЗИ от НСД необходимо с целью соответствия техническим условиям и обеспечения единообразия в создаваемой системе защиты информации БУ «ЦСПСКЮ», СЗИ «Secret Net Studio» используются БУ «ЦСПСКЮ».

12.5. Обновление, установка, настройка и проверка конфигурации СЗИ и СКЗИ в аттестуемых ИСПДН должны осуществляться в соответствии с требованиями ФСТЭК России и ФСБ России.

12.7. Создаваемая система защиты информации должна иметь централизованное управление, которая должна обеспечивать: - возможность удаленно управлять групповыми и индивидуальными настройками защиты пользователей; - получать оперативные уведомления об угрозах и сигналах защитных механизмов с всех защищенных рабочих станций; - осуществлять регистрацию, учет и контроль событий безопасности; - информировать ответственных лиц.

12.9. Исполнитель проводит повышение осведомленности и компетентности работников в части защиты информации: 12.9.1. Исполнитель проводит соответствующего ознакомление пользователей СКЗИ правилам организации и обеспечении безопасности при использовании средств криптографической защиты информации: - ознакомление пользователей СКЗИ согласно требований законодательства в части эксплуатации СКЗИ (требования пункта 21 Приказа ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»), - оформление на пользователя СКЗИ заключения о подготовке и допуске к самостоятельной работе с криптографическим (шифровальным) средством (для не более 10 пользователей СКЗИ). 12.9.2. Исполнитель проводит ознакомление пользователей ИСПДн с правилами эксплуатации используемых средств защиты информации.

12.10. Для контроля и подтверждения факта выполнения услуг Исполнителем по повышению осведомленности сотрудников у БУ «ЦСПСКЮ» должен быть доступ к итогам обучения и контроля знаний сотрудников. Доступ может быть предоставлен в виде протокола повышения осведомленности или доступа к электронному сервису контроля и оценки осведомленности сотрудников с требованиями к обработке и защите персональных данных. При использовании электронного сервиса контроля и оценки осведомленности сотрудников Исполнитель регистрирует ответственное лицо со стороны БУ «ЦСПСКЮ» в электронном сервисе с произвольными логином и паролем и передает их ответственному лицу вручную.

12.11. По результатам оказания услуг должны быть предоставлены следующие документы: - Акты установки (проверки настроек) средств защиты информации; - Заключения о проверке готовности к использованию и эксплуатации СКЗИ (на каждое установленное СКЗИ в ИСПДн); - Заключения о подготовке и допуске к самостоятельной работе с СКЗИ для всех пользователей СКЗИ; - Эксплуатационная документация на используемые в аттестуемой ИСПДн средства защиты.

12.8. По результатам оказания услуг сотрудники БУ «ЦСПСКЮ» должны быть подготовлены к эксплуатации используемых средств защиты ИСПДн.

12.6. Основные требования к поставляемым средствам защиты информации приведены в п.13 и Приложении №2 настоящего Технического задания.

12.4. В ИСПДн должны быть обеспечены правильность установки и настройки СЗИ, технических средств и программного обеспечения, а также корректность работы СЗИ при их взаимодействии с техническими средствами и программным обеспечением

1. Описание предмета закупки - 1.2. В комплекс услуг по актуализации системы защиты информации и проведению аттестации информационных систем персональных данных БУ «ЦСПСКЮ» согласно требованиям по безопасности информации должны входить услуги по проведению обследования информационной инфраструктуры и процессов обработки защищаемой информации, проверки соответствия требованиям законодательства, актуализации и доработке локальной документации (по результатам обследования, в случаях если доработка необходима), актуализации системы защиты информации, защите объектов информатизации и аттестации информационных систем по требованиям безопасности информации (далее – Комплекс услуг). - - Значение характеристики не может изменяться участником закупки

1.1. Предметом закупки является оказание комплекса услуг по выполнению требований законодательства РФ в области защиты информации: услуга по актуализации системы защиты информации и проведение аттестации информационных систем персональных данных «Бухгалтерия и кадры» и «Методисты» согласно требованиям по безопасности информации для Бюджетного учреждения Ханты-Мансийского автономного округа – Югры «Центр спортивной подготовки сборных команд Югры» (далее – БУ «ЦСПСКЮ», Заказчик).

1.3. В результате оказания Комплекса услуг по настоящему техническому заданию сформированная система защиты информации должна отвечать требованиям законодательства по защите персональных данных, руководящих документов по технической защите информации, должна оптимизировать трудозатраты сотрудников на деятельность по защите информации, а также обеспечивать соответствие информационных систем, при её эксплуатации в реальных условиях, требуемому уровню защищенности согласно норм действующего законодательства. Сформированная система защиты информации должна успешно пройти аттестационные испытания (в случае соответствия систем защиты информации, выданы Аттестаты соответствия на каждую систему).

1.4. Заказчиком используется и установлено программное обеспечение Secret Net Studio.

Услуги по актуализации и доработке локальной документации по защите персональных данных, в том числе: - Доработка, актуализация организационно-распорядительной документации в соответствии с требованиями законодательства по защите персональных данных Количество: 1 - - Значение характеристики не может изменяться участником закупки

Услуги по аттестации информационной системы персональных данных, в том числе: - Проведение аттестационных испытаний с разработкой программы и методики аттестационных испытаний, протокола и заключения по результатам аттестационных испытаний. Количество: 2 - - Значение характеристики не может изменяться участником закупки

Выдача аттестата соответствия требованиям по безопасности информации в соответствии с требованиями ФСТЭК России (в случае положительного Заключения) Количество: 2

Итого: 1328198.67 Российский рубль

Преимущества и требования к участникам

Преимущества

Требования к участникам

1 Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

2 Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ

3 Требование к участникам закупок в соответствии с п. 1 ч. 1 ст. 31 Закона № 44-ФЗ

Требуется в соответствии с п. 1 ч. 1 статьи 31 Федерального закона № 44-ФЗ выписка из реестра лицензий или лицензия в соответствии с п. 5 ч. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности": 1) Федеральной службы по техническому и экспортному контролю России на осуществление деятельности по технической защите конфиденциальной информации по следующим видам работ и услуг: - аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации. - проектирование в защищенном исполнении: средств и систем информатизации. - контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; - установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации). 2) ФСБ России на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) по видам работ и услуг, предусмотренных пунктами 12,20 перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, являющегося приложением к Положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313.

Ограничения

Не установлены

Обеспечение заявки

Требуется обеспечение заявки

Размер обеспечения заявки

13281.99 Российский рубль

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии

Обеспечение заявки на участие в закупке предоставляется одним из следующих способов: а) путем блокирования денежных средств на банковском счете, открытом таким участником в банке, включенном в перечень, утвержденный Правительством РФ (далее - спецсчет), для их перевода в случаях, предусмотренных ст. 44 44-ФЗ, на счет, на котором в соответствии с законодательством РФ учитываются операции со средствами, поступающими заказчику, или в соответствующий бюджет бюджетной системы РФ. Требования к таким банкам, к договору спецсчета, к порядку использования имеющегося у участника закупки банковского счета в качестве спецсчета устанавливаются Правительством РФ; б) путем предоставления независимой гарантии, соответствующей требованиям ст. 45 44-ФЗ; Выбор способа обеспечения осуществляется участником закупки самостоятельно. Срок действия независимой гарантии должен составлять не менее месяца с даты окончания срока подачи заявок. Предприятия УИС, организации инвалидов, предусмотренные ч. 2 ст. 29 44-ФЗ, предоставляют обеспечение заявки на участие в закупке в размере 0,5% НМЦК. Государственные, муниципальные учреждения не предоставляют обеспечение подаваемых ими заявок на участие в закупках. Участники закупки, являющиеся юридическими лицами, зарегистрированными на территории государства - члена ЕАЭС, за исключением Российской Федерации, или физическими лицами, являющимися гражданами государства - члена ЕАЭС, за исключением Российской Федерации, вправе предоставить обеспечение заявок в виде денежных средств. Денежные средства вносятся такими участниками закупки на счет:

Реквизиты счета для учета операций со средствами, поступающими заказчику

Реквизиты счета для учета операций со средствами, поступающими заказчику

"Номер расчётного счёта"03224643718000008700

"Номер лицевого счёта"270316670

"Код поступления" Информация отсутствует

"БИК"007162163

"Наименование кредитной организации"РКЦ г.Ханты-Мансийск/УФК по ХМАО - Югре г.Ханты-Мансийск

"Номер корреспондентского счета"40102810245370000007

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации)

ИНН получателя

8601003240

КПП получателя

860101001

КБК доходов

27011610056020000140

ОКТМО

71871000001

Номер единого казначейского счета

40102810245370000007

Номер казначейского счета

03100643000000018700

БИК ТОФК

007162163

Получатель

УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ХАНТЫ-МАНСИЙСКОМУ АВТОНОМНОМУ ОКРУГУ - ЮГРЕ (ДЕПСПОРТ ЮГРЫ)

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта

Размер обеспечения исполнения контракта

132819.87 Российский рубль

Порядок обеспечения исполнения контракта, требования к обеспечению

Участник закупки, с которым заключается контракт, предоставляет обеспечение исполнения контракта любым из двух способов: 1) внесение денежных средств на счет заказчика, на котором в соответствии с законодательством РФ учитываются операции со средствами, поступающими заказчику 2) предоставление независимой гарантии, соответствующей требованиям ст. 45 44-ФЗ. Способ обеспечения исполнения контракта, срок действия независимой гарантии определяются участником закупки самостоятельно. При этом срок действия независимой гарантии должен превышать предусмотренный контрактом срок исполнения обязательств, которые должны быть обеспечены такой независимой гарантией, не менее чем на один месяц, в том числе в случае его изменения в соответствии со ст. 95 44-ФЗ. Контракт заключается после предоставления участником закупки, обеспечения исполнения контракта в соответствии с 44-ФЗ. Положения настоящего извещения об обеспечении исполнения контракта, включая положения о предоставлении такого обеспечения с учетом положений ст. 37 44-ФЗ, не применяются в случае: 1) заключения контракта с участником закупки, который является казенным учреждением; 2) осуществления закупки услуги по предоставлению кредита; 3) заключения бюджетным учреждением, государственным, муниципальным унитарными предприятиями контракта, предметом которого является выдача независимой гарантии. Участник закупки, с которым заключается контракт по результатам определения поставщика (подрядчика, исполнителя) у СМП, СОНКО, освобождается от предоставления обеспечения исполнения контракта, в соответствии с ч. 8.1. ст. 96 44-ФЗ. В ходе исполнения контракта поставщик (подрядчик, исполнитель) вправе изменить способ обеспечения исполнения контракта и (или) предоставить заказчику взамен ранее предоставленного обеспечения исполнения контракта, новое обеспечение исполнения контракта, в соответствии с ч. 7 ст. 96 44-ФЗ.

Платежные реквизиты

"Номер расчётного счёта"03224643718000008700

"Номер лицевого счёта"270316670

"Код поступления" Информация отсутствует

"БИК"007162163

"Наименование кредитной организации"РКЦ г.Ханты-Мансийск/УФК по ХМАО - Югре г.Ханты-Мансийск

"Номер корреспондентского счета"40102810245370000007

Требования к гарантии качества товара, работы, услуги

Требуется гарантия качества товара, работы, услуги

Да

Информация о требованиях к гарантийному обслуживанию товара

Бесплатно осуществлять гарантийные обязательства. Гарантийные обязательства включают в себя содействие в обеспечении работоспособности всех установленных средств защиты информации, поддержку и консультации в части разработанной документации. Гарантийные обязательства должны включать в себя содействие в обеспечении работоспособности всех установленных СЗИ (в рамках гарантийных обязательств, предоставляемых Разработчиками СЗИ), а также поддержку и консультацию в части разработанной документации. При выявлении уполномоченными органами в ходе проводимых ими в соответствии с законодательством проверок вопросов безопасности (включая документацию), или БУ «ЦСПСКЮ» в процессе эксплуатации информационной системы, защищенной согласно настоящего технического задания, фактов несоответствия разработанной документации и системы защиты ИСПДн требованиям законодательства в области защиты информации и настоящего технического задания, Исполнитель обязуется устранить указанные недостатки за свой счет и своими силами в срок не превышающий 15 дней с момента получения им уведомления о несоответствии оказанных услуг и наступлении гарантийного случая. Исполнитель в указанных сроках поддержки осуществляет актуализацию документации в части организационных и технических мер по обеспечению безопасности аттестованной информационной системы персональных данных, в том числе в случае изменения законодательства.

Требования к гарантии производителя товара

Не менее 12 месяцев.

Срок, на который предоставляется гарантия и (или) требования к объему предоставления гарантий качества товара, работы, услуги

Гарантийный срок составляет 12 месяцев и начинает действие с момента подписания Сторонами структурированного документа о приемке.

Обеспечение гарантийных обязательств

Обеспечение гарантийных обязательств не требуется

Дополнительная информация

Информация отсутствует

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Перечень прикрепленных документов

Обоснование начальной (максимальной) цены контракта

1 Расчет НМЦ.xls.zip

Проект контракта

1 Проект договора.docx.zip

Описание объекта закупки

1 Описание объекта закупки.doc.zip

Требования к содержанию, составу заявки на участие в закупке

1 Требования.docx.zip

Дополнительная информация и документы

Ссылки

Общая информация

Документы

Журнал событий