Номер извещения: 0372200263425001215

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: РТС-тендер

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.rts-tender.ru

Размещение осуществляет: Заказчик САНКТ-ПЕТЕРБУРГСКОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ "ГОРОДСКАЯ АЛЕКСАНДРОВСКАЯ БОЛЬНИЦА"

Наименование объекта закупки: Оказание услуг по предоставлению права использования программного обеспечения для информационной безопасности

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503722002634001000115

Контактная информация

Размещение осуществляет: Заказчик

Организация, осуществляющая размещение: САНКТ-ПЕТЕРБУРГСКОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ "ГОРОДСКАЯ АЛЕКСАНДРОВСКАЯ БОЛЬНИЦА"

Почтовый адрес: 193312, Санкт-Петербург, Санкт-Петербург, Город Санкт-Петербург город федерального значения, пр. Солидарности, 4, 40386000

Место нахождения: 193312, Санкт-Петербург, Город Санкт-Петербург город федерального значения, Солидарности, Д.4, 40386000

Ответственное должностное лицо: Николаенко А. А.

Адрес электронной почты: gz-albol@alexhospital.ru

Номер контактного телефона: 8-812-5887544

Дополнительная информация: Информация отсутствует

Регион: Санкт-Петербург

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 10.11.2025 11:56 (МСК)

Дата и время окончания срока подачи заявок: 18.11.2025 08:30 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 18.11.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 20.11.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 821 529,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 252781101870078110100101160035829244

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 31.12.2025

Закупка за счет собственных средств организации: Да

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.50.000 - K3-R300-CM-ACS-UpGrade-KC3-lic Право на использование "АПКШ "Континент". Версия 3.9" на платформе IPC-R300. ЦУС - Сервер Доступа. ПО-renewal. KC3. Описание объекта закупки-3 - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; ... Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): ... Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; ... - Штука - 1,00 - 456 204,00 - 456 204,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-3 - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; Значение характеристики не может изменяться участником закупки - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): Значение характеристики не может изменяться участником закупки файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; Значение характеристики не может изменяться участником закупки - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-3 - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - Значение характеристики не может изменяться участником закупки - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-3 - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - Значение характеристики не может изменяться участником закупки

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров;

Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " –

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора.

1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

- 58.29.50.000 - kb-sobol 3.0 k41 v1-SP1Y Программно-аппаратный комплекс "Соболь". Версия 3.0, Mini PCI-Е Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; ... Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; ... Описание объекта закупки-4 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. ... - Штука - 1,00 - 105 000,00 - 105 000,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки-4 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. Значение характеристики не может изменяться участником закупки 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): Значение характеристики не может изменяться участником закупки файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Значение характеристики не может изменяться участником закупки - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки-4 - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - - Значение характеристики не может изменяться участником закупки - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки-4 - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - - Значение характеристики не может изменяться участником закупки

1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

- возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog;

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " –

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки

- возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети;

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

- 58.29.50.000 - "DS-1992 Идентификатор iButton DS1992" Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; ... Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): ... Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; ... - Штука - 1,00 - 3 765,00 - 3 765,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): Значение характеристики не может изменяться участником закупки файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; Значение характеристики не может изменяться участником закупки - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Значение характеристики не может изменяться участником закупки - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " –

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора.

1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки

- возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети;

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

- 58.29.50.000 - "HSEC-4-AP-DISK-SKZI-KC1-1 Установочный комплект. СКЗИ ""Континент-АП"", версия 4. КС1 исполнение 1" Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; ... Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; ... Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; ... - Штука - 1,00 - 1 600,00 - 1 600,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; Значение характеристики не может изменяться участником закупки - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Значение характеристики не может изменяться участником закупки - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): Значение характеристики не может изменяться участником закупки файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора.

1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки

- возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети;

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " –

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

- 58.29.50.000 - "HSEC-4-ACS-AP-lic-SP1Y Право на использование СКЗИ ""Континент-АП"" (1 дополнительное подключение пользователя СКЗИ ""Континент-АП"" к СД)" Описание объекта закупки-4 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. ... Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; ... Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): ... - Штука - 40,00 - 6 334,00 - 253 360,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-4 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. Значение характеристики не может изменяться участником закупки n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): Значение характеристики не может изменяться участником закупки файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Значение характеристики не может изменяться участником закупки - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-4 - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - - Значение характеристики не может изменяться участником закупки - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-4 - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - - Значение характеристики не может изменяться участником закупки

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

- возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog;

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - - Значение характеристики не может изменяться участником закупки

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " –

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки

- возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети;

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

- 58.29.50.000 - "K3-CM-ACS-KC3-DISK-SKZI/SZI Установочный комплект для обновления ""АПКШ ""Континент"". Версия 3.9"". ЦУС-СД. KC3 " Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; ... Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; ... Описание объекта закупки 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – ... - Штука - 1,00 - 1 600,00 - 1 600,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание объекта закупки-5 Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; Значение характеристики не может изменяться участником закупки Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. Описание объекта закупки-3 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; Значение характеристики не может изменяться участником закупки - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; Описание объекта закупки 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – Значение характеристики не может изменяться участником закупки 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. Описание объекта закупки-2 Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; Значение характеристики не может изменяться участником закупки Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). Описание объекта закупки-4 - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; Значение характеристики не может изменяться участником закупки - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки - Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс; - Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1. - Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки - - возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети; - - сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок; - - приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом; - - механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ; - - возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса; - Описание объекта закупки - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - - Значение характеристики не может изменяться участником закупки - 4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну. - 2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС): - файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java) - 4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС. - 4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей. - Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки - Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации: - - должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878) - n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - - контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ. - 1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ). - Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки - - возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365. - 1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора. - 1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации. - n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя) - Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание объекта закупки-5 - Абонентский Пункт должен осуществлять: Возможность установления защищенного соединения и обмена зашифрованными данными с СД изделия "Аппаратно-программный комплекс шифрования "Континент" версии 3.7/3.9 и узлом безопасности с включенным компонентом "Сервер доступа" изделия "Комплекс безопасности "Континент". Версия 4" (далее – комплекс "Континент"); Создание подключения по двум типам протокола – версии 3.X и 4.Х; Возможность подключения к серверу доступа (СД) или узлу безопасности (УБ) до входа пользователя в систему с помощью настроенного глобального профиля; Автоподключение к СД или УБ после старта системы с профилем по умолчанию; Создание профилей подключения к СД/УБ (по протоколу 3.X или 4.Х); Возможность добавления в профиль подключения резервные СД; Возможность импорта профиля подключения, созданного по протоколу 3.X или 4.Х; Поддержку быстрого старта КАП. Возможность импорта конфигурационного файла и автоматического установления подключения; Поддержку двух видов аутентификации при подключении по протоколу 4.Х (по сертификату пользователя и по логину/паролю); Автоматическое переподключение к СД/УБ при разрыве соединения (5 попыток); Возможность установления соединения по API с помощью утилиты командной строки и отключения управления по API из графического интерфейса; Автоматическое переключение на резервный СД из списка резервных серверов в случае недоступности основного СД (5 попыток); Возможность ручного переподключения на резервный СД; Работа по ГОСТ Р 34.12-2015 (2018) Магма; Работа по ГОСТ Р 34.12-2015 (2018) Кузнечик; Поддержку режима запрета незащищенных соединений для протокола 4.Х; Поддержку режима запрета незащищенных соединений, запускаемого совместно с режимом запуска КАП до входа в систему; Поддержку двух режимов настройки работы КАП – автоматический (импорт конфигурационного файла, содержащего все необходимые настройки) и ручной; - - Значение характеристики не может изменяться участником закупки

Возможность автоматического определения настроек системного прокси; Возможность создания запросов на выпуск цифрового сертификата пользователя; Возможность управления сертификатами; Поддержку совместимости с Jinn-Client 1.0.3055, Континент TLS-Клиент 2.0.1446/2.1 по контейнеру ключей формата PKCS#15 (с ГОСТ Р 34.12-2015); Возможность контроля сроков действия сертификатов, паролей доступа к ключевым контейнерам, закрытого ключа и информирование об окончании срока действия; Возможность экспорта настроек конфигурации; Возможность экспорта настроек конфигурации вместе с сертификатами; Автоматическое определение CDP из сертификатов для обновления списков CRL; Автоматическое скачивание CRL; Поддержку механизма регистрации ПО КАП на сервере регистрации СКЗИ; Поддержку механизма регистрации событий, связанных с работой КАП; Возможность сбора диагностической информации; Поддержку механизма контроля целостности файлов ПО КАП и связанных с ним файлов ОС; Возможность проверки установленного ПО; Информирование пользователя о несоответствии параметров компьютера пользователя политике безопасности; Поддержку модульной архитектуры, при которой реализация криптографических алгоритмов выполняется в отдельном стороннем программном модуле — криптопровайдере; Возможность управления КАП через API-интерфейс; Возможность отключить управление КАП через API-интерфейс;

Возможность управления КАП с помощью пользовательского графического интерфейса с настраиваемыми цветовыми схемами (светлая и темная); Поддержку двух режимов работы КАП – администратора (при запуске с правами администратора доступны все настройки) и пользователя (доступен ограниченный список настроек); Возможность установки ПО с помощью одного окна, требующей минимального участия пользователя; Поддержку работы со следующими ключевыми носителями: USB-флеш-накопитель; Рутокен S; Рутокен Lite; Рутокен ЭЦП 2.0; Рутокен ЭЦП 2.0 Flash; JaCarta PKI; JaCarta PKI/ГОСТ; JaCarta ГОСТ; JaCarta-2 ГОСТ; JaCarta PRO/ГОСТ; JaCarta-2 PRO/ГОСТ; iButton DS1995; iButton DS1996. Требования по сертификации Абонентского Пункта: должен быть сертифицирован на соответствие требованиям ФСБ России к средствам криптографической защиты информации класса КС1.

Описание объекта закупки-3 - 1.3. Требования к функциональности ЦУС-СД: - обеспечение возможности создания защищенного соединения между АП и сетью, защищенной КШ (максимум 100 одновременных подключений); - формирование симметричного ключа по алгоритмам ГОСТ для аутентификации администратора и запись ключевой информации на ключевой носитель; - аутентификацию администратора при установлении защищенного соединения с программой управления; - взаимодействие с программой управления; - хранение необходимой для работы информации; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя; - контроль состояния установленных защищенных соединений абонентских пунктов с криптографическим шлюзом и выгрузку сессионной информации при разрыве соединения; - поддержка пользовательских сертификатов, выпущенных в соответствии с алгоритмами ГОСТ; - поддержка групповой выгрузки пользовательских сертификатов из СД; - возможность сортировки и поиска в списке пользователей на СД; - поддержка работы с сертификатами, выпущенными внешним удостоверяющим центром (УЦ), а также поддержка возможности проверки отозванных сертификатов по CRL (Certificate Revocation List); - регистрацию событий, связанных с работой сервера доступа, использованием программы управления и подключением удаленных пользователей; - прием и передача IP-пакетов по протоколам семейства TCP/IP; - поддержка протокола сетевого взаимодействия IPv6 и возможность организации защищенных соединений через IPv6-сети провайдеров; - возможность приоритизации IP-трафика; - возможность маршрутизации IP-трафика; - поддержка Jumbo frame (MTU 9000 байт и до 9100 байт на WAN интерфейсе); - поддержка PMTU Aging; - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - аутентификация подключаемых компьютеров; - - Значение характеристики не может изменяться участником закупки

- возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети КШ; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - сетевых интерфейсов; - протоколов; - номеров портов UDP/TCP; - времени; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - фильтрация пакетов с контролем состояния соединений (SPI); - возможность просмотра средствами локального управления таблицы состояний TCP соединений (keep-state); - наличие сервиса встроенного сервера IP адресов (DHCP); - поддержка режима ретранслятора для сервера IP адресов (DHCP Relay); - возможность настройки опций на DHCP-сервере; - поддержка аутентификации при использовании NTP; - наличие встроенной защиты от DoS атак типа SYN-флуд; - возможность настройки STUN-сервера на ЦУС; - возможность размещения ЦУС за NAT (трансляция служебных портов на КШ); - возможность резервирования БД ЦУС; - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность управления исключениями в HTTPS инспекции; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) по алгоритмам ГОСТ; - длина ключа шифрования – 256 бит; - поддержка стандарта хеширования по алгоритмам ГОСТ; - поддержка режима замкнутой криптографической сети (автоматическое блокирование всего незащищенного трафика); - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность корректировки приоритета для правил NAT; - возможность указывать диапазон портов назначения при создании входящего NAT; - возможность использования динамического адреса в правилах NAT; - поддержка механизма виртуальных IP адресов для организации защищенных связей между КШ с сетями с пересекающейся IP адресацией; - сокрытие внутренней структуры защищаемого сегмента сети;

- сжатие передаваемых IP-пакетов; - увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт; - максимальная пропускная способность в режиме шифрование/имитозащита/туннелирование должна составлять 500 Мбит/с; - максимальная пропускная способность в режиме межсетевого экранирования должна составлять 4 000 Мбит/с; - поддержка максимум 350 000 одновременных keep-state TCP сессий; - поддержка неограниченного числа туннелируемых IP адресов; - возможность мониторинга состояния устройств комплекса из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP; - возможность удаленной настройки параметров SNMP как для каждого устройства комплекса индивидуально, так и с использованием групповых операций; - возможность использования групповых операций для управления устройствами комплекса; - обеспечение защищенного канала для управления пограничными маршрутизаторами; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP; - поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений; - поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;

- приоритизация трафика на основе меток ToS; - классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика; - маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP; - управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;

- механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC; - предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN; - возможность создания до 32-х независимых VPN каналов с управлением приоритизацией; - возможность резервирования выделенной полосы пропускания для определенных профилей трафика; - возможность резервирования полосы пропускания в настройках очередей для управляющего трафика; - возможность локальной настройки шифратора для пакетов из интернета в защищенной сети; - возможность настройки обработки MTU Path Discovery на сетевых устройствах; - возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;

- возможность настройки раздельных внешних сетей в Multi-WAN (сетей, не допускающих маршрутизации пакетов друг между другом); - возможность трансляции портов резервного провайдера с основного в режиме Multi-WAN; - обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP; - мониторинг состояния каналов WAN и VPN; - балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами); - возможность обеспечения доступа к защищаемой сети, одновременно находящейся за несколькими КШ; - возможность выбора приоритетного маршрута (КШ), через который трафик попадает в защищаемую сеть; - возможность работы КШ за маршрутизатором с технологией NAT; - возможность интеграции с системами IPS/IDS; - возможность мониторинга состояния источника бесперебойного питания и корректного выключения ЦУС-СД в случае длительного сбоя питания; - возможность полноценного централизованного управления устройствами комплекса из центра управления сетью (ЦУС), в том числе с применением групповых операций; - возможность использовать SSH для удаленного подключения к устройствам комплекса; - возможность удаленного централизованного обновления программного обеспечения устройств комплекса;

Описание объекта закупки - 4.4. Требования к комплектности. 4.4.1. Состав комплекта поставки ПАК «Соболь» 3.1 должен быть следующим: Обозначение Наименование Кол-во Примечание RU.88338853. 501410.020 ПС Программно-аппаратный комплекс "Соболь". Версия 3.1. Паспорт 1 Поставляется в печатном виде RU.88338853. 501410.020 93 Установочный компакт-диск с программным обеспечением и эксплуатационной документацией 1 RU.88338853. 501410.020 94 Плата Mini PCI-E Half 1 Исполнение определяется договором RU.88338853. 501410.020 95 1 Адаптер для платы Mini PCI-E Half (вариант 1) 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 95 2 Адаптер для платы Mini PCI-E Half (вариант 2) 1 – " – RU.88338853. 501410.020 95 3 Адаптер для платы Mini PCI-E Half (вариант 3) 1 – " – RU.88338853. 501410.020 95 4 Адаптер для платы Mini PCI-E Half (вариант 4) 1 – " – RU.88338853. 501410.020 96 1 Кабель RST механизма сторожевого таймера 1 RU.88338853. 501410.020 96 2 Кабель PWR механизма сторожевого таймера с двумя T-Tap соединителями 1 Наличие в комплекте поставки определяется договором RU.88338853. 501410.020 97 1 Контактное устройство для iButton (внешнее) 1 – " – RU.88338853. 501410.020 97 2 Контактное устройство для iButton (внутреннее) 1 – " – Идентификатор iButton DS1992–DS1996 Для исполнений 1 и 2. Тип и поставляемое количество определяется договором USB-ключ eToken PRO/eToken PRO (Java) Для исполнения 1. Поставляемое количество определяется договором USB-ключ Rutoken/Rutoken RF – " – USB-ключ iKey 2032 – " – Смарт-карта eToken PRO – " – USB-считыватель смарт-карт Athena ASEDrive IIIe USB V2/V3 1 Для исполнения 1. Тип определяется договором Идентификатор iButton DS1994 Для исполнения 2. Поставляемое количество определяется договором Упаковка 1 – " – - - Значение характеристики не может изменяться участником закупки

4.4.2. Эксплуатационная документация должна поставляться в следующем составе: • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора" RU.88338853.501410.020 91 1; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство администратора. Управление шаблонами контроля целостности в семействе ОС Linux" RU.88338853.501410.020 91 2; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Руководство пользователя" RU.88338853.501410.020 92; • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 1)" RU.88338853.501410.020 ПП 1. • "Программно-аппаратный комплекс "Соболь". Версия 3.1. Правила применения (исполнение 2)" RU.88338853.501410.020 ПП 2. Сертификат соответствия ФСБ России. Сертификат соответствия ФСБ России (регистрационный номер СФ/527-4530 действителен до 01.06.2026 (для исполнения 1)) удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б и может использоваться для защиты от НСД к информации, не содержащей сведения, составляющие государственную тайну.

2. Цели и правовое основание закупки услуги 2.1. Основной целью поставки является приобретение Заказчиком СЗИ ПАК «Соболь» 3.1, отвечающих определенным требованиям, а именно: • требования к функциональным возможностям (см. п. 4.3); • системные требования к защищаемым объектам (см. п. 4.2); • требования к комплектности (см. 4.4); • наличие сертификата соответствия ФСБ России (см. п. 4.5). 2.2. Задачи, подлежащие решению: • выбор СЗИ, отвечающего заданным требованиям; • разработка и уточнение спецификации согласно выбранному СЗИ; • поставка СЗИ в комплектности, согласно указанным требованиям 3. Характеристика объекта защиты 3.1 Инфраструктура Заказчика представляет собой информационные системы, телекоммуникационное оборудование и технические средства обработки информации, расположенные на площадке по адресу: Санкт-Петербург, пр. Солидарности, д. 4 4. Требования к комплексу работ по информационной безопасности 4.1. Общие требования к СЗИ ПАК «Соболь». 4.1.1. ПАК «Соболь» должен обеспечивать защиту от НСД к компьютеру. 4.1.2. ПАК «Соболь» должен начинать работу до загрузки операционной системы. 4.1.3. ПАК «Соболь» должен реализовывать следующие основные функции: • идентификация и аутентификация пользователей при их входе в систему с помощью аутентифицирующих носителей пользователя (АНП): • для исполнения 1 – идентификаторы iButton (DS1992, DS1993, DS1994, • DS1995, DS1996), USB-ключи eToken PRO, eToken PRO (Java), iKey 2032, Rutoken, Rutoken RF, смарт-карта eToken PRO; для исполнения 2 - идентификатор iButton DS1994; идентификаторы iButton (DS1992, DS1993, DS1994, DS1995, DS1996); • защита от несанкционированной загрузки операционной системы со съемных носителей информации: дискет, оптических и магнитооптических дисков, ZIP устройств, USB-устройств и др.; • контроль целостности (КЦ) программного и аппаратного обеспечения защищаемого компьютера до загрузки операционной системы (ОС):

файлов и физических секторов жесткого диска; • элементов системного реестра компьютера; • журнала транзакций; • PCI-устройств; • структур SMBIOS; • таблиц ACPI; • конфигурации оперативной памяти; • функционирование механизма сторожевого таймера; • регистрация событий, связанных с безопасностью системы. Системные требования. ПАК «Соболь» устанавливается на компьютер, удовлетворяющий следующим системным требованиям: Файловая система (для КЦ файлов) NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2 Процессор. Оперативная память В соответствии с требованиями операционной системы, установленной на компьютере Жесткий диск Свободное пространство: минимально 50 МБ Привод Привод CD/DVD-ROM Системная плата Наличие свободного разъема системной шины стандарта Mini PCI Express. Для реализации механизма сторожевого таймера наличие хотя бы одного из разъемов: • разъема Reset; • 20- или 24-контактного разъема питания стандарта ATX • возможность параллельного подключения к жилам стандартного кабеля кнопки "Power" 4.2. Требования к функциональности. 4.2.1. Требования к реализации функции идентификации и аутентификации пользователей при их входе в систему с помощью персональных идентификаторов. 4.2.1.1. В качестве персональных идентификаторов должны использоваться идентификаторы следующих типов: Идентификаторы iButton USB-ключи DS1992 eToken PRO DS1993 iKey 2032 DS1994 Rutoken DS1995 Rutoken RF DS1996 eToken PRO (Java)

4.2.1.2. В качестве устройства ввода пароля должна использоваться клавиатура компьютера. 4.2.1.3. Должна быть обеспечена возможность работы нескольких пользователей на одном компьютере. 4.2.1.4. Пользователю должна быть предоставлена возможность работы на нескольких компьютерах при предъявлении одного и того же персонального идентификатора. 4.2.1.5. Должна быть реализована возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. 4.2.1.6. Должна поддерживаться работа комплекса с паролями длиной до 16 символов включительно. 4.2.2. Требования к реализации функции КЦ файлов и физических секторов жесткого диска компьютера до загрузки ОС. 4.2.2.1. Контроль целостности файлов и физических секторов жесткого диска защищаемого компьютера должен базироваться на расчете текущих значений контрольных сумм объектов контроля и сравнении полученных значений с эталонными, вычисленными при установке или последующем администрировании ПАК «Соболь». 4.2.2.2. Контроль целостности программной среды выполняется для файловых объектов операционных систем, использующих файловые системы NTFS, FAT 32, FAT 16, UFS2, UFS, EXT4, EXT3, EXT2. 4.2.2.3. В ПАК «Соболь» должна быть обеспечена возможность анализа журнала транзакций файловых систем NTFS, EXT4, EXT3. 4.2.2.4. Максимальное количество контролируемых объектов – 10 000. 4.3. Требования к реализации функции защиты от несанкционированной загрузки операционной системы со съемных носителей информации. 4.3.1.1. ПАК «Соболь» должен обеспечивать невозможность загрузки пользователем нештатной копии ОС со съемных носителей информации (дискеты, оптические диски, магнитооптические диски, ZIP-устройства, USB-диски и др.). 4.3.1.2. Администратору ПАК «Соболь» должна быть предоставлена возможность выполнения загрузки ОС со съемных носителей информации. 4.3.1.3. Для пользователя должен быть обеспечен доступ к информации на съемных носителях после загрузки ОС.

4.3.2. Требования к реализации функции сторожевого таймера. 4.3.2.1. Механизм сторожевого таймера должен обеспечивать блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса. 4.3.2.2. Блокировка доступа к компьютеру осуществляется двумя способами: • путем принудительной автоматической перезагрузки компьютера с помощью стандартной процедуры Reset. Для блокировки питания используется входящий в комплект поставки соединительный кабель для механизма сторожевого таймера RST; • либо принудительным автоматическим выключением питания (в случае отсутствия в защищаемом компьютере разъема Reset) путём параллельного подключения кабеля для механизма сторожевого таймера PWR к жилам стандартного кабеля кнопки "Power". 4.3.3. Требования к реализации функции регистрации событий, связанных с безопасностью системы. 4.3.3.1. В ПАК «Соболь» должен функционировать журнал регистрации событий, связанных с безопасностью системы. 4.3.3.2. Журнал должен храниться в недоступной для пользователей внутренней памяти платы. 4.3.3.3. Журнал должен содержать записи о регистрируемых ПАК «Соболь» событиях во время своей работы: вход пользователей и администратора в систему, смена пароля и аутентификатора, попытки несанкционированного доступа к ресурсам компьютера, нарушения целостности программной среды и другие события, которые могут оказать влияние на информационную безопасность компьютера. 4.3.3.4. Максимальная емкость журнала ПАК «Соболь» – 80 записей.

Описание объекта закупки-2 - Для исполнения 2 - сертификат соответствия ФСБ России (регистрационный номер СФ/527-4430 действителен до 01.01.2028 удостоверяет, что ПАК «Соболь» соответствует требованиям ФСБ России к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и может использоваться для защиты от НСД к информации, содержащей сведения, составляющие государственную тайну. Сертификат Торгово-промышленной палаты о происхождении товара Сертификат Торгово-промышленной платы Московской области формы СТ-1 подтверждает, что ПАК «Соболь» произведён на территории Российской Федерации. ПАК «Соболь» включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878). Краткое ТЗ. Сертификат ФСБ. Техническое задание на поставку № п/п Наименование Технические характеристики 1. СЗИ от НСД Решение: аппаратно-программный модуль доверенной загрузки (АПМДЗ) 1.1 Аппаратно-программный модуль доверенной загрузки Должен осуществлять: - идентификацию и аутентификацию пользователей; - доверенную загрузку; - контроль целостности программной и аппаратной среды; - функции сторожевого таймера; - ведение журнала регистрации событий Требования к аппаратной части: - Возможность исполнения АПМДЗ на плате Mini PCI-Express Half с габаритными размерами, не более 27х30мм; - возможность работы с идентификаторами следующих типов: iButton DS 1992, 1993, 1994, 1995 и 1996; iKey 2032; eToken Pro; eToken PRO (Java); Rutoken, Rutoken RF; смарт-карты eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2/V3 Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - - Значение характеристики не может изменяться участником закупки

Требования к функциональности: - идентификация пользователей должна производиться по персональному идентификатору, а аутентификация - по вводимому с клавиатуры паролю; - защита от несанкционированной загрузки нештатной операционной системы (ОС); АПМДЗ должен иметь возможность контролировать целостность: - файлов и физических секторов жесткого диска; - элементов системного реестра; - журнала транзакций NTFS, EXT3 и EXT4; - PCI-устройств; - структур SMBIOS; - таблиц ACPI; - конфигурации оперативной памяти; - в комплекте поставки должны быть драйверы платы, которые должны функционировать в среде следующих ОС: - Windows 8/8.1/10; - Windows 7/7 x64 Edition; - Windows Vista/Vista x64 Edition; - Windows XP Professional/XP Professional x64 Edition; - Windows Server 2012/2012 R2; - Windows Server 2008/2008 x64 Edition/2008 R2; - Windows Server 2003/Server 2003 x64 Edition/Server 2003 R2/Server 2003 R2 x64 Edition. Семейство ОС Linux: - МСВС 5.0 x64; - Альт Линукс 7; - РОСА «Никель» x32; - Astra Linux 1.4/1.5/1.6; - CentOS 6.5; - Debian 7.6 x86/x64; - Red Hat Enterprise Linux 7.0 x64; - Ubuntu 14.04 LTS Desktop/Server x86/x64; - VMware vSphere ESXi 5.5 x64. - поддержка файловых систем NTFS, FAT32, UFS2, UFS, EXT4, EXT3, EXT2; - реализация функции сторожевого таймера посредством воздействия на механизм reset и на питание ЭВМ; - функционирование журнала событий безопасности и его хранение в энергонезависимой памяти платы АПМДЗ; - совместная работа с АПКШ «Континент», СКЗИ «Континент-АП» и СКЗИ «КриптоПро CSP»; - возможность программной инициализации АПМДЗ (без вскрытия системного блока ЭВМ); - возможность предоставления прав загрузки операционной системы с внешних носителей администратору комплекса; - возможность генерации пароля пользователя или администратора при помощи встроенного двухканального аппаратного датчика случайных чисел. АПМДЗ должен иметь в составе программируемую логическую интегральную схему для реализации защитных функций; Требования по сертификации:

- должен иметь сертификат Торгово-промышленной палаты формы СТ-1, подтверждающий, что товар произведён на территории Российской Федерации - должен быть включён в единый реестр российской радиоэлектронной продукции (в соответствии с постановлением Правительства Российской Федерации от 10 июля 2019 г. № 878)

n/n Наименование Кол-во 1. АПКШ «Континент» 3.9.3. Центр управления сетью и Сервер Доступа (ЦУС-СД). Платформа IPC-R300 (SC R300) 1 Центр Управления Сетью – Сервер Доступа (ЦУС-СД) АПКШ Континент или его аналог, должен быть выполнен в виде законченного аппаратно-программного комплекса с предварительно установленным ПО, и встроенной операционной системой FreeBSD. 1.1. ЦУС-СД должен обеспечивать: - максимальное количество устройств комплекса под управлением ЦУС: 200 (топология звезда), 70 (топология Full Mesh); - аутентификацию устройств комплекса; - централизованное управление сетью устройств комплекса; - мониторинг и протоколирование состояния сети устройства комплекса; - получение и временное хранение журналов регистрации устройств комплекса; - регистрацию событий, связанных с управлением устройствами комплекса; - хранение конфигураций устройств комплекса; - рассылку конфигурационной информации; - централизованное управление криптографическими ключами; - восстановление информации о состоянии комплекса из резервной копии; - оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени; - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP; - централизованное управление защитой сети; - шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN; - прием и передачу IP-пакетов по протоколам семейства TCP/IP; - фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации; - аутентификацию подключаемых компьютеров; - защиту внутренних сегментов сети от несанкционированного доступа извне; - скрытие внутренней структуры защищаемых сегментов сети; - аутентификацию удаленных пользователей посредством технологии сертификатов открытых ключей; - загрузку в фильтр IP-пакетов криптографического шлюза правил фильтрации в соответствии с правами подключившегося пользователя;

- контроль состояния установленных защищенных соединений абонентских пунктов с СД и выгрузку сессионной информации при разрыве соединения; - возможность использования кастомных платформ.

1.2. Требования к аппаратной части ЦУС-СД: - компактное исполнение формата mini-ITX предусматривающее возможность встраивания, высота не более 1U; - наличие крепежного комплекта для установки в монтажный шкаф 19''; - не менее одного процессора: Intel Atom C3538; - не менее 8ГБ оперативной памяти; - не менее 8 (восьми) сетевых интерфейсов в конфигурации: - 4 x 1000BASE-T RJ45; - 2 х Combo 1G RJ45/SFP; - 2 x 10G SFP+; - не менее 1 (одного) дискового накопителя объемом не менее 128 ГБ; - не менее 2 (двух) портов USB 2.0; - не менее 2 (двух) портов USB 3.0; - не менее 1 (одного) COM порта RJ45; - не менее 1 (одного) видео порта VGA; - носитель информации типа USB Flash Drive; - потребляемая мощность не более 36 Вт; - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,2 А, 50–60 Гц. Выходные параметры: 12 В, 3 А; - шнур питания европейского стандарта длиной не менее 1 метра; - платформа должна обеспечивать среднее время наработки на отказ (MTBF) не менее 50 000 часов; - наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ).

Описание объекта закупки-4 - - возможность работы с VoIP трафиком; - возможность ограничения числа соединений с одного IP-адреса; - возможность задания MAC-адреса внешнего маршрутизатора; - должна быть предусмотрена поддержка технологии PPPoE (Point-to-point protocol over Ethernet) с динамическим назначением IP адреса, для подключения КШ к внешним сетям с помощью xDSL-сервисов; - Возможность выполнять диагностику работы сетевого устройства как средствами локального, так и централизованного управления с предоставлением информации в виде отчетов: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска, объем журналов); - содержимое ARP- и NDP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица состояний устройств комплекса; - статистика работы шифратора; - технологический отчет для службы поддержки. - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - регистрация событий, связанных с работой устройств комплекса; - регистрация следующих событий, связанных с управлением ЦУС-СД: - загрузка и инициализация системы и ее остановки; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ЦУС-СД; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); - возможность интеграции с внешней системой управления базами данных (СУБД) Postgres Pro; - возможность экспорта журналов по syslog; - - Значение характеристики не может изменяться участником закупки

- возможность включения записи отладочного журнала, содержащего сообщения ядра и сообщения прикладных процессов управления комплексом, с различными уровнями детализации; - поддержка импорта/экспорта сетевых объектов и устройств комплекса из/в XML файл; - возможность автоматического бэкапа базы СД агентом ЦУС-СД; - идентификация и аутентификация администратора при запуске ЦУС-СД до загрузки ОС ЦУС-СД; - автоматический контроль целостности программного обеспечения ЦУС-СД; - возможность просматривать статус соединения конкретного устройства комплекса с ЦУС из локального меню данного устройства; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - возможность «холодного» резервирования аппаратной платформы; - среднее время восстановления системы не должно превышать: - 5 минут при аварийном отключении питания с момента его возобновления; - 5 минут при отказе физического канала связи с момента восстановления канала связи; - 20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации); - 15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования; - 30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации. - ПО ЦУС-СД должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО ЦУС-СД не должно требовать установки дополнительных средств антивирусной безопасности; - режим работы ЦУС-СД – круглосуточный необслуживаемый, по схеме 24х7х365.

1.4. В комплект поставки ЦУС должна входить Программа Управления ЦУС (ПУ ЦУС), представляющая собой графическую консоль управления, предназначенная для осуществления централизованного управление сетью устройств комплекса. ПУ ЦУС должна обеспечивать следующие возможности: - предоставлять графический интерфейс управления комплексом; - осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора; - выполнять контроль состояния всех устройств комплекса в оперативном режиме; - управление учетными записями пользователей-администраторов; - управление параметрами устройств комплекса; - управление правилами фильтрации IP-пакетов; - установление защищенного соединения с ЦУС; - управление расписаниями действия правила фильтрации; - управление правилами трансляции сетевых адресов; - осуществлять ролевое управление комплексом; - выполнять резервное копирование и восстановление базы данных ЦУС-СД; - управление горячим резервированием устройств комплекса; - установку ПУ ЦУС на произвольном количестве АРМ администратора.

1.5. В комплект поставки ЦУС-СД должна входить Программа Управления СД (ПУ СД), представляющая собой графическую консоль управления, предназначенная управления объектами базы данных сервера доступа и оперативного контроля его состояния. ПУ СД должна обеспечивать следующие возможности: - установление защищенного соединения и обмен данными с сервером доступа; - мониторинг состояния сервера доступа и оперативное управление сервером; - получение от сервера доступа и отображение информации о состоянии базы данных сервера; - добавление, удаление и модификацию объектов базы данных сервера доступа; - резервное копирование и восстановление базы данных сервера доступа; - управление сертификатами открытых ключей; - получение от сервера доступа журнала событий, его отображение и управление записями журнала. 1.6. Требования по сертификации: - должен быть сертифицирован на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровням КС2, КС3; - должен быть сертифицирован на соответствие требованиям ФСБ России к МСЭ 4 класса защищенности; - должно подтверждаться действующими сертификатами ФСБ России; - должен соответствовать «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 3 уровню доверия; - должен соответствовать «Требованиям к межсетевым экранам», «Профиль защиты межсетевых экранов типа А третьего класса зашиты. ИТ.МЭ.А3.П3»; - должно подтверждаться действующими сертификатами ФСТЭК России; - должен иметь действующий сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации пакетов информации.

n/n Наименование Кол-во 1. Установочный комплект. СКЗИ "Континент-АП", версия 4. КС1 исполнение 1 1 СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows СКЗИ "Континент-АП" версия 4.1.1 для ОС Windows (Абонентский Пункт, КАП) должен обеспечивать возможность установки защищенного соединения с Сервером Доступа АПКШ "Континент" или его аналога. Абонентский Пункт должен функционировать на рабочих станциях, удовлетворяющих следующим аппаратным и программным требованиям: Операционная система • Windows Server 2019 x64; • Windows Server 2016 x64; • Windows Server 2012 R2 x64; • Windows Server 2012 x64; • Windows 10 x86/х64; • Windows 8.1 x86/x64; • Windows 7 SP1 x86/x64 (при наличии купленной поддержки производителя)

Процессор, оперативная память В соответствии с требованиями ОС, установленной на компьютер Жесткий диск (свободное место) 150 Мбайт Привод Привод DVD/CD-ROM Дополнительное ПО - Абонентский Пункт должен иметь следующие технические характеристики: алгоритм шифрования – в соответствии с ГОСТ 28147-89, длина ключа – 256 бит; защита передаваемых данных от искажения – в соответствии с ГОСТ 28147-89 в режиме выработки имитовставки; расчет хэш-функции – в соответствии с ГОСТ Р 34.11-2012; формирование и проверка электронной подписи – в соответствии с ГОСТ Р 34.10-2012; увеличение размера IP-пакета – не более 49 байт (с учетом дополнительного заголовка); двусторонняя аутентификация – с использованием сертификатов X.509 v3.

Преимущества, требования к участникам

Преимущества: Не установлены

Требования к участникам: 1. Требование к участникам закупок в соответствии с п. 1 ч. 1 ст. 31 Закона № 44-ФЗ Дополнительные требования 1. Участникам закупок необходимо предоставить действующую лицензию Федеральной службы безопасности Российской Федерации на осуществление разработки, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя. Требования установлены в соответствии с п.1 ч.1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности", а также Постановлением Правительства РФ от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». 2. Лицензионный договор с правообладателями о предоставлении прав использования программы, подтверждающий обладание участником закупки исключительными правами на результаты интеллектуальной деятельности 2. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 3. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Условия контракта

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, г Санкт-Петербург, 193312, Санкт-Петербург, пр. Солидарности, 4

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 82 152,90 ? (10 %)

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Исполнение контракта может обеспечиваться предоставлением независимой гарантии, соответствующей требованиям статьи 45 Закона о контрактной системе или внесением денежных средств на указанный счет. В случае если обеспечение исполнения контракта, представляется в виде внесения денежных средств, участник электронного аукциона, с которым заключается контракт, перечисляет сумму, указанную в извещении, на счет заказчика. Порядок предоставления обеспечения исполнения контракта на участие в закупке, требования к обеспечению в соответствии со статьей 96 Закона о контрактной системе.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03224643400000007200, л/c 0151133, БИК 014030106, Северо-Западное ГУ Банка России// УФК по г. Санкт-Петербургу, г. Санкт-Петербург , к/c 40102810945370000005

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Документы

Общая информация

Документы

Журнал событий