Номер извещения: 0373100060025000225

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АО «Сбербанк-АСТ»

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.sberbank-ast.ru

Размещение осуществляет: Заказчик ФЕДЕРАЛЬНОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ПО ФОРМИРОВАНИЮ ГОСУДАРСТВЕННОГО ФОНДА ДРАГОЦЕННЫХ МЕТАЛЛОВ И ДРАГОЦЕННЫХ КАМНЕЙ РОССИЙСКОЙ ФЕДЕРАЦИИ, ХРАНЕНИЮ, ОТПУСКУ И ИСПОЛЬЗОВАНИЮ ДРАГОЦЕННЫХ МЕТАЛЛОВ И ДРАГОЦЕННЫХ КАМНЕЙ (ГОХРАН РОССИИ) ПРИ МИНИСТЕРСТВЕ ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ"

Наименование объекта закупки: Предоставление (передача) неисключительных прав (простых неисключительных лицензий) на использование лицензионного программного обеспечения

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503731000600001000233

Контактная информация

Размещение осуществляет: Заказчик

Организация, осуществляющая размещение: ФЕДЕРАЛЬНОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ПО ФОРМИРОВАНИЮ ГОСУДАРСТВЕННОГО ФОНДА ДРАГОЦЕННЫХ МЕТАЛЛОВ И ДРАГОЦЕННЫХ КАМНЕЙ РОССИЙСКОЙ ФЕДЕРАЦИИ, ХРАНЕНИЮ, ОТПУСКУ И ИСПОЛЬЗОВАНИЮ ДРАГОЦЕННЫХ МЕТАЛЛОВ И ДРАГОЦЕННЫХ КАМНЕЙ (ГОХРАН РОССИИ) ПРИ МИНИСТЕРСТВЕ ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ"

Почтовый адрес: 121170, Г.МОСКВА, вн.тер.г. МУНИЦИПАЛЬНЫЙ ОКРУГ ДОРОГОМИЛОВО, УЛ 1812 ГОДА, Д. 14

Место нахождения: 121170, Г.МОСКВА, вн.тер.г. МУНИЦИПАЛЬНЫЙ ОКРУГ ДОРОГОМИЛОВО, УЛ 1812 ГОДА, Д. 14

Ответственное должностное лицо: Солдатов Г. Ю.

Адрес электронной почты: gsoldatov@gokhran.ru

Номер контактного телефона: 7-499-2498898-4208

Дополнительная информация: Заказчик предупреждает участников закупки об административной и уголовной ответственности за нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий.

Регион: Москва

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 12.11.2025 09:35 (МСК)

Дата и время окончания срока подачи заявок: 20.11.2025 08:00 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 20.11.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 24.11.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 1 570 000,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 251773008740977300100102270015829242

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 23.03.2026

Срок исполнения контракта: 15.07.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: Федеральный бюджет

Вид бюджета: федеральный бюджет

Код территории муниципального образования: 00000001:

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Способ предоставления Экземпляр на материальном носителе - Штука - 10,00 - 157 000,00 - 1 570 000,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Наличие сертификата соответствия да Значение характеристики не может изменяться участником закупки Операционная система должна поддерживать следующие режимы установки и загрузки (если поддерживается оборудованием) Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI Значение характеристики не может изменяться участником закупки Операционная система должна устанавливаться и функционировать на компьютерах с указанными архитектурами и должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры ? x86_64 (64-разрядный процессор Intel или AMD); ? aarch64 («Байкал», Rockchip 3588); ? «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) Значение характеристики не может изменяться участником закупки Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах) Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна иметь возможность установки ? с DVD-диска ? USB-накопителя ? варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять возможность организации сервера сетевой загрузки Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC Соответствие Значение характеристики не может изменяться участником закупки Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя Соответствие Значение характеристики не может изменяться участником закупки Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки ? серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки) ? сканер обнаружения уязвимостей ? сервер сертифицированной СУБД ? сервер управления конфигурациями ? сервер виртуальных рабочих столов ? средства управления контейнеризацией ? средства управления виртуализацией Значение характеристики не может изменяться участником закупки Операционная система после установки должна предоставлять пользователю рабочую среду, включающую ? системное ПО ? сетевые службы и сервисы ? драйвера устройств ? утилиты администрирования ? базовый набор приложений Значение характеристики не может изменяться участником закупки Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять ? инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России ? возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки ? возможность блокировки виртуальных текстовых консолей Значение характеристики не может изменяться участником закупки Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и не-декларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить ? настройка даты и времени; ? управление системными службами; ? просмотр системных журналов; ? конфигурирование сетевых подключений и межсетевого экрана; ? установка обновлений, в том числе для компьютеров без доступа в интернет; ? управление выключением удаленного компьютера; ? управление пользователями; ? настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей Значение характеристики не может изменяться участником закупки Операционная система должна ? реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами ? обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заго-ловков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? предоставлять возможность авторизации по смарт-картам в консольном режиме ? предоставлять возможность разграничения доступа к подключаемым устройствам ? предоставлять возможность организации трастовых доменов ? предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог) ? предоставлять возможность установления безопасных сетевых соединений по технологии VPN ? обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? реализовывать базовый функционал межсетевого экрана ? предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) ? включать графическое приложение для мониторинга ресурсов и просмотра системных журналов ? включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам ? - предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию ? предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов ? обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов Значение характеристики не может изменяться участником закупки Oперационная система должна ? предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Правообладатель должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них ? предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы ? поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs ? поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S) ? предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит Значение характеристики не может изменяться участником закупки Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM Соответствие Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: ? отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; ? поддержка изоляции временных пользовательских файлов Значение характеристики не может изменяться участником закупки Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала ? действовать в качестве первичного или вторичного контроллера домена; ? аутентификация рабочих станций; ? авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); ? поддержка ролей и привилегий (назначение ролей группам); ? групповые политики (GPO) Значение характеристики не может изменяться участником закупки При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них ? Настройка установки программного обеспечения из репозитория. ? Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. ? Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. ? Управление ярлыками для компьютера или пользователей. ? Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). ? Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. ? Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. ? Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). ? Управление настройками приложений через ini-файлы. ? Управление интервалом времени применения групповой политики. ? Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. ? Возможность принудительного выполнения политики на клиенте Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: ? sshd; ? DNS; ? DHCP; ? протокол аутентификации LDAP; ? OpenVPN; ? SMTP, POP3/IMAP (postfix, dovecot или эквивалент); ? межсетевой экран; ? проксирование HTTP- и FTP-запросов (squid или эквивалент); ? резервное копирование (bacula или эквивалент); ? сервер сетевой установки с веб-интерфейсом; ? сервер обновлений; ? защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организа-ции кластера из нескольких серверов; ? веб-сервер; ? FTP-сервер; ? сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); ? сервер печати; ? сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); ? сервер файлового обмена Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями Значение характеристики не может изменяться участником закупки Oперационная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь Значение характеристики не может изменяться участником закупки Операционная cистема должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для за-прета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения факти-ческих данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах досту-па: идентификатор ACL; включено или отключено; объект, на который установлено раз-решение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей Значение характеристики не может изменяться участником закупки Операционная cистема должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz ? поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования ? поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС Значение характеристики не может изменяться участником закупки Требования к функциональным возможностям операционной системы ? функционирование на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения); ? работа на ядре Linux версии не ниже 5.15 Значение характеристики не может изменяться участником закупки Операционная система должна обеспечивать наличие следующего функционала в графическом исполнении ? средства создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; ? графическая утилита управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; ? средства настройки выделяемых ресурсов памяти пользователям (квоты); ? графический инструмент для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); ? графические средства настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; ? графический инструмент управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий; ? графическое средство просмотра системных событий; ? средства настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); ? средства настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); ? средства монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким ПК; Значение характеристики не может изменяться участником закупки Операционная система должна обеспечивать наличие cледующего функционала в графическом исполнении ? средства настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; ? средства создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; ? средства запуска работы с удалёнными, отдельными и вложенными графическими сессиями; ? средства настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; ? средства запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; ? средства настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); ? средства расчёта контрольных сумм файлов и их сравнения; ? инструменты поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла; ? средства работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); ? графические средства настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров Значение характеристики не может изменяться участником закупки Операционная система должна поддерживать следующий функционал ? графический интерфейс, адаптированный под использование на портативных устройствах; ? подключение к сети wi-fi до входа в систему; ? создание точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя; ? в репозитории операционной системы наличие браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; ? поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); ? ввод аутентификационых данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек; ? наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания Значение характеристики не может изменяться участником закупки Операционная система должна обеспечивать поддержку следующих файловых систем и сетевых протоколов ? ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; ? TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; ? средства подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; ? среда функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи, сквозного шифрования сетевых соединений и каналов связи, установления защищенного соединения и обмена зашифрованными данными; ? совместимость со средствами криптографической защиты информации КриптоПро подтверждена наличием записи об операционной системе как среды функционирования в формуляре (правилах пользования) средств криптографической защиты информации; ? совместимость со средствами антивирусной защиты Значение характеристики не может изменяться участником закупки В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры ? гипервизор KVM (или эквивалент); ? эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); ? набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); ? гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; ? система резервного копирования, интегрированная в систему управления средой виртуализации Значение характеристики не может изменяться участником закупки В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: ? ядро LTS не ниже 6.1.114; ? systemd версии не ниже 249.17; ? qemu версии не ниже 8.2; ? libvirt версии не ниже 9.7; ? corosync версии не ниже 3.1.8; ? pacemaker версии не ниже 2.1.7; ? keepalived версии не ниже 2.2.8; ? Ceph версии не ниже 17.2; ? Gluster версии не ниже 9.3. ? Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: ? максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; ? максимальное количество логических процессоров на хост-сервер — не менее 8192; ? максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; ? поддержка в ВМ не менее 240 vCPU; ? поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; ? поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; ? поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; ? поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6 Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна ? предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? поддерживать технологию Wake-on-LAN ? поддерживать режим вложенной виртуализации ? обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64 Значение характеристики не может изменяться участником закупки В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов ? отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); ? отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; ? отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); ? иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; ? обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы Значение характеристики не может изменяться участником закупки В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции ? сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; ? отправка сообщений электронной почты пользователю root при обнаружении проблем ? При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа Значение характеристики не может изменяться участником закупки Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти ? Thin Provisioning; ? KSM; ? Memory balooning; ? NUMA Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями ? миграция ВМ в реальном масштабе времени; ? плавное расширение пространства хранения с множеством узлов; ? централизованное резервное копирование; ? многоуровневое кэширование данных; ? централизованное управление хранением Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных ? ZFS (локальный/over iSCSI); ? Каталог; ? BTRFS; ? NFS; ? CIFS; ? GlusterFS; ? Ceph версий 15 Octopus и 16 Pacific; ? OCFS2; ? LVM; ? LVM-thin; ? iSCSI; ? Ceph/RBD Значение характеристики не может изменяться участником закупки В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище Соответствие Значение характеристики не может изменяться участником закупки Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать ? бесшовную репликацию всей конфигурации на все узлы в реальном времени; ? строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; ? режим «только для чтения», когда узел теряет кворум; ? автоматическое обновление конфигурации кластера corosync для всех узлов; ? механизм распределенной блокировки Значение характеристики не может изменяться участником закупки В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN) Соответствие Значение характеристики не может изменяться участником закупки Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph Соответствие Значение характеристики не может изменяться участником закупки Cистема управления средой виртуализации должна ? обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура ? дата-центр; ? кластеры; ? узлы; ? сети; ? хранилища; ? пулы ресурсов: виртуальные машины, контейнеры, шаблоны; ? резервные копии; ? пользователи и разрешения Значение характеристики не может изменяться участником закупки Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину Соответствие Значение характеристики не может изменяться участником закупки Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум» Соответствие Значение характеристики не может изменяться участником закупки В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp) Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов Соответствие Значение характеристики не может изменяться участником закупки В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра Соответствие Значение характеристики не может изменяться участником закупки Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам Соответствие Значение характеристики не может изменяться участником закупки Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов ? Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. ? Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. ? Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. ? Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. ? Настройка режимов должна быть доступна с помощью графического интерфейса Значение характеристики не может изменяться участником закупки Диспетчер отказоустойчивости в системе управления средой виртуализации должен ? поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса ? поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): • ID ресурса — номер ВМ или контейнера; • состояние ресурса при восстановлении — запущен, восстановлен, не требует восстанов-ления, отключен; • количество попыток восстановления; • количество попыток перемещения; • группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса Значение характеристики не может изменяться участником закупки В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна позволять ? создавать отказоустойчивую мультикластерную инфраструктуру ? создавать отказоустойчивую геораспределенную инфраструктуру ? настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра Значение характеристики не может изменяться участником закупки В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями ? создание Linux/OVS Bridge соединений; ? создание Linux/OVS Bond соединений; ? создание Linux/OVS VLAN соединений; ? поддержка алиаса для сетевых соединений; ? создание виртуальных разделённых сетевых зон и управление ими; ? создание виртуальных сетевых мостов и управление подсетями; ? поддержка протоколов IPv4/IPv6; ? поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); ? поддержка трансляции сетевых адресов; ? поддержка Jumbo frames до 9000; ? поддержка маркировки QoS: 802.1p, DSCP; ? поддержка проброса PCI устройств (SR-IOV); ? поддержка протокола LLDP (Link Layer Discovery Protocol); ? поддержка сетевых адаптеров не менее 10/40/100 Гб/сек Значение характеристики не может изменяться участником закупки Cистема управления cредой виртуализации должна ? позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов) ? поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb) Значение характеристики не может изменяться участником закупки Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам ? трафик от/к узлу кластера; ? трафик от/к конкретной ВМ Значение характеристики не может изменяться участником закупки Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика ? для всего дата-центра; ? для конкретного узла в кластере; ? для конкретной ВМ Значение характеристики не может изменяться участником закупки Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации Соответствие Значение характеристики не может изменяться участником закупки Система управления средой виртуализации должна поддерживать ? возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе ? двухфакторную аутентификацию с использованием следующих методов: • TOTP; • Yubikey OTP; • WebAuthn; • одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса Значение характеристики не может изменяться участником закупки Система управления срeдой виртуализации должна ? определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса ? иметь по умолчанию не менее 12 предопределенных ролей: • Administrator?—?имеет все привилегии; • NoAccess?—?нет привилегий (используется для запрета доступа); • Admin?—?все привилегии, кроме прав на изменение настроек системы; • Auditor?—?доступ только для чтения; • DatastoreAdmin?—?создание и выделение места для резервного копирования и шаблонов; • DatastoreUser?—?выделение места для резервной копии и просмотр хранилища; • PoolAdmin?—?выделение пулов; • SysAdmin?—?ACL пользователя, аудит, системная консоль и системные журналы; • TemplateUser?—?просмотр и клонирование шаблонов; • UserAdmin?—?администрирование пользователей; • VMAdmin?—?управление ВМ; • VMUser?—?просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ ? быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса ? поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса Значение характеристики не может изменяться участником закупки Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать ? возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса ? горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса Значение характеристики не может изменяться участником закупки Система управления средой виртуализaции должна поддерживать ? оффлайн-миграцию ВМ и живую миграцию ? следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: • запуск; • останов; • пауза; • гибернация; • перезагрузка; • сброс. ? доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации ? различные варианты копирования ВМ: • полный клон; • связанный клон; • моментальный снимок ? следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP ? массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса ? миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации Значение характеристики не может изменяться участником закупки Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса Соответствие Значение характеристики не может изменяться участником закупки В средстве виртуализации должны быть реализованы следующие функции безопасности ? идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; ? управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; ? регистрация событий безопасности; ? управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; ? управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; ? контроль целостности виртуальной инфраструктуры и ее конфигураций; ? резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; ? сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей Значение характеристики не может изменяться участником закупки Требования к контейнеризации 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов Значение характеристики не может изменяться участником закупки Tребования к контейнеризации 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы Значение характеристики не может изменяться участником закупки Тpебования к контейнеризации 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию Значение характеристики не может изменяться участником закупки Трeбования к контейнеризации 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в со-став информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения») Значение характеристики не может изменяться участником закупки Требoвания к контейнеризации 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности Значение характеристики не может изменяться участником закупки Требования к контейнеpизации 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Наличие сертификата соответствия - да - - Значение характеристики не может изменяться участником закупки - Операционная система должна поддерживать следующие режимы установки и загрузки (если поддерживается оборудованием) - Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI - - Значение характеристики не может изменяться участником закупки - Операционная система должна устанавливаться и функционировать на компьютерах с указанными архитектурами и должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры - ? x86_64 (64-разрядный процессор Intel или AMD); ? aarch64 («Байкал», Rockchip 3588); ? «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах) - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь возможность установки - ? с DVD-диска ? USB-накопителя ? варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять возможность организации сервера сетевой загрузки - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC - Соответствие - - Значение характеристики не может изменяться участником закупки - Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - Соответствие - - Значение характеристики не может изменяться участником закупки - Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки - ? серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки) ? сканер обнаружения уязвимостей ? сервер сертифицированной СУБД ? сервер управления конфигурациями ? сервер виртуальных рабочих столов ? средства управления контейнеризацией ? средства управления виртуализацией - - Значение характеристики не может изменяться участником закупки - Операционная система после установки должна предоставлять пользователю рабочую среду, включающую - ? системное ПО ? сетевые службы и сервисы ? драйвера устройств ? утилиты администрирования ? базовый набор приложений - - Значение характеристики не может изменяться участником закупки - Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять - ? инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России ? возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки ? возможность блокировки виртуальных текстовых консолей - - Значение характеристики не может изменяться участником закупки - Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и не-декларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить - ? настройка даты и времени; ? управление системными службами; ? просмотр системных журналов; ? конфигурирование сетевых подключений и межсетевого экрана; ? установка обновлений, в том числе для компьютеров без доступа в интернет; ? управление выключением удаленного компьютера; ? управление пользователями; ? настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей - - Значение характеристики не может изменяться участником закупки - Операционная система должна - ? реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами ? обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заго-ловков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? предоставлять возможность авторизации по смарт-картам в консольном режиме ? предоставлять возможность разграничения доступа к подключаемым устройствам ? предоставлять возможность организации трастовых доменов ? предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог) ? предоставлять возможность установления безопасных сетевых соединений по технологии VPN ? обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? реализовывать базовый функционал межсетевого экрана ? предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) ? включать графическое приложение для мониторинга ресурсов и просмотра системных журналов ? включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам ? - предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию ? предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов ? обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - - Значение характеристики не может изменяться участником закупки - Oперационная система должна - ? предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Правообладатель должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них ? предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы ? поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs ? поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S) ? предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит - - Значение характеристики не может изменяться участником закупки - Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM - Соответствие - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: - ? отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; ? поддержка изоляции временных пользовательских файлов - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала - ? действовать в качестве первичного или вторичного контроллера домена; ? аутентификация рабочих станций; ? авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); ? поддержка ролей и привилегий (назначение ролей группам); ? групповые политики (GPO) - - Значение характеристики не может изменяться участником закупки - При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них - ? Настройка установки программного обеспечения из репозитория. ? Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. ? Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. ? Управление ярлыками для компьютера или пользователей. ? Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). ? Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. ? Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. ? Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). ? Управление настройками приложений через ini-файлы. ? Управление интервалом времени применения групповой политики. ? Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. ? Возможность принудительного выполнения политики на клиенте - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: - ? sshd; ? DNS; ? DHCP; ? протокол аутентификации LDAP; ? OpenVPN; ? SMTP, POP3/IMAP (postfix, dovecot или эквивалент); ? межсетевой экран; ? проксирование HTTP- и FTP-запросов (squid или эквивалент); ? резервное копирование (bacula или эквивалент); ? сервер сетевой установки с веб-интерфейсом; ? сервер обновлений; ? защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организа-ции кластера из нескольких серверов; ? веб-сервер; ? FTP-сервер; ? сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); ? сервер печати; ? сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); ? сервер файлового обмена - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями - - Значение характеристики не может изменяться участником закупки - Oперационная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь - - Значение характеристики не может изменяться участником закупки - Операционная cистема должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для за-прета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения факти-ческих данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах досту-па: идентификатор ACL; включено или отключено; объект, на который установлено раз-решение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей - - Значение характеристики не может изменяться участником закупки - Операционная cистема должна - предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz ? поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования ? поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС - - Значение характеристики не может изменяться участником закупки - Требования к функциональным возможностям операционной системы - ? функционирование на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения); ? работа на ядре Linux версии не ниже 5.15 - - Значение характеристики не может изменяться участником закупки - Операционная система должна обеспечивать наличие следующего функционала в графическом исполнении - ? средства создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; ? графическая утилита управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; ? средства настройки выделяемых ресурсов памяти пользователям (квоты); ? графический инструмент для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); ? графические средства настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; ? графический инструмент управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий; ? графическое средство просмотра системных событий; ? средства настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); ? средства настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); ? средства монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким ПК; - - Значение характеристики не может изменяться участником закупки - Операционная система должна обеспечивать наличие cледующего функционала в графическом исполнении - ? средства настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; ? средства создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; ? средства запуска работы с удалёнными, отдельными и вложенными графическими сессиями; ? средства настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; ? средства запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; ? средства настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); ? средства расчёта контрольных сумм файлов и их сравнения; ? инструменты поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла; ? средства работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); ? графические средства настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров - - Значение характеристики не может изменяться участником закупки - Операционная система должна поддерживать следующий функционал - ? графический интерфейс, адаптированный под использование на портативных устройствах; ? подключение к сети wi-fi до входа в систему; ? создание точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя; ? в репозитории операционной системы наличие браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; ? поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); ? ввод аутентификационых данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек; ? наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания - - Значение характеристики не может изменяться участником закупки - Операционная система должна обеспечивать поддержку следующих файловых систем и сетевых протоколов - ? ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; ? TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; ? средства подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; ? среда функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи, сквозного шифрования сетевых соединений и каналов связи, установления защищенного соединения и обмена зашифрованными данными; ? совместимость со средствами криптографической защиты информации КриптоПро подтверждена наличием записи об операционной системе как среды функционирования в формуляре (правилах пользования) средств криптографической защиты информации; ? совместимость со средствами антивирусной защиты - - Значение характеристики не может изменяться участником закупки - В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры - ? гипервизор KVM (или эквивалент); ? эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); ? набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); ? гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; ? система резервного копирования, интегрированная в систему управления средой виртуализации - - Значение характеристики не может изменяться участником закупки - В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: - ? ядро LTS не ниже 6.1.114; ? systemd версии не ниже 249.17; ? qemu версии не ниже 8.2; ? libvirt версии не ниже 9.7; ? corosync версии не ниже 3.1.8; ? pacemaker версии не ниже 2.1.7; ? keepalived версии не ниже 2.2.8; ? Ceph версии не ниже 17.2; ? Gluster версии не ниже 9.3. ? Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: - ? максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; ? максимальное количество логических процессоров на хост-сервер — не менее 8192; ? максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; ? поддержка в ВМ не менее 240 vCPU; ? поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; ? поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; ? поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; ? поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6 - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна - ? предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? поддерживать технологию Wake-on-LAN ? поддерживать режим вложенной виртуализации ? обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64 - - Значение характеристики не может изменяться участником закупки - В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов - ? отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); ? отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; ? отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); ? иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; ? обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы - - Значение характеристики не может изменяться участником закупки - В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции - ? сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; ? отправка сообщений электронной почты пользователю root при обнаружении проблем ? При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти - ? Thin Provisioning; ? KSM; ? Memory balooning; ? NUMA - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями - ? миграция ВМ в реальном масштабе времени; ? плавное расширение пространства хранения с множеством узлов; ? централизованное резервное копирование; ? многоуровневое кэширование данных; ? централизованное управление хранением - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных - ? ZFS (локальный/over iSCSI); ? Каталог; ? BTRFS; ? NFS; ? CIFS; ? GlusterFS; ? Ceph версий 15 Octopus и 16 Pacific; ? OCFS2; ? LVM; ? LVM-thin; ? iSCSI; ? Ceph/RBD - - Значение характеристики не может изменяться участником закупки - В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище - Соответствие - - Значение характеристики не может изменяться участником закупки - Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать - ? бесшовную репликацию всей конфигурации на все узлы в реальном времени; ? строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; ? режим «только для чтения», когда узел теряет кворум; ? автоматическое обновление конфигурации кластера corosync для всех узлов; ? механизм распределенной блокировки - - Значение характеристики не может изменяться участником закупки - В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN) - Соответствие - - Значение характеристики не может изменяться участником закупки - Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph - Соответствие - - Значение характеристики не может изменяться участником закупки - Cистема управления средой виртуализации должна - ? обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура - ? дата-центр; ? кластеры; ? узлы; ? сети; ? хранилища; ? пулы ресурсов: виртуальные машины, контейнеры, шаблоны; ? резервные копии; ? пользователи и разрешения - - Значение характеристики не может изменяться участником закупки - Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину - Соответствие - - Значение характеристики не может изменяться участником закупки - Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум» - Соответствие - - Значение характеристики не может изменяться участником закупки - В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp) - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов - Соответствие - - Значение характеристики не может изменяться участником закупки - В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра - Соответствие - - Значение характеристики не может изменяться участником закупки - Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам - Соответствие - - Значение характеристики не может изменяться участником закупки - Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов - ? Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. ? Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. ? Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. ? Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. ? Настройка режимов должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки - Диспетчер отказоустойчивости в системе управления средой виртуализации должен - ? поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса ? поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): • ID ресурса — номер ВМ или контейнера; • состояние ресурса при восстановлении — запущен, восстановлен, не требует восстанов-ления, отключен; • количество попыток восстановления; • количество попыток перемещения; • группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки - В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна позволять - ? создавать отказоустойчивую мультикластерную инфраструктуру ? создавать отказоустойчивую геораспределенную инфраструктуру ? настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра - - Значение характеристики не может изменяться участником закупки - В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями - ? создание Linux/OVS Bridge соединений; ? создание Linux/OVS Bond соединений; ? создание Linux/OVS VLAN соединений; ? поддержка алиаса для сетевых соединений; ? создание виртуальных разделённых сетевых зон и управление ими; ? создание виртуальных сетевых мостов и управление подсетями; ? поддержка протоколов IPv4/IPv6; ? поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); ? поддержка трансляции сетевых адресов; ? поддержка Jumbo frames до 9000; ? поддержка маркировки QoS: 802.1p, DSCP; ? поддержка проброса PCI устройств (SR-IOV); ? поддержка протокола LLDP (Link Layer Discovery Protocol); ? поддержка сетевых адаптеров не менее 10/40/100 Гб/сек - - Значение характеристики не может изменяться участником закупки - Cистема управления cредой виртуализации должна - ? позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов) ? поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb) - - Значение характеристики не может изменяться участником закупки - Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам - ? трафик от/к узлу кластера; ? трафик от/к конкретной ВМ - - Значение характеристики не может изменяться участником закупки - Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика - ? для всего дата-центра; ? для конкретного узла в кластере; ? для конкретной ВМ - - Значение характеристики не может изменяться участником закупки - Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации - Соответствие - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализации должна поддерживать - ? возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе ? двухфакторную аутентификацию с использованием следующих методов: • TOTP; • Yubikey OTP; • WebAuthn; • одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки - Система управления срeдой виртуализации должна - ? определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса ? иметь по умолчанию не менее 12 предопределенных ролей: • Administrator?—?имеет все привилегии; • NoAccess?—?нет привилегий (используется для запрета доступа); • Admin?—?все привилегии, кроме прав на изменение настроек системы; • Auditor?—?доступ только для чтения; • DatastoreAdmin?—?создание и выделение места для резервного копирования и шаблонов; • DatastoreUser?—?выделение места для резервной копии и просмотр хранилища; • PoolAdmin?—?выделение пулов; • SysAdmin?—?ACL пользователя, аудит, системная консоль и системные журналы; • TemplateUser?—?просмотр и клонирование шаблонов; • UserAdmin?—?администрирование пользователей; • VMAdmin?—?управление ВМ; • VMUser?—?просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ ? быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса ? поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки - Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать - ? возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса ? горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки - Система управления средой виртуализaции должна поддерживать - ? оффлайн-миграцию ВМ и живую миграцию ? следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: • запуск; • останов; • пауза; • гибернация; • перезагрузка; • сброс. ? доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации ? различные варианты копирования ВМ: • полный клон; • связанный клон; • моментальный снимок ? следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP ? массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса ? миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации - - Значение характеристики не может изменяться участником закупки - Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки - В средстве виртуализации должны быть реализованы следующие функции безопасности - ? идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; ? управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; ? регистрация событий безопасности; ? управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; ? управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; ? контроль целостности виртуальной инфраструктуры и ее конфигураций; ? резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; ? сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей - - Значение характеристики не может изменяться участником закупки - Требования к контейнеризации - 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов - - Значение характеристики не может изменяться участником закупки - Tребования к контейнеризации - 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы - - Значение характеристики не может изменяться участником закупки - Тpебования к контейнеризации - 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - - Значение характеристики не может изменяться участником закупки - Трeбования к контейнеризации - 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в со-став информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения») - - Значение характеристики не может изменяться участником закупки - Требoвания к контейнеризации - 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности - - Значение характеристики не может изменяться участником закупки - Требования к контейнеpизации - 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Наличие сертификата соответствия - да - - Значение характеристики не может изменяться участником закупки

Операционная система должна поддерживать следующие режимы установки и загрузки (если поддерживается оборудованием) - Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI - - Значение характеристики не может изменяться участником закупки

Операционная система должна устанавливаться и функционировать на компьютерах с указанными архитектурами и должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры - ? x86_64 (64-разрядный процессор Intel или AMD); ? aarch64 («Байкал», Rockchip 3588); ? «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах) - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь возможность установки - ? с DVD-диска ? USB-накопителя ? варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять возможность организации сервера сетевой загрузки - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC - Соответствие - - Значение характеристики не может изменяться участником закупки

Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - Соответствие - - Значение характеристики не может изменяться участником закупки

Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки - ? серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки) ? сканер обнаружения уязвимостей ? сервер сертифицированной СУБД ? сервер управления конфигурациями ? сервер виртуальных рабочих столов ? средства управления контейнеризацией ? средства управления виртуализацией - - Значение характеристики не может изменяться участником закупки

Операционная система после установки должна предоставлять пользователю рабочую среду, включающую - ? системное ПО ? сетевые службы и сервисы ? драйвера устройств ? утилиты администрирования ? базовый набор приложений - - Значение характеристики не может изменяться участником закупки

Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять - ? инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России ? возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки ? возможность блокировки виртуальных текстовых консолей - - Значение характеристики не может изменяться участником закупки

Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и не-декларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить - ? настройка даты и времени; ? управление системными службами; ? просмотр системных журналов; ? конфигурирование сетевых подключений и межсетевого экрана; ? установка обновлений, в том числе для компьютеров без доступа в интернет; ? управление выключением удаленного компьютера; ? управление пользователями; ? настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей - - Значение характеристики не может изменяться участником закупки

Операционная система должна - ? реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами ? обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заго-ловков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? предоставлять возможность авторизации по смарт-картам в консольном режиме ? предоставлять возможность разграничения доступа к подключаемым устройствам ? предоставлять возможность организации трастовых доменов ? предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог) ? предоставлять возможность установления безопасных сетевых соединений по технологии VPN ? обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 ? реализовывать базовый функционал межсетевого экрана ? предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) ? включать графическое приложение для мониторинга ресурсов и просмотра системных журналов ? включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам ? - предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию ? предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов ? обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - - Значение характеристики не может изменяться участником закупки

Oперационная система должна - ? предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Правообладатель должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них ? предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы ? поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs ? поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S) ? предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит - - Значение характеристики не может изменяться участником закупки

Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM - Соответствие - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: - ? отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; ? поддержка изоляции временных пользовательских файлов - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала - ? действовать в качестве первичного или вторичного контроллера домена; ? аутентификация рабочих станций; ? авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); ? поддержка ролей и привилегий (назначение ролей группам); ? групповые политики (GPO) - - Значение характеристики не может изменяться участником закупки

При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них - ? Настройка установки программного обеспечения из репозитория. ? Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. ? Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. ? Управление ярлыками для компьютера или пользователей. ? Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). ? Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. ? Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. ? Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). ? Управление настройками приложений через ini-файлы. ? Управление интервалом времени применения групповой политики. ? Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. ? Возможность принудительного выполнения политики на клиенте - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: - ? sshd; ? DNS; ? DHCP; ? протокол аутентификации LDAP; ? OpenVPN; ? SMTP, POP3/IMAP (postfix, dovecot или эквивалент); ? межсетевой экран; ? проксирование HTTP- и FTP-запросов (squid или эквивалент); ? резервное копирование (bacula или эквивалент); ? сервер сетевой установки с веб-интерфейсом; ? сервер обновлений; ? защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организа-ции кластера из нескольких серверов; ? веб-сервер; ? FTP-сервер; ? сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); ? сервер печати; ? сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); ? сервер файлового обмена - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями - - Значение характеристики не может изменяться участником закупки

Oперационная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь - - Значение характеристики не может изменяться участником закупки

Операционная cистема должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами - r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для за-прета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения факти-ческих данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах досту-па: идентификатор ACL; включено или отключено; объект, на который установлено раз-решение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей - - Значение характеристики не может изменяться участником закупки

Операционная cистема должна - предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz ? поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования ? поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС - - Значение характеристики не может изменяться участником закупки

Требования к функциональным возможностям операционной системы - ? функционирование на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения); ? работа на ядре Linux версии не ниже 5.15 - - Значение характеристики не может изменяться участником закупки

Операционная система должна обеспечивать наличие следующего функционала в графическом исполнении - ? средства создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; ? графическая утилита управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; ? средства настройки выделяемых ресурсов памяти пользователям (квоты); ? графический инструмент для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); ? графические средства настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; ? графический инструмент управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий; ? графическое средство просмотра системных событий; ? средства настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); ? средства настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); ? средства монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким ПК; - - Значение характеристики не может изменяться участником закупки

Операционная система должна обеспечивать наличие cледующего функционала в графическом исполнении - ? средства настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; ? средства создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; ? средства запуска работы с удалёнными, отдельными и вложенными графическими сессиями; ? средства настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; ? средства запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; ? средства настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); ? средства расчёта контрольных сумм файлов и их сравнения; ? инструменты поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла; ? средства работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); ? графические средства настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров - - Значение характеристики не может изменяться участником закупки

Операционная система должна поддерживать следующий функционал - ? графический интерфейс, адаптированный под использование на портативных устройствах; ? подключение к сети wi-fi до входа в систему; ? создание точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя; ? в репозитории операционной системы наличие браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; ? поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); ? ввод аутентификационых данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек; ? наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания - - Значение характеристики не может изменяться участником закупки

Операционная система должна обеспечивать поддержку следующих файловых систем и сетевых протоколов - ? ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; ? TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; ? средства подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; ? среда функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи, сквозного шифрования сетевых соединений и каналов связи, установления защищенного соединения и обмена зашифрованными данными; ? совместимость со средствами криптографической защиты информации КриптоПро подтверждена наличием записи об операционной системе как среды функционирования в формуляре (правилах пользования) средств криптографической защиты информации; ? совместимость со средствами антивирусной защиты - - Значение характеристики не может изменяться участником закупки

В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры - ? гипервизор KVM (или эквивалент); ? эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); ? набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); ? гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; ? система резервного копирования, интегрированная в систему управления средой виртуализации - - Значение характеристики не может изменяться участником закупки

В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: - ? ядро LTS не ниже 6.1.114; ? systemd версии не ниже 249.17; ? qemu версии не ниже 8.2; ? libvirt версии не ниже 9.7; ? corosync версии не ниже 3.1.8; ? pacemaker версии не ниже 2.1.7; ? keepalived версии не ниже 2.2.8; ? Ceph версии не ниже 17.2; ? Gluster версии не ниже 9.3. ? Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: - ? максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; ? максимальное количество логических процессоров на хост-сервер — не менее 8192; ? максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; ? поддержка в ВМ не менее 240 vCPU; ? поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; ? поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; ? поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; ? поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6 - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна - ? предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? поддерживать технологию Wake-on-LAN ? поддерживать режим вложенной виртуализации ? обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64 - - Значение характеристики не может изменяться участником закупки

В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов - ? отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); ? отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; ? отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); ? иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; ? обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы - - Значение характеристики не может изменяться участником закупки

В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции - ? сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; ? отправка сообщений электронной почты пользователю root при обнаружении проблем ? При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти - ? Thin Provisioning; ? KSM; ? Memory balooning; ? NUMA - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями - ? миграция ВМ в реальном масштабе времени; ? плавное расширение пространства хранения с множеством узлов; ? централизованное резервное копирование; ? многоуровневое кэширование данных; ? централизованное управление хранением - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных - ? ZFS (локальный/over iSCSI); ? Каталог; ? BTRFS; ? NFS; ? CIFS; ? GlusterFS; ? Ceph версий 15 Octopus и 16 Pacific; ? OCFS2; ? LVM; ? LVM-thin; ? iSCSI; ? Ceph/RBD - - Значение характеристики не может изменяться участником закупки

В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище - Соответствие - - Значение характеристики не может изменяться участником закупки

Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать - ? бесшовную репликацию всей конфигурации на все узлы в реальном времени; ? строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; ? режим «только для чтения», когда узел теряет кворум; ? автоматическое обновление конфигурации кластера corosync для всех узлов; ? механизм распределенной блокировки - - Значение характеристики не может изменяться участником закупки

В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN) - Соответствие - - Значение характеристики не может изменяться участником закупки

Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph - Соответствие - - Значение характеристики не может изменяться участником закупки

Cистема управления средой виртуализации должна - ? обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура - ? дата-центр; ? кластеры; ? узлы; ? сети; ? хранилища; ? пулы ресурсов: виртуальные машины, контейнеры, шаблоны; ? резервные копии; ? пользователи и разрешения - - Значение характеристики не может изменяться участником закупки

Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину - Соответствие - - Значение характеристики не может изменяться участником закупки

Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум» - Соответствие - - Значение характеристики не может изменяться участником закупки

В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp) - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов - Соответствие - - Значение характеристики не может изменяться участником закупки

В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра - Соответствие - - Значение характеристики не может изменяться участником закупки

Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам - Соответствие - - Значение характеристики не может изменяться участником закупки

Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов - ? Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. ? Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. ? Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. ? Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. ? Настройка режимов должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки

Диспетчер отказоустойчивости в системе управления средой виртуализации должен - ? поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса ? поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): • ID ресурса — номер ВМ или контейнера; • состояние ресурса при восстановлении — запущен, восстановлен, не требует восстанов-ления, отключен; • количество попыток восстановления; • количество попыток перемещения; • группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки

В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна позволять - ? создавать отказоустойчивую мультикластерную инфраструктуру ? создавать отказоустойчивую геораспределенную инфраструктуру ? настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра - - Значение характеристики не может изменяться участником закупки

В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями - ? создание Linux/OVS Bridge соединений; ? создание Linux/OVS Bond соединений; ? создание Linux/OVS VLAN соединений; ? поддержка алиаса для сетевых соединений; ? создание виртуальных разделённых сетевых зон и управление ими; ? создание виртуальных сетевых мостов и управление подсетями; ? поддержка протоколов IPv4/IPv6; ? поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); ? поддержка трансляции сетевых адресов; ? поддержка Jumbo frames до 9000; ? поддержка маркировки QoS: 802.1p, DSCP; ? поддержка проброса PCI устройств (SR-IOV); ? поддержка протокола LLDP (Link Layer Discovery Protocol); ? поддержка сетевых адаптеров не менее 10/40/100 Гб/сек - - Значение характеристики не может изменяться участником закупки

Cистема управления cредой виртуализации должна - ? позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов) ? поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb) - - Значение характеристики не может изменяться участником закупки

Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам - ? трафик от/к узлу кластера; ? трафик от/к конкретной ВМ - - Значение характеристики не может изменяться участником закупки

Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика - ? для всего дата-центра; ? для конкретного узла в кластере; ? для конкретной ВМ - - Значение характеристики не может изменяться участником закупки

Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации - Соответствие - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализации должна поддерживать - ? возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе ? двухфакторную аутентификацию с использованием следующих методов: • TOTP; • Yubikey OTP; • WebAuthn; • одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки

Система управления срeдой виртуализации должна - ? определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса ? иметь по умолчанию не менее 12 предопределенных ролей: • Administrator?—?имеет все привилегии; • NoAccess?—?нет привилегий (используется для запрета доступа); • Admin?—?все привилегии, кроме прав на изменение настроек системы; • Auditor?—?доступ только для чтения; • DatastoreAdmin?—?создание и выделение места для резервного копирования и шаблонов; • DatastoreUser?—?выделение места для резервной копии и просмотр хранилища; • PoolAdmin?—?выделение пулов; • SysAdmin?—?ACL пользователя, аудит, системная консоль и системные журналы; • TemplateUser?—?просмотр и клонирование шаблонов; • UserAdmin?—?администрирование пользователей; • VMAdmin?—?управление ВМ; • VMUser?—?просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ ? быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса ? поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки

Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать - ? возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса ? горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса - - Значение характеристики не может изменяться участником закупки

Система управления средой виртуализaции должна поддерживать - ? оффлайн-миграцию ВМ и живую миграцию ? следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: • запуск; • останов; • пауза; • гибернация; • перезагрузка; • сброс. ? доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации ? различные варианты копирования ВМ: • полный клон; • связанный клон; • моментальный снимок ? следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP ? массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса ? миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации - - Значение характеристики не может изменяться участником закупки

Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса - Соответствие - - Значение характеристики не может изменяться участником закупки

В средстве виртуализации должны быть реализованы следующие функции безопасности - ? идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; ? управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; ? регистрация событий безопасности; ? управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; ? управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; ? контроль целостности виртуальной инфраструктуры и ее конфигураций; ? резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; ? сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей - - Значение характеристики не может изменяться участником закупки

Требования к контейнеризации - 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов - - Значение характеристики не может изменяться участником закупки

Tребования к контейнеризации - 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы - - Значение характеристики не может изменяться участником закупки

Тpебования к контейнеризации - 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - - Значение характеристики не может изменяться участником закупки

Трeбования к контейнеризации - 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в со-став информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения») - - Значение характеристики не может изменяться участником закупки

Требoвания к контейнеризации - 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности - - Значение характеристики не может изменяться участником закупки

Требования к контейнеpизации - 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Необходимость создания масштабируемой, высокодоступной и отказоустойчивой среды виртуализации, а также для оптимизации использования ресурсов и упрощения управления корпоративной ИТ-инфраструктурой.

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Дополнительная информация: Порядок сдачи-приемки лицензий, права и обязанности сторон, порядок оплаты переданных лицензий, ответственность сторон, обстоятельства непреодолимой силы, изменение, расторжение контракта и порядок разрешения споров, общие и заключительные положения Контракта в соответствии с разделами 2, 3, 4, 5, 7, 8, 9, 10 настоящего Контракта.

Обеспечение заявки

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 15 700,00 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Способы обеспечения заявки: независимая гарантия, выданная в соответствии со статьей 45 Федерального закона №44-ФЗ, по утвержденной Правительством Российской Федерации типовой форме или внесение денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Общие условия предоставления обеспечения заявки на участие в электронном аукционе указаны в извещении о проведении электронного аукциона (см. прикрепленный файл " 1. Извещение_ЭА_Виртуал_краткая информация").

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО Г. МОСКВЕ (ГОХРАН РОССИИ) ИНН: 7730087409 КПП: 773001001 КБК: 09211610051019000140 ОКТМО: 45318000 40102810545370000003 03100643000000017300 004525988

Условия контракта

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, г Москва, вн.тер.г. муниципальный округ Дорогомилово, ул 1812 года, д. 14

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 10 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Способы обеспечения исполнения государственного контракта: независимая гарантия, выданная в соответствии со статьей 45 Федерального закона №44-ФЗ, по утвержденной Правительством Российской Федерации типовой форме или внесение денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Общие условия предоставления обеспечения исполнения государственного контракта указаны в извещении о проведении электронного аукциона (см. прикрепленный файл " 1. Извещение_ЭА_Виртуал_краткая информация").

Платежные реквизиты для обеспечения исполнения контракта: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Дополнительная информация

Дополнительная информация: Порядок сдачи-приемки лицензий, права и обязанности сторон, порядок оплаты переданных лицензий, ответственность сторон, обстоятельства непреодолимой силы, изменение, расторжение контракта и порядок разрешения споров, общие и заключительные положения Контракта в соответствии с разделами 2, 3, 4, 5, 7, 8, 9, 10 настоящего Контракта.

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Документы

Общая информация

Документы

Журнал событий