Номер извещения: 0169300000325002777

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: РТС-тендер

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.rts-tender.ru

Размещение осуществляет: Уполномоченный орган АДМИНИСТРАЦИЯ ГОРОДА МАГНИТОГОРСКА

Наименование объекта закупки: Оказание услуг по предоставлению неисключительных прав на использование системы управления уязвимостями согласно техническому заданию для управления информационных технологий и телекоммуникаций

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202501693000003003000463

Контактная информация

Размещение осуществляет: Уполномоченный орган

Организация, осуществляющая размещение: АДМИНИСТРАЦИЯ ГОРОДА МАГНИТОГОРСКА

Почтовый адрес: 455044,Челябинская область, г. Магнитогорск, пр. Ленина, 72

Место нахождения: 455044,Челябинская область, г. Магнитогорск, пр. Ленина, 72

Ответственное должностное лицо: Рубанцева Е. С.

Адрес электронной почты: Rubantseva_es@magnitogorsk.ru

Номер контактного телефона: 7-3519-490487

Дополнительная информация: Наименование Заказчика, место нахождения, почтовый адрес, адрес электронной почты, номер контактного телефона, ответственное должностное лицо Администрация города Магнитогорска (Управление информационных технологий и телекоммуникаций). 455044, г. Магнитогорск, пр. Ленина, 72 E-mail: uitit@magnitogorsk.ru +7(3519) 49-8498*1193 — Краснов Роман Александрович Ответственное должностное лицо отдела контрактной службы: 8 (3519) 498-498*1286 - Бусарова Анастасия Константиновна, busarova_ak@magnitogorsk.ru

Регион: Челябинская обл

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 09.12.2025 10:44 (МСК+2)

Дата и время окончания срока подачи заявок: 17.12.2025 07:00 (МСК+2)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 17.12.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 19.12.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 1 544 400,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 253744601194074560100103660015829244

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.50.000 58.29.11.000-00000003 - Программное обеспечение Описание Продление права использования системы управления уязвимостями MaxPatrol VM (далее ПО). (Конфигурация: PT-MPVM-AIO-500 , срок использования с 01.04.2026) Общие требования к ПО Эксплуатационная документация, графический интерфейс программного обеспечения (далее ПО) и формируемые отчеты должны быть выполнены на русском языке. В состав ПО должны входить следующие компоненты: • сбора и обработки данных — предоставляет возможность сбора и обработки данных, в том числе в рамках процесса управления уязвимостями; • хранения данных; • управления и визуализации; • обновления. Взаимодействие между компонентами должно осуществляться на основе унифицированного информационного способа взаимодействия с использованием стека протоколов TCP/IP и технологии канального уровня Ethernet. Данные, передаваемые компонентами на пользовательский интерфейс, должны быть защищены при помощи HTTPS с использованием SSL сертификата. Взаимодействие с LDAP-серверами должно осуществляться по протоколам LDAP или LDAPS. Взаимодействие с системой точного времени в вычислительной сети Заказчика должно осуществляться на основе протокола NTP. Взаимодействие с системами электронной почты должно осуществляться по протоколу SMTP. Взаимодействие с системами разрешения доменных имен должно осуществляться на основе протокола DNS. Взаимодействие с прочими системами при необходимости должно осуществляться через публичные API, предоставляемые компонентами, входящими в состав ПО. ПО должно поддерживать возможность обмена данными с серверами производителей, входящего в нее для получения (загрузки) обновлений. Должен поддерживаться сбор данных в выделенных сегментах информационно-телекоммуникационной сети путем размещения модулей сбора данных. ПО должно иметь режимы функционирования: • штатный — режим функционирования ПО, при котором поддерживается выполнение всех заявленных функций; • технологический — режим функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации ПО; • аварийный — режим функционирования при обнаружении сбоев и отказов в работе ПО, ее отдельных компонентов или поддерживающей инфраструктуры. ... Функциональные характеристики ПО ПО должно обеспечивать реализацию следующих функциональных возможностей: • сбор данных должен обеспечиваться с ИТ-активов, расположенных на технических средствах под управлением ОС семейств Windows и Linux; • сбор данных на основе задач, использующих шаблоны (профили) сбора данных (однократно и по расписанию); • создание, изменение, удаление, запуск и приостановка задач на сбор данных; • поддержка списка исключений — перечень сетевых узлов, на которых запрещено выполнение задач на сбор данных; • настройка запрещенного времени для выполнения задач на сбор данных: на указанный интервал времени, выполнение задачи должно прерываться; • запуск задач на основе расписания, задаваемого через графический интерфейс; • создание задач для нескольких выбранных модулей сбора данных (с автоматическим созданием и распределением подзадач); • просмотр перечня подзадач для конкретной задачи на сбор данных. • создание, изменение, удаление шаблонов (профилей) сбора данных, определяющие протоколы и способы сбора данных от источников данных; • экспорт и импорт результатов выполнения задач на сбор данных; • поиск профилей сбора данных; • создание, изменение, удаление учетных записей, необходимых для авторизации на источниках данных. Должны обеспечиваться следующие методы добавления активов: • сканирование сети с выявлением и идентификацией активов, включенных и подключенных к локальным вычислительным сетям с использованием стека TCP/IP; • добавление активов в ручном режиме; • импорт активов из CSV-файла. ... - Штука - 1,00 - 1 544 400,00 - 1 544 400,00

АДМИНИСТРАЦИЯ ГОРОДА МАГНИТОГОРСКА - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Описание Продление права использования системы управления уязвимостями MaxPatrol VM (далее ПО). (Конфигурация: PT-MPVM-AIO-500 , срок использования с 01.04.2026) Значение характеристики не может изменяться участником закупки Общие требования к ПО Эксплуатационная документация, графический интерфейс программного обеспечения (далее ПО) и формируемые отчеты должны быть выполнены на русском языке. В состав ПО должны входить следующие компоненты: • сбора и обработки данных — предоставляет возможность сбора и обработки данных, в том числе в рамках процесса управления уязвимостями; • хранения данных; • управления и визуализации; • обновления. Взаимодействие между компонентами должно осуществляться на основе унифицированного информационного способа взаимодействия с использованием стека протоколов TCP/IP и технологии канального уровня Ethernet. Данные, передаваемые компонентами на пользовательский интерфейс, должны быть защищены при помощи HTTPS с использованием SSL сертификата. Взаимодействие с LDAP-серверами должно осуществляться по протоколам LDAP или LDAPS. Взаимодействие с системой точного времени в вычислительной сети Заказчика должно осуществляться на основе протокола NTP. Взаимодействие с системами электронной почты должно осуществляться по протоколу SMTP. Взаимодействие с системами разрешения доменных имен должно осуществляться на основе протокола DNS. Взаимодействие с прочими системами при необходимости должно осуществляться через публичные API, предоставляемые компонентами, входящими в состав ПО. ПО должно поддерживать возможность обмена данными с серверами производителей, входящего в нее для получения (загрузки) обновлений. Должен поддерживаться сбор данных в выделенных сегментах информационно-телекоммуникационной сети путем размещения модулей сбора данных. ПО должно иметь режимы функционирования: • штатный — режим функционирования ПО, при котором поддерживается выполнение всех заявленных функций; • технологический — режим функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации ПО; • аварийный — режим функционирования при обнаружении сбоев и отказов в работе ПО, ее отдельных компонентов или поддерживающей инфраструктуры. Значение характеристики не может изменяться участником закупки Функционирование в штатном и технологическом режимах должно осуществляться в круглосуточном непрерывном режиме. Проектная документация на ПО должна содержать сведения о переходе между режимами функционирования, в том числе: • описание режимов работы; • периодичность остановки технических средств (далее также — ТС) и перевода ПО в технологический режим для проведения профилактических работ; • комплекс мероприятий по восстановлению работоспособности ПО и устранению причин ее перехода в аварийный режим. ПО должно быть построено по модульному принципу, обеспечивающему гибкий процесс масштабирования. Должна поддерживаться возможность горизонтального масштабирования ПО для обработки больших объемов данных на территориально распределенных площадках. Должна быть возможность обеспечивать отказоустойчивость ПО за счет использования: • дисковых подсистем ТС с применением методов, обеспечивающих избыточность хранения данных (зеркалирование данных на дисковых накопителях); • использования отказоустойчивых конфигураций (кластеров) технических средств подсистем ИБ; • резервирования подключений технических средств ПО к источникам бесперебойного питания (далее также — ИБП). Должны предусматриваться механизмы диагностирования неисправностей в процессе установки программного обеспечения ПО. ПО должно обеспечить индикацию собственного состояния и отображение уведомлений о сбоях в работе сервисов ПО в веб-интерфейсе пользователя. Должно обеспечиваться наличие инструментов, позволяющих осуществлять мониторинг основных показателей работы СУБД, в базе данных которой хранится история изменений каждого актива. Должно обеспечиваться наличие инструментов, позволяющих отслеживать текущую нагрузку на аппаратные средства ПО. Функциональные характеристики ПО ПО должно обеспечивать реализацию следующих функциональных возможностей: • сбор данных должен обеспечиваться с ИТ-активов, расположенных на технических средствах под управлением ОС семейств Windows и Linux; • сбор данных на основе задач, использующих шаблоны (профили) сбора данных (однократно и по расписанию); • создание, изменение, удаление, запуск и приостановка задач на сбор данных; • поддержка списка исключений — перечень сетевых узлов, на которых запрещено выполнение задач на сбор данных; • настройка запрещенного времени для выполнения задач на сбор данных: на указанный интервал времени, выполнение задачи должно прерываться; • запуск задач на основе расписания, задаваемого через графический интерфейс; • создание задач для нескольких выбранных модулей сбора данных (с автоматическим созданием и распределением подзадач); • просмотр перечня подзадач для конкретной задачи на сбор данных. • создание, изменение, удаление шаблонов (профилей) сбора данных, определяющие протоколы и способы сбора данных от источников данных; • экспорт и импорт результатов выполнения задач на сбор данных; • поиск профилей сбора данных; • создание, изменение, удаление учетных записей, необходимых для авторизации на источниках данных. Должны обеспечиваться следующие методы добавления активов: • сканирование сети с выявлением и идентификацией активов, включенных и подключенных к локальным вычислительным сетям с использованием стека TCP/IP; • добавление активов в ручном режиме; • импорт активов из CSV-файла. Значение характеристики не может изменяться участником закупки При сетевом сканировании должен обеспечиваться сбор следующих данных: • сведений об ИТ-активах (сетевых узлах ИС) в области, заданной пользователем по IP-адресам (подсетям), именам или внутрисистемным идентификаторам активов с возможностью ограничения или выбора числа портов и протоколов транспортного уровня, используемых при сканировании; • инвентаризационной информации активов (идентификация доступных сетевых служб и ПО), в том числе: • наименования и версии ОС; • сетевых служб, использующих транспортные протоколы TCP и UDP. При сетевом сканировании должен поддерживаться сбор сведений об уязвимых учетных данных (слабых парах «логин — пароль»), получаемых путем подбора с использованием справочников по протоколам: • электронной почты — SMTP, POP3; • файловых служб — FTP; • удаленного управления — RDP, SSH, Telnet, SNMP, VNC, Radmin, Symantec PCAnywhere, NetBIOS; • баз данных — Microsoft SQL, Oracle DB, Sybase, DB2, MySQL, PostgreSQL; • бизнес-приложений — SAP DIAG, SAP RFC; • сред виртуализации — VMware vSphere; • IP-телефонии — SIP. • - Должны поддерживаться следующие виды справочников для сетевого сканирования: • базовые заполненные справочники с парами «логин — пароль»; • пользовательские справочники для хранения пар «логин — пароль», справочники с логинами, справочники с паролями. Должна поддерживаться возможность создания, изменения или удаления пользовательских справочников. Должно поддерживаться подключение к выбранным ИТ-активам: по IP-адресам (подсетям), FQDN-именам или иным идентификаторам ИТ-активов, используемым ПО. Должен поддерживаться выбор способов (протоколов) подключения к ИТ-активам и определения учетных записей, используемых для аутентификации. Должен поддерживаться механизм проверки доступности ИТ-активов для выполнения задач на сбор данных, в том числе должна проверяться учетная запись, используемая при проверке. Должен обеспечиваться сбор инвентаризационной и конфигурационной информации путем сканирования ИТ-активов: • идентификационных данных об ИТ-активах (IP-адрес, FQDN и другие); • данных о составе аппаратного обеспечения; • данных о составе программного обеспечения (BIOS, ОС, общесистемное ПО и другие); • данных о запущенных службах и задачах планировщика ОС. Должно осуществляться сканирование узлов инфраструктуры (активов) методами белого и черного ящика. Должно обеспечиваться автоматическое выявление уязвимостей в соответствии с экспертной базой знаний на ИТ-активах. Должно обеспечиваться выявление уязвимостей в пакетах программ, вложенных в контейнеры, основанные на ОС семейства Linux, в том числе Astra Linux. Модулями сбора данных, размещенными на технических средствах под управлением ОС семейства Linux, должна обеспечиваться возможность создания, изменения, удаления, запуска и приостановки задач поиска уязвимостей в веб-приложениях. Должна отображаться связь между уязвимостью и ИТ-активом. Должно указываться время последнего сканирования ИТ-актива на наличие уязвимостей. Должно обеспечиваться управление списком ИТ-активов, включая: • поиск ИТ-активов по их атрибутам; • группировку ИТ-активов в статические группы, членство ИТ-актива в которых определяется пользователем, и в динамические группы, членство в которых определяется системой автоматически на основе информации об ИТ-активе; • построение иерархии групп ИТ-активов; • поиск групп ИТ-активов по названию. Должен обеспечиваться контроль ключевых показателей процесса управления ИТ-активами путем реализации настраиваемых политик и (или) правил, включая: • активацию или деактивацию политики и (или) правила; • добавление, изменение или удаление политики и (или) правила. Должны реализовываться следующие политики и (или) правила: • определение и (или) изменение сроков актуальности и устаревания данных об активе; • определение перечня активов, в отношении которых действует политика и (или) правило; • присвоение значимости ИТ-активам. Должно обеспечиваться выполнение над ИТ-активом действий, описанных в политике и (или) правиле, при активации политики и (или) правила. Должно обеспечиваться возвращение состояния ИТ-актива в исходное при деактивации политики и (или) правила. Должно обеспечиваться отображение собранной конфигурационной информации об ИТ-активе. Должно обеспечиваться автоматическое изменение инвентаризационной и конфигурационной информации об ИТ-активах в результате выполнения задач на сбор данных. Должно обеспечиваться управление карточками активов, включая: • ручное добавление, изменение (в том числе добавление пользовательских полей описания ИТ-актива) или удаление карточки ИТ-актива; • отображение даты и времени последнего обновления информации об активе; • задание уровня значимости ИТ-актива; • задание статусов (сроков) актуальности данных. Должна обеспечиваться поддержка следующих механизмов фильтрации и сортировки карточек активов: • сортировка и фильтрация перечня активов по заданному набору атрибутов и их значениям; • возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться ведение истории изменения карточки ИТ-актива с отображением истории изменения карточек активов с возможностью просмотра состояния ИТ-актива на заданный момент времени или за указанный период. Должна обеспечиваться поддержка работы с топологией сети, включая: • построение и визуализацию топологии сети на основе собранной ПО информации об ИТ-активах; • возможность проверки сетевой доступности между ИТ-активами на основе собранной ПО информации об ИТ-активах; возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться представление сведений об уязвимостях в соответствии с таксономией CVSSv2 и CVSSv3. Должен обеспечиваться расчет уровня критичности выявленных уязвимостей в соответствии с методическим документом ФСТЭК России от 28 октября 2022 года «Методика оценки уровня критичности уязвимостей программных и программно-аппаратных средств». Должна поддерживаться возможность сортировки программного обеспечения согласно алгоритму принятия решений для процесса управления обновлениями программного обеспечения, установленного Бюллетенем Национального координационного центра по компьютерным инцидентам (НКЦКИ) от 15.04.2022 года № ALRT-20220415.1. Должно обеспечиваться наличие ссылок на публичные базы данных, в которых описаны уязвимости того же типа, что и обнаруженные. Должно обеспечиваться отображение оценки обнаруженных уязвимостей. Должна обеспечиваться оценка интегральной уязвимости для ИТ-актива. Должна обеспечиваться обработка уязвимостей на основе политик и (или) правил: для контроля устранения уязвимостей: • определение действий по отношению к уязвимостям в результате применения правила; • определение перечня уязвимостей, в отношении которых действует правило; • определение перечня активов, в отношении которых действует правило. Должен обеспечиваться контроль ключевых показателей процесса управления уязвимостями путем реализации настраиваемых политик и (или) правил, включая: • активацию и (или) деактивацию политики и (или) правила; • добавление и (или) изменение и (или) удаление политики и (или) правила. Должны поддерживаться следующие операции над сведениями об уязвимостях: • выделение важных (критических) уязвимостей; • контроль выполнения работ по устранению уязвимостей; • градация уязвимостей. Должны поддерживаться операции управления обработкой уязвимостей: • поиск и сортировка уязвимостей по их атрибутам; • создание и/или удаление информации (меток) к уязвимостям; • изменение статуса уязвимости; • контроль устранения уязвимостей; • проведение массовых операций над уязвимостями. Должно обеспечиваться ведение истории изменения уязвимостей с привязкой к конкретному активу. Должна обеспечиваться поддержка хранения данных на внешних системах хранения. Должно обеспечиваться хранение сведений о выявленных уязвимостях. Должна обеспечиваться реализация ролевой модели управления доступом к компонентам и функциям ПО. Должна обеспечиваться идентификация и аутентификация пользователей ПО на основе учетных записей. Должен предоставляться графический веб-интерфейс, обеспечивающий: • доступ к функциям ПО на основе прав пользователей или их ролей; • информирование уполномоченных пользователей о состоянии всех компонентов, входящих в состав ПО, и работоспособности; • отображение результатов работы ПО в виде текстовых и графических данных. Должна обеспечиваться возможность управления учетными записями пользователей ПО: • созданием, изменением, блокированием или удалением учетных записей; • назначением и изменением логинов и паролей; • назначением ролей. Должно обеспечиваться отображение результатов самодиагностики работы компонентов ПО и оповещение пользователя о неисправностях. Должна обеспечиваться возможность настройки, построения и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна поддерживаться возможность: • выпуска отчетов вручную или по расписанию, в том числе с отправкой на заданный адрес электронной почты; • экспорта отчетов в один из следующих форматов: JSON, PDF, CSV, XML, XLSX. Должна обеспечиваться возможность управления парольной политикой. Должна обеспечиваться возможность блокирования неактивных пользователей на устанавливаемый уполномоченным пользователем срок. Должно обеспечиваться журналирование действий пользователей: • с ИТ-активами в интерфейсе ПО; • в части управления сбором данных; • в части управления контентом базы знаний; • в части управления ПО; • во всех случаях авторизации пользователей. Должно обеспечиваться уведомление уполномоченных пользователей об изменении статусов основных системных сущностей (активов, задач на сбор данных, состояния системы). Должна обеспечиваться возможность настройки, построения, отправки и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна обеспечиваться автоматическая проверка актуальности правил и (или) политик проверки соответствия стандартам. Должно обеспечиваться отображение статуса недействующих правил и (или) политик: в связи с устареванием или в случае, если в правилах и (или) политике появились сообщения об ошибках. Должна обеспечиваться возможность автоматического обновления входящих в состав системы программного обеспечения, баз уязвимостей и данных для проверки на уязвимости методом черного ящика. Должна обеспечиваться возможность автоматизированного (запускаемого в ручном режиме) обновления программного обеспечения. Должна поддерживаться пакетная доставка уязвимостей и баз уязвимостей, в том числе при установке со съемных носителей информации. ПО должно иметь возможность интеграции: • c ALD Pro; • с LDAP-серверами на базе Microsoft Active Directory — для интеграции с внешними системами аутентификации и бесшовного соотнесения ролей пользователей ПО с ролями Microsoft Active Directory в рамках обеспечения единого входа в ПО; • с системами электронной почты — для отправки сообщений электронной почты; • с системами разрешения доменных имен — для сбора сведений об узлах, зарегистрированных в ПО; • с системой точного времени Заказчика — для обеспечения единых меток даты и времени. При работе в штатном режиме должно обеспечиваться достижение следующих показателей: • Должно поддерживаться не менее 500 ИТ-активов. • Срок проведения сканирования ИТ-активов не должен превышать 2 суток. Требования к программному обеспечению Программные средства ПО должны поддерживать развертывание как на физическом, так и на виртуальном оборудовании. Серверное программное обеспечение, входящее в состав компонентов сбора и обработки данных, управления уязвимостями, должно поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная). Модули сбора данных должны поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная) или Microsoft Windows Server 2012, 2012 R2, 2016, 2019 и 2022. Должна поддерживаться работа пользователя с Системой с использованием графического вебинтерфейса через Яндекс.Браузер 24.6.1 или выше. Значение характеристики не может изменяться участником закупки Общие технические требования ПО В ПО должны быть реализованы следующие меры по защите информации от НСД: • идентификация и аутентификация пользователей ПО; • разграничение доступа к функциям ПО на основе ролей; • журналирование действий пользователей ПО. Безопасность ПО должна обеспечиваться в соответствии с мерами защиты, определенными для информационных систем Заказчика. Меры защиты ПО должны реализовываться встроенными и (или) наложенными средствами (механизмами). Должна обеспечиваться сохранность конфигурационных файлов и данных при аварийных ситуациях либо несанкционированных воздействиях на элементы ПО. Процедуры восстановления работоспособности должны быть описаны в эксплуатационной документации на ПО. Значение характеристики не может изменяться участником закупки Требования к технической поддержке ПО Техническая поддержка ПО должна обеспечивать ее стабильную работу, оперативное устранение неисправностей и предоставление консультаций по вопросам эксплуатации. Техническая поддержка должна быть доступна в течение всего жизненного цикла ПО. Техническая поддержка должна осуществляться в следующих режимах: • круглосуточная поддержка (24/7) для заявок с приоритетом «Критический» и «Высокий»; • поддержка в рабочее время (8/5) для заявок с приоритетом «Средний» и «Низкий». Время реагирования технической поддержки на заявки должно соответствовать следующим требованиям: • для заявок с приоритетом «Критический» и «Высокий» — не более 2-4 часов. • для заявок с приоритетом «Средний» и «Низкий» — не более 6-8 часов. Значение характеристики не может изменяться участником закупки Требования к наличию сертификатов ФСТЭК, ФСБ Заказчику должны быть переданы заверенные Исполнителем копии документов, подтверждающие соответствие лицензий требованиям действующего законодательства (сертификат соответствия требованиям Федеральной службы по техническому и экспортному контролю к средствам защиты информации). Значение характеристики не может изменяться участником закупки Срок действия неисключительного права 12 месяцев Значение характеристики не может изменяться участником закупки Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.02) Средства управления событиями информационной безопасности Значение характеристики не может изменяться участником закупки Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Описание - Продление права использования системы управления уязвимостями MaxPatrol VM (далее ПО). (Конфигурация: PT-MPVM-AIO-500 , срок использования с 01.04.2026) - - Значение характеристики не может изменяться участником закупки - Общие требования к ПО - Эксплуатационная документация, графический интерфейс программного обеспечения (далее ПО) и формируемые отчеты должны быть выполнены на русском языке. В состав ПО должны входить следующие компоненты: • сбора и обработки данных — предоставляет возможность сбора и обработки данных, в том числе в рамках процесса управления уязвимостями; • хранения данных; • управления и визуализации; • обновления. Взаимодействие между компонентами должно осуществляться на основе унифицированного информационного способа взаимодействия с использованием стека протоколов TCP/IP и технологии канального уровня Ethernet. Данные, передаваемые компонентами на пользовательский интерфейс, должны быть защищены при помощи HTTPS с использованием SSL сертификата. Взаимодействие с LDAP-серверами должно осуществляться по протоколам LDAP или LDAPS. Взаимодействие с системой точного времени в вычислительной сети Заказчика должно осуществляться на основе протокола NTP. Взаимодействие с системами электронной почты должно осуществляться по протоколу SMTP. Взаимодействие с системами разрешения доменных имен должно осуществляться на основе протокола DNS. Взаимодействие с прочими системами при необходимости должно осуществляться через публичные API, предоставляемые компонентами, входящими в состав ПО. ПО должно поддерживать возможность обмена данными с серверами производителей, входящего в нее для получения (загрузки) обновлений. Должен поддерживаться сбор данных в выделенных сегментах информационно-телекоммуникационной сети путем размещения модулей сбора данных. ПО должно иметь режимы функционирования: • штатный — режим функционирования ПО, при котором поддерживается выполнение всех заявленных функций; • технологический — режим функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации ПО; • аварийный — режим функционирования при обнаружении сбоев и отказов в работе ПО, ее отдельных компонентов или поддерживающей инфраструктуры. - - Значение характеристики не может изменяться участником закупки - Функционирование в штатном и технологическом режимах должно осуществляться в круглосуточном непрерывном режиме. Проектная документация на ПО должна содержать сведения о переходе между режимами функционирования, в том числе: • описание режимов работы; • периодичность остановки технических средств (далее также — ТС) и перевода ПО в технологический режим для проведения профилактических работ; • комплекс мероприятий по восстановлению работоспособности ПО и устранению причин ее перехода в аварийный режим. ПО должно быть построено по модульному принципу, обеспечивающему гибкий процесс масштабирования. Должна поддерживаться возможность горизонтального масштабирования ПО для обработки больших объемов данных на территориально распределенных площадках. Должна быть возможность обеспечивать отказоустойчивость ПО за счет использования: • дисковых подсистем ТС с применением методов, обеспечивающих избыточность хранения данных (зеркалирование данных на дисковых накопителях); • использования отказоустойчивых конфигураций (кластеров) технических средств подсистем ИБ; • резервирования подключений технических средств ПО к источникам бесперебойного питания (далее также — ИБП). Должны предусматриваться механизмы диагностирования неисправностей в процессе установки программного обеспечения ПО. ПО должно обеспечить индикацию собственного состояния и отображение уведомлений о сбоях в работе сервисов ПО в веб-интерфейсе пользователя. Должно обеспечиваться наличие инструментов, позволяющих осуществлять мониторинг основных показателей работы СУБД, в базе данных которой хранится история изменений каждого актива. Должно обеспечиваться наличие инструментов, позволяющих отслеживать текущую нагрузку на аппаратные средства ПО. - Функциональные характеристики ПО - ПО должно обеспечивать реализацию следующих функциональных возможностей: • сбор данных должен обеспечиваться с ИТ-активов, расположенных на технических средствах под управлением ОС семейств Windows и Linux; • сбор данных на основе задач, использующих шаблоны (профили) сбора данных (однократно и по расписанию); • создание, изменение, удаление, запуск и приостановка задач на сбор данных; • поддержка списка исключений — перечень сетевых узлов, на которых запрещено выполнение задач на сбор данных; • настройка запрещенного времени для выполнения задач на сбор данных: на указанный интервал времени, выполнение задачи должно прерываться; • запуск задач на основе расписания, задаваемого через графический интерфейс; • создание задач для нескольких выбранных модулей сбора данных (с автоматическим созданием и распределением подзадач); • просмотр перечня подзадач для конкретной задачи на сбор данных. • создание, изменение, удаление шаблонов (профилей) сбора данных, определяющие протоколы и способы сбора данных от источников данных; • экспорт и импорт результатов выполнения задач на сбор данных; • поиск профилей сбора данных; • создание, изменение, удаление учетных записей, необходимых для авторизации на источниках данных. Должны обеспечиваться следующие методы добавления активов: • сканирование сети с выявлением и идентификацией активов, включенных и подключенных к локальным вычислительным сетям с использованием стека TCP/IP; • добавление активов в ручном режиме; • импорт активов из CSV-файла. - - Значение характеристики не может изменяться участником закупки - При сетевом сканировании должен обеспечиваться сбор следующих данных: • сведений об ИТ-активах (сетевых узлах ИС) в области, заданной пользователем по IP-адресам (подсетям), именам или внутрисистемным идентификаторам активов с возможностью ограничения или выбора числа портов и протоколов транспортного уровня, используемых при сканировании; • инвентаризационной информации активов (идентификация доступных сетевых служб и ПО), в том числе: • наименования и версии ОС; • сетевых служб, использующих транспортные протоколы TCP и UDP. При сетевом сканировании должен поддерживаться сбор сведений об уязвимых учетных данных (слабых парах «логин — пароль»), получаемых путем подбора с использованием справочников по протоколам: • электронной почты — SMTP, POP3; • файловых служб — FTP; • удаленного управления — RDP, SSH, Telnet, SNMP, VNC, Radmin, Symantec PCAnywhere, NetBIOS; • баз данных — Microsoft SQL, Oracle DB, Sybase, DB2, MySQL, PostgreSQL; • бизнес-приложений — SAP DIAG, SAP RFC; • сред виртуализации — VMware vSphere; • IP-телефонии — SIP. • - Должны поддерживаться следующие виды справочников для сетевого сканирования: • базовые заполненные справочники с парами «логин — пароль»; • пользовательские справочники для хранения пар «логин — пароль», справочники с логинами, справочники с паролями. - Должна поддерживаться возможность создания, изменения или удаления пользовательских справочников. Должно поддерживаться подключение к выбранным ИТ-активам: по IP-адресам (подсетям), FQDN-именам или иным идентификаторам ИТ-активов, используемым ПО. Должен поддерживаться выбор способов (протоколов) подключения к ИТ-активам и определения учетных записей, используемых для аутентификации. Должен поддерживаться механизм проверки доступности ИТ-активов для выполнения задач на сбор данных, в том числе должна проверяться учетная запись, используемая при проверке. Должен обеспечиваться сбор инвентаризационной и конфигурационной информации путем сканирования ИТ-активов: • идентификационных данных об ИТ-активах (IP-адрес, FQDN и другие); • данных о составе аппаратного обеспечения; • данных о составе программного обеспечения (BIOS, ОС, общесистемное ПО и другие); • данных о запущенных службах и задачах планировщика ОС. Должно осуществляться сканирование узлов инфраструктуры (активов) методами белого и черного ящика. Должно обеспечиваться автоматическое выявление уязвимостей в соответствии с экспертной базой знаний на ИТ-активах. Должно обеспечиваться выявление уязвимостей в пакетах программ, вложенных в контейнеры, основанные на ОС семейства Linux, в том числе Astra Linux. Модулями сбора данных, размещенными на технических средствах под управлением ОС семейства Linux, должна обеспечиваться возможность создания, изменения, удаления, запуска и приостановки задач поиска уязвимостей в веб-приложениях. - Должна отображаться связь между уязвимостью и ИТ-активом. Должно указываться время последнего сканирования ИТ-актива на наличие уязвимостей. Должно обеспечиваться управление списком ИТ-активов, включая: • поиск ИТ-активов по их атрибутам; • группировку ИТ-активов в статические группы, членство ИТ-актива в которых определяется пользователем, и в динамические группы, членство в которых определяется системой автоматически на основе информации об ИТ-активе; • построение иерархии групп ИТ-активов; • поиск групп ИТ-активов по названию. Должен обеспечиваться контроль ключевых показателей процесса управления ИТ-активами путем реализации настраиваемых политик и (или) правил, включая: • активацию или деактивацию политики и (или) правила; • добавление, изменение или удаление политики и (или) правила. Должны реализовываться следующие политики и (или) правила: • определение и (или) изменение сроков актуальности и устаревания данных об активе; • определение перечня активов, в отношении которых действует политика и (или) правило; • присвоение значимости ИТ-активам. Должно обеспечиваться выполнение над ИТ-активом действий, описанных в политике и (или) правиле, при активации политики и (или) правила. Должно обеспечиваться возвращение состояния ИТ-актива в исходное при деактивации политики и (или) правила. Должно обеспечиваться отображение собранной конфигурационной информации об ИТ-активе. - Должно обеспечиваться автоматическое изменение инвентаризационной и конфигурационной информации об ИТ-активах в результате выполнения задач на сбор данных. Должно обеспечиваться управление карточками активов, включая: • ручное добавление, изменение (в том числе добавление пользовательских полей описания ИТ-актива) или удаление карточки ИТ-актива; • отображение даты и времени последнего обновления информации об активе; • задание уровня значимости ИТ-актива; • задание статусов (сроков) актуальности данных. Должна обеспечиваться поддержка следующих механизмов фильтрации и сортировки карточек активов: • сортировка и фильтрация перечня активов по заданному набору атрибутов и их значениям; • возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться ведение истории изменения карточки ИТ-актива с отображением истории изменения карточек активов с возможностью просмотра состояния ИТ-актива на заданный момент времени или за указанный период. Должна обеспечиваться поддержка работы с топологией сети, включая: • построение и визуализацию топологии сети на основе собранной ПО информации об ИТ-активах; • возможность проверки сетевой доступности между ИТ-активами на основе собранной ПО информации об ИТ-активах; возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться представление сведений об уязвимостях в соответствии с таксономией CVSSv2 и CVSSv3. Должен обеспечиваться расчет уровня критичности выявленных уязвимостей в соответствии с методическим документом ФСТЭК России от 28 октября 2022 года «Методика оценки уровня критичности уязвимостей программных и программно-аппаратных средств». - Должна поддерживаться возможность сортировки программного обеспечения согласно алгоритму принятия решений для процесса управления обновлениями программного обеспечения, установленного Бюллетенем Национального координационного центра по компьютерным инцидентам (НКЦКИ) от 15.04.2022 года № ALRT-20220415.1. Должно обеспечиваться наличие ссылок на публичные базы данных, в которых описаны уязвимости того же типа, что и обнаруженные. Должно обеспечиваться отображение оценки обнаруженных уязвимостей. Должна обеспечиваться оценка интегральной уязвимости для ИТ-актива. Должна обеспечиваться обработка уязвимостей на основе политик и (или) правил: для контроля устранения уязвимостей: • определение действий по отношению к уязвимостям в результате применения правила; • определение перечня уязвимостей, в отношении которых действует правило; • определение перечня активов, в отношении которых действует правило. Должен обеспечиваться контроль ключевых показателей процесса управления уязвимостями путем реализации настраиваемых политик и (или) правил, включая: • активацию и (или) деактивацию политики и (или) правила; • добавление и (или) изменение и (или) удаление политики и (или) правила. Должны поддерживаться следующие операции над сведениями об уязвимостях: • выделение важных (критических) уязвимостей; • контроль выполнения работ по устранению уязвимостей; • градация уязвимостей. Должны поддерживаться операции управления обработкой уязвимостей: • поиск и сортировка уязвимостей по их атрибутам; • создание и/или удаление информации (меток) к уязвимостям; • изменение статуса уязвимости; • контроль устранения уязвимостей; • проведение массовых операций над уязвимостями. - Должно обеспечиваться ведение истории изменения уязвимостей с привязкой к конкретному активу. Должна обеспечиваться поддержка хранения данных на внешних системах хранения. Должно обеспечиваться хранение сведений о выявленных уязвимостях. Должна обеспечиваться реализация ролевой модели управления доступом к компонентам и функциям ПО. Должна обеспечиваться идентификация и аутентификация пользователей ПО на основе учетных записей. Должен предоставляться графический веб-интерфейс, обеспечивающий: • доступ к функциям ПО на основе прав пользователей или их ролей; • информирование уполномоченных пользователей о состоянии всех компонентов, входящих в состав ПО, и работоспособности; • отображение результатов работы ПО в виде текстовых и графических данных. Должна обеспечиваться возможность управления учетными записями пользователей ПО: • созданием, изменением, блокированием или удалением учетных записей; • назначением и изменением логинов и паролей; • назначением ролей. Должно обеспечиваться отображение результатов самодиагностики работы компонентов ПО и оповещение пользователя о неисправностях. Должна обеспечиваться возможность настройки, построения и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна поддерживаться возможность: • выпуска отчетов вручную или по расписанию, в том числе с отправкой на заданный адрес электронной почты; • экспорта отчетов в один из следующих форматов: JSON, PDF, CSV, XML, XLSX. - Должна обеспечиваться возможность управления парольной политикой. Должна обеспечиваться возможность блокирования неактивных пользователей на устанавливаемый уполномоченным пользователем срок. Должно обеспечиваться журналирование действий пользователей: • с ИТ-активами в интерфейсе ПО; • в части управления сбором данных; • в части управления контентом базы знаний; • в части управления ПО; • во всех случаях авторизации пользователей. Должно обеспечиваться уведомление уполномоченных пользователей об изменении статусов основных системных сущностей (активов, задач на сбор данных, состояния системы). Должна обеспечиваться возможность настройки, построения, отправки и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна обеспечиваться автоматическая проверка актуальности правил и (или) политик проверки соответствия стандартам. Должно обеспечиваться отображение статуса недействующих правил и (или) политик: в связи с устареванием или в случае, если в правилах и (или) политике появились сообщения об ошибках. Должна обеспечиваться возможность автоматического обновления входящих в состав системы программного обеспечения, баз уязвимостей и данных для проверки на уязвимости методом черного ящика. Должна обеспечиваться возможность автоматизированного (запускаемого в ручном режиме) обновления программного обеспечения. Должна поддерживаться пакетная доставка уязвимостей и баз уязвимостей, в том числе при установке со съемных носителей информации. - ПО должно иметь возможность интеграции: • c ALD Pro; • с LDAP-серверами на базе Microsoft Active Directory — для интеграции с внешними системами аутентификации и бесшовного соотнесения ролей пользователей ПО с ролями Microsoft Active Directory в рамках обеспечения единого входа в ПО; • с системами электронной почты — для отправки сообщений электронной почты; • с системами разрешения доменных имен — для сбора сведений об узлах, зарегистрированных в ПО; • с системой точного времени Заказчика — для обеспечения единых меток даты и времени. При работе в штатном режиме должно обеспечиваться достижение следующих показателей: • Должно поддерживаться не менее 500 ИТ-активов. • Срок проведения сканирования ИТ-активов не должен превышать 2 суток. - Требования к программному обеспечению - Программные средства ПО должны поддерживать развертывание как на физическом, так и на виртуальном оборудовании. Серверное программное обеспечение, входящее в состав компонентов сбора и обработки данных, управления уязвимостями, должно поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная). Модули сбора данных должны поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная) или Microsoft Windows Server 2012, 2012 R2, 2016, 2019 и 2022. Должна поддерживаться работа пользователя с Системой с использованием графического вебинтерфейса через Яндекс.Браузер 24.6.1 или выше. - - Значение характеристики не может изменяться участником закупки - Общие технические требования ПО - В ПО должны быть реализованы следующие меры по защите информации от НСД: • идентификация и аутентификация пользователей ПО; • разграничение доступа к функциям ПО на основе ролей; • журналирование действий пользователей ПО. Безопасность ПО должна обеспечиваться в соответствии с мерами защиты, определенными для информационных систем Заказчика. Меры защиты ПО должны реализовываться встроенными и (или) наложенными средствами (механизмами). Должна обеспечиваться сохранность конфигурационных файлов и данных при аварийных ситуациях либо несанкционированных воздействиях на элементы ПО. Процедуры восстановления работоспособности должны быть описаны в эксплуатационной документации на ПО. - - Значение характеристики не может изменяться участником закупки - Требования к технической поддержке ПО - Техническая поддержка ПО должна обеспечивать ее стабильную работу, оперативное устранение неисправностей и предоставление консультаций по вопросам эксплуатации. Техническая поддержка должна быть доступна в течение всего жизненного цикла ПО. Техническая поддержка должна осуществляться в следующих режимах: • круглосуточная поддержка (24/7) для заявок с приоритетом «Критический» и «Высокий»; • поддержка в рабочее время (8/5) для заявок с приоритетом «Средний» и «Низкий». Время реагирования технической поддержки на заявки должно соответствовать следующим требованиям: • для заявок с приоритетом «Критический» и «Высокий» — не более 2-4 часов. • для заявок с приоритетом «Средний» и «Низкий» — не более 6-8 часов. - - Значение характеристики не может изменяться участником закупки - Требования к наличию сертификатов ФСТЭК, ФСБ - Заказчику должны быть переданы заверенные Исполнителем копии документов, подтверждающие соответствие лицензий требованиям действующего законодательства (сертификат соответствия требованиям Федеральной службы по техническому и экспортному контролю к средствам защиты информации). - - Значение характеристики не может изменяться участником закупки - Срок действия неисключительного права - 12 месяцев - - Значение характеристики не может изменяться участником закупки - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.02) Средства управления событиями информационной безопасности - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Описание - Продление права использования системы управления уязвимостями MaxPatrol VM (далее ПО). (Конфигурация: PT-MPVM-AIO-500 , срок использования с 01.04.2026) - - Значение характеристики не может изменяться участником закупки

Общие требования к ПО - Эксплуатационная документация, графический интерфейс программного обеспечения (далее ПО) и формируемые отчеты должны быть выполнены на русском языке. В состав ПО должны входить следующие компоненты: • сбора и обработки данных — предоставляет возможность сбора и обработки данных, в том числе в рамках процесса управления уязвимостями; • хранения данных; • управления и визуализации; • обновления. Взаимодействие между компонентами должно осуществляться на основе унифицированного информационного способа взаимодействия с использованием стека протоколов TCP/IP и технологии канального уровня Ethernet. Данные, передаваемые компонентами на пользовательский интерфейс, должны быть защищены при помощи HTTPS с использованием SSL сертификата. Взаимодействие с LDAP-серверами должно осуществляться по протоколам LDAP или LDAPS. Взаимодействие с системой точного времени в вычислительной сети Заказчика должно осуществляться на основе протокола NTP. Взаимодействие с системами электронной почты должно осуществляться по протоколу SMTP. Взаимодействие с системами разрешения доменных имен должно осуществляться на основе протокола DNS. Взаимодействие с прочими системами при необходимости должно осуществляться через публичные API, предоставляемые компонентами, входящими в состав ПО. ПО должно поддерживать возможность обмена данными с серверами производителей, входящего в нее для получения (загрузки) обновлений. Должен поддерживаться сбор данных в выделенных сегментах информационно-телекоммуникационной сети путем размещения модулей сбора данных. ПО должно иметь режимы функционирования: • штатный — режим функционирования ПО, при котором поддерживается выполнение всех заявленных функций; • технологический — режим функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации ПО; • аварийный — режим функционирования при обнаружении сбоев и отказов в работе ПО, ее отдельных компонентов или поддерживающей инфраструктуры. - - Значение характеристики не может изменяться участником закупки

Функционирование в штатном и технологическом режимах должно осуществляться в круглосуточном непрерывном режиме. Проектная документация на ПО должна содержать сведения о переходе между режимами функционирования, в том числе: • описание режимов работы; • периодичность остановки технических средств (далее также — ТС) и перевода ПО в технологический режим для проведения профилактических работ; • комплекс мероприятий по восстановлению работоспособности ПО и устранению причин ее перехода в аварийный режим. ПО должно быть построено по модульному принципу, обеспечивающему гибкий процесс масштабирования. Должна поддерживаться возможность горизонтального масштабирования ПО для обработки больших объемов данных на территориально распределенных площадках. Должна быть возможность обеспечивать отказоустойчивость ПО за счет использования: • дисковых подсистем ТС с применением методов, обеспечивающих избыточность хранения данных (зеркалирование данных на дисковых накопителях); • использования отказоустойчивых конфигураций (кластеров) технических средств подсистем ИБ; • резервирования подключений технических средств ПО к источникам бесперебойного питания (далее также — ИБП). Должны предусматриваться механизмы диагностирования неисправностей в процессе установки программного обеспечения ПО. ПО должно обеспечить индикацию собственного состояния и отображение уведомлений о сбоях в работе сервисов ПО в веб-интерфейсе пользователя. Должно обеспечиваться наличие инструментов, позволяющих осуществлять мониторинг основных показателей работы СУБД, в базе данных которой хранится история изменений каждого актива. Должно обеспечиваться наличие инструментов, позволяющих отслеживать текущую нагрузку на аппаратные средства ПО.

Функциональные характеристики ПО - ПО должно обеспечивать реализацию следующих функциональных возможностей: • сбор данных должен обеспечиваться с ИТ-активов, расположенных на технических средствах под управлением ОС семейств Windows и Linux; • сбор данных на основе задач, использующих шаблоны (профили) сбора данных (однократно и по расписанию); • создание, изменение, удаление, запуск и приостановка задач на сбор данных; • поддержка списка исключений — перечень сетевых узлов, на которых запрещено выполнение задач на сбор данных; • настройка запрещенного времени для выполнения задач на сбор данных: на указанный интервал времени, выполнение задачи должно прерываться; • запуск задач на основе расписания, задаваемого через графический интерфейс; • создание задач для нескольких выбранных модулей сбора данных (с автоматическим созданием и распределением подзадач); • просмотр перечня подзадач для конкретной задачи на сбор данных. • создание, изменение, удаление шаблонов (профилей) сбора данных, определяющие протоколы и способы сбора данных от источников данных; • экспорт и импорт результатов выполнения задач на сбор данных; • поиск профилей сбора данных; • создание, изменение, удаление учетных записей, необходимых для авторизации на источниках данных. Должны обеспечиваться следующие методы добавления активов: • сканирование сети с выявлением и идентификацией активов, включенных и подключенных к локальным вычислительным сетям с использованием стека TCP/IP; • добавление активов в ручном режиме; • импорт активов из CSV-файла. - - Значение характеристики не может изменяться участником закупки

При сетевом сканировании должен обеспечиваться сбор следующих данных: • сведений об ИТ-активах (сетевых узлах ИС) в области, заданной пользователем по IP-адресам (подсетям), именам или внутрисистемным идентификаторам активов с возможностью ограничения или выбора числа портов и протоколов транспортного уровня, используемых при сканировании; • инвентаризационной информации активов (идентификация доступных сетевых служб и ПО), в том числе: • наименования и версии ОС; • сетевых служб, использующих транспортные протоколы TCP и UDP. При сетевом сканировании должен поддерживаться сбор сведений об уязвимых учетных данных (слабых парах «логин — пароль»), получаемых путем подбора с использованием справочников по протоколам: • электронной почты — SMTP, POP3; • файловых служб — FTP; • удаленного управления — RDP, SSH, Telnet, SNMP, VNC, Radmin, Symantec PCAnywhere, NetBIOS; • баз данных — Microsoft SQL, Oracle DB, Sybase, DB2, MySQL, PostgreSQL; • бизнес-приложений — SAP DIAG, SAP RFC; • сред виртуализации — VMware vSphere; • IP-телефонии — SIP. • - Должны поддерживаться следующие виды справочников для сетевого сканирования: • базовые заполненные справочники с парами «логин — пароль»; • пользовательские справочники для хранения пар «логин — пароль», справочники с логинами, справочники с паролями.

Должна поддерживаться возможность создания, изменения или удаления пользовательских справочников. Должно поддерживаться подключение к выбранным ИТ-активам: по IP-адресам (подсетям), FQDN-именам или иным идентификаторам ИТ-активов, используемым ПО. Должен поддерживаться выбор способов (протоколов) подключения к ИТ-активам и определения учетных записей, используемых для аутентификации. Должен поддерживаться механизм проверки доступности ИТ-активов для выполнения задач на сбор данных, в том числе должна проверяться учетная запись, используемая при проверке. Должен обеспечиваться сбор инвентаризационной и конфигурационной информации путем сканирования ИТ-активов: • идентификационных данных об ИТ-активах (IP-адрес, FQDN и другие); • данных о составе аппаратного обеспечения; • данных о составе программного обеспечения (BIOS, ОС, общесистемное ПО и другие); • данных о запущенных службах и задачах планировщика ОС. Должно осуществляться сканирование узлов инфраструктуры (активов) методами белого и черного ящика. Должно обеспечиваться автоматическое выявление уязвимостей в соответствии с экспертной базой знаний на ИТ-активах. Должно обеспечиваться выявление уязвимостей в пакетах программ, вложенных в контейнеры, основанные на ОС семейства Linux, в том числе Astra Linux. Модулями сбора данных, размещенными на технических средствах под управлением ОС семейства Linux, должна обеспечиваться возможность создания, изменения, удаления, запуска и приостановки задач поиска уязвимостей в веб-приложениях.

Должна отображаться связь между уязвимостью и ИТ-активом. Должно указываться время последнего сканирования ИТ-актива на наличие уязвимостей. Должно обеспечиваться управление списком ИТ-активов, включая: • поиск ИТ-активов по их атрибутам; • группировку ИТ-активов в статические группы, членство ИТ-актива в которых определяется пользователем, и в динамические группы, членство в которых определяется системой автоматически на основе информации об ИТ-активе; • построение иерархии групп ИТ-активов; • поиск групп ИТ-активов по названию. Должен обеспечиваться контроль ключевых показателей процесса управления ИТ-активами путем реализации настраиваемых политик и (или) правил, включая: • активацию или деактивацию политики и (или) правила; • добавление, изменение или удаление политики и (или) правила. Должны реализовываться следующие политики и (или) правила: • определение и (или) изменение сроков актуальности и устаревания данных об активе; • определение перечня активов, в отношении которых действует политика и (или) правило; • присвоение значимости ИТ-активам. Должно обеспечиваться выполнение над ИТ-активом действий, описанных в политике и (или) правиле, при активации политики и (или) правила. Должно обеспечиваться возвращение состояния ИТ-актива в исходное при деактивации политики и (или) правила. Должно обеспечиваться отображение собранной конфигурационной информации об ИТ-активе.

Должно обеспечиваться автоматическое изменение инвентаризационной и конфигурационной информации об ИТ-активах в результате выполнения задач на сбор данных. Должно обеспечиваться управление карточками активов, включая: • ручное добавление, изменение (в том числе добавление пользовательских полей описания ИТ-актива) или удаление карточки ИТ-актива; • отображение даты и времени последнего обновления информации об активе; • задание уровня значимости ИТ-актива; • задание статусов (сроков) актуальности данных. Должна обеспечиваться поддержка следующих механизмов фильтрации и сортировки карточек активов: • сортировка и фильтрация перечня активов по заданному набору атрибутов и их значениям; • возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться ведение истории изменения карточки ИТ-актива с отображением истории изменения карточек активов с возможностью просмотра состояния ИТ-актива на заданный момент времени или за указанный период. Должна обеспечиваться поддержка работы с топологией сети, включая: • построение и визуализацию топологии сети на основе собранной ПО информации об ИТ-активах; • возможность проверки сетевой доступности между ИТ-активами на основе собранной ПО информации об ИТ-активах; возможность отображения активов, удовлетворяющих условиям заданного фильтра. Должно обеспечиваться представление сведений об уязвимостях в соответствии с таксономией CVSSv2 и CVSSv3. Должен обеспечиваться расчет уровня критичности выявленных уязвимостей в соответствии с методическим документом ФСТЭК России от 28 октября 2022 года «Методика оценки уровня критичности уязвимостей программных и программно-аппаратных средств».

Должна поддерживаться возможность сортировки программного обеспечения согласно алгоритму принятия решений для процесса управления обновлениями программного обеспечения, установленного Бюллетенем Национального координационного центра по компьютерным инцидентам (НКЦКИ) от 15.04.2022 года № ALRT-20220415.1. Должно обеспечиваться наличие ссылок на публичные базы данных, в которых описаны уязвимости того же типа, что и обнаруженные. Должно обеспечиваться отображение оценки обнаруженных уязвимостей. Должна обеспечиваться оценка интегральной уязвимости для ИТ-актива. Должна обеспечиваться обработка уязвимостей на основе политик и (или) правил: для контроля устранения уязвимостей: • определение действий по отношению к уязвимостям в результате применения правила; • определение перечня уязвимостей, в отношении которых действует правило; • определение перечня активов, в отношении которых действует правило. Должен обеспечиваться контроль ключевых показателей процесса управления уязвимостями путем реализации настраиваемых политик и (или) правил, включая: • активацию и (или) деактивацию политики и (или) правила; • добавление и (или) изменение и (или) удаление политики и (или) правила. Должны поддерживаться следующие операции над сведениями об уязвимостях: • выделение важных (критических) уязвимостей; • контроль выполнения работ по устранению уязвимостей; • градация уязвимостей. Должны поддерживаться операции управления обработкой уязвимостей: • поиск и сортировка уязвимостей по их атрибутам; • создание и/или удаление информации (меток) к уязвимостям; • изменение статуса уязвимости; • контроль устранения уязвимостей; • проведение массовых операций над уязвимостями.

Должно обеспечиваться ведение истории изменения уязвимостей с привязкой к конкретному активу. Должна обеспечиваться поддержка хранения данных на внешних системах хранения. Должно обеспечиваться хранение сведений о выявленных уязвимостях. Должна обеспечиваться реализация ролевой модели управления доступом к компонентам и функциям ПО. Должна обеспечиваться идентификация и аутентификация пользователей ПО на основе учетных записей. Должен предоставляться графический веб-интерфейс, обеспечивающий: • доступ к функциям ПО на основе прав пользователей или их ролей; • информирование уполномоченных пользователей о состоянии всех компонентов, входящих в состав ПО, и работоспособности; • отображение результатов работы ПО в виде текстовых и графических данных. Должна обеспечиваться возможность управления учетными записями пользователей ПО: • созданием, изменением, блокированием или удалением учетных записей; • назначением и изменением логинов и паролей; • назначением ролей. Должно обеспечиваться отображение результатов самодиагностики работы компонентов ПО и оповещение пользователя о неисправностях. Должна обеспечиваться возможность настройки, построения и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна поддерживаться возможность: • выпуска отчетов вручную или по расписанию, в том числе с отправкой на заданный адрес электронной почты; • экспорта отчетов в один из следующих форматов: JSON, PDF, CSV, XML, XLSX.

Должна обеспечиваться возможность управления парольной политикой. Должна обеспечиваться возможность блокирования неактивных пользователей на устанавливаемый уполномоченным пользователем срок. Должно обеспечиваться журналирование действий пользователей: • с ИТ-активами в интерфейсе ПО; • в части управления сбором данных; • в части управления контентом базы знаний; • в части управления ПО; • во всех случаях авторизации пользователей. Должно обеспечиваться уведомление уполномоченных пользователей об изменении статусов основных системных сущностей (активов, задач на сбор данных, состояния системы). Должна обеспечиваться возможность настройки, построения, отправки и экспорта отчетов за счет: • наличия предустановленных форм отчетов; • возможности создания пользовательских форм отчетов с помощью конструктора отчетов. Должна обеспечиваться автоматическая проверка актуальности правил и (или) политик проверки соответствия стандартам. Должно обеспечиваться отображение статуса недействующих правил и (или) политик: в связи с устареванием или в случае, если в правилах и (или) политике появились сообщения об ошибках. Должна обеспечиваться возможность автоматического обновления входящих в состав системы программного обеспечения, баз уязвимостей и данных для проверки на уязвимости методом черного ящика. Должна обеспечиваться возможность автоматизированного (запускаемого в ручном режиме) обновления программного обеспечения. Должна поддерживаться пакетная доставка уязвимостей и баз уязвимостей, в том числе при установке со съемных носителей информации.

ПО должно иметь возможность интеграции: • c ALD Pro; • с LDAP-серверами на базе Microsoft Active Directory — для интеграции с внешними системами аутентификации и бесшовного соотнесения ролей пользователей ПО с ролями Microsoft Active Directory в рамках обеспечения единого входа в ПО; • с системами электронной почты — для отправки сообщений электронной почты; • с системами разрешения доменных имен — для сбора сведений об узлах, зарегистрированных в ПО; • с системой точного времени Заказчика — для обеспечения единых меток даты и времени. При работе в штатном режиме должно обеспечиваться достижение следующих показателей: • Должно поддерживаться не менее 500 ИТ-активов. • Срок проведения сканирования ИТ-активов не должен превышать 2 суток.

Требования к программному обеспечению - Программные средства ПО должны поддерживать развертывание как на физическом, так и на виртуальном оборудовании. Серверное программное обеспечение, входящее в состав компонентов сбора и обработки данных, управления уязвимостями, должно поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная). Модули сбора данных должны поддерживать установку под управлением операционных систем Debian 10.3–10.13, 11, 12 и Astra Linux Special Edition 1.7.5 (серверная) или Microsoft Windows Server 2012, 2012 R2, 2016, 2019 и 2022. Должна поддерживаться работа пользователя с Системой с использованием графического вебинтерфейса через Яндекс.Браузер 24.6.1 или выше. - - Значение характеристики не может изменяться участником закупки

Общие технические требования ПО - В ПО должны быть реализованы следующие меры по защите информации от НСД: • идентификация и аутентификация пользователей ПО; • разграничение доступа к функциям ПО на основе ролей; • журналирование действий пользователей ПО. Безопасность ПО должна обеспечиваться в соответствии с мерами защиты, определенными для информационных систем Заказчика. Меры защиты ПО должны реализовываться встроенными и (или) наложенными средствами (механизмами). Должна обеспечиваться сохранность конфигурационных файлов и данных при аварийных ситуациях либо несанкционированных воздействиях на элементы ПО. Процедуры восстановления работоспособности должны быть описаны в эксплуатационной документации на ПО. - - Значение характеристики не может изменяться участником закупки

Требования к технической поддержке ПО - Техническая поддержка ПО должна обеспечивать ее стабильную работу, оперативное устранение неисправностей и предоставление консультаций по вопросам эксплуатации. Техническая поддержка должна быть доступна в течение всего жизненного цикла ПО. Техническая поддержка должна осуществляться в следующих режимах: • круглосуточная поддержка (24/7) для заявок с приоритетом «Критический» и «Высокий»; • поддержка в рабочее время (8/5) для заявок с приоритетом «Средний» и «Низкий». Время реагирования технической поддержки на заявки должно соответствовать следующим требованиям: • для заявок с приоритетом «Критический» и «Высокий» — не более 2-4 часов. • для заявок с приоритетом «Средний» и «Низкий» — не более 6-8 часов. - - Значение характеристики не может изменяться участником закупки

Требования к наличию сертификатов ФСТЭК, ФСБ - Заказчику должны быть переданы заверенные Исполнителем копии документов, подтверждающие соответствие лицензий требованиям действующего законодательства (сертификат соответствия требованиям Федеральной службы по техническому и экспортному контролю к средствам защиты информации). - - Значение характеристики не может изменяться участником закупки

Срок действия неисключительного права - 12 месяцев - - Значение характеристики не может изменяться участником закупки

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.02) Средства управления событиями информационной безопасности - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с Приложением № 4 к извещению-Обоснование дополнительных характеристик.

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202501693000003003000463

Начальная (максимальная) цена контракта: 1 544 400,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 253744601194074560100103660015829244

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 01.01.2026

Срок исполнения контракта: 14.05.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: Бюджет Магнитогорского городского округа Челябинской области

Вид бюджета: местный бюджет

Код территории муниципального образования: 75738000: Муниципальные образования Челябинской области / Городские округа Челябинской области/ / Магнитогорский

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 15 444,00 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Обеспечение заявки на участие в закупке устанавливается в соответствии с Федеральным законом №44-ФЗ от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд". Обеспечение заявки на участие в закупке может предоставляться участником закупки в виде денежных средств или независимой гарантии, предусмотренной статьей 45 Федерального закона №44-ФЗ. Выбор способа обеспечения осуществляется участником закупки самостоятельно. Срок действия независимой гарантии должен составлять не менее месяца с даты окончания срока подачи заявок.

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03232643757380006901, л/c 305002ВР, БИК 017501500, ОКЦ № 5 УГУ Банка России//УФК по Челябинской области, г Челябинск, к/c 40102810645370000062

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЧЕЛЯБИНСКОЙ ОБЛАСТИ (АДМИНИСТРАЦИЯ ГОРОДА МАГНИТОГОРСКА) ИНН: 7446011940 КПП: 745601001 КБК: 50511610061040000140 ОКТМО: 75738000001 40102810645370000062 03100643000000016900 017501500

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, обл Челябинская, г.о. Магнитогорский, г Магнитогорск, пр-кт Ленина, д. 72, кабинет 139.

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 30 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Исполнение контракта может обеспечиваться предоставлением независимой гарантии, соответствующей требованиям статьи 45 Федерального закона №44-ФЗ от 05.04.2013 г. или внесением денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Способ обеспечения исполнения контракта, срок действия независимой гарантии определяются в соответствии с требованиями Федерального закона №44-ФЗ от 05.04.2013 г. участником закупки, с которым заключается контракт, самостоятельно. При этом срок действия независимой гарантии должен превышать предусмотренный контрактом срок исполнения обязательств, которые должны быть обеспечены независимой гарантией, не менее чем на один месяц. Размер обеспечения исполнения контракта устанавливается от цены контракта, по которой заключается контракт. Участник закупки, с которым заключается контракт по результатам определения поставщика (подрядчика, исполнителя) в соответствии с пунктом 1 части 1 статьи 30 Федерального закона №44-ФЗ от 05.04.2013 г., освобождается от обеспечения исполнения контракта в случае предоставления таким участником закупки информации, содержащейся в реестре контрактов, заключенных заказчиками, и подтверждающей исполнение таким участником (без учета правопреемства) в течение трех лет до даты подачи заявки на участие в закупке трех контрактов, исполненных без применения к такому участнику неустоек (штрафов, пеней). При этом сумма цен таких контрактов должна составлять не менее начальной (максимальной) цены контракта, указанной в извещении об осуществлении закупки и документации о закупке. Порядок предоставления обеспечения исполнения контракта, требования к такому обеспечению установлены в соответствии со статьей 96 Федерального закона №44-ФЗ от 05.04.2013 г.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03232643757380006901, л/c 305002ВР, БИК 017501500, ОКЦ № 5 УГУ Банка России//УФК по Челябинской области, г Челябинск, к/c 40102810645370000062

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 01.01.2026

Срок исполнения контракта: 14.05.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: Бюджет Магнитогорского городского округа Челябинской области

Вид бюджета: местный бюджет

Код территории муниципального образования: 75738000: Муниципальные образования Челябинской области / Городские округа Челябинской области/ / Магнитогорский

Документы

Общая информация

Документы

Журнал событий