Номер извещения: 0102200001625003141

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: ЭТП Газпромбанк

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: https://etpgpb.ru/

Размещение осуществляет: Уполномоченный орган РЕСПУБЛИКАНСКОЕ АГЕНТСТВО ПО ГОСУДАРСТВЕННЫМ ЗАКУПКАМ

Наименование объекта закупки: Оказание услуг по проведению контроля эффективности мер защиты информации государственной информационной системы обеспечения проведения ГИА обучающихся Республики Бурятия

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503022000320001000019

Контактная информация

Размещение осуществляет: Уполномоченный орган

Организация, осуществляющая размещение: РЕСПУБЛИКАНСКОЕ АГЕНТСТВО ПО ГОСУДАРСТВЕННЫМ ЗАКУПКАМ

Почтовый адрес: 670000, Респ Бурятия, г Улан-Удэ, ул Ленина, дом 30

Место нахождения: Российская Федерация, 670000, Бурятия Респ, Улан-Удэ г, Ленина, Д.30

Ответственное должностное лицо: Гармаева О. Б.

Адрес электронной почты: gob@ragz.govrb.ru

Номер контактного телефона: 7-3012-212444-120

Факс: 7-3012-217815

Дополнительная информация: Информация отсутствует

Регион: Бурятия Респ

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 25.12.2025 09:54 (МСК+5)

Дата и время окончания срока подачи заявок: 19.01.2026 08:00 (МСК+5)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 19.01.2026

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 21.01.2026

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 2 035 666,67

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 252032652661703230100100190010000244

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Товарный знак - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.29.000 58.29.11.000-00000003 - Программное обеспечение Право на использование Средства защиты информации vGate R2 Enterprise (за 1 физический процессор на защищаемом хосте) версии 4.95 В ПО присутствует механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины. - Защита ESX-хостов от НСД В рамках обеспечения защиты ESX-хостов от НСД в СЗИ реализованы следующие механизмы: • Возможность создания списка разрешенных программ; • Возможность создания списков запрещенных и разрешенных устройств: Возможность создания списка пользователей, которым разрешен локальный вход на ESX-сервер; • Возможность блокирования подключения USB-носителей к ESX-серверу; • Возможность осуществления контроля за правилами встроенного межсетевого экрана; • Возможность запрета клонирования и создания снимков виртуальных машин; • Возможность очистки внешней и оперативной памяти при окончании работы с виртуальной машиной; • Возможность контроля обеспечения обязательной аутентификации в однопользовательском режиме; • Возможность ограничения доступа к конфигурационным файлам служб; • Возможность контроля использования протокола SSH версии 2; • Возможность модификации файла /etc/securetty для ограничения входа в систему под учетной записью root ; • Возможность запрета на выполнение операций с буфером обмена для каждой виртуальной машины; • Возможность ограничения списка пользователей, которым разрешено выполнять назначенные задания; • Возможность ограничения доступа к конфигурационным файлам планировщика заданий; • Возможность установки ограниченных полномочий на файлы по умолчанию для демонов и root; • Возможность контроля использования разных сетей для Service Console и виртуальных машин; • Возможность контроля использования CHAP для проверки подлинности при подключении iSCSI-устройств; • Возможность контроля установленных параметров журналирования, требований к сложности пароля и доступа по сети; • Возможность запрета просмотра, изменения и выполнения vmdk-файлов; ... Класс программ для электронных вычислительных машин и баз данных (03.19) Средства защиты виртуальных сред Способ предоставления Экземпляр на материальном носителе - Товарный знак "vGate" - Штука - 2,00 - 95 000,00 - 190 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 2 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Право на использование Средства защиты информации vGate R2 Enterprise (за 1 физический процессор на защищаемом хосте) версии 4.95 В ПО присутствует механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины. - Защита ESX-хостов от НСД В рамках обеспечения защиты ESX-хостов от НСД в СЗИ реализованы следующие механизмы: • Возможность создания списка разрешенных программ; • Возможность создания списков запрещенных и разрешенных устройств: Возможность создания списка пользователей, которым разрешен локальный вход на ESX-сервер; • Возможность блокирования подключения USB-носителей к ESX-серверу; • Возможность осуществления контроля за правилами встроенного межсетевого экрана; • Возможность запрета клонирования и создания снимков виртуальных машин; • Возможность очистки внешней и оперативной памяти при окончании работы с виртуальной машиной; • Возможность контроля обеспечения обязательной аутентификации в однопользовательском режиме; • Возможность ограничения доступа к конфигурационным файлам служб; • Возможность контроля использования протокола SSH версии 2; • Возможность модификации файла /etc/securetty для ограничения входа в систему под учетной записью root ; • Возможность запрета на выполнение операций с буфером обмена для каждой виртуальной машины; • Возможность ограничения списка пользователей, которым разрешено выполнять назначенные задания; • Возможность ограничения доступа к конфигурационным файлам планировщика заданий; • Возможность установки ограниченных полномочий на файлы по умолчанию для демонов и root; • Возможность контроля использования разных сетей для Service Console и виртуальных машин; • Возможность контроля использования CHAP для проверки подлинности при подключении iSCSI-устройств; • Возможность контроля установленных параметров журналирования, требований к сложности пароля и доступа по сети; • Возможность запрета просмотра, изменения и выполнения vmdk-файлов; Участник закупки указывает в заявке все значения характеристики Контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины. • Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk. • Контроль целостности файлов гостевой ОС внутри виртуальных машин. При изменении одного из перечисленных объектов как санкционированном, так и несанкционированном, СЗИ предоставит администратору безопасности возможность данные изменения отменить или принять. До того как администратор безопасности примет решение, вносимые изменения не применяются к объекту. Мандатный принцип контроля доступа В СЗИ реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Присутствует два вида меток конфиденциальности: иерархические (далее просто метки) и неиерархические (далее просто категории). Реализована возможность пометить метками следующие субъекты, объекты, контейнеры: • Администраторы ВИ • ESX-хосты • Сетевые карты ESX-хоста или VLAN • Разделы хранилищ (Datastore) • ВМ Права доступа субъектов и объектов проверяются на основе меток и категорий автоматически и запрещают несанкционированные действия. Субъект получит доступ к объекту, только если выполняется условие соответствия их меток конфиденциальности. Для категорий – это совпадение хотя бы одной из категорий субъекта и объекта, для меток – это уровень иерархии субъекта равен (или выше, в зависимости от настроек СЗИ) уровню объекта. Категории отличаются от меток следующими параметрами: Метки иерархические, категории равноправные. • Механизмы работы меток зависит не только от пользователя, но и от его меток его текущей сессии. Категории от сессии не зависят. • Любой субъект, объект, контейнер может быть помечен несколькими категориями и только одной меткой. - Регистрация событий, связанных с информационной безопасностью Изменение конфигурации политик безопасности. • Использование учетных записей VMware. • Мониторинг учетных записей СЗИ. • Проблемы с доверенной загрузкой ВМ. • Настройка правил сетевой безопасности. • Настройки доступа к защищаемым объектам. • Соответствие стандартам безопасности. • Изменение мандатных правил доступа в СЗИ • Logon в нерабочее время • Изменение сетевых правил доступа в СЗИ • Попытки несанкционированного изменения настроек, контролируемых политиками • Применение политик безопасности Проблемы с Logon в СЗИ. (В отчёте нужно задать число неоднократных попыток) • Проблемы с Logon в vSphere (В отчёте нужно задать число неоднократных попыток) • Проблемы со сменой пароля • Наиболее активные пользователи • Список наиболее используемых видов доступа (порты/протоколы) к защищаемым объектам • Список наиболее частых событий ИБ • Отчеты по соответствию лучшим практикам и стандартам Требования по сертификации: - сертифицирован на соответствие требованиям ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа (далее – НСД) к информации. Показатели защищенности от НСД к информации» по классу не ниже 5-го; - сертифицирован на соответствие требованиям ФСТЭК России «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по уровню не ниже 4-го; - сертифицирован на соответствие требованиям ФСТЭК России для защиты информационных систем персональных данных (ИСПДн) с уровнем защищенности персональных данных до 1-го включительно; - сертифицирован на соответствие требованиям ФСТЭК России для защиты государственных и муниципальных информационных систем (ГИС) до 1 класса включительно; - подтверждается соответствующими действующими сертификатами ФСТЭК Возможность запрета изменения vmx-файлов; • Возможность защиты от нехватки места на корневой файловой системе ESX-сервера; • Возможность контроля наличия пароля загрузчика ESX-сервера; • Возможность контроля настроенных параметров ядра ESX-сервера; • Возможность запрета контроля устройств ESX-сервера со стороны виртуальных машин; • Возможность запрета отсылки сообщений ESX-серверу со стороны виртуальных машин; • Возможность контроля прав на файлы журнала событий ESX-сервера; • Возможность задания приглашения для сетевого и локального доступа к ESX-серверу; Возможность контроля настроек синхронизации времени; • Возможность контроля доступа к файлам, содержащим пароли пользователей; • Возможность ограничения доступа к конфигурационным файлам протокола SNMP; • Возможность настройки параметров безопасности для протокола SSH; • Возможность ограничения на удаление файлов ESX-сервера; • Возможность контроля отсутствия программ с setuid или setgid флагами; • Возможность ограничения права перезаписи файлов ESX-сервера; • Возможность запрета отсутствия файлов без владельца на ESX-сервере; - Контроль целостности конфигурации виртуальных машин и доверенная загрузка Для обеспечения контроля целостности программной среды и обеспечения доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее, данный функционал защиты обеспечен и в виртуальной среде. ПО содержит компоненты, устанавливаемые на каждый ESX-хост и реализующие следующие механизмы защиты: • Контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. Процедура аутентификации осуществляется с помощью отдельной программы, которую требуется запустить и ввести учетные данные до того, как осуществляется соединение с виртуальной инфраструктурой. Функционал аутентификации на рабочем месте администратора предоставляет возможность надежно сохранить учетные данные. СЗИ имеет собственную систему учетных записей и имеет возможность интегрироваться с Microsoft Active Directory. СЗИ поддерживает работу администраторов виртуальной инфраструктуры как через «толстый» клиент (vSphere client), так и через «тонкий» (vSphere Web-client). - Защита средств управления виртуальной инфраструктурой от НСД К средствам управления виртуальной инфраструктурой относятся: • ESX-хосты, предназначенные для запуска виртуальных машин; • серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой; • серверы vSphere Web Client, предназначенные для поддержки управления виртуальной инфраструктурой через «тонкий» клиент; • средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager; • сторонние средства мониторинга и управления инфраструктурой. Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал мандатного и дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Для этого весь управляющий трафик проходит через компонент СЗИ, осуществляющий этот контроль. Правила разграничения доступа работают на основе меток и уровней безопасности, а также заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписываться, для обеспечения защиты от атак типа Man in the Middle в процессе сетевого взаимодействия. В СЗИ реализован механизм регистрации следующих групп событий: • События аутентификации и разграничения доступа; • Средство регистрирует как удачные, так и неудачные попытки доступа к инфраструктуре (с указанием имени учетной записи, даты, имени компьютера или его IP-адреса) • Средство регистрирует события изменений конфигурации параметров безопасности и учетных записей администраторов инфраструктуры • События контроля целостности СЗИ, контроля целостности и доверенной загрузки виртуальных машин; • События, связанные с установкой, удалением, включением, остановом и сбоем компонентов СЗИ, а также с изменением настроек СЗИ. Регистрация событий на всех компонентах СЗИ осуществляется в едином журнале. Для всех групп событий регистрируются как факты НСД, так и правомочные действия. - Контроль целостности и защита от НСД компонентов СЗИ СЗИ содержит собственные механизмы контроля целостности компонентов СЗИ. Механизмы действуют на всех компонентах СЗИ — рабочем месте администратора, сервере авторизации, ESX-хостах и vCenter-серверах. - Централизованное управление и мониторинг СЗИ содержит Консоль управления, устанавливается на рабочее место администратора безопасности со следующим функционалом: • управление пользователями и компьютерами (пользователями в данном случае будут администраторы виртуальной инфраструктуры и администраторы безопасности, а компьютеры — это их рабочие места); • назначение прав на доступ к защищаемым объектам; • развертывание и настройка компонентов защиты ESX-хостов; настройка правил разграничения запуска виртуальных машин и утверждение изменений параметров виртуальных машин, произведенных администраторами ВИ; • просмотр журнала регистрации событий. Все изменения, произведенные администратором безопасности, сохраняются централизованно. Возможность построения отчетов СЗИ предоставляет возможность генерации отчетов на основании произошедших в системе событий. В перечень отчетов входят следующие отчеты: Средство для обеспечения защиты виртуальной инфраструктуры vGate R2 Standard (Производство: ООО «Код Безопасности», Россия) представляет программный комплекс со следующими характеристиками: Требования к поддержке платформ виртуализации: • VMware vSphere 4.1 Update 3 (VMware ESXi Server 4.1) • VMware vSphere 5 (VMware ESXi Server 5.0 Update 3) • VMware vSphere 5.1 (VMware ESXi Server 5.1 Update 2) • VMware vSphere 5.5 (VMware ESXi Server 5.5 Update 1) • VMware View 4.5 • VMware View 5 • VMware View 5.1 • VMware Horizon View 5.2 Осуществляет: • Аутентификацию администраторов виртуальной инфраструктуры и администраторов безопасности; • Защиту средств управления виртуальной инфраструктурой от НСД; • Защиту ESX-хостов от НСД; • Контроль целостности конфигурации виртуальных машин и их доверенную загрузку; • Мандатный принцип контроля доступа; • Регистрацию событий, связанных с информационной безопасностью; • Контроль целостности и защиту от НСД компонентов СЗИ; • Централизованное управление и мониторинг; • Возможность построения отчетов. Требования к функциональности: - Аутентификация администраторов виртуальной инфраструктуры и администраторов безопасности В ПО реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью (для ограничения на использование привилегий суперпользователя). Имеется возможность выделить 2 основные роли — администратор виртуальной инфраструктуры и администратор безопасности. Имеется поддержка аппаратных идентификаторов eToken и iButton. Реализация принципа разделения ролей Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только для аутентифицированных пользователей. Для этого в СЗИ предусмотрена процедура аутентификации пользователей и компьютеров (рабочих мест администраторов), которая осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle. Класс программ для электронных вычислительных машин и баз данных (03.19) Средства защиты виртуальных сред Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Право на использование Средства защиты информации vGate R2 Enterprise (за 1 физический процессор на защищаемом хосте) версии 4.95 - В ПО присутствует механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины. - Защита ESX-хостов от НСД В рамках обеспечения защиты ESX-хостов от НСД в СЗИ реализованы следующие механизмы: • Возможность создания списка разрешенных программ; • Возможность создания списков запрещенных и разрешенных устройств: Возможность создания списка пользователей, которым разрешен локальный вход на ESX-сервер; • Возможность блокирования подключения USB-носителей к ESX-серверу; • Возможность осуществления контроля за правилами встроенного межсетевого экрана; • Возможность запрета клонирования и создания снимков виртуальных машин; • Возможность очистки внешней и оперативной памяти при окончании работы с виртуальной машиной; • Возможность контроля обеспечения обязательной аутентификации в однопользовательском режиме; • Возможность ограничения доступа к конфигурационным файлам служб; • Возможность контроля использования протокола SSH версии 2; • Возможность модификации файла /etc/securetty для ограничения входа в систему под учетной записью root ; • Возможность запрета на выполнение операций с буфером обмена для каждой виртуальной машины; • Возможность ограничения списка пользователей, которым разрешено выполнять назначенные задания; • Возможность ограничения доступа к конфигурационным файлам планировщика заданий; • Возможность установки ограниченных полномочий на файлы по умолчанию для демонов и root; • Возможность контроля использования разных сетей для Service Console и виртуальных машин; • Возможность контроля использования CHAP для проверки подлинности при подключении iSCSI-устройств; • Возможность контроля установленных параметров журналирования, требований к сложности пароля и доступа по сети; • Возможность запрета просмотра, изменения и выполнения vmdk-файлов; - - Участник закупки указывает в заявке все значения характеристики - Контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины. • Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk. • Контроль целостности файлов гостевой ОС внутри виртуальных машин. При изменении одного из перечисленных объектов как санкционированном, так и несанкционированном, СЗИ предоставит администратору безопасности возможность данные изменения отменить или принять. До того как администратор безопасности примет решение, вносимые изменения не применяются к объекту. Мандатный принцип контроля доступа В СЗИ реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Присутствует два вида меток конфиденциальности: иерархические (далее просто метки) и неиерархические (далее просто категории). Реализована возможность пометить метками следующие субъекты, объекты, контейнеры: • Администраторы ВИ • ESX-хосты • Сетевые карты ESX-хоста или VLAN • Разделы хранилищ (Datastore) • ВМ Права доступа субъектов и объектов проверяются на основе меток и категорий автоматически и запрещают несанкционированные действия. Субъект получит доступ к объекту, только если выполняется условие соответствия их меток конфиденциальности. Для категорий – это совпадение хотя бы одной из категорий субъекта и объекта, для меток – это уровень иерархии субъекта равен (или выше, в зависимости от настроек СЗИ) уровню объекта. Категории отличаются от меток следующими параметрами: Метки иерархические, категории равноправные. • Механизмы работы меток зависит не только от пользователя, но и от его меток его текущей сессии. Категории от сессии не зависят. • Любой субъект, объект, контейнер может быть помечен несколькими категориями и только одной меткой. - Регистрация событий, связанных с информационной безопасностью - Изменение конфигурации политик безопасности. • Использование учетных записей VMware. • Мониторинг учетных записей СЗИ. • Проблемы с доверенной загрузкой ВМ. • Настройка правил сетевой безопасности. • Настройки доступа к защищаемым объектам. • Соответствие стандартам безопасности. • Изменение мандатных правил доступа в СЗИ • Logon в нерабочее время • Изменение сетевых правил доступа в СЗИ • Попытки несанкционированного изменения настроек, контролируемых политиками • Применение политик безопасности Проблемы с Logon в СЗИ. (В отчёте нужно задать число неоднократных попыток) • Проблемы с Logon в vSphere (В отчёте нужно задать число неоднократных попыток) • Проблемы со сменой пароля • Наиболее активные пользователи • Список наиболее используемых видов доступа (порты/протоколы) к защищаемым объектам • Список наиболее частых событий ИБ • Отчеты по соответствию лучшим практикам и стандартам Требования по сертификации: - сертифицирован на соответствие требованиям ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа (далее – НСД) к информации. Показатели защищенности от НСД к информации» по классу не ниже 5-го; - сертифицирован на соответствие требованиям ФСТЭК России «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по уровню не ниже 4-го; - сертифицирован на соответствие требованиям ФСТЭК России для защиты информационных систем персональных данных (ИСПДн) с уровнем защищенности персональных данных до 1-го включительно; - сертифицирован на соответствие требованиям ФСТЭК России для защиты государственных и муниципальных информационных систем (ГИС) до 1 класса включительно; - подтверждается соответствующими действующими сертификатами ФСТЭК - Возможность запрета изменения vmx-файлов; • Возможность защиты от нехватки места на корневой файловой системе ESX-сервера; • Возможность контроля наличия пароля загрузчика ESX-сервера; • Возможность контроля настроенных параметров ядра ESX-сервера; • Возможность запрета контроля устройств ESX-сервера со стороны виртуальных машин; • Возможность запрета отсылки сообщений ESX-серверу со стороны виртуальных машин; • Возможность контроля прав на файлы журнала событий ESX-сервера; • Возможность задания приглашения для сетевого и локального доступа к ESX-серверу; Возможность контроля настроек синхронизации времени; • Возможность контроля доступа к файлам, содержащим пароли пользователей; • Возможность ограничения доступа к конфигурационным файлам протокола SNMP; • Возможность настройки параметров безопасности для протокола SSH; • Возможность ограничения на удаление файлов ESX-сервера; • Возможность контроля отсутствия программ с setuid или setgid флагами; • Возможность ограничения права перезаписи файлов ESX-сервера; • Возможность запрета отсутствия файлов без владельца на ESX-сервере; - Контроль целостности конфигурации виртуальных машин и доверенная загрузка Для обеспечения контроля целостности программной среды и обеспечения доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее, данный функционал защиты обеспечен и в виртуальной среде. ПО содержит компоненты, устанавливаемые на каждый ESX-хост и реализующие следующие механизмы защиты: • Контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров. - Процедура аутентификации осуществляется с помощью отдельной программы, которую требуется запустить и ввести учетные данные до того, как осуществляется соединение с виртуальной инфраструктурой. Функционал аутентификации на рабочем месте администратора предоставляет возможность надежно сохранить учетные данные. СЗИ имеет собственную систему учетных записей и имеет возможность интегрироваться с Microsoft Active Directory. СЗИ поддерживает работу администраторов виртуальной инфраструктуры как через «толстый» клиент (vSphere client), так и через «тонкий» (vSphere Web-client). - Защита средств управления виртуальной инфраструктурой от НСД К средствам управления виртуальной инфраструктурой относятся: • ESX-хосты, предназначенные для запуска виртуальных машин; • серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой; • серверы vSphere Web Client, предназначенные для поддержки управления виртуальной инфраструктурой через «тонкий» клиент; • средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager; • сторонние средства мониторинга и управления инфраструктурой. Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал мандатного и дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Для этого весь управляющий трафик проходит через компонент СЗИ, осуществляющий этот контроль. Правила разграничения доступа работают на основе меток и уровней безопасности, а также заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписываться, для обеспечения защиты от атак типа Man in the Middle в процессе сетевого взаимодействия. - В СЗИ реализован механизм регистрации следующих групп событий: • События аутентификации и разграничения доступа; • Средство регистрирует как удачные, так и неудачные попытки доступа к инфраструктуре (с указанием имени учетной записи, даты, имени компьютера или его IP-адреса) • Средство регистрирует события изменений конфигурации параметров безопасности и учетных записей администраторов инфраструктуры • События контроля целостности СЗИ, контроля целостности и доверенной загрузки виртуальных машин; • События, связанные с установкой, удалением, включением, остановом и сбоем компонентов СЗИ, а также с изменением настроек СЗИ. Регистрация событий на всех компонентах СЗИ осуществляется в едином журнале. Для всех групп событий регистрируются как факты НСД, так и правомочные действия. - Контроль целостности и защита от НСД компонентов СЗИ СЗИ содержит собственные механизмы контроля целостности компонентов СЗИ. Механизмы действуют на всех компонентах СЗИ — рабочем месте администратора, сервере авторизации, ESX-хостах и vCenter-серверах. - Централизованное управление и мониторинг СЗИ содержит Консоль управления, устанавливается на рабочее место администратора безопасности со следующим функционалом: • управление пользователями и компьютерами (пользователями в данном случае будут администраторы виртуальной инфраструктуры и администраторы безопасности, а компьютеры — это их рабочие места); • назначение прав на доступ к защищаемым объектам; • развертывание и настройка компонентов защиты ESX-хостов; настройка правил разграничения запуска виртуальных машин и утверждение изменений параметров виртуальных машин, произведенных администраторами ВИ; • просмотр журнала регистрации событий. Все изменения, произведенные администратором безопасности, сохраняются централизованно. Возможность построения отчетов СЗИ предоставляет возможность генерации отчетов на основании произошедших в системе событий. В перечень отчетов входят следующие отчеты: - Средство для обеспечения защиты виртуальной инфраструктуры vGate R2 Standard (Производство: ООО «Код Безопасности», Россия) представляет программный комплекс со следующими характеристиками: Требования к поддержке платформ виртуализации: • VMware vSphere 4.1 Update 3 (VMware ESXi Server 4.1) • VMware vSphere 5 (VMware ESXi Server 5.0 Update 3) • VMware vSphere 5.1 (VMware ESXi Server 5.1 Update 2) • VMware vSphere 5.5 (VMware ESXi Server 5.5 Update 1) • VMware View 4.5 • VMware View 5 • VMware View 5.1 • VMware Horizon View 5.2 Осуществляет: • Аутентификацию администраторов виртуальной инфраструктуры и администраторов безопасности; • Защиту средств управления виртуальной инфраструктурой от НСД; • Защиту ESX-хостов от НСД; • Контроль целостности конфигурации виртуальных машин и их доверенную загрузку; • Мандатный принцип контроля доступа; • Регистрацию событий, связанных с информационной безопасностью; • Контроль целостности и защиту от НСД компонентов СЗИ; • Централизованное управление и мониторинг; • Возможность построения отчетов. Требования к функциональности: - Аутентификация администраторов виртуальной инфраструктуры и администраторов безопасности В ПО реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью (для ограничения на использование привилегий суперпользователя). Имеется возможность выделить 2 основные роли — администратор виртуальной инфраструктуры и администратор безопасности. Имеется поддержка аппаратных идентификаторов eToken и iButton. Реализация принципа разделения ролей Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только для аутентифицированных пользователей. Для этого в СЗИ предусмотрена процедура аутентификации пользователей и компьютеров (рабочих мест администраторов), которая осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle. - Класс программ для электронных вычислительных машин и баз данных - (03.19) Средства защиты виртуальных сред - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Право на использование Средства защиты информации vGate R2 Enterprise (за 1 физический процессор на защищаемом хосте) версии 4.95 - В ПО присутствует механизм блокирования любого сетевого трафика со стороны виртуальных машин к средствам управления виртуальной инфраструктурой. Тем самым обеспечивается защита средств управления виртуальной инфраструктурой от НСД со стороны скомпрометированной виртуальной машины. - Защита ESX-хостов от НСД В рамках обеспечения защиты ESX-хостов от НСД в СЗИ реализованы следующие механизмы: • Возможность создания списка разрешенных программ; • Возможность создания списков запрещенных и разрешенных устройств: Возможность создания списка пользователей, которым разрешен локальный вход на ESX-сервер; • Возможность блокирования подключения USB-носителей к ESX-серверу; • Возможность осуществления контроля за правилами встроенного межсетевого экрана; • Возможность запрета клонирования и создания снимков виртуальных машин; • Возможность очистки внешней и оперативной памяти при окончании работы с виртуальной машиной; • Возможность контроля обеспечения обязательной аутентификации в однопользовательском режиме; • Возможность ограничения доступа к конфигурационным файлам служб; • Возможность контроля использования протокола SSH версии 2; • Возможность модификации файла /etc/securetty для ограничения входа в систему под учетной записью root ; • Возможность запрета на выполнение операций с буфером обмена для каждой виртуальной машины; • Возможность ограничения списка пользователей, которым разрешено выполнять назначенные задания; • Возможность ограничения доступа к конфигурационным файлам планировщика заданий; • Возможность установки ограниченных полномочий на файлы по умолчанию для демонов и root; • Возможность контроля использования разных сетей для Service Console и виртуальных машин; • Возможность контроля использования CHAP для проверки подлинности при подключении iSCSI-устройств; • Возможность контроля установленных параметров журналирования, требований к сложности пароля и доступа по сети; • Возможность запрета просмотра, изменения и выполнения vmdk-файлов; - - Участник закупки указывает в заявке все значения характеристики

Контроль образа BIOS виртуальной машины. Поскольку несанкционированная подмена BIOS является угрозой безопасности, СЗИ контролирует целостность файла *.nvram, в котором содержится образ BIOS виртуальной машины. • Доверенная загрузка ОС осуществляется путем контроля целостности загрузочного сектора виртуального диска *.vmdk. • Контроль целостности файлов гостевой ОС внутри виртуальных машин. При изменении одного из перечисленных объектов как санкционированном, так и несанкционированном, СЗИ предоставит администратору безопасности возможность данные изменения отменить или принять. До того как администратор безопасности примет решение, вносимые изменения не применяются к объекту. Мандатный принцип контроля доступа В СЗИ реализован мандатный принцип контроля доступа на основе меток конфиденциальности. Присутствует два вида меток конфиденциальности: иерархические (далее просто метки) и неиерархические (далее просто категории). Реализована возможность пометить метками следующие субъекты, объекты, контейнеры: • Администраторы ВИ • ESX-хосты • Сетевые карты ESX-хоста или VLAN • Разделы хранилищ (Datastore) • ВМ Права доступа субъектов и объектов проверяются на основе меток и категорий автоматически и запрещают несанкционированные действия. Субъект получит доступ к объекту, только если выполняется условие соответствия их меток конфиденциальности. Для категорий – это совпадение хотя бы одной из категорий субъекта и объекта, для меток – это уровень иерархии субъекта равен (или выше, в зависимости от настроек СЗИ) уровню объекта. Категории отличаются от меток следующими параметрами: Метки иерархические, категории равноправные. • Механизмы работы меток зависит не только от пользователя, но и от его меток его текущей сессии. Категории от сессии не зависят. • Любой субъект, объект, контейнер может быть помечен несколькими категориями и только одной меткой. - Регистрация событий, связанных с информационной безопасностью

Изменение конфигурации политик безопасности. • Использование учетных записей VMware. • Мониторинг учетных записей СЗИ. • Проблемы с доверенной загрузкой ВМ. • Настройка правил сетевой безопасности. • Настройки доступа к защищаемым объектам. • Соответствие стандартам безопасности. • Изменение мандатных правил доступа в СЗИ • Logon в нерабочее время • Изменение сетевых правил доступа в СЗИ • Попытки несанкционированного изменения настроек, контролируемых политиками • Применение политик безопасности Проблемы с Logon в СЗИ. (В отчёте нужно задать число неоднократных попыток) • Проблемы с Logon в vSphere (В отчёте нужно задать число неоднократных попыток) • Проблемы со сменой пароля • Наиболее активные пользователи • Список наиболее используемых видов доступа (порты/протоколы) к защищаемым объектам • Список наиболее частых событий ИБ • Отчеты по соответствию лучшим практикам и стандартам Требования по сертификации: - сертифицирован на соответствие требованиям ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа (далее – НСД) к информации. Показатели защищенности от НСД к информации» по классу не ниже 5-го; - сертифицирован на соответствие требованиям ФСТЭК России «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по уровню не ниже 4-го; - сертифицирован на соответствие требованиям ФСТЭК России для защиты информационных систем персональных данных (ИСПДн) с уровнем защищенности персональных данных до 1-го включительно; - сертифицирован на соответствие требованиям ФСТЭК России для защиты государственных и муниципальных информационных систем (ГИС) до 1 класса включительно; - подтверждается соответствующими действующими сертификатами ФСТЭК

Возможность запрета изменения vmx-файлов; • Возможность защиты от нехватки места на корневой файловой системе ESX-сервера; • Возможность контроля наличия пароля загрузчика ESX-сервера; • Возможность контроля настроенных параметров ядра ESX-сервера; • Возможность запрета контроля устройств ESX-сервера со стороны виртуальных машин; • Возможность запрета отсылки сообщений ESX-серверу со стороны виртуальных машин; • Возможность контроля прав на файлы журнала событий ESX-сервера; • Возможность задания приглашения для сетевого и локального доступа к ESX-серверу; Возможность контроля настроек синхронизации времени; • Возможность контроля доступа к файлам, содержащим пароли пользователей; • Возможность ограничения доступа к конфигурационным файлам протокола SNMP; • Возможность настройки параметров безопасности для протокола SSH; • Возможность ограничения на удаление файлов ESX-сервера; • Возможность контроля отсутствия программ с setuid или setgid флагами; • Возможность ограничения права перезаписи файлов ESX-сервера; • Возможность запрета отсутствия файлов без владельца на ESX-сервере; - Контроль целостности конфигурации виртуальных машин и доверенная загрузка Для обеспечения контроля целостности программной среды и обеспечения доверенной загрузки операционной системы (ОС) в «физическом мире» традиционно используются аппаратные электронные замки для шин PCI или PCI-E. Подобные аппаратные СЗИ невозможно использовать для защиты виртуальных машин по техническим причинам. Тем не менее, данный функционал защиты обеспечен и в виртуальной среде. ПО содержит компоненты, устанавливаемые на каждый ESX-хост и реализующие следующие механизмы защиты: • Контроль целостности настроек виртуальной машины перед ее загрузкой. Контролируется файл *.vmx, в котором содержится перечень устройств, доступных виртуальной машине, и ряд других критических параметров.

Процедура аутентификации осуществляется с помощью отдельной программы, которую требуется запустить и ввести учетные данные до того, как осуществляется соединение с виртуальной инфраструктурой. Функционал аутентификации на рабочем месте администратора предоставляет возможность надежно сохранить учетные данные. СЗИ имеет собственную систему учетных записей и имеет возможность интегрироваться с Microsoft Active Directory. СЗИ поддерживает работу администраторов виртуальной инфраструктуры как через «толстый» клиент (vSphere client), так и через «тонкий» (vSphere Web-client). - Защита средств управления виртуальной инфраструктурой от НСД К средствам управления виртуальной инфраструктурой относятся: • ESX-хосты, предназначенные для запуска виртуальных машин; • серверы vCenter, предназначенные для централизованного управления виртуальной инфраструктурой; • серверы vSphere Web Client, предназначенные для поддержки управления виртуальной инфраструктурой через «тонкий» клиент; • средства, предназначенные для обслуживания инфраструктуры, например, VMware Consolidated Backup, VMware Update Manager; • сторонние средства мониторинга и управления инфраструктурой. Компрометация любого из этих средств приводит к компрометации группы виртуальных машин или всей виртуальной инфраструктуры. Для обеспечения защиты средств управления виртуальной инфраструктурой применяется функционал мандатного и дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра. Для этого весь управляющий трафик проходит через компонент СЗИ, осуществляющий этот контроль. Правила разграничения доступа работают на основе меток и уровней безопасности, а также заданных ACL и параметров соединения (протоколов, портов). Сетевой трафик между аутентифицированными субъектами и защищаемыми объектами подписываться, для обеспечения защиты от атак типа Man in the Middle в процессе сетевого взаимодействия.

В СЗИ реализован механизм регистрации следующих групп событий: • События аутентификации и разграничения доступа; • Средство регистрирует как удачные, так и неудачные попытки доступа к инфраструктуре (с указанием имени учетной записи, даты, имени компьютера или его IP-адреса) • Средство регистрирует события изменений конфигурации параметров безопасности и учетных записей администраторов инфраструктуры • События контроля целостности СЗИ, контроля целостности и доверенной загрузки виртуальных машин; • События, связанные с установкой, удалением, включением, остановом и сбоем компонентов СЗИ, а также с изменением настроек СЗИ. Регистрация событий на всех компонентах СЗИ осуществляется в едином журнале. Для всех групп событий регистрируются как факты НСД, так и правомочные действия. - Контроль целостности и защита от НСД компонентов СЗИ СЗИ содержит собственные механизмы контроля целостности компонентов СЗИ. Механизмы действуют на всех компонентах СЗИ — рабочем месте администратора, сервере авторизации, ESX-хостах и vCenter-серверах. - Централизованное управление и мониторинг СЗИ содержит Консоль управления, устанавливается на рабочее место администратора безопасности со следующим функционалом: • управление пользователями и компьютерами (пользователями в данном случае будут администраторы виртуальной инфраструктуры и администраторы безопасности, а компьютеры — это их рабочие места); • назначение прав на доступ к защищаемым объектам; • развертывание и настройка компонентов защиты ESX-хостов; настройка правил разграничения запуска виртуальных машин и утверждение изменений параметров виртуальных машин, произведенных администраторами ВИ; • просмотр журнала регистрации событий. Все изменения, произведенные администратором безопасности, сохраняются централизованно. Возможность построения отчетов СЗИ предоставляет возможность генерации отчетов на основании произошедших в системе событий. В перечень отчетов входят следующие отчеты:

Средство для обеспечения защиты виртуальной инфраструктуры vGate R2 Standard (Производство: ООО «Код Безопасности», Россия) представляет программный комплекс со следующими характеристиками: Требования к поддержке платформ виртуализации: • VMware vSphere 4.1 Update 3 (VMware ESXi Server 4.1) • VMware vSphere 5 (VMware ESXi Server 5.0 Update 3) • VMware vSphere 5.1 (VMware ESXi Server 5.1 Update 2) • VMware vSphere 5.5 (VMware ESXi Server 5.5 Update 1) • VMware View 4.5 • VMware View 5 • VMware View 5.1 • VMware Horizon View 5.2 Осуществляет: • Аутентификацию администраторов виртуальной инфраструктуры и администраторов безопасности; • Защиту средств управления виртуальной инфраструктурой от НСД; • Защиту ESX-хостов от НСД; • Контроль целостности конфигурации виртуальных машин и их доверенную загрузку; • Мандатный принцип контроля доступа; • Регистрацию событий, связанных с информационной безопасностью; • Контроль целостности и защиту от НСД компонентов СЗИ; • Централизованное управление и мониторинг; • Возможность построения отчетов. Требования к функциональности: - Аутентификация администраторов виртуальной инфраструктуры и администраторов безопасности В ПО реализована модель разделения прав на управление виртуальной инфраструктурой и на управление безопасностью (для ограничения на использование привилегий суперпользователя). Имеется возможность выделить 2 основные роли — администратор виртуальной инфраструктуры и администратор безопасности. Имеется поддержка аппаратных идентификаторов eToken и iButton. Реализация принципа разделения ролей Доступ на управление виртуальной инфраструктурой или параметрами безопасности предоставляется только для аутентифицированных пользователей. Для этого в СЗИ предусмотрена процедура аутентификации пользователей и компьютеров (рабочих мест администраторов), которая осуществляется по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle.

Класс программ для электронных вычислительных машин и баз данных - (03.19) Средства защиты виртуальных сред - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с п. 5 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145 «Об утверждении правил формирования и ведения в единой информационной системе в сфере закупок каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд и правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд» дополнительные функциональные, технические, качественные, эксплуатационные характеристики товара указаны в связи с недостаточностью информации, содержащейся в Каталоге товаров, работ, услуг, а так же с целью наиболее полного удовлетворения потребностей Заказчика

- 58.29.29.000 58.29.11.000-00000003 - Программное обеспечение Право на использование модуля защиты от НСД и контроля устройств Средства защиты информации o В инфраструктуре виртуальных рабочих станций (VDI) контролируются устройства, подключаемые к виртуальным рабочим станциям с рабочего места пользователя. o При терминальном подключении (RDP) существует возможность управления запретом подключения ; устройств, COM- и LPT-портов, локальных дисков и PnP-устройств. • Контроль сетевых интерфейсов: o имеется возможность включения/выключения явно заданного сетевого интерфейса или интерфейса, определяемого типом – Ethernet, WiFi, IrDA, Bluetooth, FireWire (IEEE1394). o имеется возможность управления сетевыми интерфейсами в зависимости от уровня сессии пользователя. • Создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера. При этом контролируются исполняемые файлы (EXE-модули), файлы загружаемых библиотек (DLL-модули), запуск скриптов по технологии Active Scripts. o Список модулей, разрешенных для запуска, строится: ? с помощью явного указания модулей; ? по информации об установленных на компьютере программах; ? по зависимостям исполняемых модулей; ? по ярлыкам в главном меню; ? по событиям журнала безопасности. • Контроль целостности файлов, каталогов, элементов системного реестра: o существует возможность проведения контроля целостности, в процессе загрузки ОС, в фоновом режиме при работе пользователя. o существует возможность блокировки компьютера при обнаружении нарушения целостности контролируемых объектов. o существует возможность восстановления исходного состояния контролируемого объекта. o существует возможность контроля исполняемых файлов по встроенной ЭЦП, чтобы избежать дополнительных перерасчетов контрольных сумм при обновлении ПО со встроенной ЭЦП. o При установке системы формируются задания контроля целостности, обеспечивающие контроль ключевых параметров операционной системы и СЗИ. • Изоляция программных модулей и контроль доступа к буферу обмена и операциям перетаскивания (drag-and-drop) для изолированных модулей ... Класс программ для электронных вычислительных машин и баз данных (03.01) Средства защиты от несанкционированного доступа к информации Способ предоставления Копия электронного экземпляра - - Штука - 34,00 - 8 000,00 - 272 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 34 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Право на использование модуля защиты от НСД и контроля устройств Средства защиты информации o В инфраструктуре виртуальных рабочих станций (VDI) контролируются устройства, подключаемые к виртуальным рабочим станциям с рабочего места пользователя. o При терминальном подключении (RDP) существует возможность управления запретом подключения ; устройств, COM- и LPT-портов, локальных дисков и PnP-устройств. • Контроль сетевых интерфейсов: o имеется возможность включения/выключения явно заданного сетевого интерфейса или интерфейса, определяемого типом – Ethernet, WiFi, IrDA, Bluetooth, FireWire (IEEE1394). o имеется возможность управления сетевыми интерфейсами в зависимости от уровня сессии пользователя. • Создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера. При этом контролируются исполняемые файлы (EXE-модули), файлы загружаемых библиотек (DLL-модули), запуск скриптов по технологии Active Scripts. o Список модулей, разрешенных для запуска, строится: ? с помощью явного указания модулей; ? по информации об установленных на компьютере программах; ? по зависимостям исполняемых модулей; ? по ярлыкам в главном меню; ? по событиям журнала безопасности. • Контроль целостности файлов, каталогов, элементов системного реестра: o существует возможность проведения контроля целостности, в процессе загрузки ОС, в фоновом режиме при работе пользователя. o существует возможность блокировки компьютера при обнаружении нарушения целостности контролируемых объектов. o существует возможность восстановления исходного состояния контролируемого объекта. o существует возможность контроля исполняемых файлов по встроенной ЭЦП, чтобы избежать дополнительных перерасчетов контрольных сумм при обновлении ПО со встроенной ЭЦП. o При установке системы формируются задания контроля целостности, обеспечивающие контроль ключевых параметров операционной системы и СЗИ. • Изоляция программных модулей и контроль доступа к буферу обмена и операциям перетаскивания (drag-and-drop) для изолированных модулей Участник закупки указывает в заявке все значения характеристики o поддержка персональных идентификаторов (USB-токенов и смарт-карт) для входа в систему и разблокировки компьютера – iButton, eToken Pro (Java), Рутокен S, Рутокен ЭЦП, Рутокен Lite, Jacarta PKI, Jacarta Gost, Jacarta PKI Flash, Jacarta Gost Flash, Esmart USB Token, Esmart, Esmart ГОСТ; o возможность блокировки сеанса работы пользователя при отключении персонального идентификатора; o возможность использования персональных идентификаторов для входа в систему и разблокировки в системах терминального доступа и инфраструктуре виртуальных рабочих станций (VDI); o однократное указание учетных данных пользователей при доступе к терминальному серверу и инфраструктуре виртуальных рабочих станций (VDI); o возможность блокирования входа в систему локальных пользователей; o возможность блокирования операций вторичного входа в систему в процессе работы пользователей; o возможность блокировки сеанса работы пользователя по истечении интервала неактивности; o возможность управления политикой сложности паролей; o поддержка возможности входа в систему по сертификатам; o возможность проверки принадлежности аппаратного идентификатора в процессе управления аппаратными идентификаторами пользователей. • Избирательное (дискреционное) управление доступом: o возможность назначения прав доступа на файлы, каталоги, принтеры, устройства; o возможность наследования прав доступа для файлов, каталогов и устройств; o возможность установки индивидуального аудита доступа для объектов, указания учетных записей пользователей или групп, чей доступ подвергается аудиту. • Полномочное (мандатное) управление доступом: o возможность выбора уровня конфиденциальности сессии для пользователя; o возможность назначения мандатных меток файлам, каталогам, внешним устройствам, принтерам, сетевым интерфейсам; o возможность изменения количества мандатных меток в системе и их названий; o контроль потоков конфиденциальной информации в системе; • государственные информационные системы – до 1 класса защищенности (включительно); • информационные системы персональных данных – до 1 уровня защищенности персональных данных (включительно); • автоматизированные системы управления производственными и технологическими процессами – до 1 класса защищенности (включительно). СЗИ должно поддерживать защиту систем терминального доступа, а также допускать применение для защиты не только физических компьютеров, но и виртуальных машин. Требования к операционной платформе и аппаратной части: • СЗИ должно функционировать на следующих платформах (должны поддерживаться и 32-, и 64-разрядные платформы): o Windows 10; o Windows 8/8.1; o Windows 7 SP1; o Windows Vista SP2; o Windows Server 2012/2012 R2; o Windows Server 2008 SP2/2008 R2 SP1. • СЗИ должно поддерживать работу и обеспечивать защиту в системах терминального доступа, построенных на базе терминальных служб сетевых ОС MS Windows или ПО Citrix. • СЗИ должно поддерживать работу на виртуальных машинах, функционирующих в системах виртуализации, построенных на базе гипервизоров VMware ESX(i) и Microsoft Hyper-V. • СЗИ с централизованным управлением должно функционировать совместно с Microsoft Active Directory; • СЗИ должно обладать возможностью работы на однопроцессорных и многопроцессорных ЭВМ. • СЗИ не должно требовать при развертывании модификации топологии локальной вычислительной сети. • В инфраструктуре должно быть в наличии устройство, считывающее DVD (для чтения установочного диска – хотя бы на одном компьютере в информационной системе). Требования к функциональности СЗИ: СЗИ выполняет следующие функции по защите информации: • Контроль входа пользователей в систему и работа пользователей в системе: o проверка пароля пользователя при входе в систему; Решение: комплексное программное средство защиты информации для конечных точек (СЗИ) Осуществляет: • защиту серверов и рабочих станций от НСД; • контроль входа пользователей в систему, в том числе с использованием дополнительных аппаратных средств защиты; • разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации; • разграничение доступа пользователей к информации; • контроль утечек информации; • аутентификацию входящих и исходящих сетевых запросов в локальной сети методами, устойчивыми к пассивному и/или активному прослушиванию сети; • фильтрацию сетевых пакетов; • защиту установленных сетевых соединений; • шифрование данных, хранящихся в криптоконтейнерах; • регистрацию событий безопасности и аудит. Требования к сертификации и применению в информационных системах: СЗИ соответствует требованиям документов: «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – не ниже 5 класса защищенности, «Требования к межсетевым экранам» (ФСТЭК России, 2016) не ниже 4 класса защиты, «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты. ИТ.МЭ.В4.ПЗ» (ФСТЭК России, 2016), «Требования к средствам контроля съемных машинных носителей информации» (ФСТЭК России, 2014) не ниже 4 класса защиты, «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014). Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларируемых возможностей» (Гостехкомиссия России, 1999) – не ниже 4 уровня контроля. СЗИ допускает использование в следующих информационных системах: • автоматизированные системы - до класса 1Г (включительно); которые позволяют контролировать аутентичность и целостность передаваемых данных. o Предусмотрена настройка режима защиты сетевого взаимодействия, при этом должны быть предусмотрены следующие режимы защиты: ? соединение без защиты; ? маркируется каждый пакет; ? подписывается заголовок каждого пакета; ? подписывается каждый пакет целиком. o Возможность ограничивать сетевые соединения по правилам фильтрации: ? на уровне отдельных протоколов из стека TCP/IP; ? на уровне параметров протоколов стека TCP/IP; ? на уровне параметров служебных протоколов стека TCP/IP; ? на уровне периодов времени; ? на уровне пользователей или групп пользователей; ? на уровне параметров прикладных протоколов; ? на уровне исполняемого файла/процесса; ? на уровне сетевого адаптера. o Возможность осуществлять фильтрацию команд, параметров и последовательностей команд, а также обеспечивать блокировку мобильного кода. o Предусмотрен выбор действий для определения реакции системы на срабатывание правил фильтрации: ? регистрация информации в журнале; ? звуковая сигнализация; ? запуск программы или сценария. • Функциональный контроль ключевых компонентов системы. • Регистрация событий безопасности в журнале. o Возможность формирования отчетов по результатам аудита. o Возможность поиска и фильтрации при работе с данными аудита. • Получение отчета по параметрам системы защиты. Требования к централизованному управлению в доменной сети: СЗИ должно предоставлять следующие возможности по управлению системой: • Отображение структуры доменов, организационных подразделений, серверов безопасности и защищаемых компьютеров. • Динамическое отображение состояния каждого защищаемого компьютера с учетом критичности состояния с точки зрения системы защиты. • Отображение тревог, происходящих на защищаемых компьютерах, возможность задать признак того, что тревога обработана администратором безопасности. • Автоматическое затирание удаляемой информации на локальных и сменных дисках компьютера при удалении пользователем конфиденциальной информации с возможностью настройки количества проходов затирания информации. • Автоматическое затирание оперативной памяти компьютера с возможностью настройки количества проходов затирания информации. • Затирание информации на локальных и сменных дисках по команде пользователя. • Затирание данных и имен файлов, каталогов при удалении информации. • Возможность управления запретом передачи буфера обмена в терминальную (RDP) сессию. • Шифрование контейнеров: o Обеспечивается возможность создания зашифрованных контейнеров (криптоконтейнеров) с возможностью подключения их к системе как виртуальных дисков. o Вся информация, размещаемая в контейнере, должна шифроваться по алгоритму ГОСТ 28147-89. o Ключевая информация для обеспечения шифрования и расшифровки данных в криптоконтейнерах должна размещаться в аппаратных идентификаторах или на съемном USB-носителе. o Возможность выбора размера криптоконтейнера при его создании. o Поддерживается возможность автоматического и ручного подключения криптоконтейнера по команде пользователя. o Доступ к криптоконтейнерам должен регулироваться дискреционными правилами разграничения доступа. • Защита сетевого взаимодействия и фильтрация трафика: o механизмы аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети. o Должны удостоверяться субъекты доступа (пользователи и компьютеры) и защищаемые объекты (компьютеры). o Механизмы должны быть защищены от прослушивания, попыток подбора и перехвата паролей, подмены защищаемых объектов, подмены MAC- и IP-адресов. o предусмотрены механизмы защиты установленных сетевых соединений между субъектами доступа (пользователями и компьютерами) и защищаемыми объектами (серверами и информационными системами) на основе открытых стандартов протоколов семейства IPsec • Разделение тревог по уровням критичности события и важности отдельных защищаемых компьютеров • Выполнение оперативных команд для немедленного реагирования на инциденты безопасности (заблокировать работу пользователя, выключить компьютер). • Выполнение команд, специфичных для защитных подсистем. • Оперативное управление защищаемыми компьютерами, возможность централизованно изменить параметры работы защищаемого компьютера. • Возможность создавать централизованные политики безопасности, распространяемые на разные (заданные) группы защищаемых компьютеров. • Централизованный сбор журналов безопасности с защищаемых компьютеров, их хранение, возможность обработки и архивирования. • Анализ собранных журналов на наличие заданных угроз безопасности с поддержкой редактирования правил детектирования угроз. • Централизованное управление в сложной доменной сети (domain tree) должно функционировать по иерархическому принципу, при этом система должна позволять: o распространить настройки, заданные для сервера безопасности, на все подчиненные компьютеры (в том числе – по иерархии серверов); o посмотреть состояние и выполнить команду на любом компьютере, подчиненном серверу безопасности (в том числе – по иерархии серверов). • Создавать домены безопасности в территориально распределенной сети, при этом должна предоставляться возможность делегирования административных полномочий лицам, ответственным за подразделения (домены безопасности). Создавать отчеты по ресурсам и параметрам защищаемых компьютеров o возможность контроля потоков информации в системах терминального доступа при передаче информации между клиентом и сервером по протоколу RDP. • Контроль вывода конфиденциальных данных на печать: o возможность ограничить перечень мандатных меток информации для печати на заданном принтере; o теневое копирование информации, выводимой на печать; o автоматическая маркировка документов, выводимых на печать; o управление грифами (видом маркировки) при печати конфиденциальных и секретных документов. При этом должна быть возможность задать: ? отдельный вид грифа для каждой мандатной метки; ? отдельный вид маркировки для первой страницы документа; ? отдельный вид маркировки для последней страницы документа; ? вид маркировки для оборота последнего листа; o поддержка функции печати в файл; o поддержка управления запретом перенаправления принтеров в терминальных (RDP) сессиях. • Контроль аппаратной конфигурации компьютера и подключаемых устройств: o Контролируются следующие устройства: ? последовательные и параллельные порты; ? локальные устройства; ? сменные, физические и оптические диски; ? программно реализованные диски; ? USB-устройства; ? PCMCIA-устройства; ? IEEE1394 (FireWire)-устройства; ? устройства, подключаемые по шине Secure Digital. o существует возможность задать настройки контроля на уровне шины, класса устройства, модели устройства, экземпляра устройства. o осуществляется контроль неизменности аппаратной конфигурации компьютера с возможностью блокировки при нарушении аппаратной конфигурации. o возможность присвоить устройствам хранения информации мандатную метку. Если метка устройства не соответствует сессии пользователя – работа с устройством хранения должна блокироваться. o осуществляется контроль вывода информации на внешние устройства хранения с возможностью теневого копирования отчуждаемой информации. Класс программ для электронных вычислительных машин и баз данных (03.01) Средства защиты от несанкционированного доступа к информации Значение характеристики не может изменяться участником закупки Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Право на использование модуля защиты от НСД и контроля устройств Средства защиты информации - o В инфраструктуре виртуальных рабочих станций (VDI) контролируются устройства, подключаемые к виртуальным рабочим станциям с рабочего места пользователя. o При терминальном подключении (RDP) существует возможность управления запретом подключения ; устройств, COM- и LPT-портов, локальных дисков и PnP-устройств. • Контроль сетевых интерфейсов: o имеется возможность включения/выключения явно заданного сетевого интерфейса или интерфейса, определяемого типом – Ethernet, WiFi, IrDA, Bluetooth, FireWire (IEEE1394). o имеется возможность управления сетевыми интерфейсами в зависимости от уровня сессии пользователя. • Создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера. При этом контролируются исполняемые файлы (EXE-модули), файлы загружаемых библиотек (DLL-модули), запуск скриптов по технологии Active Scripts. o Список модулей, разрешенных для запуска, строится: ? с помощью явного указания модулей; ? по информации об установленных на компьютере программах; ? по зависимостям исполняемых модулей; ? по ярлыкам в главном меню; ? по событиям журнала безопасности. • Контроль целостности файлов, каталогов, элементов системного реестра: o существует возможность проведения контроля целостности, в процессе загрузки ОС, в фоновом режиме при работе пользователя. o существует возможность блокировки компьютера при обнаружении нарушения целостности контролируемых объектов. o существует возможность восстановления исходного состояния контролируемого объекта. o существует возможность контроля исполняемых файлов по встроенной ЭЦП, чтобы избежать дополнительных перерасчетов контрольных сумм при обновлении ПО со встроенной ЭЦП. o При установке системы формируются задания контроля целостности, обеспечивающие контроль ключевых параметров операционной системы и СЗИ. • Изоляция программных модулей и контроль доступа к буферу обмена и операциям перетаскивания (drag-and-drop) для изолированных модулей - - Участник закупки указывает в заявке все значения характеристики - o поддержка персональных идентификаторов (USB-токенов и смарт-карт) для входа в систему и разблокировки компьютера – iButton, eToken Pro (Java), Рутокен S, Рутокен ЭЦП, Рутокен Lite, Jacarta PKI, Jacarta Gost, Jacarta PKI Flash, Jacarta Gost Flash, Esmart USB Token, Esmart, Esmart ГОСТ; o возможность блокировки сеанса работы пользователя при отключении персонального идентификатора; o возможность использования персональных идентификаторов для входа в систему и разблокировки в системах терминального доступа и инфраструктуре виртуальных рабочих станций (VDI); o однократное указание учетных данных пользователей при доступе к терминальному серверу и инфраструктуре виртуальных рабочих станций (VDI); o возможность блокирования входа в систему локальных пользователей; o возможность блокирования операций вторичного входа в систему в процессе работы пользователей; o возможность блокировки сеанса работы пользователя по истечении интервала неактивности; o возможность управления политикой сложности паролей; o поддержка возможности входа в систему по сертификатам; o возможность проверки принадлежности аппаратного идентификатора в процессе управления аппаратными идентификаторами пользователей. • Избирательное (дискреционное) управление доступом: o возможность назначения прав доступа на файлы, каталоги, принтеры, устройства; o возможность наследования прав доступа для файлов, каталогов и устройств; o возможность установки индивидуального аудита доступа для объектов, указания учетных записей пользователей или групп, чей доступ подвергается аудиту. • Полномочное (мандатное) управление доступом: o возможность выбора уровня конфиденциальности сессии для пользователя; o возможность назначения мандатных меток файлам, каталогам, внешним устройствам, принтерам, сетевым интерфейсам; o возможность изменения количества мандатных меток в системе и их названий; o контроль потоков конфиденциальной информации в системе; - • государственные информационные системы – до 1 класса защищенности (включительно); • информационные системы персональных данных – до 1 уровня защищенности персональных данных (включительно); • автоматизированные системы управления производственными и технологическими процессами – до 1 класса защищенности (включительно). СЗИ должно поддерживать защиту систем терминального доступа, а также допускать применение для защиты не только физических компьютеров, но и виртуальных машин. Требования к операционной платформе и аппаратной части: • СЗИ должно функционировать на следующих платформах (должны поддерживаться и 32-, и 64-разрядные платформы): o Windows 10; o Windows 8/8.1; o Windows 7 SP1; o Windows Vista SP2; o Windows Server 2012/2012 R2; o Windows Server 2008 SP2/2008 R2 SP1. • СЗИ должно поддерживать работу и обеспечивать защиту в системах терминального доступа, построенных на базе терминальных служб сетевых ОС MS Windows или ПО Citrix. • СЗИ должно поддерживать работу на виртуальных машинах, функционирующих в системах виртуализации, построенных на базе гипервизоров VMware ESX(i) и Microsoft Hyper-V. • СЗИ с централизованным управлением должно функционировать совместно с Microsoft Active Directory; • СЗИ должно обладать возможностью работы на однопроцессорных и многопроцессорных ЭВМ. • СЗИ не должно требовать при развертывании модификации топологии локальной вычислительной сети. • В инфраструктуре должно быть в наличии устройство, считывающее DVD (для чтения установочного диска – хотя бы на одном компьютере в информационной системе). Требования к функциональности СЗИ: СЗИ выполняет следующие функции по защите информации: • Контроль входа пользователей в систему и работа пользователей в системе: o проверка пароля пользователя при входе в систему; - Решение: комплексное программное средство защиты информации для конечных точек (СЗИ) Осуществляет: • защиту серверов и рабочих станций от НСД; • контроль входа пользователей в систему, в том числе с использованием дополнительных аппаратных средств защиты; • разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации; • разграничение доступа пользователей к информации; • контроль утечек информации; • аутентификацию входящих и исходящих сетевых запросов в локальной сети методами, устойчивыми к пассивному и/или активному прослушиванию сети; • фильтрацию сетевых пакетов; • защиту установленных сетевых соединений; • шифрование данных, хранящихся в криптоконтейнерах; • регистрацию событий безопасности и аудит. Требования к сертификации и применению в информационных системах: СЗИ соответствует требованиям документов: «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – не ниже 5 класса защищенности, «Требования к межсетевым экранам» (ФСТЭК России, 2016) не ниже 4 класса защиты, «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты. ИТ.МЭ.В4.ПЗ» (ФСТЭК России, 2016), «Требования к средствам контроля съемных машинных носителей информации» (ФСТЭК России, 2014) не ниже 4 класса защиты, «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014). Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларируемых возможностей» (Гостехкомиссия России, 1999) – не ниже 4 уровня контроля. СЗИ допускает использование в следующих информационных системах: • автоматизированные системы - до класса 1Г (включительно); - которые позволяют контролировать аутентичность и целостность передаваемых данных. o Предусмотрена настройка режима защиты сетевого взаимодействия, при этом должны быть предусмотрены следующие режимы защиты: ? соединение без защиты; ? маркируется каждый пакет; ? подписывается заголовок каждого пакета; ? подписывается каждый пакет целиком. o Возможность ограничивать сетевые соединения по правилам фильтрации: ? на уровне отдельных протоколов из стека TCP/IP; ? на уровне параметров протоколов стека TCP/IP; ? на уровне параметров служебных протоколов стека TCP/IP; ? на уровне периодов времени; ? на уровне пользователей или групп пользователей; ? на уровне параметров прикладных протоколов; ? на уровне исполняемого файла/процесса; ? на уровне сетевого адаптера. o Возможность осуществлять фильтрацию команд, параметров и последовательностей команд, а также обеспечивать блокировку мобильного кода. o Предусмотрен выбор действий для определения реакции системы на срабатывание правил фильтрации: ? регистрация информации в журнале; ? звуковая сигнализация; ? запуск программы или сценария. • Функциональный контроль ключевых компонентов системы. • Регистрация событий безопасности в журнале. o Возможность формирования отчетов по результатам аудита. o Возможность поиска и фильтрации при работе с данными аудита. • Получение отчета по параметрам системы защиты. Требования к централизованному управлению в доменной сети: СЗИ должно предоставлять следующие возможности по управлению системой: • Отображение структуры доменов, организационных подразделений, серверов безопасности и защищаемых компьютеров. • Динамическое отображение состояния каждого защищаемого компьютера с учетом критичности состояния с точки зрения системы защиты. • Отображение тревог, происходящих на защищаемых компьютерах, возможность задать признак того, что тревога обработана администратором безопасности. - • Автоматическое затирание удаляемой информации на локальных и сменных дисках компьютера при удалении пользователем конфиденциальной информации с возможностью настройки количества проходов затирания информации. • Автоматическое затирание оперативной памяти компьютера с возможностью настройки количества проходов затирания информации. • Затирание информации на локальных и сменных дисках по команде пользователя. • Затирание данных и имен файлов, каталогов при удалении информации. • Возможность управления запретом передачи буфера обмена в терминальную (RDP) сессию. • Шифрование контейнеров: o Обеспечивается возможность создания зашифрованных контейнеров (криптоконтейнеров) с возможностью подключения их к системе как виртуальных дисков. o Вся информация, размещаемая в контейнере, должна шифроваться по алгоритму ГОСТ 28147-89. o Ключевая информация для обеспечения шифрования и расшифровки данных в криптоконтейнерах должна размещаться в аппаратных идентификаторах или на съемном USB-носителе. o Возможность выбора размера криптоконтейнера при его создании. o Поддерживается возможность автоматического и ручного подключения криптоконтейнера по команде пользователя. o Доступ к криптоконтейнерам должен регулироваться дискреционными правилами разграничения доступа. • Защита сетевого взаимодействия и фильтрация трафика: o механизмы аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети. o Должны удостоверяться субъекты доступа (пользователи и компьютеры) и защищаемые объекты (компьютеры). o Механизмы должны быть защищены от прослушивания, попыток подбора и перехвата паролей, подмены защищаемых объектов, подмены MAC- и IP-адресов. o предусмотрены механизмы защиты установленных сетевых соединений между субъектами доступа (пользователями и компьютерами) и защищаемыми объектами (серверами и информационными системами) на основе открытых стандартов протоколов семейства IPsec - • Разделение тревог по уровням критичности события и важности отдельных защищаемых компьютеров • Выполнение оперативных команд для немедленного реагирования на инциденты безопасности (заблокировать работу пользователя, выключить компьютер). • Выполнение команд, специфичных для защитных подсистем. • Оперативное управление защищаемыми компьютерами, возможность централизованно изменить параметры работы защищаемого компьютера. • Возможность создавать централизованные политики безопасности, распространяемые на разные (заданные) группы защищаемых компьютеров. • Централизованный сбор журналов безопасности с защищаемых компьютеров, их хранение, возможность обработки и архивирования. • Анализ собранных журналов на наличие заданных угроз безопасности с поддержкой редактирования правил детектирования угроз. • Централизованное управление в сложной доменной сети (domain tree) должно функционировать по иерархическому принципу, при этом система должна позволять: o распространить настройки, заданные для сервера безопасности, на все подчиненные компьютеры (в том числе – по иерархии серверов); o посмотреть состояние и выполнить команду на любом компьютере, подчиненном серверу безопасности (в том числе – по иерархии серверов). • Создавать домены безопасности в территориально распределенной сети, при этом должна предоставляться возможность делегирования административных полномочий лицам, ответственным за подразделения (домены безопасности). Создавать отчеты по ресурсам и параметрам защищаемых компьютеров - o возможность контроля потоков информации в системах терминального доступа при передаче информации между клиентом и сервером по протоколу RDP. • Контроль вывода конфиденциальных данных на печать: o возможность ограничить перечень мандатных меток информации для печати на заданном принтере; o теневое копирование информации, выводимой на печать; o автоматическая маркировка документов, выводимых на печать; o управление грифами (видом маркировки) при печати конфиденциальных и секретных документов. При этом должна быть возможность задать: ? отдельный вид грифа для каждой мандатной метки; ? отдельный вид маркировки для первой страницы документа; ? отдельный вид маркировки для последней страницы документа; ? вид маркировки для оборота последнего листа; o поддержка функции печати в файл; o поддержка управления запретом перенаправления принтеров в терминальных (RDP) сессиях. • Контроль аппаратной конфигурации компьютера и подключаемых устройств: o Контролируются следующие устройства: ? последовательные и параллельные порты; ? локальные устройства; ? сменные, физические и оптические диски; ? программно реализованные диски; ? USB-устройства; ? PCMCIA-устройства; ? IEEE1394 (FireWire)-устройства; ? устройства, подключаемые по шине Secure Digital. o существует возможность задать настройки контроля на уровне шины, класса устройства, модели устройства, экземпляра устройства. o осуществляется контроль неизменности аппаратной конфигурации компьютера с возможностью блокировки при нарушении аппаратной конфигурации. o возможность присвоить устройствам хранения информации мандатную метку. Если метка устройства не соответствует сессии пользователя – работа с устройством хранения должна блокироваться. o осуществляется контроль вывода информации на внешние устройства хранения с возможностью теневого копирования отчуждаемой информации. - Класс программ для электронных вычислительных машин и баз данных - (03.01) Средства защиты от несанкционированного доступа к информации - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Право на использование модуля защиты от НСД и контроля устройств Средства защиты информации - o В инфраструктуре виртуальных рабочих станций (VDI) контролируются устройства, подключаемые к виртуальным рабочим станциям с рабочего места пользователя. o При терминальном подключении (RDP) существует возможность управления запретом подключения ; устройств, COM- и LPT-портов, локальных дисков и PnP-устройств. • Контроль сетевых интерфейсов: o имеется возможность включения/выключения явно заданного сетевого интерфейса или интерфейса, определяемого типом – Ethernet, WiFi, IrDA, Bluetooth, FireWire (IEEE1394). o имеется возможность управления сетевыми интерфейсами в зависимости от уровня сессии пользователя. • Создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера. При этом контролируются исполняемые файлы (EXE-модули), файлы загружаемых библиотек (DLL-модули), запуск скриптов по технологии Active Scripts. o Список модулей, разрешенных для запуска, строится: ? с помощью явного указания модулей; ? по информации об установленных на компьютере программах; ? по зависимостям исполняемых модулей; ? по ярлыкам в главном меню; ? по событиям журнала безопасности. • Контроль целостности файлов, каталогов, элементов системного реестра: o существует возможность проведения контроля целостности, в процессе загрузки ОС, в фоновом режиме при работе пользователя. o существует возможность блокировки компьютера при обнаружении нарушения целостности контролируемых объектов. o существует возможность восстановления исходного состояния контролируемого объекта. o существует возможность контроля исполняемых файлов по встроенной ЭЦП, чтобы избежать дополнительных перерасчетов контрольных сумм при обновлении ПО со встроенной ЭЦП. o При установке системы формируются задания контроля целостности, обеспечивающие контроль ключевых параметров операционной системы и СЗИ. • Изоляция программных модулей и контроль доступа к буферу обмена и операциям перетаскивания (drag-and-drop) для изолированных модулей - - Участник закупки указывает в заявке все значения характеристики

o поддержка персональных идентификаторов (USB-токенов и смарт-карт) для входа в систему и разблокировки компьютера – iButton, eToken Pro (Java), Рутокен S, Рутокен ЭЦП, Рутокен Lite, Jacarta PKI, Jacarta Gost, Jacarta PKI Flash, Jacarta Gost Flash, Esmart USB Token, Esmart, Esmart ГОСТ; o возможность блокировки сеанса работы пользователя при отключении персонального идентификатора; o возможность использования персональных идентификаторов для входа в систему и разблокировки в системах терминального доступа и инфраструктуре виртуальных рабочих станций (VDI); o однократное указание учетных данных пользователей при доступе к терминальному серверу и инфраструктуре виртуальных рабочих станций (VDI); o возможность блокирования входа в систему локальных пользователей; o возможность блокирования операций вторичного входа в систему в процессе работы пользователей; o возможность блокировки сеанса работы пользователя по истечении интервала неактивности; o возможность управления политикой сложности паролей; o поддержка возможности входа в систему по сертификатам; o возможность проверки принадлежности аппаратного идентификатора в процессе управления аппаратными идентификаторами пользователей. • Избирательное (дискреционное) управление доступом: o возможность назначения прав доступа на файлы, каталоги, принтеры, устройства; o возможность наследования прав доступа для файлов, каталогов и устройств; o возможность установки индивидуального аудита доступа для объектов, указания учетных записей пользователей или групп, чей доступ подвергается аудиту. • Полномочное (мандатное) управление доступом: o возможность выбора уровня конфиденциальности сессии для пользователя; o возможность назначения мандатных меток файлам, каталогам, внешним устройствам, принтерам, сетевым интерфейсам; o возможность изменения количества мандатных меток в системе и их названий; o контроль потоков конфиденциальной информации в системе;

• государственные информационные системы – до 1 класса защищенности (включительно); • информационные системы персональных данных – до 1 уровня защищенности персональных данных (включительно); • автоматизированные системы управления производственными и технологическими процессами – до 1 класса защищенности (включительно). СЗИ должно поддерживать защиту систем терминального доступа, а также допускать применение для защиты не только физических компьютеров, но и виртуальных машин. Требования к операционной платформе и аппаратной части: • СЗИ должно функционировать на следующих платформах (должны поддерживаться и 32-, и 64-разрядные платформы): o Windows 10; o Windows 8/8.1; o Windows 7 SP1; o Windows Vista SP2; o Windows Server 2012/2012 R2; o Windows Server 2008 SP2/2008 R2 SP1. • СЗИ должно поддерживать работу и обеспечивать защиту в системах терминального доступа, построенных на базе терминальных служб сетевых ОС MS Windows или ПО Citrix. • СЗИ должно поддерживать работу на виртуальных машинах, функционирующих в системах виртуализации, построенных на базе гипервизоров VMware ESX(i) и Microsoft Hyper-V. • СЗИ с централизованным управлением должно функционировать совместно с Microsoft Active Directory; • СЗИ должно обладать возможностью работы на однопроцессорных и многопроцессорных ЭВМ. • СЗИ не должно требовать при развертывании модификации топологии локальной вычислительной сети. • В инфраструктуре должно быть в наличии устройство, считывающее DVD (для чтения установочного диска – хотя бы на одном компьютере в информационной системе). Требования к функциональности СЗИ: СЗИ выполняет следующие функции по защите информации: • Контроль входа пользователей в систему и работа пользователей в системе: o проверка пароля пользователя при входе в систему;

Решение: комплексное программное средство защиты информации для конечных точек (СЗИ) Осуществляет: • защиту серверов и рабочих станций от НСД; • контроль входа пользователей в систему, в том числе с использованием дополнительных аппаратных средств защиты; • разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации; • разграничение доступа пользователей к информации; • контроль утечек информации; • аутентификацию входящих и исходящих сетевых запросов в локальной сети методами, устойчивыми к пассивному и/или активному прослушиванию сети; • фильтрацию сетевых пакетов; • защиту установленных сетевых соединений; • шифрование данных, хранящихся в криптоконтейнерах; • регистрацию событий безопасности и аудит. Требования к сертификации и применению в информационных системах: СЗИ соответствует требованиям документов: «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – не ниже 5 класса защищенности, «Требования к межсетевым экранам» (ФСТЭК России, 2016) не ниже 4 класса защиты, «Профиль защиты межсетевых экранов типа «В» четвертого класса защиты. ИТ.МЭ.В4.ПЗ» (ФСТЭК России, 2016), «Требования к средствам контроля съемных машинных носителей информации» (ФСТЭК России, 2014) не ниже 4 класса защиты, «Профиль защиты средств контроля подключения съемных машинных носителей информации четвертого класса защиты» ИТ.СКН.П4.ПЗ (ФСТЭК России, 2014). Комплект должен соответствовать требованиям документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларируемых возможностей» (Гостехкомиссия России, 1999) – не ниже 4 уровня контроля. СЗИ допускает использование в следующих информационных системах: • автоматизированные системы - до класса 1Г (включительно);

которые позволяют контролировать аутентичность и целостность передаваемых данных. o Предусмотрена настройка режима защиты сетевого взаимодействия, при этом должны быть предусмотрены следующие режимы защиты: ? соединение без защиты; ? маркируется каждый пакет; ? подписывается заголовок каждого пакета; ? подписывается каждый пакет целиком. o Возможность ограничивать сетевые соединения по правилам фильтрации: ? на уровне отдельных протоколов из стека TCP/IP; ? на уровне параметров протоколов стека TCP/IP; ? на уровне параметров служебных протоколов стека TCP/IP; ? на уровне периодов времени; ? на уровне пользователей или групп пользователей; ? на уровне параметров прикладных протоколов; ? на уровне исполняемого файла/процесса; ? на уровне сетевого адаптера. o Возможность осуществлять фильтрацию команд, параметров и последовательностей команд, а также обеспечивать блокировку мобильного кода. o Предусмотрен выбор действий для определения реакции системы на срабатывание правил фильтрации: ? регистрация информации в журнале; ? звуковая сигнализация; ? запуск программы или сценария. • Функциональный контроль ключевых компонентов системы. • Регистрация событий безопасности в журнале. o Возможность формирования отчетов по результатам аудита. o Возможность поиска и фильтрации при работе с данными аудита. • Получение отчета по параметрам системы защиты. Требования к централизованному управлению в доменной сети: СЗИ должно предоставлять следующие возможности по управлению системой: • Отображение структуры доменов, организационных подразделений, серверов безопасности и защищаемых компьютеров. • Динамическое отображение состояния каждого защищаемого компьютера с учетом критичности состояния с точки зрения системы защиты. • Отображение тревог, происходящих на защищаемых компьютерах, возможность задать признак того, что тревога обработана администратором безопасности.

• Автоматическое затирание удаляемой информации на локальных и сменных дисках компьютера при удалении пользователем конфиденциальной информации с возможностью настройки количества проходов затирания информации. • Автоматическое затирание оперативной памяти компьютера с возможностью настройки количества проходов затирания информации. • Затирание информации на локальных и сменных дисках по команде пользователя. • Затирание данных и имен файлов, каталогов при удалении информации. • Возможность управления запретом передачи буфера обмена в терминальную (RDP) сессию. • Шифрование контейнеров: o Обеспечивается возможность создания зашифрованных контейнеров (криптоконтейнеров) с возможностью подключения их к системе как виртуальных дисков. o Вся информация, размещаемая в контейнере, должна шифроваться по алгоритму ГОСТ 28147-89. o Ключевая информация для обеспечения шифрования и расшифровки данных в криптоконтейнерах должна размещаться в аппаратных идентификаторах или на съемном USB-носителе. o Возможность выбора размера криптоконтейнера при его создании. o Поддерживается возможность автоматического и ручного подключения криптоконтейнера по команде пользователя. o Доступ к криптоконтейнерам должен регулироваться дискреционными правилами разграничения доступа. • Защита сетевого взаимодействия и фильтрация трафика: o механизмы аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети. o Должны удостоверяться субъекты доступа (пользователи и компьютеры) и защищаемые объекты (компьютеры). o Механизмы должны быть защищены от прослушивания, попыток подбора и перехвата паролей, подмены защищаемых объектов, подмены MAC- и IP-адресов. o предусмотрены механизмы защиты установленных сетевых соединений между субъектами доступа (пользователями и компьютерами) и защищаемыми объектами (серверами и информационными системами) на основе открытых стандартов протоколов семейства IPsec

• Разделение тревог по уровням критичности события и важности отдельных защищаемых компьютеров • Выполнение оперативных команд для немедленного реагирования на инциденты безопасности (заблокировать работу пользователя, выключить компьютер). • Выполнение команд, специфичных для защитных подсистем. • Оперативное управление защищаемыми компьютерами, возможность централизованно изменить параметры работы защищаемого компьютера. • Возможность создавать централизованные политики безопасности, распространяемые на разные (заданные) группы защищаемых компьютеров. • Централизованный сбор журналов безопасности с защищаемых компьютеров, их хранение, возможность обработки и архивирования. • Анализ собранных журналов на наличие заданных угроз безопасности с поддержкой редактирования правил детектирования угроз. • Централизованное управление в сложной доменной сети (domain tree) должно функционировать по иерархическому принципу, при этом система должна позволять: o распространить настройки, заданные для сервера безопасности, на все подчиненные компьютеры (в том числе – по иерархии серверов); o посмотреть состояние и выполнить команду на любом компьютере, подчиненном серверу безопасности (в том числе – по иерархии серверов). • Создавать домены безопасности в территориально распределенной сети, при этом должна предоставляться возможность делегирования административных полномочий лицам, ответственным за подразделения (домены безопасности). Создавать отчеты по ресурсам и параметрам защищаемых компьютеров

o возможность контроля потоков информации в системах терминального доступа при передаче информации между клиентом и сервером по протоколу RDP. • Контроль вывода конфиденциальных данных на печать: o возможность ограничить перечень мандатных меток информации для печати на заданном принтере; o теневое копирование информации, выводимой на печать; o автоматическая маркировка документов, выводимых на печать; o управление грифами (видом маркировки) при печати конфиденциальных и секретных документов. При этом должна быть возможность задать: ? отдельный вид грифа для каждой мандатной метки; ? отдельный вид маркировки для первой страницы документа; ? отдельный вид маркировки для последней страницы документа; ? вид маркировки для оборота последнего листа; o поддержка функции печати в файл; o поддержка управления запретом перенаправления принтеров в терминальных (RDP) сессиях. • Контроль аппаратной конфигурации компьютера и подключаемых устройств: o Контролируются следующие устройства: ? последовательные и параллельные порты; ? локальные устройства; ? сменные, физические и оптические диски; ? программно реализованные диски; ? USB-устройства; ? PCMCIA-устройства; ? IEEE1394 (FireWire)-устройства; ? устройства, подключаемые по шине Secure Digital. o существует возможность задать настройки контроля на уровне шины, класса устройства, модели устройства, экземпляра устройства. o осуществляется контроль неизменности аппаратной конфигурации компьютера с возможностью блокировки при нарушении аппаратной конфигурации. o возможность присвоить устройствам хранения информации мандатную метку. Если метка устройства не соответствует сессии пользователя – работа с устройством хранения должна блокироваться. o осуществляется контроль вывода информации на внешние устройства хранения с возможностью теневого копирования отчуждаемой информации.

Класс программ для электронных вычислительных машин и баз данных - (03.01) Средства защиты от несанкционированного доступа к информации - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с п. 5 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145 «Об утверждении правил формирования и ведения в единой информационной системе в сфере закупок каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд и правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд» дополнительные функциональные, технические, качественные, эксплуатационные характеристики товара указаны в связи с недостаточностью информации, содержащейся в Каталоге товаров, работ, услуг, а так же с целью наиболее полного удовлетворения потребностей Заказчика

- 58.29.29.000 58.29.11.000-00000003 - Программное обеспечение Средство анализа защищенности 1 Требования к механизмам сетевого аудита САЗ 1) САЗ обеспечивает инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в диапазоне от 1 до 65535, идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети. 2) САЗ обнаруживает уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ использует встроенную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. База данных уязвимостей САЗ содержит унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru), база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). САЗ должно осуществлять тестирование на проникновение путем эксплуатации уязвимостей, выявленных и содержащихся в базе данных уязвимостей. 3) САЗ осуществляет поиск уязвимостей автоматизировано или по расписанию, задаваемому оператором. 4) САЗ осуществляет обновление базы данных уязвимостей через сервис обновлений САЗ. 5) САЗ осуществляет подбор паролей по словарю для следующих сетевых сервисов: ftp, http, imap, mssql, mysql, oracle, pop3, postgres, rdp, redis, smb, smtp, snmp, ssh, telnet, vnc. САЗ осуществляет аудит безопасности беспроводных сетей и имитацию атак на них. 7) САЗ осуществляет перехват, анализ и фильтрацию сетевых пакетов локальной и внешней сетей информационной системы и извлечение из сетевого трафика парольной информации (для протоколов ftp, pop3, http, https, telnet), а также, проверку возможности атак подмены MAC-адресов. 8) САЗ обеспечивает контроль за установкой обновлений ОС Microsoft Windows: 7, 8.1, 10, Server 2012, Server 2012-R2, Server 2016 САЗ обеспечивает контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». ... Класс программ для электронных вычислительных машин и баз данных (03.14) Средства обнаружения и/или предотвращения вторжений (атак) Способ предоставления Экземпляр на материальном носителе - - Штука - 1,00 - 60 000,00 - 60 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Средство анализа защищенности 1 Требования к механизмам сетевого аудита САЗ 1) САЗ обеспечивает инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в диапазоне от 1 до 65535, идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети. 2) САЗ обнаруживает уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ использует встроенную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. База данных уязвимостей САЗ содержит унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru), база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). САЗ должно осуществлять тестирование на проникновение путем эксплуатации уязвимостей, выявленных и содержащихся в базе данных уязвимостей. 3) САЗ осуществляет поиск уязвимостей автоматизировано или по расписанию, задаваемому оператором. 4) САЗ осуществляет обновление базы данных уязвимостей через сервис обновлений САЗ. 5) САЗ осуществляет подбор паролей по словарю для следующих сетевых сервисов: ftp, http, imap, mssql, mysql, oracle, pop3, postgres, rdp, redis, smb, smtp, snmp, ssh, telnet, vnc. САЗ осуществляет аудит безопасности беспроводных сетей и имитацию атак на них. 7) САЗ осуществляет перехват, анализ и фильтрацию сетевых пакетов локальной и внешней сетей информационной системы и извлечение из сетевого трафика парольной информации (для протоколов ftp, pop3, http, https, telnet), а также, проверку возможности атак подмены MAC-адресов. 8) САЗ обеспечивает контроль за установкой обновлений ОС Microsoft Windows: 7, 8.1, 10, Server 2012, Server 2012-R2, Server 2016 САЗ обеспечивает контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». Значение характеристики не может изменяться участником закупки САЗ обеспечивает формирование отчетов по результатам проверок в форматах: HTML, PDF, DOC, CSV. 2 Требования к механизмам локального аудита САЗ 1) САЗ осуществляет поиск остаточной информации на различных носителях информации и гарантированное уничтожение информации путем записи случайной последовательности символов поверх стираемой информации, а также записи случайной последовательности символов в освободившееся пространство накопителей на жестких магнитных дисках, накопителей на основе флэш-памяти и съемных носителей информации. 2) САЗ осуществляет локальный подбор паролей по словарю для учетных записей пользователей ОС Microsoft Windows:7, 8.1, 10. 3) САЗ обеспечивает контрольное суммирование заданных файлов, папок, подпапоксъемных носителей и накопителей на жестких магнитных дисках. 4) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа пользователей (локальных и доменных) к выбранным сетевым папкам и объектам файловой системы ОС семейства Windows, в том числе с учетом настроек СЗИ Secret Net Studio, СЗИ Secret Net Studio-C, СЗИ Secret Net 7, СЗИ НСД Dallas Lock 8.0-К, СЗИ НСД Dallas Lock 8.0-С. 5) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа локальных пользователей к выбранным объектам файловой систем ОС специального назначения «Astra Linux Special Edition» 6) САЗ обеспечивает тестирование механизмов очистки оперативной памяти ОС семейства Microsoft Windows, ОС специального назначения «Astra Linux Special Edition» и запоминающих устройств рабочей станции. САЗ должно обеспечивать инвентаризацию программных и технических средств, а именно для каждого IBM PC-совместимого персонального компьютера в используемой локальной сети сохранять информацию о версии ОС, перечень установленного ПО, параметры мониторов, центрального процессора, дисковых устройств, сетевых адаптеров, принтеров, устройств ввода информации (клавиатура, мышь) перечень подключенных USB-накопителей, перечень лицензионных ключей. 8) САЗ обеспечивает контроль работоспособности антивирусного ПО на основе использования EICAR-Test-File Класс программ для электронных вычислительных машин и баз данных (03.14) Средства обнаружения и/или предотвращения вторжений (атак) Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Средство анализа защищенности - 1 Требования к механизмам сетевого аудита САЗ 1) САЗ обеспечивает инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в диапазоне от 1 до 65535, идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети. 2) САЗ обнаруживает уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ использует встроенную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. База данных уязвимостей САЗ содержит унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru), база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). САЗ должно осуществлять тестирование на проникновение путем эксплуатации уязвимостей, выявленных и содержащихся в базе данных уязвимостей. 3) САЗ осуществляет поиск уязвимостей автоматизировано или по расписанию, задаваемому оператором. 4) САЗ осуществляет обновление базы данных уязвимостей через сервис обновлений САЗ. 5) САЗ осуществляет подбор паролей по словарю для следующих сетевых сервисов: ftp, http, imap, mssql, mysql, oracle, pop3, postgres, rdp, redis, smb, smtp, snmp, ssh, telnet, vnc. САЗ осуществляет аудит безопасности беспроводных сетей и имитацию атак на них. 7) САЗ осуществляет перехват, анализ и фильтрацию сетевых пакетов локальной и внешней сетей информационной системы и извлечение из сетевого трафика парольной информации (для протоколов ftp, pop3, http, https, telnet), а также, проверку возможности атак подмены MAC-адресов. 8) САЗ обеспечивает контроль за установкой обновлений ОС Microsoft Windows: 7, 8.1, 10, Server 2012, Server 2012-R2, Server 2016 САЗ обеспечивает контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». - - Значение характеристики не может изменяться участником закупки - САЗ обеспечивает формирование отчетов по результатам проверок в форматах: HTML, PDF, DOC, CSV. 2 Требования к механизмам локального аудита САЗ 1) САЗ осуществляет поиск остаточной информации на различных носителях информации и гарантированное уничтожение информации путем записи случайной последовательности символов поверх стираемой информации, а также записи случайной последовательности символов в освободившееся пространство накопителей на жестких магнитных дисках, накопителей на основе флэш-памяти и съемных носителей информации. 2) САЗ осуществляет локальный подбор паролей по словарю для учетных записей пользователей ОС Microsoft Windows:7, 8.1, 10. 3) САЗ обеспечивает контрольное суммирование заданных файлов, папок, подпапоксъемных носителей и накопителей на жестких магнитных дисках. 4) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа пользователей (локальных и доменных) к выбранным сетевым папкам и объектам файловой системы ОС семейства Windows, в том числе с учетом настроек СЗИ Secret Net Studio, СЗИ Secret Net Studio-C, СЗИ Secret Net 7, СЗИ НСД Dallas Lock 8.0-К, СЗИ НСД Dallas Lock 8.0-С. 5) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа локальных пользователей к выбранным объектам файловой систем ОС специального назначения «Astra Linux Special Edition» 6) САЗ обеспечивает тестирование механизмов очистки оперативной памяти ОС семейства Microsoft Windows, ОС специального назначения «Astra Linux Special Edition» и запоминающих устройств рабочей станции. САЗ должно обеспечивать инвентаризацию программных и технических средств, а именно для каждого IBM PC-совместимого персонального компьютера в используемой локальной сети сохранять информацию о версии ОС, перечень установленного ПО, параметры мониторов, центрального процессора, дисковых устройств, сетевых адаптеров, принтеров, устройств ввода информации (клавиатура, мышь) перечень - подключенных USB-накопителей, перечень лицензионных ключей. 8) САЗ обеспечивает контроль работоспособности антивирусного ПО на основе использования EICAR-Test-File - Класс программ для электронных вычислительных машин и баз данных - (03.14) Средства обнаружения и/или предотвращения вторжений (атак) - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Средство анализа защищенности - 1 Требования к механизмам сетевого аудита САЗ 1) САЗ обеспечивает инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в диапазоне от 1 до 65535, идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети. 2) САЗ обнаруживает уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ использует встроенную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. База данных уязвимостей САЗ содержит унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru), база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). САЗ должно осуществлять тестирование на проникновение путем эксплуатации уязвимостей, выявленных и содержащихся в базе данных уязвимостей. 3) САЗ осуществляет поиск уязвимостей автоматизировано или по расписанию, задаваемому оператором. 4) САЗ осуществляет обновление базы данных уязвимостей через сервис обновлений САЗ. 5) САЗ осуществляет подбор паролей по словарю для следующих сетевых сервисов: ftp, http, imap, mssql, mysql, oracle, pop3, postgres, rdp, redis, smb, smtp, snmp, ssh, telnet, vnc. САЗ осуществляет аудит безопасности беспроводных сетей и имитацию атак на них. 7) САЗ осуществляет перехват, анализ и фильтрацию сетевых пакетов локальной и внешней сетей информационной системы и извлечение из сетевого трафика парольной информации (для протоколов ftp, pop3, http, https, telnet), а также, проверку возможности атак подмены MAC-адресов. 8) САЗ обеспечивает контроль за установкой обновлений ОС Microsoft Windows: 7, 8.1, 10, Server 2012, Server 2012-R2, Server 2016 САЗ обеспечивает контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». - - Значение характеристики не может изменяться участником закупки

САЗ обеспечивает формирование отчетов по результатам проверок в форматах: HTML, PDF, DOC, CSV. 2 Требования к механизмам локального аудита САЗ 1) САЗ осуществляет поиск остаточной информации на различных носителях информации и гарантированное уничтожение информации путем записи случайной последовательности символов поверх стираемой информации, а также записи случайной последовательности символов в освободившееся пространство накопителей на жестких магнитных дисках, накопителей на основе флэш-памяти и съемных носителей информации. 2) САЗ осуществляет локальный подбор паролей по словарю для учетных записей пользователей ОС Microsoft Windows:7, 8.1, 10. 3) САЗ обеспечивает контрольное суммирование заданных файлов, папок, подпапоксъемных носителей и накопителей на жестких магнитных дисках. 4) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа пользователей (локальных и доменных) к выбранным сетевым папкам и объектам файловой системы ОС семейства Windows, в том числе с учетом настроек СЗИ Secret Net Studio, СЗИ Secret Net Studio-C, СЗИ Secret Net 7, СЗИ НСД Dallas Lock 8.0-К, СЗИ НСД Dallas Lock 8.0-С. 5) САЗ обеспечивает формирование и контроль дискреционных и мандатных полномочий доступа локальных пользователей к выбранным объектам файловой систем ОС специального назначения «Astra Linux Special Edition» 6) САЗ обеспечивает тестирование механизмов очистки оперативной памяти ОС семейства Microsoft Windows, ОС специального назначения «Astra Linux Special Edition» и запоминающих устройств рабочей станции. САЗ должно обеспечивать инвентаризацию программных и технических средств, а именно для каждого IBM PC-совместимого персонального компьютера в используемой локальной сети сохранять информацию о версии ОС, перечень установленного ПО, параметры мониторов, центрального процессора, дисковых устройств, сетевых адаптеров, принтеров, устройств ввода информации (клавиатура, мышь) перечень

подключенных USB-накопителей, перечень лицензионных ключей. 8) САЗ обеспечивает контроль работоспособности антивирусного ПО на основе использования EICAR-Test-File

Класс программ для электронных вычислительных машин и баз данных - (03.14) Средства обнаружения и/или предотвращения вторжений (атак) - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с п. 5 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145 «Об утверждении правил формирования и ведения в единой информационной системе в сфере закупок каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд и правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд» дополнительные функциональные, технические, качественные, эксплуатационные характеристики товара указаны в связи с недостаточностью информации, содержащейся в Каталоге товаров, работ, услуг, а так же с целью наиболее полного удовлетворения потребностей Заказчика

- 26.20.40.142 - ПАК ViPNet Coordinator HW 1000 4.x ПАК ViPNet Coordinator HW 1000 4.x Обеспечивать возможность агрегации сетевых интерфейсов ПАК – механизм bonding с поддержкой протокола LACP (802.3ad) 24. Обеспечивать политику качества обслуживания (QoS) приоритетной обработки средствами сервиса дифференцированного обслуживания (DiffServ). 25. Поддерживать протокол динамической маршрутизации OSPF. 26. Обеспечивать взаимодействие с источником бесперебойного питания (наличие UPS-службы). 27. Поддерживать мониторинг по протоколу SNMP (включая асинхронный режим работы SNMP Traps). 28. Поддерживать удаленное администрирование с помощью графического WEB-интерфейса и протокола SSH. 29. Поддерживать ролевую аутентификацию пользователя и администратора. 30. Обеспечивать контроль целостности ПО, программных модулей и данных, осуществляемый путем вычисления контрольных значений; Обеспечивать автоматический прием и обновления справочной и ключевой информации, а также программного обеспечения. Требования к аппаратному обеспечению Криптошлюз удовлетворяют следующим техническим требованиям: – форм-фактор выполнен в виде телекоммуникационного сервера, обеспечивать монтаж в стандартную стойку 19? и имеет высоту не более 1U; – количество сетевых интерфейсов EthernetRJ45 10/100/1000 Мбит/с – не менее 4 (четырех); – Потребляемая мощность не более 140 Вт; – Тепловыделение не более 115 Вт; – Пропускная способность VPN не менее 950 Мбит/с; – Пропускная способность L2 VPN не менее 950 Мбит/с. Интегрированныесервисы: - DNS, NTP, DHCP-сервер – наличие; - DHCP-relay – наличие; - Прокси-сервер – наличие. Требования по сертификации 32. Сертифицирован на соответствие требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС3. 33. Сертифицирован на соответствие требованиям ФСБ России устройствам типа межсетевые экраны 4 класса. Сертифицирован на соответствие требованиям ФСТЭК России Профиль защиты МЭ (тип А четвертого класса защиты. ИТ.МЭ.А4.ПЗ) ... - Товарный знак "ViPNet Coordinator" - Штука - 1,00 - 540 000,00 - 540 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке ПАК ViPNet Coordinator HW 1000 4.x Обеспечивать возможность агрегации сетевых интерфейсов ПАК – механизм bonding с поддержкой протокола LACP (802.3ad) 24. Обеспечивать политику качества обслуживания (QoS) приоритетной обработки средствами сервиса дифференцированного обслуживания (DiffServ). 25. Поддерживать протокол динамической маршрутизации OSPF. 26. Обеспечивать взаимодействие с источником бесперебойного питания (наличие UPS-службы). 27. Поддерживать мониторинг по протоколу SNMP (включая асинхронный режим работы SNMP Traps). 28. Поддерживать удаленное администрирование с помощью графического WEB-интерфейса и протокола SSH. 29. Поддерживать ролевую аутентификацию пользователя и администратора. 30. Обеспечивать контроль целостности ПО, программных модулей и данных, осуществляемый путем вычисления контрольных значений; Обеспечивать автоматический прием и обновления справочной и ключевой информации, а также программного обеспечения. Требования к аппаратному обеспечению Криптошлюз удовлетворяют следующим техническим требованиям: – форм-фактор выполнен в виде телекоммуникационного сервера, обеспечивать монтаж в стандартную стойку 19? и имеет высоту не более 1U; – количество сетевых интерфейсов EthernetRJ45 10/100/1000 Мбит/с – не менее 4 (четырех); – Потребляемая мощность не более 140 Вт; – Тепловыделение не более 115 Вт; – Пропускная способность VPN не менее 950 Мбит/с; – Пропускная способность L2 VPN не менее 950 Мбит/с. Интегрированныесервисы: - DNS, NTP, DHCP-сервер – наличие; - DHCP-relay – наличие; - Прокси-сервер – наличие. Требования по сертификации 32. Сертифицирован на соответствие требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС3. 33. Сертифицирован на соответствие требованиям ФСБ России устройствам типа межсетевые экраны 4 класса. Сертифицирован на соответствие требованиям ФСТЭК России Профиль защиты МЭ (тип А четвертого класса защиты. ИТ.МЭ.А4.ПЗ) Значение характеристики не может изменяться участником закупки Выполнять шифрование и имитозащиту сетевого трафика в соответствии с ГОСТ 28147-89. 4. Шифровать каждый IP-пакет на уникальных симметричных ключах связи с другими VPN-узлами. 5. Поддерживать технологию виртуальных IP-адресов с целью обеспечения связи между защищаемыми сетями с пересекающейся IP адресацией. 6. Обеспечивать функцию сокрытия сетевой структуры VPN сети, которая обеспечивает работу защищенных компьютеров локальной сети (сегмента сети) в VPN от имени одного адреса; 7. Поддерживать прозрачную работу через различные NAT-устройства. 8. Обеспечивать возможность подключения VPN клиентов по протоколам UDP и TCP. 9. Обеспечивать функции сервера IP-адресов для VPN-узлов для регистрации и предоставления информации о текущих IP-адресах и способах подключения VPN-узлов к VPN-сети. 10. Выполнять обработку прикладных протоколов (FTP, DNS, H.323, SCCP (Ciscoskinny), SIP) на защищенных узлах которым назначены виртуальные IP-адреса или для которых выполняется трансляция адресов. 11. Обеспечивать замкнутость среды функционирования криптосредства. 12. Выполнять межсетевое экранирование расшифрованного IP-трафика и IP-трафика, подлежащего шифрованию. 13. Выполнять перехват всего IP-трафика на сетевом уровне модели OSI и блокировать все протоколы, кроме IP. 14. Обеспечивать межсетевое экранирование по совокупности сетевых параметров (сетевой узел, IP, порт, протокол). 15. Фиксировать все события, связанные с фильтрацией IP-трафика, в электронном журнале регистрации IP-пакетов. Принимать централизованные политики безопасности с сервера управления. 17. Выполнять функции DHСP-сервера и агента DHCP-relay. 18. Выполнять функцию DNS-сервера. 19. Выполнять функцию NTP-сервера. 20. Выполнять функцию HTTP-прокси сервера (HTTP, HTTPS). 21. Использовать справочную и ключевую информацию, созданную в ПК управления сетью. Поддерживать работу с виртуальными локальными сетями (VLAN), соответствующими стандарту IEEE 802.1Q. Общие требования В качестве средства криптографической защиты и межсетевого экранирования поставлен программно-аппаратный комплекс (далее – ПАК), который представляет собой интегрированное решение на базе специализированной аппаратной платформы и программного обеспечения (далее – ПО), которое функционирует под управлением адаптированной операционной системы GNU/Linux (далее – криптошлюз). Криптошлюз выполняет следующие функции: 1. Сервер IP-адресов. Функция, которая позволяет обеспечить взаимодействие VPN- узлов. Сервер IP-адресов сообщает сетевым узлам информацию об адресах и параметрах доступа других узлов. Маршрутизатор VPN-пакетов. Функция, которая позволяет обеспечить маршрутизацию транзитного защищенного IP-трафика, проходящего через криптошлюз на другие защищенные узлы. 3. Сервер соединений. Функция, которая обеспечивает соединение клиентов и других криптошлюзов друг с другом кратчайшим путем. 4. VPN-шлюз. Функция, которая позволяет организовать защищенные соединения между узлами локальных сетей и между сегментами сетей с помощью защищенных каналов (туннелей). 5. Транспортный сервер. Функция, которая обеспечивает доставку на сетевые узлы управляющих сообщений, обновлений справочников, ключей и программного обеспечения из программного комплекса (далее – ПК) управления VPN-сетью, а также обмен прикладными транспортными конвертами между узлами. Межсетевой экран. Функция, которая позволяет обеспечить фильтрацию IP-трафика. Одновременно криптошлюз может выполнять функции трансляции адресов для проходящего через него открытого трафика. 7. Сервер открытого Интернета. Функция, которая позволяет обеспечить раздельный доступ защищенных узлов в Интернет и к ресурсам защищенной VPN сети. Функциональные требования Криптошлюз позволяет: 1. Обеспечивать функции прозрачного шифратора протокола IP. Обеспечивать защиту соединения между удаленными сегментами сети на сетевом и канальном уровне модели OSI. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - ПАК ViPNet Coordinator HW 1000 4.x - Обеспечивать возможность агрегации сетевых интерфейсов ПАК – механизм bonding с поддержкой протокола LACP (802.3ad) 24. Обеспечивать политику качества обслуживания (QoS) приоритетной обработки средствами сервиса дифференцированного обслуживания (DiffServ). 25. Поддерживать протокол динамической маршрутизации OSPF. 26. Обеспечивать взаимодействие с источником бесперебойного питания (наличие UPS-службы). 27. Поддерживать мониторинг по протоколу SNMP (включая асинхронный режим работы SNMP Traps). 28. Поддерживать удаленное администрирование с помощью графического WEB-интерфейса и протокола SSH. 29. Поддерживать ролевую аутентификацию пользователя и администратора. 30. Обеспечивать контроль целостности ПО, программных модулей и данных, осуществляемый путем вычисления контрольных значений; Обеспечивать автоматический прием и обновления справочной и ключевой информации, а также программного обеспечения. Требования к аппаратному обеспечению Криптошлюз удовлетворяют следующим техническим требованиям: – форм-фактор выполнен в виде телекоммуникационного сервера, обеспечивать монтаж в стандартную стойку 19? и имеет высоту не более 1U; – количество сетевых интерфейсов EthernetRJ45 10/100/1000 Мбит/с – не менее 4 (четырех); – Потребляемая мощность не более 140 Вт; – Тепловыделение не более 115 Вт; – Пропускная способность VPN не менее 950 Мбит/с; – Пропускная способность L2 VPN не менее 950 Мбит/с. Интегрированныесервисы: - DNS, NTP, DHCP-сервер – наличие; - DHCP-relay – наличие; - Прокси-сервер – наличие. Требования по сертификации 32. Сертифицирован на соответствие требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС3. 33. Сертифицирован на соответствие требованиям ФСБ России устройствам типа межсетевые экраны 4 класса. Сертифицирован на соответствие требованиям ФСТЭК России Профиль защиты МЭ (тип А четвертого класса защиты. ИТ.МЭ.А4.ПЗ) - - Значение характеристики не может изменяться участником закупки - Выполнять шифрование и имитозащиту сетевого трафика в соответствии с ГОСТ 28147-89. 4. Шифровать каждый IP-пакет на уникальных симметричных ключах связи с другими VPN-узлами. 5. Поддерживать технологию виртуальных IP-адресов с целью обеспечения связи между защищаемыми сетями с пересекающейся IP адресацией. 6. Обеспечивать функцию сокрытия сетевой структуры VPN сети, которая обеспечивает работу защищенных компьютеров локальной сети (сегмента сети) в VPN от имени одного адреса; 7. Поддерживать прозрачную работу через различные NAT-устройства. 8. Обеспечивать возможность подключения VPN клиентов по протоколам UDP и TCP. 9. Обеспечивать функции сервера IP-адресов для VPN-узлов для регистрации и предоставления информации о текущих IP-адресах и способах подключения VPN-узлов к VPN-сети. 10. Выполнять обработку прикладных протоколов (FTP, DNS, H.323, SCCP (Ciscoskinny), SIP) на защищенных узлах которым назначены виртуальные IP-адреса или для которых выполняется трансляция адресов. 11. Обеспечивать замкнутость среды функционирования криптосредства. 12. Выполнять межсетевое экранирование расшифрованного IP-трафика и IP-трафика, подлежащего шифрованию. 13. Выполнять перехват всего IP-трафика на сетевом уровне модели OSI и блокировать все протоколы, кроме IP. 14. Обеспечивать межсетевое экранирование по совокупности сетевых параметров (сетевой узел, IP, порт, протокол). 15. Фиксировать все события, связанные с фильтрацией IP-трафика, в электронном журнале регистрации IP-пакетов. Принимать централизованные политики безопасности с сервера управления. 17. Выполнять функции DHСP-сервера и агента DHCP-relay. 18. Выполнять функцию DNS-сервера. 19. Выполнять функцию NTP-сервера. 20. Выполнять функцию HTTP-прокси сервера (HTTP, HTTPS). 21. Использовать справочную и ключевую информацию, созданную в ПК управления сетью. Поддерживать работу с виртуальными локальными сетями (VLAN), соответствующими стандарту IEEE 802.1Q. - Общие требования В качестве средства криптографической защиты и межсетевого экранирования поставлен программно-аппаратный комплекс (далее – ПАК), который представляет собой интегрированное решение на базе специализированной аппаратной платформы и программного обеспечения (далее – ПО), которое функционирует под управлением адаптированной операционной системы GNU/Linux (далее – криптошлюз). Криптошлюз выполняет следующие функции: 1. Сервер IP-адресов. Функция, которая позволяет обеспечить взаимодействие VPN- узлов. Сервер IP-адресов сообщает сетевым узлам информацию об адресах и параметрах доступа других узлов. Маршрутизатор VPN-пакетов. Функция, которая позволяет обеспечить маршрутизацию транзитного защищенного IP-трафика, проходящего через криптошлюз на другие защищенные узлы. 3. Сервер соединений. Функция, которая обеспечивает соединение клиентов и других криптошлюзов друг с другом кратчайшим путем. 4. VPN-шлюз. Функция, которая позволяет организовать защищенные соединения между узлами локальных сетей и между сегментами сетей с помощью защищенных каналов (туннелей). 5. Транспортный сервер. Функция, которая обеспечивает доставку на сетевые узлы управляющих сообщений, обновлений справочников, ключей и программного обеспечения из программного комплекса (далее – ПК) управления VPN-сетью, а также обмен прикладными транспортными конвертами между узлами. Межсетевой экран. Функция, которая позволяет обеспечить фильтрацию IP-трафика. Одновременно криптошлюз может выполнять функции трансляции адресов для проходящего через него открытого трафика. 7. Сервер открытого Интернета. Функция, которая позволяет обеспечить раздельный доступ защищенных узлов в Интернет и к ресурсам защищенной VPN сети. Функциональные требования Криптошлюз позволяет: 1. Обеспечивать функции прозрачного шифратора протокола IP. Обеспечивать защиту соединения между удаленными сегментами сети на сетевом и канальном уровне модели OSI.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

ПАК ViPNet Coordinator HW 1000 4.x - Обеспечивать возможность агрегации сетевых интерфейсов ПАК – механизм bonding с поддержкой протокола LACP (802.3ad) 24. Обеспечивать политику качества обслуживания (QoS) приоритетной обработки средствами сервиса дифференцированного обслуживания (DiffServ). 25. Поддерживать протокол динамической маршрутизации OSPF. 26. Обеспечивать взаимодействие с источником бесперебойного питания (наличие UPS-службы). 27. Поддерживать мониторинг по протоколу SNMP (включая асинхронный режим работы SNMP Traps). 28. Поддерживать удаленное администрирование с помощью графического WEB-интерфейса и протокола SSH. 29. Поддерживать ролевую аутентификацию пользователя и администратора. 30. Обеспечивать контроль целостности ПО, программных модулей и данных, осуществляемый путем вычисления контрольных значений; Обеспечивать автоматический прием и обновления справочной и ключевой информации, а также программного обеспечения. Требования к аппаратному обеспечению Криптошлюз удовлетворяют следующим техническим требованиям: – форм-фактор выполнен в виде телекоммуникационного сервера, обеспечивать монтаж в стандартную стойку 19? и имеет высоту не более 1U; – количество сетевых интерфейсов EthernetRJ45 10/100/1000 Мбит/с – не менее 4 (четырех); – Потребляемая мощность не более 140 Вт; – Тепловыделение не более 115 Вт; – Пропускная способность VPN не менее 950 Мбит/с; – Пропускная способность L2 VPN не менее 950 Мбит/с. Интегрированныесервисы: - DNS, NTP, DHCP-сервер – наличие; - DHCP-relay – наличие; - Прокси-сервер – наличие. Требования по сертификации 32. Сертифицирован на соответствие требованиям ФСБ России к шифровальным (криптографическим) средствам класса КС3. 33. Сертифицирован на соответствие требованиям ФСБ России устройствам типа межсетевые экраны 4 класса. Сертифицирован на соответствие требованиям ФСТЭК России Профиль защиты МЭ (тип А четвертого класса защиты. ИТ.МЭ.А4.ПЗ) - - Значение характеристики не может изменяться участником закупки

Выполнять шифрование и имитозащиту сетевого трафика в соответствии с ГОСТ 28147-89. 4. Шифровать каждый IP-пакет на уникальных симметричных ключах связи с другими VPN-узлами. 5. Поддерживать технологию виртуальных IP-адресов с целью обеспечения связи между защищаемыми сетями с пересекающейся IP адресацией. 6. Обеспечивать функцию сокрытия сетевой структуры VPN сети, которая обеспечивает работу защищенных компьютеров локальной сети (сегмента сети) в VPN от имени одного адреса; 7. Поддерживать прозрачную работу через различные NAT-устройства. 8. Обеспечивать возможность подключения VPN клиентов по протоколам UDP и TCP. 9. Обеспечивать функции сервера IP-адресов для VPN-узлов для регистрации и предоставления информации о текущих IP-адресах и способах подключения VPN-узлов к VPN-сети. 10. Выполнять обработку прикладных протоколов (FTP, DNS, H.323, SCCP (Ciscoskinny), SIP) на защищенных узлах которым назначены виртуальные IP-адреса или для которых выполняется трансляция адресов. 11. Обеспечивать замкнутость среды функционирования криптосредства. 12. Выполнять межсетевое экранирование расшифрованного IP-трафика и IP-трафика, подлежащего шифрованию. 13. Выполнять перехват всего IP-трафика на сетевом уровне модели OSI и блокировать все протоколы, кроме IP. 14. Обеспечивать межсетевое экранирование по совокупности сетевых параметров (сетевой узел, IP, порт, протокол). 15. Фиксировать все события, связанные с фильтрацией IP-трафика, в электронном журнале регистрации IP-пакетов. Принимать централизованные политики безопасности с сервера управления. 17. Выполнять функции DHСP-сервера и агента DHCP-relay. 18. Выполнять функцию DNS-сервера. 19. Выполнять функцию NTP-сервера. 20. Выполнять функцию HTTP-прокси сервера (HTTP, HTTPS). 21. Использовать справочную и ключевую информацию, созданную в ПК управления сетью. Поддерживать работу с виртуальными локальными сетями (VLAN), соответствующими стандарту IEEE 802.1Q.

Общие требования В качестве средства криптографической защиты и межсетевого экранирования поставлен программно-аппаратный комплекс (далее – ПАК), который представляет собой интегрированное решение на базе специализированной аппаратной платформы и программного обеспечения (далее – ПО), которое функционирует под управлением адаптированной операционной системы GNU/Linux (далее – криптошлюз). Криптошлюз выполняет следующие функции: 1. Сервер IP-адресов. Функция, которая позволяет обеспечить взаимодействие VPN- узлов. Сервер IP-адресов сообщает сетевым узлам информацию об адресах и параметрах доступа других узлов. Маршрутизатор VPN-пакетов. Функция, которая позволяет обеспечить маршрутизацию транзитного защищенного IP-трафика, проходящего через криптошлюз на другие защищенные узлы. 3. Сервер соединений. Функция, которая обеспечивает соединение клиентов и других криптошлюзов друг с другом кратчайшим путем. 4. VPN-шлюз. Функция, которая позволяет организовать защищенные соединения между узлами локальных сетей и между сегментами сетей с помощью защищенных каналов (туннелей). 5. Транспортный сервер. Функция, которая обеспечивает доставку на сетевые узлы управляющих сообщений, обновлений справочников, ключей и программного обеспечения из программного комплекса (далее – ПК) управления VPN-сетью, а также обмен прикладными транспортными конвертами между узлами. Межсетевой экран. Функция, которая позволяет обеспечить фильтрацию IP-трафика. Одновременно криптошлюз может выполнять функции трансляции адресов для проходящего через него открытого трафика. 7. Сервер открытого Интернета. Функция, которая позволяет обеспечить раздельный доступ защищенных узлов в Интернет и к ресурсам защищенной VPN сети. Функциональные требования Криптошлюз позволяет: 1. Обеспечивать функции прозрачного шифратора протокола IP. Обеспечивать защиту соединения между удаленными сегментами сети на сетевом и канальном уровне модели OSI.

- 62.09.20.120 - Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - - Условная единица - 1,00 - 70 000,00 - 70 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - -

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - Установка и настройка ПАК ViPNet Coordinator HW 1000 4.x - -

- 58.29.29.000 58.29.11.000-00000003 - Программное обеспечение Kaspersky Kaspersky Стандартный Certified media Pack Russian Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты - Товарный знак "Kaspersky" - Штука - 1,00 - 3 000,00 - 3 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Kaspersky Kaspersky Стандартный Certified media Pack Russian Значение характеристики не может изменяться участником закупки Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Kaspersky - Kaspersky Стандартный Certified media Pack Russian - - Значение характеристики не может изменяться участником закупки - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Kaspersky - Kaspersky Стандартный Certified media Pack Russian - - Значение характеристики не может изменяться участником закупки

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с п. 5 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145 «Об утверждении правил формирования и ведения в единой информационной системе в сфере закупок каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд и правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд» дополнительные функциональные, технические, качественные, эксплуатационные характеристики товара указаны в связи с недостаточностью информации, содержащейся в Каталоге товаров, работ, услуг, а так же с целью наиболее полного удовлетворения потребностей Заказчика

- 62.09.20.120 - Установка и настройка Средства защиты информации vGate R2 Enterprise Установка и настройка Средства защиты информации vGate R2 Enterprise Установка и настройка Средства защиты информации vGate R2 Enterprise - - Условная единица - 2,00 - 15 000,00 - 30 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 2 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Установка и настройка Средства защиты информации vGate R2 Enterprise Установка и настройка Средства защиты информации vGate R2 Enterprise - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Установка и настройка Средства защиты информации vGate R2 Enterprise - Установка и настройка Средства защиты информации vGate R2 Enterprise - -

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Установка и настройка Средства защиты информации vGate R2 Enterprise - Установка и настройка Средства защиты информации vGate R2 Enterprise - -

- 58.29.29.000 58.29.11.000-00000003 - Программное обеспечение Дистрибутив ПО ViPNet Client 4.х Должен включать: 1. Установочный диск с дистрибутивом 2. Формуляры 3. Специальный защитный знак Актуальные сертификаты соответствия требованиям безопасности информации Класс программ для электронных вычислительных машин и баз данных (03.11) Средства защиты каналов передачи данных, в том числе криптографическими методами Способ предоставления Экземпляр на материальном носителе - Товарный знак "ViPNet Client 4.х" - Штука - 1,00 - 3 000,00 - 3 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Дистрибутив ПО ViPNet Client 4.х Должен включать: 1. Установочный диск с дистрибутивом 2. Формуляры 3. Специальный защитный знак Актуальные сертификаты соответствия требованиям безопасности информации Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.11) Средства защиты каналов передачи данных, в том числе криптографическими методами Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Дистрибутив ПО ViPNet Client 4.х - Должен включать: 1. Установочный диск с дистрибутивом 2. Формуляры 3. Специальный защитный знак Актуальные сертификаты соответствия требованиям безопасности информации - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.11) Средства защиты каналов передачи данных, в том числе криптографическими методами - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Дистрибутив ПО ViPNet Client 4.х - Должен включать: 1. Установочный диск с дистрибутивом 2. Формуляры 3. Специальный защитный знак Актуальные сертификаты соответствия требованиям безопасности информации - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.11) Средства защиты каналов передачи данных, в том числе криптографическими методами - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге В соответствии с п. 5 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145 «Об утверждении правил формирования и ведения в единой информационной системе в сфере закупок каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд и правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд» дополнительные функциональные, технические, качественные, эксплуатационные характеристики товара указаны в связи с недостаточностью информации, содержащейся в Каталоге товаров, работ, услуг, а так же с целью наиболее полного удовлетворения потребностей Заказчика

- 74.90.20.143 - Контроль эффективности мер защиты информации Контроль эффективности мер защиты информации В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются: а) контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; б) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; с) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. По результатам контроля эффективности мер защиты информации должны быть подготовлены и выданы следующие документы: 1. Протокол проведения аттестационных испытаний; 2. Заключение по результатам аттестационных испытаний; - - Условная единица - 1,00 - 666 666,67 - 666 666,67

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Контроль эффективности мер защиты информации В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются: а) контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; б) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; с) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. По результатам контроля эффективности мер защиты информации должны быть подготовлены и выданы следующие документы: 1. Протокол проведения аттестационных испытаний; 2. Заключение по результатам аттестационных испытаний; - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Контроль эффективности мер защиты информации - В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются: а) контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; б) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; с) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. По результатам контроля эффективности мер защиты информации должны быть подготовлены и выданы следующие документы: 1. Протокол проведения аттестационных испытаний; 2. Заключение по результатам аттестационных испытаний; - -

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Контроль эффективности мер защиты информации - В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются: а) контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы; анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; б) документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе; с) принятие решения по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, о необходимости доработки (модернизации) ее системы защиты информации. По результатам контроля эффективности мер защиты информации должны быть подготовлены и выданы следующие документы: 1. Протокол проведения аттестационных испытаний; 2. Заключение по результатам аттестационных испытаний; - -

- 74.90.20.143 - Дополнительные аттестационные испытния Дополнительные аттестационные испытания Оценка актуальных угроз безопасности информации, обрабатываемой в ИС : - анализ угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, в части выявления угроз, не включённых в Частную модель угроз безопасности информации при её обработке в ИС; - уточнения или дополнения в Частную модель угроз безопасности информации при её обработке в ИС - - Условная единица - 1,00 - 150 000,00 - 150 000,00

ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОБРАБОТКИ ИНФОРМАЦИИ И ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАНИЯ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Дополнительные аттестационные испытания Оценка актуальных угроз безопасности информации, обрабатываемой в ИС : - анализ угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, в части выявления угроз, не включённых в Частную модель угроз безопасности информации при её обработке в ИС; - уточнения или дополнения в Частную модель угроз безопасности информации при её обработке в ИС - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Дополнительные аттестационные испытания - Оценка актуальных угроз безопасности информации, обрабатываемой в ИС : - анализ угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, в части выявления угроз, не включённых в Частную модель угроз безопасности информации при её обработке в ИС; - уточнения или дополнения в Частную модель угроз безопасности информации при её обработке в ИС - -

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Дополнительные аттестационные испытания - Оценка актуальных угроз безопасности информации, обрабатываемой в ИС : - анализ угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИС, в части выявления угроз, не включённых в Частную модель угроз безопасности информации при её обработке в ИС; - уточнения или дополнения в Частную модель угроз безопасности информации при её обработке в ИС - -

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требование к участникам закупок в соответствии с п. 1 ч. 1 ст. 31 Закона № 44-ФЗ Дополнительные требования Согласно требованиям к содержанию, составу заявки на участие в закупке в соответствии с Законом № 44 ФЗ инструкции по ее заполнению 2. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 3. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202503022000320001000019

Начальная (максимальная) цена контракта: 2 035 666,67

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 252032652661703230100100190010000244

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 31.12.2026

Закупка за счет собственных средств организации: Да

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 20 356,67 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Согласно требованиям к содержанию, составу заявки на участие в закупке в соответствии с Законом № 44 ФЗ инструкции по ее заполнению

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03224643810000000200, л/c 20026Щ81520, БИК 018142016, ОКЦ № 7 СибГУ Банка России//УФК по Республике Бурятия, г Улан-Удэ, к/c 40102810545370000068

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, Респ Бурятия, г. Улан-Удэ, ул. Краснофлотская 2, ГБУ РЦОИ и ОКО"

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 10 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Согласно требованиям к содержанию, составу заявки на участие в закупке в соответствии с Законом № 44 ФЗ инструкции по ее заполнению

Платежные реквизиты для обеспечения исполнения контракта: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Требуется гарантия качества товара, работы, услуги: Да

Срок, на который предоставляется гарантия и (или) требования к объему предоставления гарантий качества товара, работы, услуги: согласно условиям контракта

Информация о требованиях к гарантийному обслуживанию товара:

Требования к гарантии производителя товара:

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 31.12.2026

Закупка за счет собственных средств организации: Да

Документы

Общая информация

Документы

Журнал событий