Номер извещения: 0164200001925003935

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: Электронная торговая площадка «Фабрикант»

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: https://www.fabrikant.ru

Размещение осуществляет: Уполномоченный орган МИНИСТЕРСТВО ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ И ГОСУДАРСТВЕННОГО ЗАКАЗА ТАМБОВСКОЙ ОБЛАСТИ

Наименование объекта закупки: Предоставление неисключительных прав (лицензий), товаров и сертификатов технической поддержки

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503642000019001000074

Контактная информация

Размещение осуществляет: Уполномоченный орган

Организация, осуществляющая размещение: МИНИСТЕРСТВО ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ И ГОСУДАРСТВЕННОГО ЗАКАЗА ТАМБОВСКОЙ ОБЛАСТИ

Почтовый адрес: Российская Федерация, 392000, Тамбовская обл, Тамбов г, Советская, Д.118

Место нахождения: Российская Федерация, 392000, Тамбовская обл, Тамбов г, Советская, Советская ул, Д.118

Ответственное должностное лицо: Кочетова Е. М.

Адрес электронной почты: kem@itc.tambov.gov.ru

Номер контактного телефона: 7-4752-792318

Факс: 7-4752-792300

Дополнительная информация: Вниманию участников контрактной системы! Определение поставщика (подрядчика, исполнителя) осуществляется уполномоченным органом – министерством имущественных отношений и государственного заказа Тамбовской области. Место нахождения уполномоченного органа: Российская Федерация, 392000, Тамбовская обл, Тамбов г, УЛИЦА МОСКОВСКАЯ, 65; почтовый адрес: Российская Федерация, 392000, Тамбовская обл, Тамбов г, УЛИЦА МОСКОВСКАЯ, 65; адрес электронной почты: post@buy.tambov.gov.ru (управление государственного заказа министерства); номер контактного телефона (приемная): +7 (4752) 790461 (управление государственного заказа министерства). Более детальная информация об уполномоченном органе доступна при нажатии на гипертекстовую ссылку наименования уполномоченного органа, размещенную в блоке «Общая информация о закупке» вкладки «Общая информация» экранной формы извещения. Наименование заказчика (заказчиков, в случае проведения совместного конкурса или аукциона) содержится в блоке «Требования заказчика» вкладки «Общая информация» экранной формы извещения; в разделах «Требования заказчиков», «Объект закупки» печатной формы извещения. Информация об адресе электронной почты, номере контактного телефона, ответственном должностном лице заказчика (заказчика - организатора совместной закупки) содержится в блоке «Информация об организации, осуществляющей определение поставщика (подрядчика, исполнителя)» вкладки «Общая информация о закупке» экранной формы извещения; в разделе «Контактная информация» печатной формы извещения. Место нахождения, почтовый адрес заказчика (заказчика - организатора совместной закупки, заказчиков – участников совместной закупки, в случае проведения совместного конкурса или аукциона): в соответствии с разделом 3 информационного паспорта приложения к Требованиям к содержанию, составу заявки на участие в закупке и инструкция по ее заполнению.

Регион: Тамбовская обл

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 12.11.2025 15:39 (МСК)

Дата и время окончания срока подачи заявок: 21.11.2025 07:00 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 21.11.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 25.11.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 8 745 313,36

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 252682903923368290100100730010000244

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. ... Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. ... - Штука - 1,00 - 57 723,33 - 57 723,33

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Значение характеристики не может изменяться участником закупки ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. Значение характеристики не может изменяться участником закупки ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации Значение характеристики не может изменяться участником закупки Программное обеспечение ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования контейнеризации / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. - ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. - ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. - ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. - ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. - ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. - ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки - ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. - ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. - ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования контейнеризации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений.

? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам.

? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов.

? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте.

? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог).

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки.

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь.

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль.

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов.

? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них.

? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки

? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы.

Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию.

? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»).

Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности.

? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования контейнеризации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. ... Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. ... - Штука - 7,00 - 54 723,33 - 383 063,31

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 7 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. Значение характеристики не может изменяться участником закупки ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия на бумажном носителе Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации Значение характеристики не может изменяться участником закупки Программное обеспечение ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования контейнеризации / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. - ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. - ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. - ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. - ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. - ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. - Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки - ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. - ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. - ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования контейнеризации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей.

? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию.

? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит.

? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера.

? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC.

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений.

? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015.

? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов.

? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте.

? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена.

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств.

Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки

? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы.

? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию.

? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»).

? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности.

? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования контейнеризации - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования контейнеризации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. ... Требования к виртуализации ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. ... - Штука - 1,00 - 157 133,33 - 157 133,33

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Значение характеристики не может изменяться участником закупки ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. -Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. Требования к виртуализации ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. Значение характеристики не может изменяться участником закупки ? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра . ? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb). ? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации. ? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации. ? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей. ? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации. ? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях. ? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64. ? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа. ? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением. ? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки. ? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN). Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. Значение характеристики не может изменяться участником закупки ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации Значение характеристики не может изменяться участником закупки Программное обеспечение ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования виртуализации / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. - ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. - ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. - ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. - ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - -Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. - ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. - ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Требования к виртуализации - ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. - - Значение характеристики не может изменяться участником закупки - ? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам. - ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса. - ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра . - ? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb). - ? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса. - ? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. - ? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации. - ? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации. - ? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей. - ? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации. ? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях. - ? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64. - ? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа. - ? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением. - ? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки. ? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN). - Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - - Значение характеристики не может изменяться участником закупки - ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. - ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. - ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования виртуализации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией.

? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам.

? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов.

? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте.

? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог).

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки.

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь.

-Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами:o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей.

? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов.

? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs.

? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Требования к виртуализации - ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. - - Значение характеристики не может изменяться участником закупки

? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам.

? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса.

? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра .

? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb).

? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса.

? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса.

? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации.

? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации.

? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей.

? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации. ? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях.

? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64.

? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа.

? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением.

? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки. ? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN).

Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - - Значение характеристики не может изменяться участником закупки

? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы.

? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию.

? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»).

? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности.

? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия на бумажном носителе ? комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / kit / с правом использования виртуализации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Программное обеспечение ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования виртуализации / арх.64 бит или эквивалент Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. ... - Штука - 2,00 - 152 983,33 - 305 966,66

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 2 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Программное обеспечение ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования виртуализации / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Значение характеристики не может изменяться участником закупки ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. Требования к виртуализации ? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64. Значение характеристики не может изменяться участником закупки ? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа. ? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением. ? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки. ? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN). ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. ? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости. Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра . ? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb). ? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации. ? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации. ? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей. ? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации. ? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях. Требования к контейнеризации ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. Значение характеристики не может изменяться участником закупки ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия на бумажном носителе Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации Значение характеристики не может изменяться участником закупки Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования виртуализации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. - ? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. - ? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов. - ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. - ? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог). - ? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. - ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. - ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Требования к виртуализации - ? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64. - - Значение характеристики не может изменяться участником закупки - ? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа. - ? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением. - ? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки. - ? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN). ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения. - ? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам. - ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости. - Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра . - ? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb). ? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса. - ? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса. - ? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса. - ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации. - ? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации. - ? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей. ? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации. - ? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях. - Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки - ? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - ? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. - ? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности. - ? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Программное обеспечение - ОС Альт СП / 4305 / Лицензия на право использования Альт СП Сервер релиз 10 / бессрочная / ФСТЭК / с правом использования виртуализации / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ? Операционная система должна предоставлять возможность организации сервера сетевой загрузки. ? Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. ? Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений.

? Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. ? Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам.

? Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: o действовать в качестве первичного или вторичного контроллера домена; o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). ? Операционная система должна предоставлять возможность организации трастовых доменов.

? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте.

? Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: o sshd; o DNS; o DHCP; o протокол аутентификации LDAP; o OpenVPN; o SMTP, POP3/IMAP (postfix, dovecot или эквивалент); o межсетевой экран; o проксирование HTTP- и FTP-запросов (squid или эквивалент); o резервное копирование (bacula или эквивалент); o сервер сетевой установки с веб-интерфейсом; o сервер обновлений; o защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов; o веб-сервер; o FTP-сервер; o сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); o сервер печати; o сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); o сервер файлового обмена. ? Операционная система должна предоставлять сервис предоставления удаленного доступа для отдельных приложений или сеансов рабочего стола (Xpra или аналог).

? Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. o ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. o ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. o ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. o ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. o ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. o ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. o ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. o ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. o ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. o ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. o ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки.

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. o ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. o ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. o ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь.

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. o ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов.

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: o ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. o ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). ? Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов.

? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM.

? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Требования к виртуализации - ? Система управления средой виртуализации должна обладать возможностью высокого масштабирования и поддерживать создание и управление виртуальной инфраструктурой со следующими параметрами лимитных значений: o максимальное количество физических серверов (узлов), поддерживаемых в составе кластера высокой доступности — не менее 128; o максимальное количество логических процессоров на хост-сервер — не менее 8192; o максимальный объем ОЗУ памяти на хост-сервер — не менее 32 ТБ; o поддержка в ВМ не менее 240 vCPU; o поддержка в ВМ ОЗУ не менее 4 TБ оперативной памяти; o поддержка объема виртуального диска для одной виртуальной машины не менее 64 TБ; o поддержка в ВМ виртуальных сетевых интерфейсов NICs для одной виртуальной машины не менее 10; o поддержка в ВМ виртуальных адаптеров SATA для одной виртуальной машины не менее 6. ? Система управления средой виртуализации должна предоставлять возможность управления через интерфейс CLI, графический веб-интерфейс, а также интеграцию со сторонним программным обеспечением с помощью REST API. ? Система управления средой виртуализации должна поддерживать технологию Wake-on-LAN. ? Система управления средой виртуализации должна поддерживать режим вложенной виртуализации. ? Система управления средой виртуализации должна обеспечивать создание виртуальных машин (ВМ), их образов и шаблонов для гостевых операционных систем аппаратных архитектур AArch64 (ARMv8) и x86-64. - - Значение характеристики не может изменяться участником закупки

? В составе системы управления средой виртуализации должны быть реализованы штатные графические средства мониторинга. Штатная система мониторинга, встроенная в систему управления виртуализации, должна предоставлять обзор в графическом интерфейсе для следующих ресурсов: o отображать объем всех ресурсов в соотношении к доступным (CPU, RAM, сеть, хранилище); o отображать количество всех виртуальных машин и контейнеров, а также количество запущенных и выключенных экземпляров; o отображать реквизиты объектов виртуальной инфраструктуры: IP-адрес, имя владельца и/или группы, имя хоста, ID (UID); o иметь цветовую дифференциацию объектов в зависимости их статусов и объёмов нагрузки; o обеспечивать возможность подключения дополнительных модулей мониторинга Zabbix, Grafana, Prometheus для получения детализированный информации по развёрнутой виртуальной инфраструктуре, включая низкоуровневые интерфейсы. ? В графическом интерфейсе системы управления средой виртуализации должны быть представлены графические инструменты подключения серверов статистики InfluxDB и Graphite. ? Система управления средой виртуализации должна включать в себя набор инструментов, с отображением их в веб-интерфейсе и в командной строке, для мониторинга и управления S.M.A.R.T. системой для локальных жестких дисков. Набор инструментов для мониторинга и управления S.M.A.R.T. системой должен быть активен и включён по умолчанию и должен выполнять следующие функции: o сканирование дисков каждые 30 минут на наличие ошибок и предупреждений; o отправка сообщений электронной почты пользователю root при обнаружении проблем. При повторе ошибок узел должен отсылать электронное сообщение каждые 24 часа.

? Система управления средой виртуализации иметь штатные инструменты регистрации событий и обеспечивать возможность просмотра истории событий и системных журналов каждого отдельного узла кластера и каждой ВМ в веб-интерфейсе самой системы управления средой виртуализации, включая в себя выполнение заданий резервного копирования или восстановления. Журнал событий должен быть оснащен инструментами фильтрации по дате и времени события, по типу и ID ресурса, инициатору события, типу события, статусу события. ? Система управления средой виртуализации должна поддерживать следующие технологии оптимизации памяти: o Thin Provisioning; o KSM; o Memory balooning; o NUMA. ? Система управления средой виртуализации должна предоставлять возможность создания общего хранилища со следующими функциональными возможностями: o миграция ВМ в реальном масштабе времени; o плавное расширение пространства хранения с множеством узлов; o централизованное резервное копирование; o многоуровневое кэширование данных; o централизованное управление хранением.

? Система управления средой виртуализации должна поддерживать следующие методы организации хранения данных: o ZFS (локальный/over iSCSI); o Каталог; o BTRFS; o NFS; o CIFS; o GlusterFS; o Ceph версий 15 Octopus и 16 Pacific; o OCFS2; o LVM; o LVM-thin; o iSCSI; o Ceph/RBD. ? В системе управления средой виртуализацией должна быть реализована возможность хранить образы ВМ на нескольких локальных хранилищах или в общем хранилище. ? Для хранения всех файлов конфигурации, связанных с системой управления виртуализацией, в системе управления виртуализацией должна быть реализована кластерная файловая система, управляемая базой данных, для хранения файлов конфигурации, реплицируемых в реальном времени на все узлы кластера с помощью corosync. Такая система хранения должна позволять реализовать: o бесшовную репликацию всей конфигурации на все узлы в реальном времени; o строгие проверки согласованности, чтобы избежать дублирования идентификаторов виртуальных машин; o режим «только для чтения», когда узел теряет кворум; o автоматическое обновление конфигурации кластера corosync для всех узлов; o механизм распределенной блокировки.

? В системе управления виртуализацией должна быть обеспечена поддержка подключения к СХД по протоколам FC/iSCSI (поддержка блочного доступа к данным по сети SAN). ? Хранилище в системе управления виртуализацией должно поддерживать несколько типов содержимого: образы виртуальных дисков, ISO-образы компакт-дисков, шаблоны ВМ и контейнеров, корневые каталоги контейнеров. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления виртуализацией должна быть предусмотрена возможность выбора назначения создаваемого хранилища по типу файловой системы и контенту. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализации должна быть предусмотрена возможность управления ограничением дисковой пропускной способностью. Настройка должна быть доступна с помощью графического интерфейса. ? В системе управления средой виртуализацией должны быть реализованы штатные инструменты выбора версии, развертывания, управления и мониторинга Ceph и его отдельных компонент: сервер метаданных (MDS), OSD, клиентов Ceph, пулов Ceph. ? Система управления средой виртуализации должна обеспечивать возможность добавления дополнительных узлов в кластер после его создания. При добавлении узлов в кластер в системе управления виртуализацией должна автоматически обновляться и добавляться информация об узлах в файле настройки кластера. ? Система управления средой виртуализации должна позволять централизованное управление с любого узла дата-центра всеми ресурсами внутри ее контура: o дата-центр; o кластеры; o узлы; o сети; o хранилища; o пулы ресурсов: виртуальные машины, контейнеры, шаблоны; o резервные копии; o пользователи и разрешения.

? Для обеспечения высокой надежности и отказоустойчивости система управления средой виртуализации не должна требовать отдельной установки менеджера управления на отдельную физическую или виртуальную машину. ? Для обеспечения согласованного состояния всех узлов кластера система управления средой виртуализации должна поддерживать режим работы «кворум». ? В графическом интерфейсе системы управления средой виртуализации должно отражаться состояние кворума, а также проверка последнего временного штампа жизнеспособности (heartbeat timestamp). ? Система управления средой виртуализации должна поддерживать режим работы Qdevice и гарантировать кворум с четным числом узлов. ? В системе управления средой виртуализации для всех узлов кластера должен использоваться диспетчер отказоустойчивости — служба, управляющая политиками отказоустойчивости и высокой доступности среды виртуализации, которые описывают сценарий действий для физических и виртуальных ресурсов дата-центра. ? Для обеспечения корректной работы в режиме отказоустойчивости и диспетчера отказоустойчивости в системе управления средой виртуализации должен быть реализован планировщик ресурсов с функцией автоматического анализа утилизации ресурсов и распределения ресурсов согласно заданным политикам.

? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать и применять следующие политики выключения для узлов: o Conditional — режим автоматически определяет, требуется ли выключение или перезагрузка, и соответствующим образом меняет поведение вычислительного узла. o Failover — режим гарантирует, что все службы будут остановлены, но они также будут восстановлены, если текущий узел не будет подключен к сети в ближайшее время. o Freeze — режим гарантирует, что все службы будут остановлены и заморожены и не будут восстановлены до тех пор, пока текущий узел снова не будет подключен к сети. o Migrate — режим инициирует миграцию всех служб, находящихся в данный момент на том узле, на котором запланировано выключение. Настройка режимов должна быть доступна с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать объединение узлов в группы отказоустойчивости для возможности восстановления виртуальных сервисов только на определенных узлах. Настройки таких групп должны обеспечивать указание приоритизации для восстановления виртуальных ресурсов (ВМ или контейнер). Настройки должны быть доступны с помощью графического интерфейса. ? Диспетчер отказоустойчивости в системе управления средой виртуализации должен поддерживать индивидуальные политики отказоустойчивости и применять их к выделенным виртуальным ресурсам (ВМ или контейнер): o ID ресурса — номер ВМ или контейнера; o состояние ресурса при восстановлении — запущен, восстановлен, не требует восстановления, отключен; o количество попыток восстановления; o количество попыток перемещения; o группы отказоустойчивости.

Настройки должны быть доступны с помощью графического интерфейса. ? В системе управления средой виртуализации должен быть реализован «режим обслуживания» с функцией автоматической миграции виртуальных машин. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую мультикластерную инфраструктуру. ? Система управления средой виртуализации должна позволять создавать отказоустойчивую геораспределенную инфраструктуру. ? Система управления средой виртуализации должна позволять настройку сетевых соединений как децентрализованно на уровне узла, так и централизованно на уровне дата-центра .

? В системе управления виртуализацией должны быть реализованы штатные графические инструменты создания и управления сетью со следующими функциями: o создание Linux/OVS Bridge соединений; o создание Linux/OVS Bond соединений; o создание Linux/OVS VLAN соединений; o поддержка алиаса для сетевых соединений; o создание виртуальных разделённых сетевых зон и управление ими; o создание виртуальных сетевых мостов и управление подсетями; o поддержка протоколов IPv4/IPv6; o поддержка виртуальных коммутаторов с технологией VXLAN (Virtual Extensible LAN); o поддержка трансляции сетевых адресов; o поддержка Jumbo frames до 9000; o поддержка маркировки QoS: 802.1p, DSCP; o поддержка проброса PCI устройств (SR-IOV); o поддержка протокола LLDP (Link Layer Discovery Protocol); o поддержка сетевых адаптеров не менее 10/40/100 Гб/сек. ? Система управления средой виртуализации должна позволять использование ВМ и контейнерами как одного моста, так и позволять создание нескольких мостов для разделения сетевых доменов (до 4094 мостов). ? Система управления средой виртуализации должна поддерживать объединение сетевых адаптеров/агрегацию каналов (bonding): циклическая передача (balance-rr), активное резервное копирование (active-backup), XOR (balance-xor), броадкаст (broadcast), IEEE 802.3ad (802.3ad) (LACP), режим адаптивной балансировки нагрузки при передаче (balance-tlb), режим адаптивной балансировки нагрузки (balance-alb). ? Сетевые настройки системы управления виртуализации должны позволять использование тегирования для VLAN. Настройка должна быть доступна с помощью графического интерфейса.

? Система управления средой виртуализации должна быть оснащена штатным фаерволом. Штатный фаервол должен группировать сеть на логические зоны по параметрам: o трафик от/к узлу кластера; o трафик от/к конкретной ВМ. ? Сетевые настройки (в том числе и в графическом интерфейсе системы) должны поддерживать возможность назначения правил фаервола для входящего и/или исходящего трафика: o для всего дата-центра; o для конкретного узла в кластере; o для конкретной ВМ. ? Настройки фаервола системы управления средой виртуализации должны позволять создавать секретные группы или группы безопасности. Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна быть оснащена штатным сервером аутентификации. ? Система управления средой виртуализации должна поддерживать возможность интеграции внешних серверов аутентификации (Active Directory, LDAP, Linux PAM, OpenID) и обеспечивать синхронизацию с ними. Настройка должна быть доступна и в графическом интерфейсе. ? Система управления средой виртуализации должна поддерживать двухфакторную аутентификацию с использованием следующих методов: o TOTP; o Yubikey OTP; o WebAuthn; o одноразовые ключи восстановления. Настройка должна быть доступна с помощью графического интерфейса.

? Система управления средой виртуализации должна определять многоуровневый доступ, используя основанное на ролях управление пользователями и разрешениями для всех объектов (ВМ, хранилищ, узлов и т. д.). Настройки должны быть доступны с помощью графического интерфейса. ? Система управления средой виртуализации должна иметь по умолчанию не менее 12 предопределенных ролей: o Administrator—имеет все привилегии; o NoAccess—нет привилегий (используется для запрета доступа); o Admin—все привилегии, кроме прав на изменение настроек системы; o Auditor—доступ только для чтения; o DatastoreAdmin—создание и выделение места для резервного копирования и шаблонов; o DatastoreUser—выделение места для резервной копии и просмотр хранилища; o PoolAdmin—выделение пулов; o SysAdmin—ACL пользователя, аудит, системная консоль и системные журналы; o TemplateUser—просмотр и клонирование шаблонов; o UserAdmin—администрирование пользователей; o VMAdmin—управление ВМ; o VMUser—просмотр, резервное копирование, настройка CDROM, консоль ВМ, управление питанием ВМ. ? Система управления средой виртуализации должна быть оснащена штатным конструктором ролей и обеспечивать возможность создание новых ролей. Настройка должна быть доступна с помощью графического интерфейса. ? Для оптимизации контроля доступа система управления средой виртуализации должна поддерживать группировку ресурсов (ВМ и хранилищ) в отдельные пулы с возможностью наделения индивидуальными разрешениями. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину как из шаблона, так и без него. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать возможность создавать виртуальную машину с несколькими дисками. Настройка должна быть доступна с помощью графического интерфейса.

? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать возможность задавать настройки многопоточности и ограничения пропускной способности при создании виртуальной машины. Настройка должна быть доступна с помощью графического интерфейса. ? Для обеспечения высокой производительности система управления средой виртуализации должна поддерживать горячее добавление ресурсов vCPU, vRAM, vDisk, USB, vNIC без остановки или перезагрузки ВМ. Настройка должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать как оффлайн-миграцию ВМ, так и живую миграцию. ? Система управления средой виртуализации должна поддерживать следующие действия над ВМ и режимы работы ВМ, в том числе и в графическом интерфейсе: o запуск; o останов; o пауза; o гибернация; o перезагрузка; o сброс. ? Система управления средой виртуализации должна поддерживать доступ к консоли ВМ и манипуляции в ВМ как в отдельном сеансе, так и в веб-интерфейсе самой системы управления средой виртуализации.

? Система управления средой виртуализации должна поддерживать различные варианты копирования ВМ: o полный клон; o связанный клон; o моментальный снимок. ? Система управления средой виртуализации должна поддерживать следующие протоколы для доступа к консоли ВМ: VNC, SPICE, RDP. ? Система управления средой виртуализации должна поддерживать массовые операции над ВМ: миграция, старт, выключение. Опция должна быть доступна с помощью графического интерфейса. ? Система управления средой виртуализации должна поддерживать миграцию и импорт из других платформ и гипервизоров: P2V, V2V (Vmware, Hyper-V, KVM, oVirt) с использованием штатных инструментов самой системы управления средой виртуализации.

? В средстве виртуализации должны быть реализованы следующие функции безопасности: o идентификация и аутентификация субъектов доступа и объектов доступа, в том числе администраторов управления средствами виртуализации; o управление доступом субъектов доступа к объектам, в том числе внутри виртуальных машин; o регистрация событий безопасности; o управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по ее периметру; o управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных; o контроль целостности виртуальной инфраструктуры и ее конфигураций; o резервное копирование данных, резервирование технических средств, программного обеспечения, а также внутренних каналов связи внутри виртуальной инфраструктуры; o сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей. ? В состав дистрибутива операционной системы должен входить следующий комплекс программных компонент для построения виртуальной инфраструктуры: o гипервизор KVM (или эквивалент); o эмулятор аппаратного обеспечения различных платформ QEMU (или эквивалент); o набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt или эквивалент); o гиперконвергентная система управления средой виртуализации с централизованным управлением физическими и виртуальными ресурсами; o система резервного копирования, интегрированная в систему управления средой виртуализации.

? В состав дистрибутива операционной системы для обеспечения корректного функционирования современных средств виртуализации должны входить следующие компоненты: o ядро LTS не ниже 6.1.114; o systemd версии не ниже 249.17; o qemu версии не ниже 8.2; o libvirt версии не ниже 9.7; o corosync версии не ниже 3.1.8; o pacemaker версии не ниже 2.1.7; o keepalived версии не ниже 2.2.8; o Ceph версии не ниже 17.2; o Gluster версии не ниже 9.3. Требование к версионности компонентов аргументируется наличием необходимого функционала и закрытыми уязвимостями в данных версиях.

Требования к контейнеризации - ? Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: o изоляция контейнеров; o выявление уязвимостей в образах контейнеров; o проверка корректности конфигурации контейнеров; o контроль целостности контейнеров и их образов; o регистрация событий безопасности; o управление доступом; o идентификация и аутентификация пользователей; o централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. ? Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. ? Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - - Значение характеристики не может изменяться участником закупки

? Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: o создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; o обновление средства контейнеризации и образов контейнеров из реестра вендора; o чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; o анализ возникающих событий безопасности в целях выявления инцидентов безопасности; o оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: o изоляция пространств идентификаторов процессов; o изоляция пространств имен для межпроцессного взаимодействия; o изоляция пространств имен для пользователей и групп; o изоляция пространств имен хостов и доменов; o изоляция сетевых пространств имен; o изоляция пространств имен для иерархии каталогов. ? В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы.

? Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: o аутентификация пользователей по паролю; o пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; o средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; o при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; o при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; o разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; o защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; o средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; o средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; o пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. o указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию.

? Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: o выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; o оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; o средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; o возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; o запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»).

? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: o контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; o информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; o контролировать целостность параметров настройки средства контейнеризации; o контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; o контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; o блокировать запуск образа контейнера при нарушении его целостности. ? Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: o обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; o оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; o выполнять действия, являющиеся реакцией на инциденты безопасности; o осуществлять сбор и хранение записей в журнале событий безопасности.

? Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: o для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; o записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; o должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; o журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой; o регистрации подлежат следующие события безопасности: ? неуспешные попытки аутентификации пользователей средства контейнеризации; ? создание, модификация и удаление образов контейнеров; ? получение доступа к образам контейнеров; ? запуск и остановка контейнеров с указанием причины остановки; ? изменение ролевой модели; ? модификация запускаемых контейнеров; ? выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; ? факты нарушения целостности объектов контроля. o должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, cерверная, бессрочная, с правом использования виртуализации - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования (Требования к системному программному обеспечению) ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ... Функциональные требования (Требования к прикладному программному обеспечению) Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). ... - Штука - 1,00 - 22 266,67 - 22 266,67

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования (Требования к системному программному обеспечению) ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. Значение характеристики не может изменяться участником закупки ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана. ? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети. ? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы. На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC. o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. Функциональные требования (Требования к прикладному программному обеспечению) Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). Значение характеристики не может изменяться участником закупки Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент). ? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия на бумажном носителе ? Комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная Значение характеристики не может изменяться участником закупки Программное обеспечение ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / kit / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования (Требования к системному программному обеспечению) - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - - Значение характеристики не может изменяться участником закупки - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. - ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. - ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - ? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана. ? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками. - ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети. - ? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы. - На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC. - o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Функциональные требования (Требования к прикладному программному обеспечению) - Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). - - Значение характеристики не может изменяться участником закупки - Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент). - ? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия на бумажном носителе ? Комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / kit / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования (Требования к системному программному обеспечению) - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - - Значение характеристики не может изменяться участником закупки

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России.

? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей.

? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015.

? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана. ? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками.

? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети.

? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы.

На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC.

o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г.

? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Функциональные требования (Требования к прикладному программному обеспечению) - Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). - - Значение характеристики не может изменяться участником закупки

Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент).

? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия на бумажном носителе ? Комплект дисков и документации (формуляр, копия сертификата, эксплуатационная документация, уникальный номер комплекта). - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / kit / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования (Требования к системному программному обеспечению) ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. ... Функциональные требования (Требования к прикладному программному обеспечению) Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. ... - Штука - 3,00 - 19 266,67 - 57 800,01

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 3 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Общие требования ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Функциональные требования (Требования к системному программному обеспечению) ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. Значение характеристики не может изменяться участником закупки ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности. ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов. ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана. ? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети. ? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы. На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC. o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. Функциональные требования (Требования к прикладному программному обеспечению) Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. Значение характеристики не может изменяться участником закупки -Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент). ? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению. Нефункциональные требования ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Комплектность поставки Лицензия на бумажном носителе Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная Значение характеристики не может изменяться участником закупки Программное обеспечение ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / арх.64 бит или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Функциональные требования (Требования к системному программному обеспечению) - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - - Значение характеристики не может изменяться участником закупки - ? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности. - ? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов. - ? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов. - ? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана. - ? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). - При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети. - ? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы. - На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC. - o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - ? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Функциональные требования (Требования к прикладному программному обеспечению) - Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. - - Значение характеристики не может изменяться участником закупки - -Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент). - ? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению. - Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Общие требования - ? Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классу «операционные системы». ? Операционная система должна соответствовать требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). ? Операционная система должна соответствовать Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022, приказ № 187) по 4 классу защиты. ? Операционная система должна соответствовать требованиям по безопасности информации в соответствии с документом «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023, приказ № 64) по 4 классу защиты. ? Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. ? Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Функциональные требования (Требования к системному программному обеспечению) - ? Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3), должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. ? Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM и UEFI (с включенным механизмом SecureBoot). ? Операционная система должна иметь в составе ядро не ниже 6.1 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. ? Операционная система должна предоставлять пользователю графическую среду MATE или аналог. ? Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). ? Операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. ? Операционная система должна обладать русифицированным интерфейсом, а также предоставлять эксплуатационную документацию на русском языке. ? Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - - Значение характеристики не может изменяться участником закупки

? Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. ? Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. ? Операционная система должна иметь возможность установки в безопасном режиме для отладки проблем с поддержкой оборудования. ? Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ? Операционная система должна предоставлять выбор основных и дополнительных приложений в момент установки: клиенты домена, инструменты применения и управления групповыми политиками, инструменты управления виртуальными машинами, инструменты контроллера событий безопасности.

? Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. ? Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. ? Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. ? Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. ? Операционная система должна предоставлять возможность ограничения пользователя в части выполняемых программ, заданных администратором (режим «киоск»). ? Операционная система должна обеспечивать возможность настройки в графическом интерфейсе ограничений на использование USB-устройств и доступа к их файловой системе с привязкой к идентификатору пользователя или группы пользователей. ? Операционная система должна включать приложение для мониторинга ресурсов.

? Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: o настройка даты и времени; o управление системными службами; o просмотр системных журналов; o конфигурирование сетевых подключений и межсетевого экрана; o установка обновлений, в том числе для компьютеров без доступа в интернет; o управление выключением удаленного компьютера; o управление пользователями; o настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. ? Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: o отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации и процессы изменения данных аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; o поддержка изоляции временных пользовательских файлов.

? Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. ? Операционная система должна предоставлять графические средства для ограничения пользователей по запуску программ, а также потребления ресурсов. ? Операционная система должна предоставлять администратору возможность ограничения действий пользователей в консолях. ? Операционная система должна предоставлять возможность ограничения числа параллельных сеансов доступа для учетной записи пользователя или групп пользователей информационной системы. ? Операционная система должна предоставлять возможность блокировки макросов в приложениях, запрет на запуск выбранных интерпретаторов в интерактивном режиме, отключение возможности создания ссылок на файлы в выбранных каталогах. ? Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна предоставлять возможность авторизации по смарт-картам. ? Операционная система должна предоставлять возможность восстановления настроек предыдущего сеанса пользователя после выхода из системы или перезагрузки компьютера. ? Операционная система должна предоставлять пользователю преднастроенную виртуальную (экранную) клавиатуру для авторизации в системе и при разблокировке экрана.

? Операционная система должна иметь возможность ввода в домен Samba-DC или Active Directory с поддержкой следующего функционала: o аутентификация рабочих станций; o авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); o поддержка ролей и привилегий (назначение ролей группам); o групповые политики (GPO). Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять графический инструмент для работы с доменами Samba-DC, Active Directory и групповыми политиками. ? При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Настройка установки программного обеспечения из репозитория. o Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. o Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. o Управление ярлыками для компьютера или пользователей. o Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd).

При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: o Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. o Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. o Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). o Управление настройками приложений через ini-файлы. o Управление интервалом времени применения групповой политики. o Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. o Возможность принудительного выполнения политики на клиенте. ? Операционная система должна обеспечивать пользователю возможность предоставлять доступ к файлам и каталогам своего компьютера, публиковать папки в локальной сети.

? На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки фона рабочего стола Mate: ? установка картинки в качестве фона рабочего стола; ? установка метода отображения картинки фона рабочего стола; ? установка типа градиента фона рабочего стола; ? установка начального цвета градиента рабочего стола; ? установка конечного цвета градиента рабочего стола. ? установка типа градиента. o Настройки хранителя экрана Mate: ? установка режима работы хранителя экрана; ? включение/выключение блокировки компьютера при активации хранителя экрана; ? установка времени, по прошествии которого с момента активации хранителя экрана будет заблокирован компьютер; ? включение/выключение возможности пользователю завершить сеанс после активации хранителя экрана с блокировкой сеанса; ? установка времени с момента активации хранителя экрана до появления возможности пользователю выйти из системы; ? установка времени для смены тем хранителя экрана; ? включение/выключение возможности смены пользователя после активации хранителя экрана с блокировкой сеанса; ? включение/выключение активации хранителя экрана при бездействии системы.

На компьютерах с установленной операционной системой должна быть обеспечена возможность функционирования следующих групповых политик: o Настройки клавиатуры ? блокировка/установка задержки перед повтором; ? включение/выключение повтора удерживаемой клавиши; ? установка скорости повтора. o Ограничения действий пользователя Mate: ? включение/выключение запрета пользователю завершать сеанс; ? включение/выключение запрета смены пользователя; ? включение/выключение запрета изменения темы рабочего стола; ? включение/выключение запрета блокировки компьютера. o Настройки удаленного доступа по протоколу VNC через Vino: ? включение/выключение удаленного доступа по VNC; ? включение/выключение удаленного управления по VNC; ? включение/выключение подтверждения доступа по VNC; ? установка режима отображения статуса подключения по VNC с помощью иконки; ? включение/выключение возможности доступа по VNC через альтернативный порт; ? установка номера альтернативного порта для доступа по VNC; ? установка метода аутентификации для подключения по VNC.

o Настройка оконного менеджера включая возможность выбора шрифта заголовка окна, оформление окном, управление фокусом (поднятие наверх окна, получившего фокус), действие по двойному щелчку по заголовку, количество рабочих областей и т.п. ? Операционная система должна иметь возможность интеграции в домен FreeIPA, функционал должен включать поддержку групповых политик. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. ? Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. ? Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. ? Операционная система должна реализовывать базовый функционал межсетевого экрана. ? Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. ? Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. ? Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. ? Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. ? Операционная система должна предоставлять утилиту для создания и проверки электронной подписи. ? Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г.

? Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления (virt-manager или аналог). ? Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, а также iso9660, fat16, fat32, ntfs. ? Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). ? Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Пользователю должна быть предоставлена графическая оболочка для работы с пакетами. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра с помощью графических утилит. ? Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. ? Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Должна быть реализована поддержка пакетных менеджеров rpm, deb, tgz, tbz, tbz2, pkg.gz. ? Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать и устанавливаться по умолчанию пакет с отечественными корневыми сертификатами шифрования. ? Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Функциональные требования (Требования к прикладному программному обеспечению) - Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Браузер для веб-навигации а также доступа к клиентскому программному обеспечению по клиент-серверной технологии в режиме терминала (Firefox, Сhromium или эквивалент). Должна предоставляться возможность пользоваться ЭП из браузера при условии дополнительной установки криптопровайдера. ? Клиент электронной почты с поддержкой функций адресной книги и интегрированным планировщиком задач (Thunderbird или эквивалент). ? Программу для обмена мгновенными сообщениями с поддержкой протокола XMPP (Pidgin или эквивалент). Должна быть обеспечена возможность одновременного подключения к нескольким учетным записям. ? Текстовый редактор — предназначенный для создания и редактирования текстов, как минимум, на русском и английском языках с функциями проверки соответствующих правил орфографии и синтаксиса, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): DOC, DOCX, RTF, TXT, ODT, PDF, HTM, HTML, XML (LibreOffice Writer или эквивалент). ? Редактор электронных таблиц — предназначенный для создания и редактирования электронных таблиц с возможностью математической обработки данных и создания их графического представления в виде диаграмм и графиков, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): XLS, XLSX, ODS, CSV, XML (LibreOffice Calc или эквивалент). ? Редактор формул (LibreOffice Math или эквивалент). ? Редактор мультимедийных презентаций — предназначенный для создания и редактирования мультимедийных презентаций, с поддержкой (чтение, запись, хранение, обеспечение редактирования) как минимум следующих форматов данных (файлов): PPT, PPTX, ODP (LibreOffice Impress или эквивалент). ? Графический редактор (LibreOffice Draw или эквивалент). ? Графическая утилита для подключения удаленных USB-устройств по протоколу TCP/IP. - - Значение характеристики не может изменяться участником закупки

-Операционная система должна предоставлять набор прикладного ПО для установки из образа: ? Программу для работы с базами данных (LibreOffice Base или эквивалент). ? Защищенную СУБД. ? ПО для просмотра документов в форматах PDF, DjVu, PostScript, TIFF, CHM с поддержкой режима рецензирования (atril или эквивалент). ? Файловый менеджер для создания, открытия/проигрывания/просмотра, редактирования, перемещения, переименования, копирования, удаления, изменения атрибутов и свойств, поиска файлов и назначения прав (Caja или эквивалент). ? Приложения для работы с растровой и векторной графикой: o для просмотра изображений (глаз MATE или эквивалент); o для создания снимков экрана (MATE screenshot или эквивалент); o для создания и редактирования графических цифровых образов, моделей и изображений, цифровой живописи, с поддержкой (чтение, запись, хранение, редактирование) как минимум следующих форматов данных (файлов): JPG, JPEG, TIF, TIFF, PNG, PDF, BMP, GIF, включая автоматическую обработку изображений (GIMP или эквивалент); o для создания художественных и технических иллюстраций в формате векторной графики, совместимый со стандартами XML, SVG и CSS (Inkscape или эквивалент). ? Программное обеспечение для сканирования и распознавания текста (gImageReader или эквивалент). ? Приложения для создания диаграмм (Dia или эквивалент). ? Приложения для сканирования документов (XSane или эквивалент).

? Приложения для работы с мультимедийными объектами: o для воспроизведения звуковых файлов (Audacity или эквивалент); o для воспроизведения и обработки видеофайлов в форматах AVI, MPEG, MP4/MOV, OGM, ASF/WMV, VOB, MKV и FLV (медиаплеер VLC или эквивалент). ? ПО для работы с архивами, интегрированное с файловым менеджером, с поддержкой работы с многотомными архивами и шифрованными архивами, с поддержкой форматов rar, arj, zip, tar.bz2, tar.gz, 7z (Engrampa или эквивалент). ? Операционная система должна предоставлять возможность установки клиента vdi для подключения к свободным реализациям систем виртуализации (ovirt, PVE, OpenNebula, openStack) и получения доступа к виртуальному рабочему окружению.

Нефункциональные требования - ? Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). ? Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. ? Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - Лицензия на бумажном носителе - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - ОC Альт СП / 4305 / Лицензия на право использования Альт СП Рабочая станция релиз 10 / бессрочная / ФСТЭК / арх.64 бит или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ... Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. ... - Штука - 1,00 - 20 266,67 - 20 266,67

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Значение характеристики не может изменяться участником закупки Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. Значение характеристики не может изменяться участником закупки ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. Значение характеристики не может изменяться участником закупки ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями; o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети; Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений; ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора. ? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины. ? Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов. Правовая безопасность Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. Значение характеристики не может изменяться участником закупки Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи диск Значение характеристики не может изменяться участником закупки Программное обеспечение Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.11) Мобильная операционная система Значение характеристики не может изменяться участником закупки (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки - Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. - - Значение характеристики не может изменяться участником закупки - ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). - ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. - Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; - Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями; o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети; - Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений; ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора. - ? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. - ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины. ? Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов. - Правовая безопасность - Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. - - Значение характеристики не может изменяться участником закупки - Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи диск - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки

Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. - - Значение характеристики не может изменяться участником закупки

? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul).

? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена.

Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. - - Значение характеристики не может изменяться участником закупки

? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы;

Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями; o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети;

Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений; ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора.

? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи.

? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины. ? Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов.

Правовая безопасность - Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. - - Значение характеристики не может изменяться участником закупки

Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи диск - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ... Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); ... - Штука - 79,00 - 19 850,00 - 1 568 150,00

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 79 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Значение характеристики не может изменяться участником закупки Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. Значение характеристики не может изменяться участником закупки ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); Значение характеристики не может изменяться участником закупки ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями; Операционная система должна обеспечивать функционал в графическом исполнении:o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети; o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений; -Операционная система должна обеспечивать функционал в графическом исполнении: ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора. ? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины. Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов. Правовая безопасность ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером Значение характеристики не может изменяться участником закупки Комплектность поставки Лицензия в электронном виде Значение характеристики не может изменяться участником закупки Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи электронный Значение характеристики не может изменяться участником закупки Программное обеспечение Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.11) Мобильная операционная система Значение характеристики не может изменяться участником закупки (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки - Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. - - Значение характеристики не может изменяться участником закупки - ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). - ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. - Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями; - Операционная система должна обеспечивать функционал в графическом исполнении:o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети; o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений; - -Операционная система должна обеспечивать функционал в графическом исполнении: ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора. ? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. - ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины. - Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов. - Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - Лицензия в электронном виде - - Значение характеристики не может изменяться участником закупки - Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи электронный - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Oперационная система должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки

Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. - - Значение характеристики не может изменяться участником закупки

? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификацию устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна включать в состав графические средства настройки контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов. ? Операционная система должна обеспечивать возможность блокировки: o запуска исполняемых файлов, включая EXE и загрузки библиотек в том числе DLL, .NET 7/8, целостность которых нарушена; o открытия файлов, в том числе пустых, и самораспаковывающихся 7Z архивов, установленных на контроль, при нарушении их целостности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul).

? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Операционная система должна иметь средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена.

Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графических средств создания, настройки и управления несколькими репозиториями используемого программного обеспечения со следующим функционалом: ? проверка зависимостей пакетной базы; ? автоматическая публикация в сети по протоколам http и ftp; ? выбор конкретных репозиториев, из которых будет произведено обновление пакетов; o наличие средств подключения к операционной системе по протоколу RDP, со следующими возможностями по умолчанию: ? вход в сессию локально, а затем подключение к этой сессии удаленно с автоматической блокировкой доступа к сессии локально и возможностью одновременной работы локально в графической сессии из-под другого пользователя; ? вход в сессию удаленно, а затем подключение к этой сессии локально при входе в систему с автоматическим отключением удаленного клиента; ? проброс нескольких смарт-карт или токенов (eToken, Рутокен, JaCarta) с возможностью их одновременного использования на сервере и клиенте. o наличие графической утилиты управления драйверами nvidia, intel, amd с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке операционной системы; o наличие графических средств настройки выделяемых ресурсов памяти пользователям (квоты); - - Значение характеристики не может изменяться участником закупки

? Операционная система должна обеспечивать функционал в графическом исполнении: o наличие графического инструмента для редактирования значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o наличие графических средств настройки и изменения ориентации экрана в ручном или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; o наличие графического инструмента управления регистрацией событий, включающего в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, наличие графического средства просмотра системных событий; o наличие графических средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания автоматизированного рабочего места); o наличие графических средств настройки потребления электроэнергии (яркость экрана, потухание, выключение монитора, переход в ждущий режим, сон и гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); o наличие графических средств монтирования usb устройств по сети (usbip или аналог) для подключения к нескольким персональным компьютерам; o наличие графических средств настройки одновременной работы нескольких сотрудников на одном персональном компьютере с разделяемыми профилями; o наличие графических средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и для отправки в службу сопровождения диагностических данных о работе системы; o наличие графических средств запуска работы с удалёнными, отдельными и вложенными графическими сессиями;

Операционная система должна обеспечивать функционал в графическом исполнении:o наличие графических средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение автоматизированного рабочего места, перехода в энергосберегающие режимы) с настройкой уведомления о событии; o наличие графических средств запуска приложений с изменением приоритета выполнения с возможностью запуска от имени другого пользователя; o наличие графических средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); o наличие графических средств расчёта контрольных сумм файлов и их сравнения; o наличие графических средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o наличие графических средств для оповещения пользователя о конфликте IP-адресов при подключении к сети; o наличие графических средств настройки системы, в том числе: ? установки и синхронизация времени; ? управления пользователями; ? просмотра системных журналов; ? настройки и обслуживания принтеров; o наличие графических средств настройки цветового баланса для каждого монитора по отдельности; o наличие возможности присвоить пользовательские наименования звуковым устройствам при помощи графического интерфейса; o наличие графических средств ввода в домен, в том числе с возможностью добавить компьютер в нужное подразделение (OU, Organizational Unit) для клиента Active Directory; o наличие графического центра уведомлений на рабочем столе с следующими возможностями: ? настройка расположения уведомлений;

-Операционная система должна обеспечивать функционал в графическом исполнении: ? возможность индивидуальных настроек для конкретных приложений; ? настройка отображения уведомлений на экране блокировке и при разблокировки; o наличие графических инструментов глобального поиска по расположению, содержимому, времени создания или изменения, размеру файла, с отображением результатов поискового запроса в интерактивном окне со следующими возможностями: ? группировки и фильтрации результатов по найденным категориям (файлы, приложения, папки, архивы); ? отображения свойств найденных файлов (имя, тип, путь, размер); o наличие графического инструмента для настройки частот процессора. ? Операционная система должна поддерживать следующий функционал: o графический интерфейс, адаптированный под использование на портативных устройствах с поддержкой управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран) с возможностью автоматического отключения при подключении мышки; o возможность подключения к сети wi-fi до входа в систему, а также аутентификация в сети wi-fi с использованием смарт-карты; o наличие в репозитории операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных; o возможность ввода аутентификационных данных пользователя при входе в систему и при разблокировке экрана с использованием виртуальной клавиатуры без необходимости дополнительных настроек. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы.

? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а так же иметь возможность возврата к состоянию до начала установки обновлений. ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o возможность автоматической установки при помощи файла конфигурации формата .yaml; o возможность задания параметров для администратора и нескольких локальных пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна предоставлять инструмент для обновления между мажорными версиями с сохранением настроек операционной системы и ПО. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировать отображаемые виртуальные машины.

Операционная система должна предоставлять специальные возможности: o экранный диктор и синтезатор речи для русского языка; o голосовой ввод; o настройка визуальных и звуковых уведомлений на события, связанные со специальными возможностям; o настройка залипающих, замедленных и прыгающих клавиш; o настройка управления курсором мыши с помощью цифровой клавиатуры. ? Дополнительные функциональные компоненты: o клиентское ПО, для осуществления подключения по протоколу RDP; o агенты служб централизованного управления системой; o приложение для сканирования документов с возможностью пропуска пустых страниц и с сохранением размера области сканирования; o средство просмотра и редактирования файлов .pdf; o средство для эмуляции запуска исполняемых файлов .exe; o средства просмотра и редактирования графики и изображений; o средство оптического распознавания символов.

Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком ПО или его партнером - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - Лицензия в электронном виде - - Значение характеристики не может изменяться участником закупки

Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для рабочей станции, бессрочная, способ передачи электронный - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для рабочей станции, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ... Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ... Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ... - Штука - 1,00 - 61 333,33 - 61 333,33

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Значение характеристики не может изменяться участником закупки ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. Значение характеристики не может изменяться участником закупки ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. ? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8. Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. Значение характеристики не может изменяться участником закупки ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3. ? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент. Правовая безопасность ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. Значение характеристики не может изменяться участником закупки Комплектность поставки ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. Значение характеристики не может изменяться участником закупки Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи диск Значение характеристики не может изменяться участником закупки Программное обеспечение Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.11) Мобильная операционная система Значение характеристики не может изменяться участником закупки (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. - - Значение характеристики не может изменяться участником закупки - ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. ? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. - ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8. - Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3. - ? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент. - Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. - - Значение характеристики не может изменяться участником закупки - Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи диск - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки

? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты.

Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. - - Значение характеристики не может изменяться участником закупки

? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. ? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН.

? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8.

Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. - - Значение характеристики не может изменяться участником закупки

? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3.

? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент.

Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - ? Лицензия в электронном виде ? В поставку должен входить следующий комплект: o Верифицированный дистрибутив и комплект документации; o Копия сертификата (при наличии); o Формуляр. - - Значение характеристики не может изменяться участником закупки

Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи диск - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи диск, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; ... Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. ... Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. ... - Штука - 5,00 - 60 800,00 - 304 000,00

ТАМБОВСКОЕ ОБЛАСТНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "РЕГИОНАЛЬНЫЙ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИЙ ЦЕНТР" - 5 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Требования соответствия законодательным и нормативным документам ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; Значение характеристики не может изменяться участником закупки o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. Требования к встроенному комплексу средств защиты информации операционной системы ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. Значение характеристики не может изменяться участником закупки ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. ? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8. Требования к функциональным возможностям операционной системы ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. Значение характеристики не может изменяться участником закупки ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3. ? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент. Правовая безопасность ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. Значение характеристики не может изменяться участником закупки Комплектность поставки Лицензия в электронном виде Значение характеристики не может изменяться участником закупки Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. Значение характеристики не может изменяться участником закупки Характеристика лицензии Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи электронный Значение характеристики не может изменяться участником закупки Программное обеспечение Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент Участник закупки указывает в заявке конкретное значение характеристики Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.11) Мобильная операционная система Значение характеристики не может изменяться участником закупки (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; - - Значение характеристики не может изменяться участником закупки - o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. - Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена. - ? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul). - ? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8. - Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. - - Значение характеристики не может изменяться участником закупки - ? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3. - ? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент. - Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. - - Значение характеристики не может изменяться участником закупки - Комплектность поставки - Лицензия в электронном виде - - Значение характеристики не может изменяться участником закупки - Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки - Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи электронный - - Значение характеристики не может изменяться участником закупки - Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики - Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Требования соответствия законодательным и нормативным документам - ? Операционная система должна соответствовать требованиям Постановления Правительства РФ от 23.12.2024 № 1875 «О мерах по предоставлению национального режима при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, закупок товаров, работ, услуг отдельными видами юридических лиц». ? Эксплуатационная документация на операционную систему должна раскрывать сведения о средствах и способах реализации функций безопасности, предусмотренных требованиями нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты. ? Операционная система должна иметь подтверждение возможности её применения для построения информационных (автоматизированных) систем, обрабатывающих информацию ограниченного доступа, и реализации функций безопасности в виде сертификатов соответствия ФСТЭК России требованиям нормативных документов: o «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); o «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); o «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня; o «Требования по безопасности информации к средствам виртуализации» (ФСТЭК России, 2022) не ниже 4 класса защиты; o «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты; - - Значение характеристики не может изменяться участником закупки

o «Требования по безопасности информации к системам управления базами данных» (ФСТЭК России, 2023) не ниже 4 класса защиты.

Требования к встроенному комплексу средств защиты информации операционной системы - ? Операционная система должна обеспечивать встроенными сертифицированными средствами: o идентификацию и аутентификацию пользователей; o управление средствами аутентификации; o управление учетными записями пользователей, разграничение полномочий и назначение прав пользователям; o реализацию дискреционного разграничения доступа; o возможность указания параметров настройки комплекса средств защиты во время создания пользователя; o возможность создания защищенной среды виртуализации; o технологию контейнеризации с возможностью создания среды выполнения контейнеров, обеспечения работы с ними и поддержкой изоляции процессов, выполняемых в контейнерах. ? В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. ? В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. - - Значение характеристики не может изменяться участником закупки

? Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: o ограничение прав пользователя на запуск приложений ядром системы; o ограничение прав пользователя средствами графического интерфейса; o разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. ? Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования. ? В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: o идентификация устрои?ств и сопоставление пользователя с устройством; o управление доступом субъектов доступа к устрои?ствам методами дискреционного управления доступом; o задание правил управления доступом, разрешающих или запрещающих доступ субъектов доступа к устрои?ствам, а также определяющих разрешенные типы доступа, в том числе с использованием атрибутов безопасности; o учет носителей информации и контроль использования интерфейсов ввода и вывода. ? Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Регистрация событий безопасности должна выполняться с учётом требований ГОСТ Р 59548-2022. ? Операционная система должна иметь графические средства для работы со сторонними устройствами аутентификации - токенами, обеспечивающие следующие возможности: o двухфакторная авторизация; o вход и разблокировка сессии по токену; o блокировка сессии при извлечении токена.

? Операционная система должна включать в состав графические средства контроля целостности: o контроль целостности дистрибутива; o контроль объектов файловой системы; o контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. ? В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. ? В составе операционной системы должно быть ядро, поддерживаемое Центром исследования безопасности системного программного обеспечения ИСП РАН. ? В операционной системе должна быть реализована возможность очистки и ограничения работы с оперативной памятью. ? Операционная система должна предоставлять средство настройки профиля системы со следующими возможностями: o настройка комплекса средств защиты в соответствии с требованиями о защите информации, предъявляемыми к определенному классу защищенности информационных систем, при помощи графического интерфейса; o импорт и экспорт настроек комплекса средств защиты системы. ? Должны быть обеспечены работы по устранению уязвимостей и включению информации об уязвимостях программного обеспечения операционной системы в банк данных угроз безопасности информации ФСТЭК России (https://bdu.fstec.ru/vul).

? Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). ? Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и остановки системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. ? Операционная система должна обеспечивать возможность контроля целостности исполняемых файлов и файлов библиотек: EXE, DLL, .NET 8.

Требования к функциональным возможностям операционной системы - ? Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64, включая процессоры Intel не ниже 10-го поколения. ? Операционная система должна поддерживать работу на ядре Linux версии не ниже 6.1 с возможностью обновления до новых версий ядра (в соответствии с документацией на продукт). ? Операционная система должна включать в состав графические инструменты, обеспечивающие: o создание, настройку и управление несколькими служебными репозиториями используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы и автоматической публикацией в сети по протоколам http и ftp; o управление регистрацией событий, включающее в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий, графическое средство просмотра системных событий; o редактирование значения переменных окружения (изменять значение и описание переменных, удалять и объявлять переменные); o управление и мониторинг компонентов подсистемы безопасности; o расчёт контрольных сумм файлов и их сравнения; o оповещение пользователя о конфликте IP-адресов при подключении к сети; o работа с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); o распечатка карточки пользователя с его параметрами. ? Операционная система должна обеспечивать поддержку файловых систем и сетевых протоколов: o ext2/3/4, fat, ntfs, XFS, ZFS, BTRFS; o TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; o поддержка стандарта ISO9660; o наличие средств организации распределенной файловой системы; o наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы. - - Значение характеристики не может изменяться участником закупки

? Операционная система должна обеспечивать среду функционирования для сертифицированных средств криптографической защиты информации, предназначенных для создания и проверки электронной подписи. ? Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя, а также иметь возможность возврата к состоянию до начала установки обновлений. ? Установщик операционной системы должен иметь следующий функционал: o обеспечивать возможность запуска VNC сервера для удаленного подключения к клиентским машинам и управления ими как на этапе загрузки с установочного диска в главном меню программы установки, так и непосредственно в LiveCD; o иметь возможность автоматической установки при помощи файла конфигурации формата .yaml; o при установке должна предоставлять возможность добавления администратора и нескольких пользователей; o предоставлять возможность установки любых пакетов из репозитория операционной системы во время установки. ? Операционная система должна включать в состав инструмент для обновления между мажорными версиями без переустановки ОС. ? Операционная система должна предоставлять средства для локальной виртуализации (виртуальные машины, созданные на рабочей станции или удаленном сервере и используемые в однопользовательском режиме) с графическим интерфейсом управления и возможностью группировки отображаемых виртуальных машин. ? Средства виртуализации из состава операционной системы должны использовать системные компоненты: o qemu версии не ниже 8.2.4; o libvirt версии не ниже 10.3.

? Дополнительные функциональные компоненты: o web-сервер Apache или эквивалент; o почтовые сервисы и системы передачи почты: Exim, Dovecot, Postfix или эквивалент; o средства мониторинга; o средства удаленного и терминального доступа: VNC, RDP(xRDP), RemoteApp (freerdp) или эквивалент; o сервер печати; o службы резервного копирования: Bacula, Rsync или эквивалент; o аудит и журналирование событий безопасности; o набор программ для воспроизведения аудио и видео файлов; o редактор растровой графики; o запись оптических дисков; o программа сканирования; o графический сервер X.Org Xserver или эквивалент; o рабочий стол; o системные библиотеки libc или эквивалент; o компилятор GCC или эквивалент; o QT или эквивалент.

Правовая безопасность - ? Документом, подтверждающим право на поставку лицензий, является наличие действующего сублицензионного договора с разработчиком операционной системы или его партнером. - - Значение характеристики не может изменяться участником закупки

Комплектность поставки - Лицензия в электронном виде - - Значение характеристики не может изменяться участником закупки

Порядок выпуска и предоставления обновлений или технической поддержки операционной системы (Продукта) - ? Порядок выпуска и предоставления обновлений или технической поддержки Продукта регламентируется в соответствии с Политикой (Положением), размещённой на сайте Вендора и в Личном кабинете Пользователя. ? Обновления предоставляются в соответствии с Политикой, требованиями регуляторов в области безопасности информации и лицензионным (сублицензионным) договором, заключенным между Пользователем и Вендором или партнером Вендора. В случае расхождений условий предоставления обновлений по настоящей Политике и договором, применяются положения договора. ? Информационно-справочная поддержка функционирования Продукта обеспечивается посредством использования телефонной связи, программных средств обмена сообщениями с Пользователями. ? Прием обращений (далее - Запрос) осуществляется Вендором круглосуточно через Личный кабинет. Прием обращений по телефону осуществляется по рабочим дням с 09:00 до 18:00 по МСК. ? Обновление или техническая поддержка включает: o Доступ к обновлениям безопасности Продукта* o Информационно-справочная поддержка в миграции на очередное обновление Продукта o Исправление ошибок, несоответствий, инцидентов, дефектов за счет выпуска новых обновлений Продукта o Информационно-справочная поддержка по установке и обновлению Продукта o Информационно-справочная поддержка по настройке Продукта после обновления o Моделирование сценариев на тестовом стенде Вендора (при наличии технической возможности) o Прогноз совместимости оборудования по спецификации с актуальным и будущим обновлением Продукта o Решение вопросов, связанных с совместимостью оборудования путем внесения улучшений в рамках обновления Продукта (при наличии технической возможности) * Для актуального и предыдущего очередного обновления. ? Информация о выпуске очередных обновлений Продукта доступна на сайте Вендора или в Личном кабинете. ? Подробный порядок обработки обращений, связанных с обновлениями или технической поддержки Продукта, размещается в Личном кабинете. - - Значение характеристики не может изменяться участником закупки

Характеристика лицензии - Лицензия для операционной системы семейства Linux, для 64-х разрядной платформы на базе процессорной архитектуры x86-64, для виртуального сервера, бессрочная, способ передачи электронный - - Значение характеристики не может изменяться участником закупки

Программное обеспечение - Лицензия на операционную систему специального назначения «Astra Linux Special Edition» для 64-х разрядной платформы на базе процессорной архитектуры х86-64, уровень защищенности «Усиленный» («Воронеж»), РУСБ.10015-01 (ФСТЭК), способ передачи электронный, для 1 виртуального сервера, на срок действия исключительного права, с включенными обновлениями Тип 1 на 12 мес. или эквивалент - - Участник закупки указывает в заявке конкретное значение характеристики

Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.11) Мобильная операционная система - - Значение характеристики не может изменяться участником закупки

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Наличие характеристики обусловлено потребностью Заказчика

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202503642000019001000074

Начальная (максимальная) цена контракта: 8 745 313,36

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 252682903923368290100100730010000244

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 30.12.2025

Закупка за счет собственных средств организации: Да

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 87 453,13 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: В соответствии с п.13 приложения к Требованиям к содержанию, составу заявки на участие в закупке и инструкции по ее заполнению

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03224643680000003200, л/c 802У1388000/ОБ, БИК 012202102, ОКЦ № 1 ВВГУ Банка России//УФК по Нижегородской области, г Нижний Новгород, к/c 40102810745370000024

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ТАМБОВСКОЙ ОБЛАСТИ (ТОГБУ "РИТЦ") ИНН: 6829039233 КПП: 682901001 КБК: 00111610056020000140 ОКТМО: 68701000001 40102810645370000057 03100643000000016400 016850200

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, обл Тамбовская, г.о. город Тамбов, г Тамбов, ул Сергея Рахманинова, д. 2а, Россия, Тамбовская область, г. Тамбов, ул. Рахманинова, 2а

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 10 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: В соответствии с п.14 приложения к Требованиям к содержанию, составу заявки на участие в закупке и инструкции по ее заполнению

Платежные реквизиты для обеспечения исполнения контракта: p/c 03224643680000003200, л/c 802У1388000/ОБ, БИК 012202102, ОКЦ № 1 ВВГУ Банка России//УФК по Нижегородской области, г Нижний Новгород, к/c 40102810745370000024

Требуется гарантия качества товара, работы, услуги: Да

Срок, на который предоставляется гарантия и (или) требования к объему предоставления гарантий качества товара, работы, услуги: в соответствии с условиями проекта контракта

Информация о требованиях к гарантийному обслуживанию товара:

Требования к гарантии производителя товара:

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 30.12.2025

Закупка за счет собственных средств организации: Да

Документы

Общая информация

Документы

Журнал событий