Номер извещения: 0326100001925000015

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АГЗ РТ

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://etp.zakazrf.ru

Размещение осуществляет: Заказчик ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ ИМЕНИ В.Я. ГОРИНА"

Наименование объекта закупки: Поставка программно-аппаратных комплексов

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503261000019001000031

Контактная информация

Размещение осуществляет: Заказчик

Организация, осуществляющая размещение: ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ ИМЕНИ В.Я. ГОРИНА"

Почтовый адрес: Российская Федерация, 308503, Белгородская обл, Белгородский р-н, Майский п, Вавилова, Д. 1, -

Место нахождения: Российская Федерация, 308503, Белгородская обл, Белгородский р-н, Майский п, Вавилова, Д. 1, -

Ответственное должностное лицо: Коняева М. В.

Адрес электронной почты: konyaeva_mv@belgau.ru

Номер контактного телефона: 7-4722-392102

Дополнительная информация: Информация отсутствует

Регион: Белгородская обл

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 17.11.2025 11:19 (МСК)

Дата и время окончания срока подачи заявок: 26.11.2025 09:00 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 26.11.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 28.11.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 19 804 105,25

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 251310200541231020100100250302620244

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 30.12.2025

Закупка за счет собственных средств организации: Да

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 26.20.40.143 - Программно-аппаратный комплекс Тип 1 пропускная способность VPN в лабораторных условиях должна составлять ? 7000 МБИТ/С пропускная способность межсетевого экрана в лабораторных условиях должна составлять ? 40000 МБИТ/С поддержка одновременных stateful TCP сессий ? 10000000 ШТ - Штука - 1,00 - 1 206 745,05 - 1 206 745,05

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке пропускная способность VPN в лабораторных условиях должна составлять ? 7000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность межсетевого экрана в лабораторных условиях должна составлять ? 40000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики поддержка одновременных stateful TCP сессий ? 10000000 Штука Участник закупки указывает в заявке конкретное значение характеристики количество подключений (удаленных пользователей) к Серверу доступа ? 1500 Штука Участник закупки указывает в заявке конкретное значение характеристики пропускная способность ПАК тип 1 в режиме работы “NGFW” в лабораторных условиях ? 7000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики исполнение: для установки в монтажную стойку (Юнит) ? 1 Участник закупки указывает в заявке конкретное значение характеристики наличие крепежного комплекта для установки в монтажный шкаф 19'' да Значение характеристики не может изменяться участником закупки не менее одного серверного процессора да Значение характеристики не может изменяться участником закупки оперативная память ? 32 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов в конфигурации ? 12 Штука Участник закупки указывает в заявке конкретное значение характеристики интерфейс 10/100/1000BASE-T RJ45 ? 8 Штука Участник закупки указывает в заявке конкретное значение характеристики интерфейс 10G SFP+ ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики дисковый накопитель ? 480 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики портов USB 2.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики портов USB 3.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики COM порт с разъемом RJ45 ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики видео порта VGA ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики носитель информации типа USB Flash Drive да Значение характеристики не может изменяться участником закупки потребляемая мощность ? 300 Ватт Участник закупки указывает в заявке конкретное значение характеристики количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики шнур питания европейского стандарта ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики Платформа должна обеспечивать среднее время наработки на отказ (MTBF) ? 50000 Час Участник закупки указывает в заявке конкретное значение характеристики требования к сертификации платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) Значение характеристики не может изменяться участником закупки платформа должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ» - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - пропускная способность VPN в лабораторных условиях должна составлять - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность межсетевого экрана в лабораторных условиях должна составлять - ? 40000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - поддержка одновременных stateful TCP сессий - ? 10000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество подключений (удаленных пользователей) к Серверу доступа - ? 1500 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность ПАК тип 1 в режиме работы “NGFW” в лабораторных условиях - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - исполнение: для установки в монтажную стойку (Юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики - наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки - не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки - оперативная память - ? 32 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - интерфейс 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - интерфейс 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - дисковый накопитель - ? 480 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - видео порта VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки - потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики - количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - шнур питания европейского стандарта - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики - требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки - платформа должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

пропускная способность VPN в лабораторных условиях должна составлять - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность межсетевого экрана в лабораторных условиях должна составлять - ? 40000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

поддержка одновременных stateful TCP сессий - ? 10000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество подключений (удаленных пользователей) к Серверу доступа - ? 1500 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность ПАК тип 1 в режиме работы “NGFW” в лабораторных условиях - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

исполнение: для установки в монтажную стойку (Юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики

наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки

не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки

оперативная память - ? 32 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

интерфейс 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

интерфейс 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

дисковый накопитель - ? 480 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

видео порта VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки

потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики

количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

шнур питания европейского стандарта - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики

требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки

платформа должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

- 26.20.40.143 - Программное обеспечение Тип 1 Комплекс должен обеспечивать полную совместимость с ПАК Тип 1 ... Функциональные требования - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; ... Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия ... - Штука - 1,00 - 828 604,00 - 828 604,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать полную совместимость с ПАК Тип 1 Значение характеристики не может изменяться участником закупки поддержку всех характеристик производительности (п.1 ПАК Тип 1) функции центра управления сетью (Далее - ЦУС), включающие возможность полноценного централизованного управления и оперативного мониторинга всех компонентов межсетевого экранирования на базе ПАК Тип 2 – ПАК Тип 5 межсетевое экранирование проксирование веб-трафика в явном режиме создание и поддержание VPN-каналов с криптографической защитой передаваемых данных обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) централизованный мониторинг всех компонентов комплекса сбор информации о пакетах данных визуализация собранной информации оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени регистрация событий, связанных с работой ПАК Тип 2 - ПАК Тип 5 идентификация и аутентификация администратора при подключении к ПАК Тип 2 - ПАК Тип 5 контроль целостности программного обеспечения ПАК Тип 2 - ПАК Тип 5 аутентификацию ПАК Тип 2 - ПАК Тип 5 централизованное управление сетью в составе ПАК Тип 2 - ПАК Тип 5 мониторинг и протоколирование состояния сети в составе ПАК Тип 2 - ПАК Тип 5 получение и хранение журналов ПАК Тип 2 - ПАК Тип 5 регистрацию событий, связанных с управлением ПАК Тип 2 - ПАК Тип 5 хранение конфигураций ПАК Тип 2 - ПАК Тип 5 возможность рассылки конфигурационной информации на ПАК Тип 2 - ПАК Тип 5 и резервные ЦУС восстановление информации о состоянии комплекса из резервной копии возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP с возможностью аутентификации Функциональные требования - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; Значение характеристики не может изменяться участником закупки - возможность резервирования ЦУС: - возможность иметь не менее 1 резервного ЦУС с автоматической синхронизацией с основным ЦУС; - резервные ЦУС должны иметь возможность получать инкрементальное обновление базы данных с основного ЦУС; - возможность ручной синхронизации между основным и резервным ЦУС. - возможность указывать IP-адреса, с которых возможно подключаться к ЦУС для администрирования; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности. - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: DNS Spoofing; DNS Reply Mismatch; DNS Request Mismatch; SMURF Attack; Packet Sanity; SYN Scan; LAND Attack; UDP Scan; ICMP Scan; ICMP Null Payload; Small Packet MTU; DNS Max Length; FIN/RST Flood; SYN Flood; - Fragment; - FRAGGLE Attack; - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия Значение характеристики не может изменяться участником закупки соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России) - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - полную совместимость с ПАК Тип 1 - - Значение характеристики не может изменяться участником закупки - поддержку всех характеристик производительности (п.1 ПАК Тип 1) - функции центра управления сетью (Далее - ЦУС), включающие возможность полноценного централизованного управления и оперативного мониторинга всех компонентов межсетевого экранирования на базе ПАК Тип 2 – ПАК Тип 5 - межсетевое экранирование - проксирование веб-трафика в явном режиме - создание и поддержание VPN-каналов с криптографической защитой передаваемых данных - обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) - централизованный мониторинг всех компонентов комплекса - сбор информации о пакетах данных - визуализация собранной информации - оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени - регистрация событий, связанных с работой ПАК Тип 2 - ПАК Тип 5 - идентификация и аутентификация администратора при подключении к ПАК Тип 2 - ПАК Тип 5 - контроль целостности программного обеспечения ПАК Тип 2 - ПАК Тип 5 - аутентификацию ПАК Тип 2 - ПАК Тип 5 - централизованное управление сетью в составе ПАК Тип 2 - ПАК Тип 5 - мониторинг и протоколирование состояния сети в составе ПАК Тип 2 - ПАК Тип 5 - получение и хранение журналов ПАК Тип 2 - ПАК Тип 5 - регистрацию событий, связанных с управлением ПАК Тип 2 - ПАК Тип 5 - хранение конфигураций ПАК Тип 2 - ПАК Тип 5 - возможность рассылки конфигурационной информации на ПАК Тип 2 - ПАК Тип 5 и резервные ЦУС - восстановление информации о состоянии комплекса из резервной копии - возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP с возможностью аутентификации - Функциональные требования - - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - - Значение характеристики не может изменяться участником закупки - - возможность резервирования ЦУС: - возможность иметь не менее 1 резервного ЦУС с автоматической синхронизацией с основным ЦУС; - резервные ЦУС должны иметь возможность получать инкрементальное обновление базы данных с основного ЦУС; - возможность ручной синхронизации между основным и резервным ЦУС. - возможность указывать IP-адреса, с которых возможно подключаться к ЦУС для администрирования; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности. - - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: DNS Spoofing; DNS Reply Mismatch; DNS Request Mismatch; SMURF Attack; Packet Sanity; SYN Scan; LAND Attack; UDP Scan; ICMP Scan; ICMP Null Payload; Small Packet MTU; DNS Max Length; FIN/RST Flood; SYN Flood; - Fragment; - FRAGGLE Attack; - - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания - - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки - соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты - соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» - наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - полную совместимость с ПАК Тип 1 - - Значение характеристики не может изменяться участником закупки

поддержку всех характеристик производительности (п.1 ПАК Тип 1)

функции центра управления сетью (Далее - ЦУС), включающие возможность полноценного централизованного управления и оперативного мониторинга всех компонентов межсетевого экранирования на базе ПАК Тип 2 – ПАК Тип 5

межсетевое экранирование

проксирование веб-трафика в явном режиме

создание и поддержание VPN-каналов с криптографической защитой передаваемых данных

обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN)

централизованный мониторинг всех компонентов комплекса

сбор информации о пакетах данных

визуализация собранной информации

оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени

регистрация событий, связанных с работой ПАК Тип 2 - ПАК Тип 5

идентификация и аутентификация администратора при подключении к ПАК Тип 2 - ПАК Тип 5

контроль целостности программного обеспечения ПАК Тип 2 - ПАК Тип 5

аутентификацию ПАК Тип 2 - ПАК Тип 5

централизованное управление сетью в составе ПАК Тип 2 - ПАК Тип 5

мониторинг и протоколирование состояния сети в составе ПАК Тип 2 - ПАК Тип 5

получение и хранение журналов ПАК Тип 2 - ПАК Тип 5

регистрацию событий, связанных с управлением ПАК Тип 2 - ПАК Тип 5

хранение конфигураций ПАК Тип 2 - ПАК Тип 5

возможность рассылки конфигурационной информации на ПАК Тип 2 - ПАК Тип 5 и резервные ЦУС

восстановление информации о состоянии комплекса из резервной копии

возможность синхронизации времени ЦУС с заданным сервером точного времени по протоколу NTP с возможностью аутентификации

Функциональные требования - - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - - Значение характеристики не может изменяться участником закупки

- возможность резервирования ЦУС: - возможность иметь не менее 1 резервного ЦУС с автоматической синхронизацией с основным ЦУС; - резервные ЦУС должны иметь возможность получать инкрементальное обновление базы данных с основного ЦУС; - возможность ручной синхронизации между основным и резервным ЦУС. - возможность указывать IP-адреса, с которых возможно подключаться к ЦУС для администрирования; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша;

- результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК:

- загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране;

- возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности.

- прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей;

- возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos;

- возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS;

- фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям;

- возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах;

- возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: DNS Spoofing; DNS Reply Mismatch; DNS Request Mismatch; SMURF Attack; Packet Sanity; SYN Scan; LAND Attack; UDP Scan; ICMP Scan; ICMP Null Payload; Small Packet MTU; DNS Max Length; FIN/RST Flood; SYN Flood; - Fragment; - FRAGGLE Attack;

- возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров;

- шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA;

- аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP;

- поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4;

- поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания

- поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил;

Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки

соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты

соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ»

наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

- 26.20.40.143 - Программно-аппаратный комплекс Тип 2 пропускная способность VPN в лабораторных условиях ? 7000 МБИТ/С пропускная способность межсетевого экрана в лабораторных условиях ? 40000 МБИТ/С поддержка одновременных stateful TCP сессий ? 10000000 ШТ - Штука - 2,00 - 1 229 756,85 - 2 459 513,70

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке пропускная способность VPN в лабораторных условиях ? 7000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность межсетевого экрана в лабораторных условиях ? 40000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики поддержка одновременных stateful TCP сессий ? 10000000 Штука Участник закупки указывает в заявке конкретное значение характеристики количество подключений (удаленных пользователей) к Серверу доступа ? 1500 Штука Участник закупки указывает в заявке конкретное значение характеристики максимальная пропускная способность ПАК Тип 2 в режиме работы “Threat Protection” в лабораторных условиях (при включенных компонентах: IPS, контроль приложений) ? 4900 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность ПАК тип 2 в режиме работы “NGFW” в лабораторных условиях (при включенных компонентах: фиды TI, IPS, контроль приложений) ? 7000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики максимальная пропускная способность L2 IPS ? 7000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики исполнение: для установки в монтажную стойку (юнит) ? 1 Участник закупки указывает в заявке конкретное значение характеристики наличие крепежного комплекта для установки в монтажный шкаф 19'' да Значение характеристики не может изменяться участником закупки не менее одного серверного процессора да Значение характеристики не может изменяться участником закупки оперативная память ? 32 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов в конфигурации ? 12 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10/100/1000BASE-T RJ45 ? 8 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10G SFP+ ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики дисковый накопитель ? 480 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики количество портов USB 2.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики количество портов USB 3.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики COM порт с разъемом RJ45 ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики видео порт VGA ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики носитель информации типа USB Flash Drive да Значение характеристики не может изменяться участником закупки потребляемая мощность ? 300 Ватт Участник закупки указывает в заявке конкретное значение характеристики количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики шнур питания европейского стандарта ? 1 Метр Участник закупки указывает в заявке конкретное значение характеристики модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики Платформа должна обеспечивать среднее время наработки на отказ (MTBF) ? 50000 Час Участник закупки указывает в заявке конкретное значение характеристики Требования к сертификации платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) Значение характеристики не может изменяться участником закупки должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ» - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - пропускная способность VPN в лабораторных условиях - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность межсетевого экрана в лабораторных условиях - ? 40000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - поддержка одновременных stateful TCP сессий - ? 10000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество подключений (удаленных пользователей) к Серверу доступа - ? 1500 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - максимальная пропускная способность ПАК Тип 2 в режиме работы “Threat Protection” в лабораторных условиях (при включенных компонентах: IPS, контроль приложений) - ? 4900 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность ПАК тип 2 в режиме работы “NGFW” в лабораторных условиях (при включенных компонентах: фиды TI, IPS, контроль приложений) - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - максимальная пропускная способность L2 IPS - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики - наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки - не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки - оперативная память - ? 32 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - дисковый накопитель - ? 480 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - количество портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки - потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики - количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики - модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики - Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки - должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

пропускная способность VPN в лабораторных условиях - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность межсетевого экрана в лабораторных условиях - ? 40000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

поддержка одновременных stateful TCP сессий - ? 10000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество подключений (удаленных пользователей) к Серверу доступа - ? 1500 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

максимальная пропускная способность ПАК Тип 2 в режиме работы “Threat Protection” в лабораторных условиях (при включенных компонентах: IPS, контроль приложений) - ? 4900 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность ПАК тип 2 в режиме работы “NGFW” в лабораторных условиях (при включенных компонентах: фиды TI, IPS, контроль приложений) - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

максимальная пропускная способность L2 IPS - ? 7000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики

наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки

не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки

оперативная память - ? 32 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

дисковый накопитель - ? 480 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

количество портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки

потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики

количество блоков питания с поддержкой функции горячей замены (hot swap), ~100–240 В, 3–5 A, 50–60 Гц - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики

модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики

Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки

должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

- 26.20.40.143 - Программное обеспечение Тип 2 Комплекс должен обеспечивать поддержку всех характеристик производительности (п.1 ПАК Тип 2) ... Функциональные требования - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; ... Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия ... - Штука - 2,00 - 1 369 538,00 - 2 739 076,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать поддержку всех характеристик производительности (п.1 ПАК Тип 2) Значение характеристики не может изменяться участником закупки межсетевое экранирование проксирование веб-трафика в явном режиме создание и поддержание VPN-каналов с криптографической защитой передаваемых данных обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) централизованный мониторинг всех компонентов комплекса сбор информации о пакетах данных визуализация собранной информации оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени регистрация событий, связанных с работой ПАК Тип 2 идентификация и аутентификация администратора при подключении к ПАК Тип 2 контроль целостности программного обеспечения ПАК Тип 2 аутентификацию ПАК Тип 2 централизованное управление сетью в составе ПАК Тип 2 мониторинг и протоколирование состояния сети в составе ПАК Тип 2 получение и хранение журналов ПАК Тип 2 регистрацию событий, связанных с управлением ПАК Тип 2 хранение конфигураций ПАК Тип 2 восстановление информации о состоянии комплекса из резервной копии полную совместимость с ПАК Тип 2 Функциональные требования - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; Значение характеристики не может изменяться участником закупки - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - типа приложений; - URL адреса; - доменного имени (FQDN); - VRF-зоны - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack; - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - возможность импорта сетевых объектов, правил МЭ и NAT из АПКШ «Континент» версии 3.9.2 и выше; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия Значение характеристики не может изменяться участником закупки соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России) - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - поддержку всех характеристик производительности (п.1 ПАК Тип 2) - - Значение характеристики не может изменяться участником закупки - межсетевое экранирование - проксирование веб-трафика в явном режиме - создание и поддержание VPN-каналов с криптографической защитой передаваемых данных - обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) - централизованный мониторинг всех компонентов комплекса - сбор информации о пакетах данных - визуализация собранной информации - оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени - регистрация событий, связанных с работой ПАК Тип 2 - идентификация и аутентификация администратора при подключении к ПАК Тип 2 - контроль целостности программного обеспечения ПАК Тип 2 - аутентификацию ПАК Тип 2 - централизованное управление сетью в составе ПАК Тип 2 - мониторинг и протоколирование состояния сети в составе ПАК Тип 2 - получение и хранение журналов ПАК Тип 2 - регистрацию событий, связанных с управлением ПАК Тип 2 - хранение конфигураций ПАК Тип 2 - восстановление информации о состоянии комплекса из резервной копии - полную совместимость с ПАК Тип 2 - Функциональные требования - - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - - Значение характеристики не может изменяться участником закупки - - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - типа приложений; - URL адреса; - доменного имени (FQDN); - VRF-зоны - - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений; - - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack; - - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - - возможность импорта сетевых объектов, правил МЭ и NAT из АПКШ «Континент» версии 3.9.2 и выше; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - - возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности - Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки - соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты - соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» - наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - поддержку всех характеристик производительности (п.1 ПАК Тип 2) - - Значение характеристики не может изменяться участником закупки

межсетевое экранирование

проксирование веб-трафика в явном режиме

создание и поддержание VPN-каналов с криптографической защитой передаваемых данных

обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN)

централизованный мониторинг всех компонентов комплекса

сбор информации о пакетах данных

визуализация собранной информации

оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени

регистрация событий, связанных с работой ПАК Тип 2

идентификация и аутентификация администратора при подключении к ПАК Тип 2

контроль целостности программного обеспечения ПАК Тип 2

аутентификацию ПАК Тип 2

централизованное управление сетью в составе ПАК Тип 2

мониторинг и протоколирование состояния сети в составе ПАК Тип 2

получение и хранение журналов ПАК Тип 2

регистрацию событий, связанных с управлением ПАК Тип 2

хранение конфигураций ПАК Тип 2

восстановление информации о состоянии комплекса из резервной копии

полную совместимость с ПАК Тип 2

Функциональные требования - - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - - Значение характеристики не может изменяться участником закупки

- возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно;

- поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal;

- возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS;

- фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - типа приложений; - URL адреса; - доменного имени (FQDN); - VRF-зоны

- фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI). - фильтрация прикладных протоколов с использованием регулярных выражений;

- возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN);

- возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack;

- возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных;

- возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA;

- аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3);

- уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4;

- поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла;

- возможность импорта сетевых объектов, правил МЭ и NAT из АПКШ «Континент» версии 3.9.2 и выше; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК);

- возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы;

- возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени;

- возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности;

- возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности

Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки

соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты

соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ»

наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

- 26.20.40.143 - Программное обеспечение Тип 3 Комплекс должен обеспечивать полную совместимость с ПАК Тип 2 ... Функциональные требования обнаружение и предотвращение сетевых атак ... Требования к системе обнаружения вторжений (IPS) наличие группировки сигнатур атак по общим признакам в программе управления ... - Штука - 2,00 - 1 004 220,00 - 2 008 440,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать полную совместимость с ПАК Тип 2 Значение характеристики не может изменяться участником закупки поддержку всех характеристик производительности (п.1 ПАК Тип 2) Функциональные требования обнаружение и предотвращение сетевых атак Значение характеристики не может изменяться участником закупки контроль приложений антивирусная проверка сетевого трафика Требования к системе обнаружения вторжений (IPS) наличие группировки сигнатур атак по общим признакам в программе управления Значение характеристики не может изменяться участником закупки система управления ПАК Тип 2 обеспечивает возможность создания и модификации собственных сигнатур атак возможность включения IDS/IPS инспекции для отдельных правил межсетевого экрана поддерживаемые методы обнаружения атак включают: - обнаружение скрытых каналов утечки (туннели в сетевых протоколах); - поиск инъекций SQL и shell-кодов в HTTP-трафике; - возможность работы с несколькими сетевыми интерфейсами; возможность создания исключений для отдельной сигнатуры БРП на основе: - порта источника; - порта получателя; - ip-адреса, диапазона адресов получателя; - ip-адреса, диапазона адресов источника; - обновление базы сигнатур: - вручную администратором; - автоматически по расписанию; - поддержка импорта пользовательских сигнатур из файла; - взаимодействие с единой системой аудита событий ИБ; уведомление администратора системы о событиях двумя доступными методами: - уведомление на консоль администратора; - отправка письма по электронной почте Требования к контролю приложений (DPI) поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным приложениям Значение характеристики не может изменяться участником закупки возможность использования приложений и категорий приложений в правилах межсетевого экрана поддержка более 1700 приложений и протоколов возможность централизованного обновления баз приложений без остановки работы модуля контроля приложений Требование к GeoIP(6) возможность использования сетевого объекта типа «Страна» в правилах фильтрации и прокси Значение характеристики не может изменяться участником закупки возможность ограничивать подключения удаленных пользователей из заранее определенных стран с использованием сетевого объекта типа «Страна» возможность создавать группы сетевых объектов типа «Страна» возможность централизованного обновления базы объектов типа «Страна» с сервера обновлений Требование к антивирусной проверке сетевого трафика возможность анализа веб-трафика по хэшам на наличие вредоносных файлов Значение характеристики не может изменяться участником закупки возможность ограничивать размер файлов, передаваемых антивирусу на проверку сканирование исходящих веб-запросов или вложений веб-почты, перед отправкой их на файловые серверы сканирование входящих клиентских запросов на наличие вредоносного содержимого возможность фильтровать тип проверяемого контента с использованием встроенных MIME-типов данных или указанием расширения файлов возможность обновления базы хэшей вредоносных файлов: - вручную администратором; - автоматически по расписанию возможность добавления пользовательских сигнатур в базу потокового антивируса возможность блокировки доступа к вредоносным ресурсам из базы Kaspersky Feed возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Кода Безопасности возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Технологии киберугроз данные о вредоносных ресурсах должны содержать следующие типы индикаторов: - IP-адреса; - доменные имена; - URL-адреса; - хэши; все индикаторы должны проходить кросс-валидацию между множеством источников возможность ранжирования индикаторов для точного понимания уровня опасности того или иного индикатора обновление данных о вредоносных ресурсах не реже одного раза в 24 часа Требования к категориям URL обеспечивать фильтрацию доступа пользователей на основе категорий веб-сайтов Значение характеристики не может изменяться участником закупки возможность обновления базы категорий веб-сайтов с сервера обновлений: - вручную администратором; - автоматически по расписанию; возможность объединения категорий веб-сайтов в группы срок действия права на использование базы решающих правил (сигнатур) системы обнаружения вторжений, контроля приложений, потокового антивируса, категорий URL, базы фильтрации трафика, в т.ч. по геопозиции ? 1 Год Участник закупки указывает в заявке конкретное значение характеристики - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - полную совместимость с ПАК Тип 2 - - Значение характеристики не может изменяться участником закупки - поддержку всех характеристик производительности (п.1 ПАК Тип 2) - Функциональные требования - обнаружение и предотвращение сетевых атак - - Значение характеристики не может изменяться участником закупки - контроль приложений - антивирусная проверка сетевого трафика - Требования к системе обнаружения вторжений (IPS) - наличие группировки сигнатур атак по общим признакам в программе управления - - Значение характеристики не может изменяться участником закупки - система управления ПАК Тип 2 обеспечивает возможность создания и модификации собственных сигнатур атак - возможность включения IDS/IPS инспекции для отдельных правил межсетевого экрана - поддерживаемые методы обнаружения атак включают: - обнаружение скрытых каналов утечки (туннели в сетевых протоколах); - поиск инъекций SQL и shell-кодов в HTTP-трафике; - возможность работы с несколькими сетевыми интерфейсами; - возможность создания исключений для отдельной сигнатуры БРП на основе: - порта источника; - порта получателя; - ip-адреса, диапазона адресов получателя; - ip-адреса, диапазона адресов источника; - обновление базы сигнатур: - вручную администратором; - автоматически по расписанию; - поддержка импорта пользовательских сигнатур из файла; - взаимодействие с единой системой аудита событий ИБ; - уведомление администратора системы о событиях двумя доступными методами: - уведомление на консоль администратора; - отправка письма по электронной почте - Требования к контролю приложений (DPI) - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным приложениям - - Значение характеристики не может изменяться участником закупки - возможность использования приложений и категорий приложений в правилах межсетевого экрана - поддержка более 1700 приложений и протоколов - возможность централизованного обновления баз приложений без остановки работы модуля контроля приложений - Требование к GeoIP(6) - возможность использования сетевого объекта типа «Страна» в правилах фильтрации и прокси - - Значение характеристики не может изменяться участником закупки - возможность ограничивать подключения удаленных пользователей из заранее определенных стран с использованием сетевого объекта типа «Страна» - возможность создавать группы сетевых объектов типа «Страна» - возможность централизованного обновления базы объектов типа «Страна» с сервера обновлений - Требование к антивирусной проверке сетевого трафика - возможность анализа веб-трафика по хэшам на наличие вредоносных файлов - - Значение характеристики не может изменяться участником закупки - возможность ограничивать размер файлов, передаваемых антивирусу на проверку - сканирование исходящих веб-запросов или вложений веб-почты, перед отправкой их на файловые серверы - сканирование входящих клиентских запросов на наличие вредоносного содержимого - возможность фильтровать тип проверяемого контента с использованием встроенных MIME-типов данных или указанием расширения файлов - возможность обновления базы хэшей вредоносных файлов: - вручную администратором; - автоматически по расписанию - возможность добавления пользовательских сигнатур в базу потокового антивируса - возможность блокировки доступа к вредоносным ресурсам из базы Kaspersky Feed - возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Кода Безопасности - возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Технологии киберугроз - данные о вредоносных ресурсах должны содержать следующие типы индикаторов: - IP-адреса; - доменные имена; - URL-адреса; - хэши; - все индикаторы должны проходить кросс-валидацию между множеством источников - возможность ранжирования индикаторов для точного понимания уровня опасности того или иного индикатора - обновление данных о вредоносных ресурсах не реже одного раза в 24 часа - Требования к категориям URL - обеспечивать фильтрацию доступа пользователей на основе категорий веб-сайтов - - Значение характеристики не может изменяться участником закупки - возможность обновления базы категорий веб-сайтов с сервера обновлений: - вручную администратором; - автоматически по расписанию; - возможность объединения категорий веб-сайтов в группы - срок действия права на использование базы решающих правил (сигнатур) системы обнаружения вторжений, контроля приложений, потокового антивируса, категорий URL, базы фильтрации трафика, в т.ч. по геопозиции - ? 1 - Год - Участник закупки указывает в заявке конкретное значение характеристики

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - полную совместимость с ПАК Тип 2 - - Значение характеристики не может изменяться участником закупки

поддержку всех характеристик производительности (п.1 ПАК Тип 2)

Функциональные требования - обнаружение и предотвращение сетевых атак - - Значение характеристики не может изменяться участником закупки

контроль приложений

антивирусная проверка сетевого трафика

Требования к системе обнаружения вторжений (IPS) - наличие группировки сигнатур атак по общим признакам в программе управления - - Значение характеристики не может изменяться участником закупки

система управления ПАК Тип 2 обеспечивает возможность создания и модификации собственных сигнатур атак

возможность включения IDS/IPS инспекции для отдельных правил межсетевого экрана

поддерживаемые методы обнаружения атак включают: - обнаружение скрытых каналов утечки (туннели в сетевых протоколах); - поиск инъекций SQL и shell-кодов в HTTP-трафике; - возможность работы с несколькими сетевыми интерфейсами;

возможность создания исключений для отдельной сигнатуры БРП на основе: - порта источника; - порта получателя; - ip-адреса, диапазона адресов получателя; - ip-адреса, диапазона адресов источника; - обновление базы сигнатур: - вручную администратором; - автоматически по расписанию; - поддержка импорта пользовательских сигнатур из файла; - взаимодействие с единой системой аудита событий ИБ;

уведомление администратора системы о событиях двумя доступными методами: - уведомление на консоль администратора; - отправка письма по электронной почте

Требования к контролю приложений (DPI) - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным приложениям - - Значение характеристики не может изменяться участником закупки

возможность использования приложений и категорий приложений в правилах межсетевого экрана

поддержка более 1700 приложений и протоколов

возможность централизованного обновления баз приложений без остановки работы модуля контроля приложений

Требование к GeoIP(6) - возможность использования сетевого объекта типа «Страна» в правилах фильтрации и прокси - - Значение характеристики не может изменяться участником закупки

возможность ограничивать подключения удаленных пользователей из заранее определенных стран с использованием сетевого объекта типа «Страна»

возможность создавать группы сетевых объектов типа «Страна»

возможность централизованного обновления базы объектов типа «Страна» с сервера обновлений

Требование к антивирусной проверке сетевого трафика - возможность анализа веб-трафика по хэшам на наличие вредоносных файлов - - Значение характеристики не может изменяться участником закупки

возможность ограничивать размер файлов, передаваемых антивирусу на проверку

сканирование исходящих веб-запросов или вложений веб-почты, перед отправкой их на файловые серверы

сканирование входящих клиентских запросов на наличие вредоносного содержимого

возможность фильтровать тип проверяемого контента с использованием встроенных MIME-типов данных или указанием расширения файлов

возможность обновления базы хэшей вредоносных файлов: - вручную администратором; - автоматически по расписанию

возможность добавления пользовательских сигнатур в базу потокового антивируса

возможность блокировки доступа к вредоносным ресурсам из базы Kaspersky Feed

возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Кода Безопасности

возможность блокировки доступа к вредоносным ресурсам из фидов Threat Intelligence Технологии киберугроз

данные о вредоносных ресурсах должны содержать следующие типы индикаторов: - IP-адреса; - доменные имена; - URL-адреса; - хэши;

все индикаторы должны проходить кросс-валидацию между множеством источников

возможность ранжирования индикаторов для точного понимания уровня опасности того или иного индикатора

обновление данных о вредоносных ресурсах не реже одного раза в 24 часа

Требования к категориям URL - обеспечивать фильтрацию доступа пользователей на основе категорий веб-сайтов - - Значение характеристики не может изменяться участником закупки

возможность обновления базы категорий веб-сайтов с сервера обновлений: - вручную администратором; - автоматически по расписанию;

возможность объединения категорий веб-сайтов в группы

срок действия права на использование базы решающих правил (сигнатур) системы обнаружения вторжений, контроля приложений, потокового антивируса, категорий URL, базы фильтрации трафика, в т.ч. по геопозиции - ? 1 - Год - Участник закупки указывает в заявке конкретное значение характеристики

- 26.20.40.143 - Программное обеспечение Тип 4 Комплекс должен обеспечивать полную совместимость с ПАК Тип 2 ... Требования к L2VPN шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ ... - Штука - 2,00 - 251 055,00 - 502 110,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать полную совместимость с ПАК Тип 2 Значение характеристики не может изменяться участником закупки поддержку всех характеристик производительности (п.1 ПАК Тип 2) Требования к L2VPN шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ Значение характеристики не может изменяться участником закупки возможность одновременного использования L2 и L3 шифрования на одном устройстве возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - полную совместимость с ПАК Тип 2 - - Значение характеристики не может изменяться участником закупки - поддержку всех характеристик производительности (п.1 ПАК Тип 2) - Требования к L2VPN - шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ - - Значение характеристики не может изменяться участником закупки - возможность одновременного использования L2 и L3 шифрования на одном устройстве - возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - полную совместимость с ПАК Тип 2 - - Значение характеристики не может изменяться участником закупки

поддержку всех характеристик производительности (п.1 ПАК Тип 2)

Требования к L2VPN - шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ - - Значение характеристики не может изменяться участником закупки

возможность одновременного использования L2 и L3 шифрования на одном устройстве

возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN

- 26.20.40.143 - Программно-аппаратный комплекс Тип 3 пропускная способность VPN в лабораторных условиях должна составлять ? 5000 МБИТ/С пропускная способность межсетевого экрана в лабораторных условиях должна составлять ? 37000 МБИТ/С поддержка одновременных stateful TCP сессий ? 3000000 ШТ - Штука - 2,00 - 1 177 521,45 - 2 355 042,90

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке пропускная способность VPN в лабораторных условиях должна составлять ? 5000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность межсетевого экрана в лабораторных условиях должна составлять ? 37000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики поддержка одновременных stateful TCP сессий ? 3000000 Штука Участник закупки указывает в заявке конкретное значение характеристики количество подключений (удаленных пользователей) к Серверу доступа ? 800 Штука Участник закупки указывает в заявке конкретное значение характеристики максимальная пропускная способность ПАК Тип 3 в режиме работы “Threat Protection” в лабораторных условиях должна составлять ? 3800 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность ПАК Тип 3 в режиме работы “NGFW” в лабораторных условиях ? 4500 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики исполнение: для установки в монтажную стойку (юнит) ? 1 Участник закупки указывает в заявке конкретное значение характеристики наличие крепежного комплекта для установки в монтажный шкаф 19'' да Значение характеристики не может изменяться участником закупки не менее одного серверного процессора да Значение характеристики не может изменяться участником закупки оперативная память ? 16 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов в конфигурации ? 12 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10/100/1000BASE-T RJ45 ? 8 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10G SFP+ ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики дисковый накопитель ? 240 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики количество портов USB 2.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики количество портов USB 3.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики COM порт с разъемом RJ45 ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики видео порт VGA ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики носитель информации типа USB Flash Drive да Значение характеристики не может изменяться участником закупки потребляемая мощность ? 300 Ватт Участник закупки указывает в заявке конкретное значение характеристики количество блоков питания, ~100–240 В, 3,5 А, 47–63 Гц ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики шнур питания европейского стандарта ? 1 Метр Участник закупки указывает в заявке конкретное значение характеристики модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D ? 8 Штука Участник закупки указывает в заявке конкретное значение характеристики Платформа должна обеспечивать среднее время наработки на отказ (MTBF) ? 50000 Час Участник закупки указывает в заявке конкретное значение характеристики Требования к сертификации платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) Значение характеристики не может изменяться участником закупки должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ» - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - пропускная способность VPN в лабораторных условиях должна составлять - ? 5000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность межсетевого экрана в лабораторных условиях должна составлять - ? 37000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - поддержка одновременных stateful TCP сессий - ? 3000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество подключений (удаленных пользователей) к Серверу доступа - ? 800 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - максимальная пропускная способность ПАК Тип 3 в режиме работы “Threat Protection” в лабораторных условиях должна составлять - ? 3800 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность ПАК Тип 3 в режиме работы “NGFW” в лабораторных условиях - ? 4500 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики - наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки - не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки - оперативная память - ? 16 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - дисковый накопитель - ? 240 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - количество портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки - потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики - количество блоков питания, ~100–240 В, 3,5 А, 47–63 Гц - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики - модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики - Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки - должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

пропускная способность VPN в лабораторных условиях должна составлять - ? 5000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность межсетевого экрана в лабораторных условиях должна составлять - ? 37000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

поддержка одновременных stateful TCP сессий - ? 3000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество подключений (удаленных пользователей) к Серверу доступа - ? 800 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

максимальная пропускная способность ПАК Тип 3 в режиме работы “Threat Protection” в лабораторных условиях должна составлять - ? 3800 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность ПАК Тип 3 в режиме работы “NGFW” в лабораторных условиях - ? 4500 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики

наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки

не менее одного серверного процессора - да - - Значение характеристики не может изменяться участником закупки

оперативная память - ? 16 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов в конфигурации - ? 12 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10G SFP+ - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

дисковый накопитель - ? 240 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

количество портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки

потребляемая мощность - ? 300 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики

количество блоков питания, ~100–240 В, 3,5 А, 47–63 Гц - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики

модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики

Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки

должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

- 26.20.40.143 - Программное обеспечение Тип 5 Комплекс должен обеспечивать полную совместимость с ПАК Тип 3 ... Функциональные требования - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; ... Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия ... - Штука - 2,00 - 828 604,00 - 1 657 208,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать полную совместимость с ПАК Тип 3 Значение характеристики не может изменяться участником закупки поддержку всех характеристик производительности (п.1 ПАК Тип 3) межсетевое экранирование проксирование веб-трафика в явном режиме создание и поддержание VPN-каналов с криптографической защитой передаваемых данных обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) централизованный мониторинг всех компонентов комплекса сбор информации о пакетах данных визуализация собранной информации оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени регистрация событий, связанных с работой ПАК Тип 3 идентификация и аутентификация администратора при подключении к ПАК Тип 3 контроль целостности программного обеспечения ПАК Тип 3 аутентификацию ПАК Тип 3 централизованное управление сетью в составе ПАК Тип 3 мониторинг и протоколирование состояния сети в составе ПАК Тип 3 получение и хранение журналов ПАК Тип 3 регистрацию событий, связанных с управлением ПАК Тип 3 хранение конфигураций ПАК Тип 3 восстановление информации о состоянии комплекса из резервной копии Функциональные требования - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; Значение характеристики не может изменяться участником закупки - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI) - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack; - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности Требования к сертификации соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия Значение характеристики не может изменяться участником закупки соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России) - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - полную совместимость с ПАК Тип 3 - - Значение характеристики не может изменяться участником закупки - поддержку всех характеристик производительности (п.1 ПАК Тип 3) - межсетевое экранирование - проксирование веб-трафика в явном режиме - создание и поддержание VPN-каналов с криптографической защитой передаваемых данных - обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN) - централизованный мониторинг всех компонентов комплекса - сбор информации о пакетах данных - визуализация собранной информации - оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени - регистрация событий, связанных с работой ПАК Тип 3 - идентификация и аутентификация администратора при подключении к ПАК Тип 3 - контроль целостности программного обеспечения ПАК Тип 3 - аутентификацию ПАК Тип 3 - централизованное управление сетью в составе ПАК Тип 3 - мониторинг и протоколирование состояния сети в составе ПАК Тип 3 - получение и хранение журналов ПАК Тип 3 - регистрацию событий, связанных с управлением ПАК Тип 3 - хранение конфигураций ПАК Тип 3 - восстановление информации о состоянии комплекса из резервной копии - Функциональные требования - - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - - Значение характеристики не может изменяться участником закупки - - возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей; - - возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S); - - возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс; - - возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI) - - фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay; - - поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack; - - возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных; - - возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2; - - поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT; - - возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4; - - поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов; - - экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил; - - отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу; - - оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов; - возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности - Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки - соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты - соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» - наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - полную совместимость с ПАК Тип 3 - - Значение характеристики не может изменяться участником закупки

поддержку всех характеристик производительности (п.1 ПАК Тип 3)

межсетевое экранирование

проксирование веб-трафика в явном режиме

создание и поддержание VPN-каналов с криптографической защитой передаваемых данных

обеспечение защищенного межсетевого взаимодействия удаленных пользователей с корпоративными ресурсами (Remote Access VPN)

централизованный мониторинг всех компонентов комплекса

сбор информации о пакетах данных

визуализация собранной информации

оповещение центра управления сетью (ЦУС) о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени

регистрация событий, связанных с работой ПАК Тип 3

идентификация и аутентификация администратора при подключении к ПАК Тип 3

контроль целостности программного обеспечения ПАК Тип 3

аутентификацию ПАК Тип 3

централизованное управление сетью в составе ПАК Тип 3

мониторинг и протоколирование состояния сети в составе ПАК Тип 3

получение и хранение журналов ПАК Тип 3

регистрацию событий, связанных с управлением ПАК Тип 3

хранение конфигураций ПАК Тип 3

восстановление информации о состоянии комплекса из резервной копии

Функциональные требования - - прием и передача IP-пакетов по протоколам семейства TCP/IP; - прием и передача Ethernet-кадров; - возможность маршрутизации IP-трафика; - возможность создания и работы с виртуальными таблицами маршрутизации (VRF); - возможность включения в VRF физических и VLAN интерфейсов; - - Значение характеристики не может изменяться участником закупки

- возможность добавления в VRF статических маршрутов; - возможность добавления в VRF динамических маршрутов; - возможность выбора режима работы VRF: - разделение потоков трафика по разным сессиям при совпадении адресации в VRF-зонах; - маршрутизация трафика между VRF-зонами. - создание VPN-каналов с криптографической защитой передаваемых данных; - возможность изменения порта для подключения удаленных пользователей;

- возможность указания нескольких пулов IP-адресов для подключения удаленных пользователей; - возможность подключения каждого удаленного пользователя с нескольких устройств одновременно; - поддержка Jumbo frame (MTU 9000 байт); - возможность агрегации интерфейсов по протоколу LACP (802.3ad); - возможность интеграции с внешними каталогами пользователей через LDAP(S);

- возможность интеграции с внешними каталогами пользователей через RADIUS; - возможность импорта групп пользователей из MS Active Directory и использования их в правилах фильтрации; - возможность прозрачной аутентификации пользователей из Active Directory по протоколу Kerberos; - возможность идентификации и аутентификации пользователей (из локальной базы пользователей ЦУС и/или из Active Directory), работающих на компьютерах в защищаемой сети Узла Безопасности, с помощью Агентов аутентификации, установленных на компьютерах пользователей и/или Captive Portal; - возможность отключения сессии пользователя через графический интерфейс;

- возможность использовать двухфакторную аутентификацию удаленных пользователей через интеграцию с со сторонними сервисами по протоколам LDAP(S) и RADIUS; - фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе: - IP-адресов отправителя и получателя; - протоколов; - номеров портов UDP/TCP; - временного интервала; - принадлежности пользователей к группам пользователей, определенным администратором комплекса; - URL адреса; - доменного имени (FQDN); - VRF-зоны. - фильтрация пакетов с контролем состояния соединений (stateful inspection); - поддержка функции контроля приложений, позволяющей разграничивать доступ к наиболее популярным сайтам и приложениям; - возможность веб-фильтрации трафика: - через SSL/TLS-инспекцию; - через технологию Server Name Indication (SNI)

- фильтрация прикладных протоколов с использованием регулярных выражений; - возможность изменения тайм-аутов TCP-сессий; - возможность просмотра средствами локального управления таблицы состояний TCP соединений (stateful); - наличие встроенного DHCP-сервера; - поддержка режима DHCP Relay;

- поддержка расширенного набора опций DHCP; - возможность указывать время жизни DNS-записи; - возможность закреплять статические IP-адреса для объектов типа доменное имя (FQDN); - возможность настраивать антиспуфинг на сетевых интерфейсах; - возможность использования паттернов сканирования для обнаружения аномалий трафика и защиты от flood атак: - DNS Spoofing; - DNS Reply Mismatch; - DNS Request Mismatch; - SMURF Attack; - Packet Sanity; - SYN Scan; - LAND Attack; - UDP Scan; - ICMP Scan; - ICMP Null Payload; - Small Packet MTU; - DNS Max Length; - FIN/RST Flood; - SYN Flood; - Fragment; - FRAGGLE Attack;

- возможность настраивать список параметров для детектирования атак типа DoS; - возможность использования самообучаемого модуля для обнаружения DoS-атак; - возможность передачи файлов для анализа во внешние системы по протоколу ICAP; - возможность ограничивать размер файлов, передаваемых на внешний ICAP-сервер; - возможность отправлять на внешний ICAP-сервер файлы с определенным расширением или определенными mime-типами данных;

- возможность работы с VoIP трафиком; - криптографическое преобразование передаваемых и принимаемых IP-пакетов и Ethernet-кадров; - шифрование информации на сетевом уровне (L3 модели OSI) с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - поддержка L3 VPN между ПАК Тип 2 – ПАК Тип 5 (далее – ПАК) под управлением разных ЦУС с помощью набора протоколов IPsec по алгоритмам ГОСТ и RSA/AES; - возможность выбора протоколов IPsec IKEv1 и IKEv2;

- поддержка стандарта хеширования по алгоритмам ГОСТ и SHA; - аутентификация удаленных пользователей посредством технологии сертификатов открытых ключей стандарта x509v3; - сокрытие внутренней структуры защищаемого сегмента сети; - трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT); - возможность использования физических и VLAN интерфейсов в правилах NAT;

- возможность мониторинга состояния ПАК Тип 2 – ПАК Тип 5 из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP (v2, v3); - уведомление администратора о результате установки и соответствующих изменениях политики по SMTP; - сбор данных о соседствующих сетевых устройствах и возможности передачи данных другим сетевым устройствам по протоколу LLDP; - поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 1024 VLAN интерфейсов на один физический порт; - возможность работы с протоколами динамической маршрутизации: OSPFv2, BGPv4;

- поддержка приоритезации трафика (QoS): - обработка входящего сетевого трафика: ? ограничение полосы пропускания. - обработка исходящего сетевого трафика: ? распределение сетевого трафика по очередям; ? классификация сетевого трафика; ? маркировка и перемаркировка сетевого трафика; ? ограничение полосы пропускания. - поддержка подключения к нескольким каналам провайдера (Multi-WAN) в режимах: отказоустойчивость канала связи, балансировка трафика и исключение (передача трафика в соответствии с таблицей маршрутизации); - импорт списка IP-адресов в каталог объектов из файла; - поддержка импорта сетевых объектов и правил фильтрации из файла; - поддержка импорта сетевых объектов и правил фильтрации со сторонних межсетевых экранов;

- экспорт данных о потоках сетевого трафика по протоколу Netflow; - поддержка технологии zero-touch provisioning (массовое развертывание ПАК); - возможность удаленного централизованного обновления программного обеспечения ПАК; - возможность обновления программного обеспечения ПАК через локальное меню с помощью USB-накопителя; - возможность полноценного централизованного управления ПАК из центра управления сетью (далее – ЦУС) с применением групповых правил;

- отказоустойчивый кластер высокой доступности с синхронизацией состояния сессий (кроме компонента ЦУС): - возможность назначения интерфейса синхронизации для автоматической синхронизации конфигурации элементов кластера; - доступное количество узлов для организации кластера – 2; - возможность назначения интерфейса резервирования сети синхронизации; - возможность «холодного» резервирования аппаратной платформы; - возможность использования внешней базы данных для хранения статистики мониторинга; - возможность дистанционного подключения по ssh для проведения диагностики и получения следующей информации: - ресурсы сетевого устройства (загруженность процессора, свободный объем ОЗУ, объем жесткого диска); - содержимое ARP-кэша; - результаты выполнения команд ping и traceroute; - информация о сетевом трафике выбранного интерфейса; - таблица соединений ПАК; - технологический отчет для службы поддержки. - возможность добавления, редактирования и удаления статических записей в ARP-таблицу;

- оповещение центра управления сетью о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени; - возможность создания отчетов в мониторинге с отправкой их по электронной почте по расписанию; - регистрация следующих событий, связанных с работой и управлением ПАК: - загрузка, перезагрузка, выключение; - вход (выход) администратора в систему (из системы); - результат фильтрации входящих/исходящих пакетов; - попытки несанкционированного доступа; - любые нештатные ситуации, происходящие при работе ПАК; - при регистрации события должны фиксироваться: - дата и время регистрируемого события; - адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP, TCP, UDP; - результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации); автоматический контроль целостности программного обеспечения ПАК при перезагрузке системы; - название сработавшего правила в событиях сетевой безопасности; - возможность передачи на внешний syslog-сервер выбранных журналов;

возможность определения принадлежности IP-адреса конкретной стране; - возможность создания расписания очистки журналов; - должна быть обеспечена отказоустойчивая работа при непрерывном круглосуточном функционировании системы; - ПО должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; - ПО не должно требовать установки дополнительных средств антивирусной безопасности

Требования к сертификации - соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия - - Значение характеристики не может изменяться участником закупки

соответствие «Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети» (ФСТЭК России, 2023) по четвертому классу защиты

соответствие «Требованиям к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ»

наличие сертификата на соответствие требованиям ФСБ России к стойкости средств криптографической защиты информации по уровню КС2 (должно подтверждаться действующими сертификатами ФСБ России)

- 26.20.40.143 - Программное обеспечение Тип 6 Комплекс должен обеспечивать полную совместимость с ПАК Тип 3 ... Требования к L2VPN шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ ... - Штука - 2,00 - 188 969,00 - 377 938,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Комплекс должен обеспечивать полную совместимость с ПАК Тип 3 Значение характеристики не может изменяться участником закупки поддержку всех характеристик производительности (п.1 ПАК Тип 3) Требования к L2VPN шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ Значение характеристики не может изменяться участником закупки возможность одновременного использования L2 и L3 шифрования на одном устройстве возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Комплекс должен обеспечивать - полную совместимость с ПАК Тип 3 - - Значение характеристики не может изменяться участником закупки - поддержку всех характеристик производительности (п.1 ПАК Тип 3) - Требования к L2VPN - шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ - - Значение характеристики не может изменяться участником закупки - возможность одновременного использования L2 и L3 шифрования на одном устройстве - возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Комплекс должен обеспечивать - полную совместимость с ПАК Тип 3 - - Значение характеристики не может изменяться участником закупки

поддержку всех характеристик производительности (п.1 ПАК Тип 3)

Требования к L2VPN - шифрование информации на канальном уровне (L2 модели OSI) по алгоритмам шифрования ГОСТ - - Значение характеристики не может изменяться участником закупки

возможность одновременного использования L2 и L3 шифрования на одном устройстве

возможность создание туннельных L3-интерфейсов с IP-адресами для организации L3VPN, а также создания bridge-интерфейсов с IP-адресами внутри L2VPN

- 26.20.40.143 - Программно-аппаратный комплекс Тип 4 пропускная способность VPN в лабораторных условиях ? 1000 МБИТ/С пропускная способность межсетевого экрана в лабораторных условиях ? 19000 МБИТ/С поддержка одновременных stateful TCP сессий ? 3000000 ШТ - Штука - 3,00 - 456 086,40 - 1 368 259,20

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке пропускная способность VPN в лабораторных условиях ? 1000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность межсетевого экрана в лабораторных условиях ? 19000 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики поддержка одновременных stateful TCP сессий ? 3000000 Штука Участник закупки указывает в заявке конкретное значение характеристики количество подключений (удаленных пользователей) к Серверу доступа ? 150 Штука Участник закупки указывает в заявке конкретное значение характеристики максимальная пропускная способность ПАК Тип 4 в режиме работы “Threat Protection” в лабораторных условиях ? 1800 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики пропускная способность ПАК Тип 4 в режиме работы “NGFW” в лабораторных условиях ? 2300 Мегабит в секунду Участник закупки указывает в заявке конкретное значение характеристики исполнение: для установки в монтажную стойку (юнит) ? 1 Участник закупки указывает в заявке конкретное значение характеристики наличие крепежного комплекта для установки в монтажный шкаф 19'' да Значение характеристики не может изменяться участником закупки оперативная память ? 16 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов в конфигурации ? 8 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10/100/1000BASE-T RJ45 ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов Combo 1G RJ45/SFP ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики сетевых интерфейсов 10G SFP+ ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики дисковый накопитель ? 240 Гигабайт Участник закупки указывает в заявке конкретное значение характеристики портов USB 2.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики портов USB 3.0 ? 2 Штука Участник закупки указывает в заявке конкретное значение характеристики COM порт с разъемом RJ45 ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики видео порт VGA ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики носитель информации типа USB Flash Drive да Значение характеристики не может изменяться участником закупки потребляемая мощность ? 36 Ватт Участник закупки указывает в заявке конкретное значение характеристики блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,5 А, 50–60 Гц. Выходные параметры: 12 В, 3 А ? 1 Штука Участник закупки указывает в заявке конкретное значение характеристики шнур питания европейского стандарта ? 1 Метр Участник закупки указывает в заявке конкретное значение характеристики модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D ? 4 Штука Участник закупки указывает в заявке конкретное значение характеристики Платформа должна обеспечивать среднее время наработки на отказ (MTBF) ? 50000 Час Участник закупки указывает в заявке конкретное значение характеристики Требования к сертификации платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) Значение характеристики не может изменяться участником закупки должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ» - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - пропускная способность VPN в лабораторных условиях - ? 1000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность межсетевого экрана в лабораторных условиях - ? 19000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - поддержка одновременных stateful TCP сессий - ? 3000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - количество подключений (удаленных пользователей) к Серверу доступа - ? 150 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - максимальная пропускная способность ПАК Тип 4 в режиме работы “Threat Protection” в лабораторных условиях - ? 1800 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - пропускная способность ПАК Тип 4 в режиме работы “NGFW” в лабораторных условиях - ? 2300 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики - исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики - наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки - оперативная память - ? 16 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов в конфигурации - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов Combo 1G RJ45/SFP - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - сетевых интерфейсов 10G SFP+ - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - дисковый накопитель - ? 240 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики - портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки - потребляемая мощность - ? 36 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики - блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,5 А, 50–60 Гц. Выходные параметры: 12 В, 3 А - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики - модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики - Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики - Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки - должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

пропускная способность VPN в лабораторных условиях - ? 1000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность межсетевого экрана в лабораторных условиях - ? 19000 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

поддержка одновременных stateful TCP сессий - ? 3000000 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

количество подключений (удаленных пользователей) к Серверу доступа - ? 150 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

максимальная пропускная способность ПАК Тип 4 в режиме работы “Threat Protection” в лабораторных условиях - ? 1800 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

пропускная способность ПАК Тип 4 в режиме работы “NGFW” в лабораторных условиях - ? 2300 - Мегабит в секунду - Участник закупки указывает в заявке конкретное значение характеристики

исполнение: для установки в монтажную стойку (юнит) - ? 1 - - Участник закупки указывает в заявке конкретное значение характеристики

наличие крепежного комплекта для установки в монтажный шкаф 19'' - да - - Значение характеристики не может изменяться участником закупки

оперативная память - ? 16 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов в конфигурации - ? 8 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10/100/1000BASE-T RJ45 - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов Combo 1G RJ45/SFP - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

сетевых интерфейсов 10G SFP+ - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

дисковый накопитель - ? 240 - Гигабайт - Участник закупки указывает в заявке конкретное значение характеристики

портов USB 2.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

портов USB 3.0 - ? 2 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

COM порт с разъемом RJ45 - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

видео порт VGA - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

носитель информации типа USB Flash Drive - да - - Значение характеристики не может изменяться участником закупки

потребляемая мощность - ? 36 - Ватт - Участник закупки указывает в заявке конкретное значение характеристики

блок питания: внешний адаптер переменного тока. Входные параметры: ~100–240 В, 1,5 А, 50–60 Гц. Выходные параметры: 12 В, 3 А - ? 1 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

шнур питания европейского стандарта - ? 1 - Метр - Участник закупки указывает в заявке конкретное значение характеристики

модуль трансивера SC-SFP -SP-10G или SFP -SR-0.5-D - ? 4 - Штука - Участник закупки указывает в заявке конкретное значение характеристики

Платформа должна обеспечивать среднее время наработки на отказ (MTBF) - ? 50000 - Час - Участник закупки указывает в заявке конкретное значение характеристики

Требования к сертификации - платформа должна входить в единый реестр российской радиоэлектронной продукции (ПП РФ 878) - - Значение характеристики не может изменяться участником закупки

должна соответствовать «Требованиям к межсетевым экранам» (ФСТЭК России, 2016), «Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ»

Преимущества, требования к участникам

Преимущества: Не установлены

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Обеспечение заявки

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 198 041,05 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Обеспечение заявки на участие в закупке предоставляется в соответствии со статьей 44 Федерального закона от 05.04.2013 N 44-ФЗ.

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО БЕЛГОРОДСКОЙ ОБЛАСТИ (ФГБОУ ВО БЕЛГОРОДСКИЙ ГАУ, БЕЛГОРОДСКИЙ ГАУ) ИНН: 3102005412 КПП: 310201001 КБК: 00011610000000000140 ОКТМО: 14610450101 40102810745370000018 03100643000000012600 011403102

Условия контракта

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, обл Белгородская, м.р-н Белгородский, Белгородская область, Белгородский район, п. Майский, ул. Вавилова, д.1

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 990 205,26 ? (5 %)

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Обеспечение исполнения контракта предоставляется в соответствии с условиями ст.96 Закона № 44-ФЗ.

Платежные реквизиты для обеспечения исполнения контракта: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Требования к гарантии качества товара, работы, услуги

Требуется гарантия качества товара, работы, услуги: Да

Срок, на который предоставляется гарантия и (или) требования к объему предоставления гарантий качества товара, работы, услуги: В соответствии с Приложением №2 (Техническое задание)

Информация о требованиях к гарантийному обслуживанию товара:

Требования к гарантии производителя товара:

Обеспечение гарантийных обязательств

Требуется обеспечение гарантийных обязательств: Да

Размер обеспечения гарантийных обязательств: 198 041,05 Российский рубль

Порядок предоставления обеспечения гарантийных обязательств, требования к обеспечению: Обеспечение гарантийных обязательств предоставляется в соответствии с условиями ст.96 Закона № 44-ФЗ.

Платежные реквизиты для обеспечения гарантийных обязательств: p/c 00000000000000000000, л/c См. прилагаемые документы, БИК 000000000

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Документы

Общая информация

Документы

Журнал событий