Номер извещения: 0351100033226000047

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АО «Сбербанк-АСТ»

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.sberbank-ast.ru

Размещение осуществляет: Заказчик ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "ФЕДЕРАЛЬНЫЙ ЦЕНТР НЕЙРОХИРУРГИИ" МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ (Г. НОВОСИБИРСК)

Наименование объекта закупки: Приобретение неисключительных (пользовательских) лицензионных прав на программное обеспечение

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202603511000332001000003

Контактная информация

Размещение осуществляет: Заказчик

Организация, осуществляющая размещение: ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ "ФЕДЕРАЛЬНЫЙ ЦЕНТР НЕЙРОХИРУРГИИ" МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ (Г. НОВОСИБИРСК)

Почтовый адрес: 630087, НОВОСИБИРСКАЯ ОБЛАСТЬ, г.о. ГОРОД НОВОСИБИРСК, Г НОВОСИБИРСК, УЛ НЕМИРОВИЧА-ДАНЧЕНКО, Д. 132/1

Место нахождения: 630087, НОВОСИБИРСКАЯ ОБЛАСТЬ, г.о. ГОРОД НОВОСИБИРСК, Г НОВОСИБИРСК, УЛ НЕМИРОВИЧА-ДАНЧЕНКО, Д. 132/1

Ответственное должностное лицо: Астафьева Ю. С.

Адрес электронной почты: zakupki@neuronsk.ru

Номер контактного телефона: 7-383-3498300-5300

Дополнительная информация: Информация отсутствует

Регион: Новосибирская обл

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 25.02.2026 15:23 (МСК+4)

Дата и время окончания срока подачи заявок: 05.03.2026 08:00 (МСК+4)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 05.03.2026

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 10.03.2026

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 4 400 000,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 261540333827154030100100020140000244

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 0  рабочих дней с даты заключения контракта

Срок исполнения контракта: 39  рабочих дней

Закупка за счет собственных средств организации: Да

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (03.02) Средства управления событиями информационной безопасности Способ предоставления Экземпляр на материальном носителе - Штука - 1,00 - 4 400 000,00 - 4 400 000,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.02) Средства управления событиями информационной безопасности Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Программное обеспечение (система) для обеспечения контроля над процессом сбора событий, поступающих от источников данных, и их анализа с целью выявления угроз и нарушений правил информационной безопасности. Технические требования к Системе: Система обеспечивает сбор и обработку не менее 2500 событий в секунду. Система поддерживает сбор и анализ следующих данных: - событий по протоколам syslog, netflow, snmp; - событий с компонента, собирающего информацию о низкоуровневых событиях ядра операционной системы (ОС); - событий, хранящихся в лог-файлах локально и на сетевых ресурсах (SMB, FTP); - событий, хранящихся в журналах hpe Event Log; - событий, хранящихся в используемых заказчиком базах данных БД MS SQL, Oracle, MySQL, PostgreSQL; - информации об установленном программном обеспечении и патчах на эксплуатируемой заказчиком ОС Windows; - информации по произвольным WMI-запросам; - событий посредством проприетарных протоколов, используемых соответствующими источниками: Cisco SDEE, Checkpoint OPSEC, Amazon Web Services; - результатов выполнения команд на удаленном хосте по протоколу SSH; - результатов выполнения команд на удаленном хосте по протоколу Telnet; - событий посредством REST API (также возможность получения EPS и информации о лицензии по Rest API-запросу). Система представляет собой программное решение, поддерживающее развертывание как на физическом, так и на виртуальном оборудовании соответствие Значение характеристики не может изменяться участником закупки Система имеет компонент интеграции с личным кабинетом заказчика Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) с поддержкой следующего функционала: - получение уведомлений о компьютерных инцидентах и уязвимостях из личного кабинета ГосСОПКА; - получение сообщений из личного кабинета ГосСОПКА; - получение бюллетеней из личного кабинета ГосСОПКА; - передачу инцидентов в ГосСОПКА. Система построена по модульному принципу, что обеспечивает ее использование и установку в различных конфигурациях. Система интегрируется в существующую у заказчика вычислительную сеть без изменения топологии сети. Система имеет пользовательский интерфейс, где все сообщения и документация на русском языке. В Системе реализована модель ролевого доступа, обеспечивающая возможность разграничения доступа пользователей к объектам Системы и разрешения или запрета выполнения определенных действий путем определения ролей. Пользовательские учетные записи хранятся непосредственно во внутренней базе Системы в зашифрованном виде в целях предотвращения несанкционированного доступа. Доступ к веб-интерфейсу, к данным и функциям Системы осуществляется с автоматизированного рабочего места (АРМ) пользователя Системы. Система не накладывает ограничений на стабильное функционирование серверов и рабочих станций заказчика. Система не ухудшает основные функциональные характеристики информационной системы заказчика (надежность, быстродействие, возможность изменения конфигурации, эргономичность) соответствие Значение характеристики не может изменяться участником закупки Система обладает характеристиками масштабирования и отказоустойчивости. Система обеспечивает возможность автоматического резервного копирования базы данных инцидентов информационной безопасности (ИБ) и ее восстановления. Требования к характеристикам взаимосвязей со смежными системами: Система предоставляет программный интерфейс (API) для взаимодействия c решениями других производителей (разработчиков) программного обеспечения. Система обеспечивает возможность подключения внешних систем хранения данных. Требования к режимам функционирования Системы: Система обеспечивает возможность работы в следующих режимах: - штатный режим (непрерывная круглосуточная работа); - сервисный режим; - аварийный режим. Штатный режим является основным режимом функционирования Системы, при котором поддерживается выполнение всех заявленных функций. Сервисный режим является вспомогательным режимом функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации Системы. При успешном окончании работы в сервисном режиме Система переводится в штатный режим функционирования. Аварийный режим функционирования применяется при обнаружении сбоев и отказов в работе Системы, нарушении функционирования поддерживающей инфраструктуры (сетей электропитания, каналов связи и т.п.). Аварийный режим характеризуется полной или частичной потерей работоспособности Системы. Требования к диагностированию Системы: В Системе предусмотрены механизмы диагностирования неисправностей в процессе установки программного обеспечения Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов. Система обеспечивает мониторинг доступности источника событий и характеристик потока событий соответствие Значение характеристики не может изменяться участником закупки Требования к перспективам развития, модернизации Системы: Система обеспечивает возможность развития и модернизации в следующих направлениях в рамках технической поддержки: - увеличение количества систем и источников для сбора событий ИБ, в т.ч. новых, ранее не поддерживаемых; - модернизация и оптимизация логики обработки собираемых событий ИБ. Программные средства Системы поддерживают возможность обновления аппаратных средств при условии сохранения неизменной системы команд и исключения возможности ухудшения количественных показателей работы Системы (скорость выполнения операций, объемы памяти и пр.). Требования к характеристикам, при которых сохраняется целевое назначение Системы: Система обеспечивает штатное функционирование в случае одновременной работы всех пользователей и источников данных заказчика на объекте автоматизации. Целевое назначение Системы сохраняется на протяжении всего срока эксплуатации системы. Срок эксплуатации системы определяется сроком устойчивой работы технических средств вычислительных комплексов, своевременным проведением работ по замене (обновлению) технических средств, по сопровождению и обновлению программного обеспечения системы (в рамках гарантийного и послегарантийного обслуживания) и его модернизации. Требования к надежности: Система обеспечивает непрерывность бизнес-процессов заказчика в случае отказов Системы. Система реализована таким образом и/или определен комплекс мер и мероприятий, обеспечивающих восстановление ее работоспособности и данных при сбоях силами штатного обслуживающего персонала в срок не более 6 рабочих часов. В случае возникновения сбоя технического или программного обеспечения Системы обеспечена возможность восстановления ее данных и настроек. Система обеспечивает функционал автоматического резервного копирования базы данных инцидентов (в т.ч. на внешний источник данных), предусмотрена возможность восстановления из архива базы инцидентов за определенную дату и/или по выбранному коннектору/правилу соответствие Значение характеристики не может изменяться участником закупки Требования к структуре и функционированию системы: В состав Системы входят следующие функциональные компоненты: - подсистема сбора и обработки событий ИБ; - подсистема хранения событий ИБ; - подсистема корреляции событий ИБ; - подсистема поиска событий и подозрений на инциденты ИБ; - подсистема регистрации инцидентов; - подсистема обеспечение ИБ самой Системы; - подсистема управления. Требования к функциям подсистемы сбора и обработки событий ИБ: Подсистема сбора и обработки событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) сбор и обработка не менее 2500 событий в секунду; 2) автоматизированный сбор и нормализация событий ИБ, включая: - присвоение событиям категорий в соответствии с типом зарегистрированного события; - присвоение событию степени критичности, управляемой администраторами СУС ИБ (системы управления событиями информационной безопасности); - приведение событий ИБ к единому формату СУС ИБ; - обогащение событий из активов, статических и динамических таблиц (запись пользовательских значений в любое поле события) на основании пользовательских правил; - сохранение исходного события и нормализованного; - нормализация объединенного потока событий от различных источников; 3) передача информации о событиях ИБ в подсистему управления инцидентами ИБ, подсистему хранения событий ИБ; 4) поддержка передачи событий в другие системы; 5) возможность передачи событий в нормализованном и «сыром» формате, в т.ч. по заданному условию; 6) события содержат обязательно следующую информацию: - дата и время возникновения события; - источник (IP-адрес или сетевое имя); - уникальный идентификатор события; - тип (категория) события; - описание события; - критичность (приоритет) события; - время получения события от источника; - дополнительные поля соответствие Значение характеристики не может изменяться участником закупки Информация об источнике события представляется в формате интернет-протоколов IPv4 и IPv6-адресации, либо в формате DNS-hostname (имя, хост, домен). Информация о внешних IP-адресах также представляется в виде геопозиционных меток (страна, город, координаты местонахождения). Дополнительные поля таксономии могут содержать информацию о протоколах прикладного уровня, MAC-адресах, DNS-адресах, файловых доступах, различные переменные и т.д. Наличие возможности расширения схемы полей таксономии администраторами СУС ИБ. Подсистема сбора имеет унифицированные транспорты для сбора событий и допускает подключение новых источников администраторами СУС ИБ без привлечения сторонних организаций и разработчиков. Подсистема обеспечивает мониторинг syslog-источников. Подсистема обеспечивает возможность разработки правил нормализации событий для существующих полей таксономии с использованием встроенного инструментария и не требует привлечения сторонних организаций и разработчиков. Подсистема сбора автоматически применяет соответствующие формулы нормализации (без необходимости настройки типа источника или вендора (разработчика ПО) в СУС ИБ). Подсистема гарантирует кэширование событий на агенте при потере связи с центральным компонентом СУС ИБ. Подсистема обеспечивает автоматическую однопоточную и многопоточную архивацию и шифрование событий при передаче их с агента СУС ИБ. При сборе событий с использованием агента СУС ИБ имеется возможность настраивать модули по умолчанию, автоматически подключаемые настройки сбора для всех новых агентов. В рамках иерархической структуры СУС ИБ реализованы следующие варианты хранения и передачи событий: - хранение событий на подчиненных площадках; - передача всех событий с подчиненных площадок на головную соответствие Значение характеристики не может изменяться участником закупки Требования к функциям подсистемы хранения событий ИБ: Подсистема хранения событий ИБ реализована в виде единого распределенного хранилища на базе используемой заказчиком распределенной поисковой системы Elasticsearch и обеспечивает реализацию следующего набора типовых действий: 1) выделение отдельного сервера управления (при необходимости) для оптимизации нагрузки; 2) выделение отдельного сервера индексирования (при необходимости) для оптимизации нагрузки; 3) долгосрочное хранение событий ИБ как в нормализованном, так и в исходном виде; 4) хранение событий ИБ в сжатом виде для экономии объема требуемого места в хранилище; 5) возможность хранения событий как на локальных, так и на внешних (сетевых) хранилищах; 6) адаптация системы хранения событий ИБ под разные часовые пояса (отображение всех событий в едином временном пространстве); 7) распределенное хранение событий без консолидации в единое хранилище с возможностью оперативного доступа ко всем событиям из единой консоли; 8) возможность распределенного поиска по всем событиям в едином запросе без передачи события в единое хранилище; 9) долгосрочное хранение событий с оперативным доступом к любым событиям на всем интервале хранения; 10) сокращение объемов хранения за счет автоматической очистки несущественных и информационных данных на основе заданной и управляемой администраторами СУС ИБ критичности событий; 11) автоматическая очистка хранилища от неинформативных событий; 12) возможность установки глубины хранения пользователем для всех типов событий; 13) автоматическое восстановление базы данных после сбоев; 14) обеспечение доступа к системе через сервис единого входа, управление пользователями системы и журналирование действий пользователей соответствие Значение характеристики не может изменяться участником закупки Требования к функциям подсистемы корреляции событий ИБ: Подсистема корреляции событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) выявление подозрений на инциденты ИБ посредством корреляции событий ИБ по заданным в СУС ИБ правилам. Выявление подозрений на следующие инциденты (включая, но не ограничиваясь): - превышение числа указанного количества попыток неуспешного доступа; - успешный вход под учетной записью после многочисленных неуспешных попыток; - попытки подбора пароля к сервисам удаленного управления серверов и сетевого оборудования, а также для критичных учетных записей; - блокирование учетной записи после многочисленных неуспешных попыток; - блокирование критичной/сервисной учетной записи по превышению лимита неудачных входов; - интерактивный вход под служебной/сервисной учетной записью; - попытки входа под несуществующей учетной записью; - попытки входа под заблокированной учетной записью; - удаленный/интерактивный вход на критичные ресурсы под учетными записями, не перечисленными в указанном списке; - изменение или создание учетных записей пользователями, не входящими в доверенную группу; - изменение учетных записей и групп вне рабочего времени; - изменение сервисных учетных записей; - вход с использованием привилегированных или сервисных учетных записей, в т.ч. в нерабочие часы; - массовое изменение учетных записей и групп; - включение опции «срок действия пароля не ограничен»; - очистка журналов событий; - превышение допустимого числа запрещенных межсетевым экраном соединений; - превышение допустимого числа сброшенных соединений; - превышение допустимого числа неустановленных соединений; - многочисленные ошибки доступа к источнику (нет прав доступа); 2) создание корреляций по историческим данным (хранящимся в системе) с использованием всех доступных функций корреляции; 3) историческая корреляция имеет функционал ручного и автоматического запуска; соответствие Значение характеристики не может изменяться участником закупки 4) создание и корректировка правил корреляции событий ИБ в графическом конструкторе без знания языков программирования; 5) установка приоритета инцидента, регистрируемого в результате срабатывания правила корреляции; 6) установка зоны видимости инцидента на основе ролевой модели применительно к каждому правилу корреляции; 7) возможность использования в правилах корреляции изменяемых пользователем статических списков; 8) возможность использования в правилах корреляции динамических списков; 9) возможность использования в правилах корреляции динамических таблиц; 10) установка временных ограничительных параметров срабатывания правила корреляции; 11) автоматическая регистрация выявленных подозрений на инциденты ИБ, оповещение об их выявлении ответственных лиц и передача их в подсистему хранения; 12) приоритизация выявленных подозрений на инциденты ИБ с учетом критичности событий ИБ, вызвавших данный инцидент и критичности ресурсов, затронутых им; 13) автоматические механизмы поиска событий и подозрений на инциденты ИБ по заданным критериям и значениям полей событий без создания правил корреляции для каждого конкретного типа инцидентов; 14) формирование пользовательского события в результате срабатывания правила корреляции; 15) проактивные сценарии при срабатывании правила корреляции; 16) передача в проактивные сценарии одиночных значений или массивов имен пользователей, исходных IP адресов, прочих переменных, фигурирующих в инциденте; 17) отправка уведомления о регистрации инцидента по электронной почте сотрудникам, не имеющих доступа к системе; 18) отправка уведомления о регистрации инцидента в мессенджер сотрудникам, не имеющим доступа к системе; 19) отправка уведомлений в мессенджер для переоткрытых инцидентов; 20) групповое управление настройками переоткрытия инцидентов соответствие Значение характеристики не может изменяться участником закупки Подсистема корреляции событий ИБ обеспечивает корреляцию: - по отдельным событиям; - по количеству событий за интервал времени; - по количеству уникальных значений за интервал времени; - по последовательности действий. Подсистема корреляции обеспечивает выполнение следующих функций: - возможность использования категории события для дальнейшего использования в правилах корреляции, вместо перечисления идентификаторов конкретных событий; - возможность использования уровня критичности события; - использование операций равенства «значения»; - использование операций больше «значения»; - использование операций больше или равно «значения»; - использование операций меньше «значения»; - использование операций меньше или равно «значения»; - использование операция строкового равенства «значения»; - использование операция строкового неравенства «значения»; - сравнение (равенство) независимо от регистра значений в поле; - сравнение (неравенство) независимо от регистра значений в поле; - поиск неполного значения; - сравнение поля (значения) за временной диапазон, фиксация изменений; - значение в поле начинается с определенного значения; - проверка наличия значения в поле (поле не пустое); - проверка отсутствия значения в поле (пустое поле); - значение из поля входит в указанный список или списки, как в статические, так и динамические; - значение из поля не входит в указанный список или списки; - значение в поле входит в список заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов; соответствие Значение характеристики не может изменяться участником закупки - проверка наличия определенного поля в событии; - проверка отсутствия определенного поля в событии; - проверка наличия инцидентов по значению в указанном поле; - использование отрицания к определенному условию или группе условий; - проверка доменных имен на вредоносность; - поиск в списках независимо от регистра значений; - сравнение (равенство) значения и поля; - сравнение (неравенство) значения и поля; - поиск подстроки по значениям статических списков; - копирование списков на подчиненные ноды при режиме мультитенантности; - постраничный поиск значений статического списка; - сортировка значений таблиц; - массовое удаление значений таблиц; - вывод правил со статическими списками. Подсистема обеспечивает агрегацию инцидентов. Агрегация осуществляется при совпадении значений любых заданных администратором полей событий. При регистрации большого количества однотипных событий, превышающего количественные значения правила корреляции, создается только один инцидент. Подсистема обеспечивает возможность добавления информации в динамические списки и удаления информации из них. Подсистема обеспечивает хранение событий, вызвавших инцидент в отдельной базе данных. Подсистема имеет функционал проверки наличия IP или доменов, указанных заказчиком в списке заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов соответствие Значение характеристики не может изменяться участником закупки Требования к функциям подсистемы поиска событий и подозрений на инциденты ИБ: Подсистема поиска событий и подозрений на инциденты ИБ обеспечивает реализацию следующего набора типовых действий: 1) формирование графических представлений и визуализаций данных в событиях; 2) сортировка и группировка событий; 3) отображение нормализованных событий с выводом указанной последовательности и набора полей; 4) изменение очередности и количества выводимых полей при детальном просмотре событий; 5) группировка по указанному пользователем полю; 6) создание сохраненных фильтров просмотра событий пользователями и администраторами; 7) использование составных поисковых запросов; 8) поиск событий без знания текста события, по категориям и критериям; 9) возможность использования логических операторов; 10) выгрузка событий по фильтрам с указанными полями и их очередностью; 11) гибкое формирование отчетов по событиям на базе поисковых запросов; 12) поиск событий ИБ, связанных с конкретным подозрением на инцидент ИБ; 13) сортировка событий по каждому из возможных полей; 14) полнотекстовый поиск по «сырым» событиям; 15) перемещение по событиям клавишами ? («вверх») и ? («вниз»); 16) группировка поля события при детальном его просмотре; соответствие Значение характеристики не может изменяться участником закупки 17) отображение порядка групп полей в соответствии с уровнем важности; 18) визуальное построение взаимосвязей между событиями по произвольным полям; 19) запоминание последнего фильтра, введенного во взаимосвязях; 20) поиск по всем подключенным средствам хранения событий; 21) полнотекстовый поиск по событиям с возможностью использования логических операторов, а также преобразования результатов в диаграммы без необходимости создания отчетов или инструментальных панелей. В рамках иерархической структуры СУС ИБ подсистема поиска событий обеспечивает возможность распределенного поиска событий по всех подчиненным площадкам из интерфейса управления головной площадки. В рамках иерархической структуры СУС ИБ обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к событиям каждой из подчиненных площадок соответствие Значение характеристики не может изменяться участником закупки Требования к функциям подсистемы регистрации инцидентов: Подсистема регистрации инцидентов безопасности СУС ИБ выполнена в виде единого решения с остальными подсистемами в единой консоли управления. Подсистема регистрации инцидентов обеспечивает реализацию следующих типовых действий: 1) ведение процессов инцидент-менеджмента согласно стандарту ITIL; 2) создание инцидента вручную; 3) регистрация инцидентов в результате срабатывания по правилам корреляции; 4) ролевое разделение доступа к инцидентам; 5) разделение доступа по группам и пользователям системы на основе условий, задаваемых в правилах корреляции; 6) постановка задач сотрудникам и группам в рамках инцидентов; 7) оповещение посредством электронной почты о назначенных инцидентах; 8) оповещение посредством электронной почты о поставленных задачах в рамках инцидентов; 9) звуковое оповещение о новом инциденте; 10) уведомления для инцидентов, созданных вручную; 11) постановка задач сотрудникам, не имеющим доступа к инциденту с изменением зоны видимости инцидента; 12) эскалация инцидентов с изменением зоны видимости инцидентов; 13) поиск и навигация по событиям, попавшим под инцидент; 14) повторное открытие ранее закрытого инцидента при его повторном возникновении; 15) навигация по закрытым инцидентам; 16) просмотр решения инцидентов; 17) просмотр истории инцидента; 18) возможность массового изменения статуса инцидентов; 19) автоматическая подстановка значений переменных в название и описание инцидентов, генерируемых правилами корреляции; 20) возможность добавления информации в инцидент при ведении расследования; соответствие Значение характеристики не может изменяться участником закупки 21) отображение событий, вызвавших инцидент и обеспечение поиска, сортировки и группировки полей событий в карточке инцидента; 22) привязка событий к инцидентам, созданным вручную; 23) удаление определенных инцидентов из системы и всех инцидентов с удалением всей информации об инцидентах и событий, связанных с ними, без удаления событий из централизованного хранилища; 24) массовое удаление инцидентов, сгруппированных по тенанту (при режиме мультитенантности), по наименованию или по категории; 25) в рамках иерархической структуры СУС ИБ: - осуществляется автоматическая передача карточек инцидентов с подчиненных площадок на головную; - обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к карточкам инцидентов каждой из подчиненных площадок; 26) возможность создавать, отслеживать, назначать, удалять задачи по инцидентам; 27) отображение идентификатора инцидента; 28) закрытие инцидента из головной ноды (при режиме мультитенантности); 29) экспорт инцидентов в формате JSON; 30) сохранение фильтра при переходе из события инцидента в раздел «События». Функционал удаления инцидентов имеет возможность ограничения определенными ролями пользователей или отключения данного функционала для всех пользователей СУС ИБ. Инциденты информационной безопасности, равно как и связанные с ними события, хранятся в системе не менее 1 года, независимо от срока хранения обычных, «сырых» и нормализованных событий в системе соответствие Значение характеристики не может изменяться участником закупки Требования к функциям подсистемы информационной безопасности СУС ИБ: Подсистема информационной безопасности СУС ИБ обеспечивает реализацию следующих действий: 1) аутентификация пользователей посредством встроенных механизмов, интеграции с протоколом LDAP и гибридной аутентификации; 2) разграничение доступа к функциям и информации, обрабатываемой в СУС ИБ посредством ролевой модели; 3) логирование входов и действий обслуживающего персонала СУС ИБ; 4) логирование парольной политики; 5) защита от несанкционированного доступа к информации, находящейся в СУС ИБ; 6) регистрация и предотвращение попыток несанкционированного доступа к средствам контроля и контролируемой информации; 7) ограничение количества неуспешных попыток входа в СУС ИБ; 8) настройка парольных политик пользователей СУС ИБ; 9) ограничение количества параллельных сеансов доступа в СУС ИБ; 10) контроль целостности компонентов СУС ИБ и уведомление пользователя в случае нарушения целостности. Требования к функциям подсистемы управления: Подсистема управления выполняет следующие функции: - централизованное управление компонентами системы; - оперативное реагирование на инциденты ИБ и обеспечение взаимодействия подразделений организации при расследовании этих инцидентов; - предоставление графического интерфейса пользователя соответствие Значение характеристики не может изменяться участником закупки Требования к способам и средствам связи для информационного обмена между компонентами Системы: Внедряемая Система функционирует в составе информационно-вычислительной сети заказчика. Система функционирует на используемой заказчиком платформе семейства Linux. Система корректно работает в сетях доменного типа. Система поддерживает эксплуатируемую заказчиком виртуальную инфраструктуру (VMware ESX/ESXi). Унифицированное информационное взаимодействие между компонентами Системы обеспечивается с использованием шины передачи данных и веб-служб, работающих на стеке протоколов TCP/IP. Требования по стандартизации и унификации: Компоненты Системы при взаимодействии со смежными системами используют стандартные процедуры и протоколы. Требования к функциям Системы: Система с помощью функциональных компонентов обеспечивает реализацию следующих функциональных возможностей: - управление событиями; - управление инцидентами; - отправка уведомлений; - визуализация и построение отчетов; - обновление; - разграничение доступа пользователей Системы. Функция управления событиями: Система содержит текстовое описание каждого события, предоставленное вендором (разработчиком ПО). Система обеспечивает категоризацию событий. Система имеет следующие механизмы для управления списком событий: - фильтрация событий по заданному набору атрибутов и их значений с использованием специализированного языка запросов; - сохранение пользовательских фильтров для последующего быстрого доступа к интересующим событиям (с возможностью создания иерархического списка фильтров); - функции группировки и сортировки событий в выводе на экран по всем доступным полям соответствие Значение характеристики не может изменяться участником закупки Функция управления инцидентами: Система обеспечивает автоматическое и ручное формирование инцидентов при обнаружении критичных с точки зрения пользователя событий. Система обеспечивает импорт инцидентов из специально подготовленных файлов. Система обеспечивает категорирование инцидентов. Система обеспечивает управление автоматической генерацией инцидентов. Система обеспечивает формирование инцидента с автоматической и ручной привязкой к нему событий. Для управления списком инцидентов Система имеет следующие механизмы: - фильтрации инцидентов по группе активов и периоду; - фильтрации инцидентов с использованием системных и пользовательских фильтров; - сохранения пользовательских фильтров для последующего быстрого доступа (с возможность создания иерархического списка фильтров); - сортировки инцидентов по времени создания, статусу, критичности, категории, названию. Система обеспечивает возможность построения процесса расследования инцидента: формирование поручений для расследования, определение порядка реагирования и устранения последствий инцидентов, назначение ответственных лиц. Система обеспечивает хранение истории расследования инцидента. Система имеет журнал изменений инцидента для регистрации изменений атрибутов и состояний инцидента соответствие Значение характеристики не может изменяться участником закупки Функция отправки уведомлений: Система обеспечивает возможность формирования и отправки уведомлений (по электронной почте, мессенджеру или посредствам web-уведомлений): - об изменении состава выбранных динамических групп активов (включении, исключении активов); - о событиях и инцидентах – при их попадании под системный или пользовательский фильтр; - о выходе параметров потока событий за пределы допустимых значений; - о выполнении задач сбора данных; - о состоянии Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов соответствие Значение характеристики не может изменяться участником закупки Функция визуализации и построения отчетов: Система предоставляет оперативные данные об активах, событиях, инцидентах и мониторинге функционирования Системы в виде графиков, диаграмм и таблиц на виджетах и дашбордах. Система обеспечивает возможность создания и конфигурирования пользовательских дашбордов. Система предоставляет возможность экспорта отчетов, как минимум, в одном из следующих форматов: PDF, XLSX, CSV. Система обеспечивает отображение следующих статистических данных по инцидентам в графическом формате (на виджетах): - созданные инциденты; - закрытые инциденты за период; - незакрытые инциденты по уровню опасности; - среднее время устранения инцидента. Система обеспечивает выпуск отчетов (стандартных и пользовательских) вручную или по расписанию. Система предоставляет пользователю интерфейс создания пользовательских отчетов с данными об активах, событиях и инцидентах (конструктор отчетов). Система обеспечивает возможность формирования отчетов из состава имеющихся шаблонов: - по событиям; - по инцидентам. Система обеспечивает построение следующих отчетов по инцидентам: - распределение новых инцидентов по времени; - распределение утвержденных инцидентов по времени; - распределение инцидентов в работе по времени; - все открытые инциденты по времени; - распределение разрешенных инцидентов по времени; - распределение закрытых инцидентов по времени; - все завершенные инциденты по времени. Графический интерфейс пользователя реализован по технологии web (доступных через Интернет) соответствие Значение характеристики не может изменяться участником закупки Функция обновления: Система обеспечивает возможность обновления и расширения встроенных баз знаний вендора (разработчика ПО), в т.ч. формул нормализации и правил корреляции, в рамках предоставляемой лицензии. Функция разграничения доступа пользователей Системы: Система обеспечивает идентификацию и аутентификацию пользователей по уникальному идентификатору и паролю. Система обеспечивает идентификацию и аутентификацию пользователей через сторонний LDAP-сервер. В Системе реализована модель ролевого доступа, обеспечивающая возможность разрешения или запрета доступа пользователей к информации об определенных узлах (активах). Система обеспечивает регистрацию действий пользователей при работе с компонентами Системы. Требования к программному обеспечению: Компоненты Системы разворачиваются на следующей используемой заказчиком программной платформе VM Manager Astra Linux SE 1.8 Воронеж. Доступ к пользовательскому интерфейсу Системы осуществляется посредствам используемого заказчиком браузера «Яндекс браузер» соответствие Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.02) Средства управления событиями информационной безопасности - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Программное обеспечение (система) для обеспечения контроля над процессом сбора событий, поступающих от источников данных, и их анализа с целью выявления угроз и нарушений правил информационной безопасности. Технические требования к Системе: Система обеспечивает сбор и обработку не менее 2500 событий в секунду. Система поддерживает сбор и анализ следующих данных: - событий по протоколам syslog, netflow, snmp; - событий с компонента, собирающего информацию о низкоуровневых событиях ядра операционной системы (ОС); - событий, хранящихся в лог-файлах локально и на сетевых ресурсах (SMB, FTP); - событий, хранящихся в журналах hpe Event Log; - событий, хранящихся в используемых заказчиком базах данных БД MS SQL, Oracle, MySQL, PostgreSQL; - информации об установленном программном обеспечении и патчах на эксплуатируемой заказчиком ОС Windows; - информации по произвольным WMI-запросам; - событий посредством проприетарных протоколов, используемых соответствующими источниками: Cisco SDEE, Checkpoint OPSEC, Amazon Web Services; - результатов выполнения команд на удаленном хосте по протоколу SSH; - результатов выполнения команд на удаленном хосте по протоколу Telnet; - событий посредством REST API (также возможность получения EPS и информации о лицензии по Rest API-запросу). Система представляет собой программное решение, поддерживающее развертывание как на физическом, так и на виртуальном оборудовании - соответствие - - Значение характеристики не может изменяться участником закупки - Система имеет компонент интеграции с личным кабинетом заказчика Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) с поддержкой следующего функционала: - получение уведомлений о компьютерных инцидентах и уязвимостях из личного кабинета ГосСОПКА; - получение сообщений из личного кабинета ГосСОПКА; - получение бюллетеней из личного кабинета ГосСОПКА; - передачу инцидентов в ГосСОПКА. Система построена по модульному принципу, что обеспечивает ее использование и установку в различных конфигурациях. Система интегрируется в существующую у заказчика вычислительную сеть без изменения топологии сети. Система имеет пользовательский интерфейс, где все сообщения и документация на русском языке. В Системе реализована модель ролевого доступа, обеспечивающая возможность разграничения доступа пользователей к объектам Системы и разрешения или запрета выполнения определенных действий путем определения ролей. Пользовательские учетные записи хранятся непосредственно во внутренней базе Системы в зашифрованном виде в целях предотвращения несанкционированного доступа. Доступ к веб-интерфейсу, к данным и функциям Системы осуществляется с автоматизированного рабочего места (АРМ) пользователя Системы. Система не накладывает ограничений на стабильное функционирование серверов и рабочих станций заказчика. Система не ухудшает основные функциональные характеристики информационной системы заказчика (надежность, быстродействие, возможность изменения конфигурации, эргономичность) - соответствие - - Значение характеристики не может изменяться участником закупки - Система обладает характеристиками масштабирования и отказоустойчивости. Система обеспечивает возможность автоматического резервного копирования базы данных инцидентов информационной безопасности (ИБ) и ее восстановления. Требования к характеристикам взаимосвязей со смежными системами: Система предоставляет программный интерфейс (API) для взаимодействия c решениями других производителей (разработчиков) программного обеспечения. Система обеспечивает возможность подключения внешних систем хранения данных. Требования к режимам функционирования Системы: Система обеспечивает возможность работы в следующих режимах: - штатный режим (непрерывная круглосуточная работа); - сервисный режим; - аварийный режим. Штатный режим является основным режимом функционирования Системы, при котором поддерживается выполнение всех заявленных функций. Сервисный режим является вспомогательным режимом функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации Системы. При успешном окончании работы в сервисном режиме Система переводится в штатный режим функционирования. Аварийный режим функционирования применяется при обнаружении сбоев и отказов в работе Системы, нарушении функционирования поддерживающей инфраструктуры (сетей электропитания, каналов связи и т.п.). Аварийный режим характеризуется полной или частичной потерей работоспособности Системы. Требования к диагностированию Системы: В Системе предусмотрены механизмы диагностирования неисправностей в процессе установки программного обеспечения Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов. Система обеспечивает мониторинг доступности источника событий и характеристик потока событий - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к перспективам развития, модернизации Системы: Система обеспечивает возможность развития и модернизации в следующих направлениях в рамках технической поддержки: - увеличение количества систем и источников для сбора событий ИБ, в т.ч. новых, ранее не поддерживаемых; - модернизация и оптимизация логики обработки собираемых событий ИБ. Программные средства Системы поддерживают возможность обновления аппаратных средств при условии сохранения неизменной системы команд и исключения возможности ухудшения количественных показателей работы Системы (скорость выполнения операций, объемы памяти и пр.). Требования к характеристикам, при которых сохраняется целевое назначение Системы: Система обеспечивает штатное функционирование в случае одновременной работы всех пользователей и источников данных заказчика на объекте автоматизации. Целевое назначение Системы сохраняется на протяжении всего срока эксплуатации системы. Срок эксплуатации системы определяется сроком устойчивой работы технических средств вычислительных комплексов, своевременным проведением работ по замене (обновлению) технических средств, по сопровождению и обновлению программного обеспечения системы (в рамках гарантийного и послегарантийного обслуживания) и его модернизации. Требования к надежности: Система обеспечивает непрерывность бизнес-процессов заказчика в случае отказов Системы. Система реализована таким образом и/или определен комплекс мер и мероприятий, обеспечивающих восстановление ее работоспособности и данных при сбоях силами штатного обслуживающего персонала в срок не более 6 рабочих часов. В случае возникновения сбоя технического или программного обеспечения Системы обеспечена возможность восстановления ее данных и настроек. Система обеспечивает функционал автоматического резервного копирования базы данных инцидентов (в т.ч. на внешний источник данных), предусмотрена возможность восстановления из архива базы инцидентов за определенную дату и/или по выбранному коннектору/правилу - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к структуре и функционированию системы: В состав Системы входят следующие функциональные компоненты: - подсистема сбора и обработки событий ИБ; - подсистема хранения событий ИБ; - подсистема корреляции событий ИБ; - подсистема поиска событий и подозрений на инциденты ИБ; - подсистема регистрации инцидентов; - подсистема обеспечение ИБ самой Системы; - подсистема управления. Требования к функциям подсистемы сбора и обработки событий ИБ: Подсистема сбора и обработки событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) сбор и обработка не менее 2500 событий в секунду; 2) автоматизированный сбор и нормализация событий ИБ, включая: - присвоение событиям категорий в соответствии с типом зарегистрированного события; - присвоение событию степени критичности, управляемой администраторами СУС ИБ (системы управления событиями информационной безопасности); - приведение событий ИБ к единому формату СУС ИБ; - обогащение событий из активов, статических и динамических таблиц (запись пользовательских значений в любое поле события) на основании пользовательских правил; - сохранение исходного события и нормализованного; - нормализация объединенного потока событий от различных источников; 3) передача информации о событиях ИБ в подсистему управления инцидентами ИБ, подсистему хранения событий ИБ; 4) поддержка передачи событий в другие системы; 5) возможность передачи событий в нормализованном и «сыром» формате, в т.ч. по заданному условию; 6) события содержат обязательно следующую информацию: - дата и время возникновения события; - источник (IP-адрес или сетевое имя); - уникальный идентификатор события; - тип (категория) события; - описание события; - критичность (приоритет) события; - время получения события от источника; - дополнительные поля - соответствие - - Значение характеристики не может изменяться участником закупки - Информация об источнике события представляется в формате интернет-протоколов IPv4 и IPv6-адресации, либо в формате DNS-hostname (имя, хост, домен). Информация о внешних IP-адресах также представляется в виде геопозиционных меток (страна, город, координаты местонахождения). Дополнительные поля таксономии могут содержать информацию о протоколах прикладного уровня, MAC-адресах, DNS-адресах, файловых доступах, различные переменные и т.д. Наличие возможности расширения схемы полей таксономии администраторами СУС ИБ. Подсистема сбора имеет унифицированные транспорты для сбора событий и допускает подключение новых источников администраторами СУС ИБ без привлечения сторонних организаций и разработчиков. Подсистема обеспечивает мониторинг syslog-источников. Подсистема обеспечивает возможность разработки правил нормализации событий для существующих полей таксономии с использованием встроенного инструментария и не требует привлечения сторонних организаций и разработчиков. Подсистема сбора автоматически применяет соответствующие формулы нормализации (без необходимости настройки типа источника или вендора (разработчика ПО) в СУС ИБ). Подсистема гарантирует кэширование событий на агенте при потере связи с центральным компонентом СУС ИБ. Подсистема обеспечивает автоматическую однопоточную и многопоточную архивацию и шифрование событий при передаче их с агента СУС ИБ. При сборе событий с использованием агента СУС ИБ имеется возможность настраивать модули по умолчанию, автоматически подключаемые настройки сбора для всех новых агентов. В рамках иерархической структуры СУС ИБ реализованы следующие варианты хранения и передачи событий: - хранение событий на подчиненных площадках; - передача всех событий с подчиненных площадок на головную - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к функциям подсистемы хранения событий ИБ: Подсистема хранения событий ИБ реализована в виде единого распределенного хранилища на базе используемой заказчиком распределенной поисковой системы Elasticsearch и обеспечивает реализацию следующего набора типовых действий: 1) выделение отдельного сервера управления (при необходимости) для оптимизации нагрузки; 2) выделение отдельного сервера индексирования (при необходимости) для оптимизации нагрузки; 3) долгосрочное хранение событий ИБ как в нормализованном, так и в исходном виде; 4) хранение событий ИБ в сжатом виде для экономии объема требуемого места в хранилище; 5) возможность хранения событий как на локальных, так и на внешних (сетевых) хранилищах; 6) адаптация системы хранения событий ИБ под разные часовые пояса (отображение всех событий в едином временном пространстве); 7) распределенное хранение событий без консолидации в единое хранилище с возможностью оперативного доступа ко всем событиям из единой консоли; 8) возможность распределенного поиска по всем событиям в едином запросе без передачи события в единое хранилище; 9) долгосрочное хранение событий с оперативным доступом к любым событиям на всем интервале хранения; 10) сокращение объемов хранения за счет автоматической очистки несущественных и информационных данных на основе заданной и управляемой администраторами СУС ИБ критичности событий; 11) автоматическая очистка хранилища от неинформативных событий; 12) возможность установки глубины хранения пользователем для всех типов событий; 13) автоматическое восстановление базы данных после сбоев; 14) обеспечение доступа к системе через сервис единого входа, управление пользователями системы и журналирование действий пользователей - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к функциям подсистемы корреляции событий ИБ: Подсистема корреляции событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) выявление подозрений на инциденты ИБ посредством корреляции событий ИБ по заданным в СУС ИБ правилам. Выявление подозрений на следующие инциденты (включая, но не ограничиваясь): - превышение числа указанного количества попыток неуспешного доступа; - успешный вход под учетной записью после многочисленных неуспешных попыток; - попытки подбора пароля к сервисам удаленного управления серверов и сетевого оборудования, а также для критичных учетных записей; - блокирование учетной записи после многочисленных неуспешных попыток; - блокирование критичной/сервисной учетной записи по превышению лимита неудачных входов; - интерактивный вход под служебной/сервисной учетной записью; - попытки входа под несуществующей учетной записью; - попытки входа под заблокированной учетной записью; - удаленный/интерактивный вход на критичные ресурсы под учетными записями, не перечисленными в указанном списке; - изменение или создание учетных записей пользователями, не входящими в доверенную группу; - изменение учетных записей и групп вне рабочего времени; - изменение сервисных учетных записей; - вход с использованием привилегированных или сервисных учетных записей, в т.ч. в нерабочие часы; - массовое изменение учетных записей и групп; - включение опции «срок действия пароля не ограничен»; - очистка журналов событий; - превышение допустимого числа запрещенных межсетевым экраном соединений; - превышение допустимого числа сброшенных соединений; - превышение допустимого числа неустановленных соединений; - многочисленные ошибки доступа к источнику (нет прав доступа); 2) создание корреляций по историческим данным (хранящимся в системе) с использованием всех доступных функций корреляции; 3) историческая корреляция имеет функционал ручного и автоматического запуска; - соответствие - - Значение характеристики не может изменяться участником закупки - 4) создание и корректировка правил корреляции событий ИБ в графическом конструкторе без знания языков программирования; 5) установка приоритета инцидента, регистрируемого в результате срабатывания правила корреляции; 6) установка зоны видимости инцидента на основе ролевой модели применительно к каждому правилу корреляции; 7) возможность использования в правилах корреляции изменяемых пользователем статических списков; 8) возможность использования в правилах корреляции динамических списков; 9) возможность использования в правилах корреляции динамических таблиц; 10) установка временных ограничительных параметров срабатывания правила корреляции; 11) автоматическая регистрация выявленных подозрений на инциденты ИБ, оповещение об их выявлении ответственных лиц и передача их в подсистему хранения; 12) приоритизация выявленных подозрений на инциденты ИБ с учетом критичности событий ИБ, вызвавших данный инцидент и критичности ресурсов, затронутых им; 13) автоматические механизмы поиска событий и подозрений на инциденты ИБ по заданным критериям и значениям полей событий без создания правил корреляции для каждого конкретного типа инцидентов; 14) формирование пользовательского события в результате срабатывания правила корреляции; 15) проактивные сценарии при срабатывании правила корреляции; 16) передача в проактивные сценарии одиночных значений или массивов имен пользователей, исходных IP адресов, прочих переменных, фигурирующих в инциденте; 17) отправка уведомления о регистрации инцидента по электронной почте сотрудникам, не имеющих доступа к системе; 18) отправка уведомления о регистрации инцидента в мессенджер сотрудникам, не имеющим доступа к системе; 19) отправка уведомлений в мессенджер для переоткрытых инцидентов; 20) групповое управление настройками переоткрытия инцидентов - соответствие - - Значение характеристики не может изменяться участником закупки - Подсистема корреляции событий ИБ обеспечивает корреляцию: - по отдельным событиям; - по количеству событий за интервал времени; - по количеству уникальных значений за интервал времени; - по последовательности действий. Подсистема корреляции обеспечивает выполнение следующих функций: - возможность использования категории события для дальнейшего использования в правилах корреляции, вместо перечисления идентификаторов конкретных событий; - возможность использования уровня критичности события; - использование операций равенства «значения»; - использование операций больше «значения»; - использование операций больше или равно «значения»; - использование операций меньше «значения»; - использование операций меньше или равно «значения»; - использование операция строкового равенства «значения»; - использование операция строкового неравенства «значения»; - сравнение (равенство) независимо от регистра значений в поле; - сравнение (неравенство) независимо от регистра значений в поле; - поиск неполного значения; - сравнение поля (значения) за временной диапазон, фиксация изменений; - значение в поле начинается с определенного значения; - проверка наличия значения в поле (поле не пустое); - проверка отсутствия значения в поле (пустое поле); - значение из поля входит в указанный список или списки, как в статические, так и динамические; - значение из поля не входит в указанный список или списки; - значение в поле входит в список заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов; - соответствие - - Значение характеристики не может изменяться участником закупки - - проверка наличия определенного поля в событии; - проверка отсутствия определенного поля в событии; - проверка наличия инцидентов по значению в указанном поле; - использование отрицания к определенному условию или группе условий; - проверка доменных имен на вредоносность; - поиск в списках независимо от регистра значений; - сравнение (равенство) значения и поля; - сравнение (неравенство) значения и поля; - поиск подстроки по значениям статических списков; - копирование списков на подчиненные ноды при режиме мультитенантности; - постраничный поиск значений статического списка; - сортировка значений таблиц; - массовое удаление значений таблиц; - вывод правил со статическими списками. Подсистема обеспечивает агрегацию инцидентов. Агрегация осуществляется при совпадении значений любых заданных администратором полей событий. При регистрации большого количества однотипных событий, превышающего количественные значения правила корреляции, создается только один инцидент. Подсистема обеспечивает возможность добавления информации в динамические списки и удаления информации из них. Подсистема обеспечивает хранение событий, вызвавших инцидент в отдельной базе данных. Подсистема имеет функционал проверки наличия IP или доменов, указанных заказчиком в списке заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к функциям подсистемы поиска событий и подозрений на инциденты ИБ: Подсистема поиска событий и подозрений на инциденты ИБ обеспечивает реализацию следующего набора типовых действий: 1) формирование графических представлений и визуализаций данных в событиях; 2) сортировка и группировка событий; 3) отображение нормализованных событий с выводом указанной последовательности и набора полей; 4) изменение очередности и количества выводимых полей при детальном просмотре событий; 5) группировка по указанному пользователем полю; 6) создание сохраненных фильтров просмотра событий пользователями и администраторами; 7) использование составных поисковых запросов; 8) поиск событий без знания текста события, по категориям и критериям; 9) возможность использования логических операторов; 10) выгрузка событий по фильтрам с указанными полями и их очередностью; 11) гибкое формирование отчетов по событиям на базе поисковых запросов; 12) поиск событий ИБ, связанных с конкретным подозрением на инцидент ИБ; 13) сортировка событий по каждому из возможных полей; 14) полнотекстовый поиск по «сырым» событиям; 15) перемещение по событиям клавишами ? («вверх») и ? («вниз»); 16) группировка поля события при детальном его просмотре; - соответствие - - Значение характеристики не может изменяться участником закупки - 17) отображение порядка групп полей в соответствии с уровнем важности; 18) визуальное построение взаимосвязей между событиями по произвольным полям; 19) запоминание последнего фильтра, введенного во взаимосвязях; 20) поиск по всем подключенным средствам хранения событий; 21) полнотекстовый поиск по событиям с возможностью использования логических операторов, а также преобразования результатов в диаграммы без необходимости создания отчетов или инструментальных панелей. В рамках иерархической структуры СУС ИБ подсистема поиска событий обеспечивает возможность распределенного поиска событий по всех подчиненным площадкам из интерфейса управления головной площадки. В рамках иерархической структуры СУС ИБ обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к событиям каждой из подчиненных площадок - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к функциям подсистемы регистрации инцидентов: Подсистема регистрации инцидентов безопасности СУС ИБ выполнена в виде единого решения с остальными подсистемами в единой консоли управления. Подсистема регистрации инцидентов обеспечивает реализацию следующих типовых действий: 1) ведение процессов инцидент-менеджмента согласно стандарту ITIL; 2) создание инцидента вручную; 3) регистрация инцидентов в результате срабатывания по правилам корреляции; 4) ролевое разделение доступа к инцидентам; 5) разделение доступа по группам и пользователям системы на основе условий, задаваемых в правилах корреляции; 6) постановка задач сотрудникам и группам в рамках инцидентов; 7) оповещение посредством электронной почты о назначенных инцидентах; 8) оповещение посредством электронной почты о поставленных задачах в рамках инцидентов; 9) звуковое оповещение о новом инциденте; 10) уведомления для инцидентов, созданных вручную; 11) постановка задач сотрудникам, не имеющим доступа к инциденту с изменением зоны видимости инцидента; 12) эскалация инцидентов с изменением зоны видимости инцидентов; 13) поиск и навигация по событиям, попавшим под инцидент; 14) повторное открытие ранее закрытого инцидента при его повторном возникновении; 15) навигация по закрытым инцидентам; 16) просмотр решения инцидентов; 17) просмотр истории инцидента; 18) возможность массового изменения статуса инцидентов; 19) автоматическая подстановка значений переменных в название и описание инцидентов, генерируемых правилами корреляции; 20) возможность добавления информации в инцидент при ведении расследования; - соответствие - - Значение характеристики не может изменяться участником закупки - 21) отображение событий, вызвавших инцидент и обеспечение поиска, сортировки и группировки полей событий в карточке инцидента; 22) привязка событий к инцидентам, созданным вручную; 23) удаление определенных инцидентов из системы и всех инцидентов с удалением всей информации об инцидентах и событий, связанных с ними, без удаления событий из централизованного хранилища; 24) массовое удаление инцидентов, сгруппированных по тенанту (при режиме мультитенантности), по наименованию или по категории; 25) в рамках иерархической структуры СУС ИБ: - осуществляется автоматическая передача карточек инцидентов с подчиненных площадок на головную; - обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к карточкам инцидентов каждой из подчиненных площадок; 26) возможность создавать, отслеживать, назначать, удалять задачи по инцидентам; 27) отображение идентификатора инцидента; 28) закрытие инцидента из головной ноды (при режиме мультитенантности); 29) экспорт инцидентов в формате JSON; 30) сохранение фильтра при переходе из события инцидента в раздел «События». Функционал удаления инцидентов имеет возможность ограничения определенными ролями пользователей или отключения данного функционала для всех пользователей СУС ИБ. Инциденты информационной безопасности, равно как и связанные с ними события, хранятся в системе не менее 1 года, независимо от срока хранения обычных, «сырых» и нормализованных событий в системе - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к функциям подсистемы информационной безопасности СУС ИБ: Подсистема информационной безопасности СУС ИБ обеспечивает реализацию следующих действий: 1) аутентификация пользователей посредством встроенных механизмов, интеграции с протоколом LDAP и гибридной аутентификации; 2) разграничение доступа к функциям и информации, обрабатываемой в СУС ИБ посредством ролевой модели; 3) логирование входов и действий обслуживающего персонала СУС ИБ; 4) логирование парольной политики; 5) защита от несанкционированного доступа к информации, находящейся в СУС ИБ; 6) регистрация и предотвращение попыток несанкционированного доступа к средствам контроля и контролируемой информации; 7) ограничение количества неуспешных попыток входа в СУС ИБ; 8) настройка парольных политик пользователей СУС ИБ; 9) ограничение количества параллельных сеансов доступа в СУС ИБ; 10) контроль целостности компонентов СУС ИБ и уведомление пользователя в случае нарушения целостности. Требования к функциям подсистемы управления: Подсистема управления выполняет следующие функции: - централизованное управление компонентами системы; - оперативное реагирование на инциденты ИБ и обеспечение взаимодействия подразделений организации при расследовании этих инцидентов; - предоставление графического интерфейса пользователя - соответствие - - Значение характеристики не может изменяться участником закупки - Требования к способам и средствам связи для информационного обмена между компонентами Системы: Внедряемая Система функционирует в составе информационно-вычислительной сети заказчика. Система функционирует на используемой заказчиком платформе семейства Linux. Система корректно работает в сетях доменного типа. Система поддерживает эксплуатируемую заказчиком виртуальную инфраструктуру (VMware ESX/ESXi). Унифицированное информационное взаимодействие между компонентами Системы обеспечивается с использованием шины передачи данных и веб-служб, работающих на стеке протоколов TCP/IP. Требования по стандартизации и унификации: Компоненты Системы при взаимодействии со смежными системами используют стандартные процедуры и протоколы. Требования к функциям Системы: Система с помощью функциональных компонентов обеспечивает реализацию следующих функциональных возможностей: - управление событиями; - управление инцидентами; - отправка уведомлений; - визуализация и построение отчетов; - обновление; - разграничение доступа пользователей Системы. Функция управления событиями: Система содержит текстовое описание каждого события, предоставленное вендором (разработчиком ПО). Система обеспечивает категоризацию событий. Система имеет следующие механизмы для управления списком событий: - фильтрация событий по заданному набору атрибутов и их значений с использованием специализированного языка запросов; - сохранение пользовательских фильтров для последующего быстрого доступа к интересующим событиям (с возможностью создания иерархического списка фильтров); - функции группировки и сортировки событий в выводе на экран по всем доступным полям - соответствие - - Значение характеристики не может изменяться участником закупки - Функция управления инцидентами: Система обеспечивает автоматическое и ручное формирование инцидентов при обнаружении критичных с точки зрения пользователя событий. Система обеспечивает импорт инцидентов из специально подготовленных файлов. Система обеспечивает категорирование инцидентов. Система обеспечивает управление автоматической генерацией инцидентов. Система обеспечивает формирование инцидента с автоматической и ручной привязкой к нему событий. Для управления списком инцидентов Система имеет следующие механизмы: - фильтрации инцидентов по группе активов и периоду; - фильтрации инцидентов с использованием системных и пользовательских фильтров; - сохранения пользовательских фильтров для последующего быстрого доступа (с возможность создания иерархического списка фильтров); - сортировки инцидентов по времени создания, статусу, критичности, категории, названию. Система обеспечивает возможность построения процесса расследования инцидента: формирование поручений для расследования, определение порядка реагирования и устранения последствий инцидентов, назначение ответственных лиц. Система обеспечивает хранение истории расследования инцидента. Система имеет журнал изменений инцидента для регистрации изменений атрибутов и состояний инцидента - соответствие - - Значение характеристики не может изменяться участником закупки - Функция отправки уведомлений: Система обеспечивает возможность формирования и отправки уведомлений (по электронной почте, мессенджеру или посредствам web-уведомлений): - об изменении состава выбранных динамических групп активов (включении, исключении активов); - о событиях и инцидентах – при их попадании под системный или пользовательский фильтр; - о выходе параметров потока событий за пределы допустимых значений; - о выполнении задач сбора данных; - о состоянии Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов - соответствие - - Значение характеристики не может изменяться участником закупки - Функция визуализации и построения отчетов: Система предоставляет оперативные данные об активах, событиях, инцидентах и мониторинге функционирования Системы в виде графиков, диаграмм и таблиц на виджетах и дашбордах. Система обеспечивает возможность создания и конфигурирования пользовательских дашбордов. Система предоставляет возможность экспорта отчетов, как минимум, в одном из следующих форматов: PDF, XLSX, CSV. Система обеспечивает отображение следующих статистических данных по инцидентам в графическом формате (на виджетах): - созданные инциденты; - закрытые инциденты за период; - незакрытые инциденты по уровню опасности; - среднее время устранения инцидента. Система обеспечивает выпуск отчетов (стандартных и пользовательских) вручную или по расписанию. Система предоставляет пользователю интерфейс создания пользовательских отчетов с данными об активах, событиях и инцидентах (конструктор отчетов). Система обеспечивает возможность формирования отчетов из состава имеющихся шаблонов: - по событиям; - по инцидентам. Система обеспечивает построение следующих отчетов по инцидентам: - распределение новых инцидентов по времени; - распределение утвержденных инцидентов по времени; - распределение инцидентов в работе по времени; - все открытые инциденты по времени; - распределение разрешенных инцидентов по времени; - распределение закрытых инцидентов по времени; - все завершенные инциденты по времени. Графический интерфейс пользователя реализован по технологии web (доступных через Интернет) - соответствие - - Значение характеристики не может изменяться участником закупки - Функция обновления: Система обеспечивает возможность обновления и расширения встроенных баз знаний вендора (разработчика ПО), в т.ч. формул нормализации и правил корреляции, в рамках предоставляемой лицензии. Функция разграничения доступа пользователей Системы: Система обеспечивает идентификацию и аутентификацию пользователей по уникальному идентификатору и паролю. Система обеспечивает идентификацию и аутентификацию пользователей через сторонний LDAP-сервер. В Системе реализована модель ролевого доступа, обеспечивающая возможность разрешения или запрета доступа пользователей к информации об определенных узлах (активах). Система обеспечивает регистрацию действий пользователей при работе с компонентами Системы. Требования к программному обеспечению: Компоненты Системы разворачиваются на следующей используемой заказчиком программной платформе VM Manager Astra Linux SE 1.8 Воронеж. Доступ к пользовательскому интерфейсу Системы осуществляется посредствам используемого заказчиком браузера «Яндекс браузер» - соответствие - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.02) Средства управления событиями информационной безопасности - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Программное обеспечение (система) для обеспечения контроля над процессом сбора событий, поступающих от источников данных, и их анализа с целью выявления угроз и нарушений правил информационной безопасности. Технические требования к Системе: Система обеспечивает сбор и обработку не менее 2500 событий в секунду. Система поддерживает сбор и анализ следующих данных: - событий по протоколам syslog, netflow, snmp; - событий с компонента, собирающего информацию о низкоуровневых событиях ядра операционной системы (ОС); - событий, хранящихся в лог-файлах локально и на сетевых ресурсах (SMB, FTP); - событий, хранящихся в журналах hpe Event Log; - событий, хранящихся в используемых заказчиком базах данных БД MS SQL, Oracle, MySQL, PostgreSQL; - информации об установленном программном обеспечении и патчах на эксплуатируемой заказчиком ОС Windows; - информации по произвольным WMI-запросам; - событий посредством проприетарных протоколов, используемых соответствующими источниками: Cisco SDEE, Checkpoint OPSEC, Amazon Web Services; - результатов выполнения команд на удаленном хосте по протоколу SSH; - результатов выполнения команд на удаленном хосте по протоколу Telnet; - событий посредством REST API (также возможность получения EPS и информации о лицензии по Rest API-запросу). Система представляет собой программное решение, поддерживающее развертывание как на физическом, так и на виртуальном оборудовании - соответствие - - Значение характеристики не может изменяться участником закупки

Система имеет компонент интеграции с личным кабинетом заказчика Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) с поддержкой следующего функционала: - получение уведомлений о компьютерных инцидентах и уязвимостях из личного кабинета ГосСОПКА; - получение сообщений из личного кабинета ГосСОПКА; - получение бюллетеней из личного кабинета ГосСОПКА; - передачу инцидентов в ГосСОПКА. Система построена по модульному принципу, что обеспечивает ее использование и установку в различных конфигурациях. Система интегрируется в существующую у заказчика вычислительную сеть без изменения топологии сети. Система имеет пользовательский интерфейс, где все сообщения и документация на русском языке. В Системе реализована модель ролевого доступа, обеспечивающая возможность разграничения доступа пользователей к объектам Системы и разрешения или запрета выполнения определенных действий путем определения ролей. Пользовательские учетные записи хранятся непосредственно во внутренней базе Системы в зашифрованном виде в целях предотвращения несанкционированного доступа. Доступ к веб-интерфейсу, к данным и функциям Системы осуществляется с автоматизированного рабочего места (АРМ) пользователя Системы. Система не накладывает ограничений на стабильное функционирование серверов и рабочих станций заказчика. Система не ухудшает основные функциональные характеристики информационной системы заказчика (надежность, быстродействие, возможность изменения конфигурации, эргономичность) - соответствие - - Значение характеристики не может изменяться участником закупки

Система обладает характеристиками масштабирования и отказоустойчивости. Система обеспечивает возможность автоматического резервного копирования базы данных инцидентов информационной безопасности (ИБ) и ее восстановления. Требования к характеристикам взаимосвязей со смежными системами: Система предоставляет программный интерфейс (API) для взаимодействия c решениями других производителей (разработчиков) программного обеспечения. Система обеспечивает возможность подключения внешних систем хранения данных. Требования к режимам функционирования Системы: Система обеспечивает возможность работы в следующих режимах: - штатный режим (непрерывная круглосуточная работа); - сервисный режим; - аварийный режим. Штатный режим является основным режимом функционирования Системы, при котором поддерживается выполнение всех заявленных функций. Сервисный режим является вспомогательным режимом функционирования для проведения регламентных работ по обслуживанию, реконфигурации и модернизации Системы. При успешном окончании работы в сервисном режиме Система переводится в штатный режим функционирования. Аварийный режим функционирования применяется при обнаружении сбоев и отказов в работе Системы, нарушении функционирования поддерживающей инфраструктуры (сетей электропитания, каналов связи и т.п.). Аварийный режим характеризуется полной или частичной потерей работоспособности Системы. Требования к диагностированию Системы: В Системе предусмотрены механизмы диагностирования неисправностей в процессе установки программного обеспечения Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов. Система обеспечивает мониторинг доступности источника событий и характеристик потока событий - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к перспективам развития, модернизации Системы: Система обеспечивает возможность развития и модернизации в следующих направлениях в рамках технической поддержки: - увеличение количества систем и источников для сбора событий ИБ, в т.ч. новых, ранее не поддерживаемых; - модернизация и оптимизация логики обработки собираемых событий ИБ. Программные средства Системы поддерживают возможность обновления аппаратных средств при условии сохранения неизменной системы команд и исключения возможности ухудшения количественных показателей работы Системы (скорость выполнения операций, объемы памяти и пр.). Требования к характеристикам, при которых сохраняется целевое назначение Системы: Система обеспечивает штатное функционирование в случае одновременной работы всех пользователей и источников данных заказчика на объекте автоматизации. Целевое назначение Системы сохраняется на протяжении всего срока эксплуатации системы. Срок эксплуатации системы определяется сроком устойчивой работы технических средств вычислительных комплексов, своевременным проведением работ по замене (обновлению) технических средств, по сопровождению и обновлению программного обеспечения системы (в рамках гарантийного и послегарантийного обслуживания) и его модернизации. Требования к надежности: Система обеспечивает непрерывность бизнес-процессов заказчика в случае отказов Системы. Система реализована таким образом и/или определен комплекс мер и мероприятий, обеспечивающих восстановление ее работоспособности и данных при сбоях силами штатного обслуживающего персонала в срок не более 6 рабочих часов. В случае возникновения сбоя технического или программного обеспечения Системы обеспечена возможность восстановления ее данных и настроек. Система обеспечивает функционал автоматического резервного копирования базы данных инцидентов (в т.ч. на внешний источник данных), предусмотрена возможность восстановления из архива базы инцидентов за определенную дату и/или по выбранному коннектору/правилу - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к структуре и функционированию системы: В состав Системы входят следующие функциональные компоненты: - подсистема сбора и обработки событий ИБ; - подсистема хранения событий ИБ; - подсистема корреляции событий ИБ; - подсистема поиска событий и подозрений на инциденты ИБ; - подсистема регистрации инцидентов; - подсистема обеспечение ИБ самой Системы; - подсистема управления. Требования к функциям подсистемы сбора и обработки событий ИБ: Подсистема сбора и обработки событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) сбор и обработка не менее 2500 событий в секунду; 2) автоматизированный сбор и нормализация событий ИБ, включая: - присвоение событиям категорий в соответствии с типом зарегистрированного события; - присвоение событию степени критичности, управляемой администраторами СУС ИБ (системы управления событиями информационной безопасности); - приведение событий ИБ к единому формату СУС ИБ; - обогащение событий из активов, статических и динамических таблиц (запись пользовательских значений в любое поле события) на основании пользовательских правил; - сохранение исходного события и нормализованного; - нормализация объединенного потока событий от различных источников; 3) передача информации о событиях ИБ в подсистему управления инцидентами ИБ, подсистему хранения событий ИБ; 4) поддержка передачи событий в другие системы; 5) возможность передачи событий в нормализованном и «сыром» формате, в т.ч. по заданному условию; 6) события содержат обязательно следующую информацию: - дата и время возникновения события; - источник (IP-адрес или сетевое имя); - уникальный идентификатор события; - тип (категория) события; - описание события; - критичность (приоритет) события; - время получения события от источника; - дополнительные поля - соответствие - - Значение характеристики не может изменяться участником закупки

Информация об источнике события представляется в формате интернет-протоколов IPv4 и IPv6-адресации, либо в формате DNS-hostname (имя, хост, домен). Информация о внешних IP-адресах также представляется в виде геопозиционных меток (страна, город, координаты местонахождения). Дополнительные поля таксономии могут содержать информацию о протоколах прикладного уровня, MAC-адресах, DNS-адресах, файловых доступах, различные переменные и т.д. Наличие возможности расширения схемы полей таксономии администраторами СУС ИБ. Подсистема сбора имеет унифицированные транспорты для сбора событий и допускает подключение новых источников администраторами СУС ИБ без привлечения сторонних организаций и разработчиков. Подсистема обеспечивает мониторинг syslog-источников. Подсистема обеспечивает возможность разработки правил нормализации событий для существующих полей таксономии с использованием встроенного инструментария и не требует привлечения сторонних организаций и разработчиков. Подсистема сбора автоматически применяет соответствующие формулы нормализации (без необходимости настройки типа источника или вендора (разработчика ПО) в СУС ИБ). Подсистема гарантирует кэширование событий на агенте при потере связи с центральным компонентом СУС ИБ. Подсистема обеспечивает автоматическую однопоточную и многопоточную архивацию и шифрование событий при передаче их с агента СУС ИБ. При сборе событий с использованием агента СУС ИБ имеется возможность настраивать модули по умолчанию, автоматически подключаемые настройки сбора для всех новых агентов. В рамках иерархической структуры СУС ИБ реализованы следующие варианты хранения и передачи событий: - хранение событий на подчиненных площадках; - передача всех событий с подчиненных площадок на головную - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к функциям подсистемы хранения событий ИБ: Подсистема хранения событий ИБ реализована в виде единого распределенного хранилища на базе используемой заказчиком распределенной поисковой системы Elasticsearch и обеспечивает реализацию следующего набора типовых действий: 1) выделение отдельного сервера управления (при необходимости) для оптимизации нагрузки; 2) выделение отдельного сервера индексирования (при необходимости) для оптимизации нагрузки; 3) долгосрочное хранение событий ИБ как в нормализованном, так и в исходном виде; 4) хранение событий ИБ в сжатом виде для экономии объема требуемого места в хранилище; 5) возможность хранения событий как на локальных, так и на внешних (сетевых) хранилищах; 6) адаптация системы хранения событий ИБ под разные часовые пояса (отображение всех событий в едином временном пространстве); 7) распределенное хранение событий без консолидации в единое хранилище с возможностью оперативного доступа ко всем событиям из единой консоли; 8) возможность распределенного поиска по всем событиям в едином запросе без передачи события в единое хранилище; 9) долгосрочное хранение событий с оперативным доступом к любым событиям на всем интервале хранения; 10) сокращение объемов хранения за счет автоматической очистки несущественных и информационных данных на основе заданной и управляемой администраторами СУС ИБ критичности событий; 11) автоматическая очистка хранилища от неинформативных событий; 12) возможность установки глубины хранения пользователем для всех типов событий; 13) автоматическое восстановление базы данных после сбоев; 14) обеспечение доступа к системе через сервис единого входа, управление пользователями системы и журналирование действий пользователей - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к функциям подсистемы корреляции событий ИБ: Подсистема корреляции событий ИБ обеспечивает реализацию следующего набора типовых действий: 1) выявление подозрений на инциденты ИБ посредством корреляции событий ИБ по заданным в СУС ИБ правилам. Выявление подозрений на следующие инциденты (включая, но не ограничиваясь): - превышение числа указанного количества попыток неуспешного доступа; - успешный вход под учетной записью после многочисленных неуспешных попыток; - попытки подбора пароля к сервисам удаленного управления серверов и сетевого оборудования, а также для критичных учетных записей; - блокирование учетной записи после многочисленных неуспешных попыток; - блокирование критичной/сервисной учетной записи по превышению лимита неудачных входов; - интерактивный вход под служебной/сервисной учетной записью; - попытки входа под несуществующей учетной записью; - попытки входа под заблокированной учетной записью; - удаленный/интерактивный вход на критичные ресурсы под учетными записями, не перечисленными в указанном списке; - изменение или создание учетных записей пользователями, не входящими в доверенную группу; - изменение учетных записей и групп вне рабочего времени; - изменение сервисных учетных записей; - вход с использованием привилегированных или сервисных учетных записей, в т.ч. в нерабочие часы; - массовое изменение учетных записей и групп; - включение опции «срок действия пароля не ограничен»; - очистка журналов событий; - превышение допустимого числа запрещенных межсетевым экраном соединений; - превышение допустимого числа сброшенных соединений; - превышение допустимого числа неустановленных соединений; - многочисленные ошибки доступа к источнику (нет прав доступа); 2) создание корреляций по историческим данным (хранящимся в системе) с использованием всех доступных функций корреляции; 3) историческая корреляция имеет функционал ручного и автоматического запуска; - соответствие - - Значение характеристики не может изменяться участником закупки

4) создание и корректировка правил корреляции событий ИБ в графическом конструкторе без знания языков программирования; 5) установка приоритета инцидента, регистрируемого в результате срабатывания правила корреляции; 6) установка зоны видимости инцидента на основе ролевой модели применительно к каждому правилу корреляции; 7) возможность использования в правилах корреляции изменяемых пользователем статических списков; 8) возможность использования в правилах корреляции динамических списков; 9) возможность использования в правилах корреляции динамических таблиц; 10) установка временных ограничительных параметров срабатывания правила корреляции; 11) автоматическая регистрация выявленных подозрений на инциденты ИБ, оповещение об их выявлении ответственных лиц и передача их в подсистему хранения; 12) приоритизация выявленных подозрений на инциденты ИБ с учетом критичности событий ИБ, вызвавших данный инцидент и критичности ресурсов, затронутых им; 13) автоматические механизмы поиска событий и подозрений на инциденты ИБ по заданным критериям и значениям полей событий без создания правил корреляции для каждого конкретного типа инцидентов; 14) формирование пользовательского события в результате срабатывания правила корреляции; 15) проактивные сценарии при срабатывании правила корреляции; 16) передача в проактивные сценарии одиночных значений или массивов имен пользователей, исходных IP адресов, прочих переменных, фигурирующих в инциденте; 17) отправка уведомления о регистрации инцидента по электронной почте сотрудникам, не имеющих доступа к системе; 18) отправка уведомления о регистрации инцидента в мессенджер сотрудникам, не имеющим доступа к системе; 19) отправка уведомлений в мессенджер для переоткрытых инцидентов; 20) групповое управление настройками переоткрытия инцидентов - соответствие - - Значение характеристики не может изменяться участником закупки

Подсистема корреляции событий ИБ обеспечивает корреляцию: - по отдельным событиям; - по количеству событий за интервал времени; - по количеству уникальных значений за интервал времени; - по последовательности действий. Подсистема корреляции обеспечивает выполнение следующих функций: - возможность использования категории события для дальнейшего использования в правилах корреляции, вместо перечисления идентификаторов конкретных событий; - возможность использования уровня критичности события; - использование операций равенства «значения»; - использование операций больше «значения»; - использование операций больше или равно «значения»; - использование операций меньше «значения»; - использование операций меньше или равно «значения»; - использование операция строкового равенства «значения»; - использование операция строкового неравенства «значения»; - сравнение (равенство) независимо от регистра значений в поле; - сравнение (неравенство) независимо от регистра значений в поле; - поиск неполного значения; - сравнение поля (значения) за временной диапазон, фиксация изменений; - значение в поле начинается с определенного значения; - проверка наличия значения в поле (поле не пустое); - проверка отсутствия значения в поле (пустое поле); - значение из поля входит в указанный список или списки, как в статические, так и динамические; - значение из поля не входит в указанный список или списки; - значение в поле входит в список заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов; - соответствие - - Значение характеристики не может изменяться участником закупки

- проверка наличия определенного поля в событии; - проверка отсутствия определенного поля в событии; - проверка наличия инцидентов по значению в указанном поле; - использование отрицания к определенному условию или группе условий; - проверка доменных имен на вредоносность; - поиск в списках независимо от регистра значений; - сравнение (равенство) значения и поля; - сравнение (неравенство) значения и поля; - поиск подстроки по значениям статических списков; - копирование списков на подчиненные ноды при режиме мультитенантности; - постраничный поиск значений статического списка; - сортировка значений таблиц; - массовое удаление значений таблиц; - вывод правил со статическими списками. Подсистема обеспечивает агрегацию инцидентов. Агрегация осуществляется при совпадении значений любых заданных администратором полей событий. При регистрации большого количества однотипных событий, превышающего количественные значения правила корреляции, создается только один инцидент. Подсистема обеспечивает возможность добавления информации в динамические списки и удаления информации из них. Подсистема обеспечивает хранение событий, вызвавших инцидент в отдельной базе данных. Подсистема имеет функционал проверки наличия IP или доменов, указанных заказчиком в списке заблокированных федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, ресурсов - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к функциям подсистемы поиска событий и подозрений на инциденты ИБ: Подсистема поиска событий и подозрений на инциденты ИБ обеспечивает реализацию следующего набора типовых действий: 1) формирование графических представлений и визуализаций данных в событиях; 2) сортировка и группировка событий; 3) отображение нормализованных событий с выводом указанной последовательности и набора полей; 4) изменение очередности и количества выводимых полей при детальном просмотре событий; 5) группировка по указанному пользователем полю; 6) создание сохраненных фильтров просмотра событий пользователями и администраторами; 7) использование составных поисковых запросов; 8) поиск событий без знания текста события, по категориям и критериям; 9) возможность использования логических операторов; 10) выгрузка событий по фильтрам с указанными полями и их очередностью; 11) гибкое формирование отчетов по событиям на базе поисковых запросов; 12) поиск событий ИБ, связанных с конкретным подозрением на инцидент ИБ; 13) сортировка событий по каждому из возможных полей; 14) полнотекстовый поиск по «сырым» событиям; 15) перемещение по событиям клавишами ? («вверх») и ? («вниз»); 16) группировка поля события при детальном его просмотре; - соответствие - - Значение характеристики не может изменяться участником закупки

17) отображение порядка групп полей в соответствии с уровнем важности; 18) визуальное построение взаимосвязей между событиями по произвольным полям; 19) запоминание последнего фильтра, введенного во взаимосвязях; 20) поиск по всем подключенным средствам хранения событий; 21) полнотекстовый поиск по событиям с возможностью использования логических операторов, а также преобразования результатов в диаграммы без необходимости создания отчетов или инструментальных панелей. В рамках иерархической структуры СУС ИБ подсистема поиска событий обеспечивает возможность распределенного поиска событий по всех подчиненным площадкам из интерфейса управления головной площадки. В рамках иерархической структуры СУС ИБ обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к событиям каждой из подчиненных площадок - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к функциям подсистемы регистрации инцидентов: Подсистема регистрации инцидентов безопасности СУС ИБ выполнена в виде единого решения с остальными подсистемами в единой консоли управления. Подсистема регистрации инцидентов обеспечивает реализацию следующих типовых действий: 1) ведение процессов инцидент-менеджмента согласно стандарту ITIL; 2) создание инцидента вручную; 3) регистрация инцидентов в результате срабатывания по правилам корреляции; 4) ролевое разделение доступа к инцидентам; 5) разделение доступа по группам и пользователям системы на основе условий, задаваемых в правилах корреляции; 6) постановка задач сотрудникам и группам в рамках инцидентов; 7) оповещение посредством электронной почты о назначенных инцидентах; 8) оповещение посредством электронной почты о поставленных задачах в рамках инцидентов; 9) звуковое оповещение о новом инциденте; 10) уведомления для инцидентов, созданных вручную; 11) постановка задач сотрудникам, не имеющим доступа к инциденту с изменением зоны видимости инцидента; 12) эскалация инцидентов с изменением зоны видимости инцидентов; 13) поиск и навигация по событиям, попавшим под инцидент; 14) повторное открытие ранее закрытого инцидента при его повторном возникновении; 15) навигация по закрытым инцидентам; 16) просмотр решения инцидентов; 17) просмотр истории инцидента; 18) возможность массового изменения статуса инцидентов; 19) автоматическая подстановка значений переменных в название и описание инцидентов, генерируемых правилами корреляции; 20) возможность добавления информации в инцидент при ведении расследования; - соответствие - - Значение характеристики не может изменяться участником закупки

21) отображение событий, вызвавших инцидент и обеспечение поиска, сортировки и группировки полей событий в карточке инцидента; 22) привязка событий к инцидентам, созданным вручную; 23) удаление определенных инцидентов из системы и всех инцидентов с удалением всей информации об инцидентах и событий, связанных с ними, без удаления событий из централизованного хранилища; 24) массовое удаление инцидентов, сгруппированных по тенанту (при режиме мультитенантности), по наименованию или по категории; 25) в рамках иерархической структуры СУС ИБ: - осуществляется автоматическая передача карточек инцидентов с подчиненных площадок на головную; - обеспечена возможность разграничения доступа пользователей головной площадки СУС ИБ к карточкам инцидентов каждой из подчиненных площадок; 26) возможность создавать, отслеживать, назначать, удалять задачи по инцидентам; 27) отображение идентификатора инцидента; 28) закрытие инцидента из головной ноды (при режиме мультитенантности); 29) экспорт инцидентов в формате JSON; 30) сохранение фильтра при переходе из события инцидента в раздел «События». Функционал удаления инцидентов имеет возможность ограничения определенными ролями пользователей или отключения данного функционала для всех пользователей СУС ИБ. Инциденты информационной безопасности, равно как и связанные с ними события, хранятся в системе не менее 1 года, независимо от срока хранения обычных, «сырых» и нормализованных событий в системе - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к функциям подсистемы информационной безопасности СУС ИБ: Подсистема информационной безопасности СУС ИБ обеспечивает реализацию следующих действий: 1) аутентификация пользователей посредством встроенных механизмов, интеграции с протоколом LDAP и гибридной аутентификации; 2) разграничение доступа к функциям и информации, обрабатываемой в СУС ИБ посредством ролевой модели; 3) логирование входов и действий обслуживающего персонала СУС ИБ; 4) логирование парольной политики; 5) защита от несанкционированного доступа к информации, находящейся в СУС ИБ; 6) регистрация и предотвращение попыток несанкционированного доступа к средствам контроля и контролируемой информации; 7) ограничение количества неуспешных попыток входа в СУС ИБ; 8) настройка парольных политик пользователей СУС ИБ; 9) ограничение количества параллельных сеансов доступа в СУС ИБ; 10) контроль целостности компонентов СУС ИБ и уведомление пользователя в случае нарушения целостности. Требования к функциям подсистемы управления: Подсистема управления выполняет следующие функции: - централизованное управление компонентами системы; - оперативное реагирование на инциденты ИБ и обеспечение взаимодействия подразделений организации при расследовании этих инцидентов; - предоставление графического интерфейса пользователя - соответствие - - Значение характеристики не может изменяться участником закупки

Требования к способам и средствам связи для информационного обмена между компонентами Системы: Внедряемая Система функционирует в составе информационно-вычислительной сети заказчика. Система функционирует на используемой заказчиком платформе семейства Linux. Система корректно работает в сетях доменного типа. Система поддерживает эксплуатируемую заказчиком виртуальную инфраструктуру (VMware ESX/ESXi). Унифицированное информационное взаимодействие между компонентами Системы обеспечивается с использованием шины передачи данных и веб-служб, работающих на стеке протоколов TCP/IP. Требования по стандартизации и унификации: Компоненты Системы при взаимодействии со смежными системами используют стандартные процедуры и протоколы. Требования к функциям Системы: Система с помощью функциональных компонентов обеспечивает реализацию следующих функциональных возможностей: - управление событиями; - управление инцидентами; - отправка уведомлений; - визуализация и построение отчетов; - обновление; - разграничение доступа пользователей Системы. Функция управления событиями: Система содержит текстовое описание каждого события, предоставленное вендором (разработчиком ПО). Система обеспечивает категоризацию событий. Система имеет следующие механизмы для управления списком событий: - фильтрация событий по заданному набору атрибутов и их значений с использованием специализированного языка запросов; - сохранение пользовательских фильтров для последующего быстрого доступа к интересующим событиям (с возможностью создания иерархического списка фильтров); - функции группировки и сортировки событий в выводе на экран по всем доступным полям - соответствие - - Значение характеристики не может изменяться участником закупки

Функция управления инцидентами: Система обеспечивает автоматическое и ручное формирование инцидентов при обнаружении критичных с точки зрения пользователя событий. Система обеспечивает импорт инцидентов из специально подготовленных файлов. Система обеспечивает категорирование инцидентов. Система обеспечивает управление автоматической генерацией инцидентов. Система обеспечивает формирование инцидента с автоматической и ручной привязкой к нему событий. Для управления списком инцидентов Система имеет следующие механизмы: - фильтрации инцидентов по группе активов и периоду; - фильтрации инцидентов с использованием системных и пользовательских фильтров; - сохранения пользовательских фильтров для последующего быстрого доступа (с возможность создания иерархического списка фильтров); - сортировки инцидентов по времени создания, статусу, критичности, категории, названию. Система обеспечивает возможность построения процесса расследования инцидента: формирование поручений для расследования, определение порядка реагирования и устранения последствий инцидентов, назначение ответственных лиц. Система обеспечивает хранение истории расследования инцидента. Система имеет журнал изменений инцидента для регистрации изменений атрибутов и состояний инцидента - соответствие - - Значение характеристики не может изменяться участником закупки

Функция отправки уведомлений: Система обеспечивает возможность формирования и отправки уведомлений (по электронной почте, мессенджеру или посредствам web-уведомлений): - об изменении состава выбранных динамических групп активов (включении, исключении активов); - о событиях и инцидентах – при их попадании под системный или пользовательский фильтр; - о выходе параметров потока событий за пределы допустимых значений; - о выполнении задач сбора данных; - о состоянии Системы. Система обеспечивает индикацию собственного состояния и уведомления в интерфейсе пользователя о сбоях в работе, критичных для штатного функционирования сервисов - соответствие - - Значение характеристики не может изменяться участником закупки

Функция визуализации и построения отчетов: Система предоставляет оперативные данные об активах, событиях, инцидентах и мониторинге функционирования Системы в виде графиков, диаграмм и таблиц на виджетах и дашбордах. Система обеспечивает возможность создания и конфигурирования пользовательских дашбордов. Система предоставляет возможность экспорта отчетов, как минимум, в одном из следующих форматов: PDF, XLSX, CSV. Система обеспечивает отображение следующих статистических данных по инцидентам в графическом формате (на виджетах): - созданные инциденты; - закрытые инциденты за период; - незакрытые инциденты по уровню опасности; - среднее время устранения инцидента. Система обеспечивает выпуск отчетов (стандартных и пользовательских) вручную или по расписанию. Система предоставляет пользователю интерфейс создания пользовательских отчетов с данными об активах, событиях и инцидентах (конструктор отчетов). Система обеспечивает возможность формирования отчетов из состава имеющихся шаблонов: - по событиям; - по инцидентам. Система обеспечивает построение следующих отчетов по инцидентам: - распределение новых инцидентов по времени; - распределение утвержденных инцидентов по времени; - распределение инцидентов в работе по времени; - все открытые инциденты по времени; - распределение разрешенных инцидентов по времени; - распределение закрытых инцидентов по времени; - все завершенные инциденты по времени. Графический интерфейс пользователя реализован по технологии web (доступных через Интернет) - соответствие - - Значение характеристики не может изменяться участником закупки

Функция обновления: Система обеспечивает возможность обновления и расширения встроенных баз знаний вендора (разработчика ПО), в т.ч. формул нормализации и правил корреляции, в рамках предоставляемой лицензии. Функция разграничения доступа пользователей Системы: Система обеспечивает идентификацию и аутентификацию пользователей по уникальному идентификатору и паролю. Система обеспечивает идентификацию и аутентификацию пользователей через сторонний LDAP-сервер. В Системе реализована модель ролевого доступа, обеспечивающая возможность разрешения или запрета доступа пользователей к информации об определенных узлах (активах). Система обеспечивает регистрацию действий пользователей при работе с компонентами Системы. Требования к программному обеспечению: Компоненты Системы разворачиваются на следующей используемой заказчиком программной платформе VM Manager Astra Linux SE 1.8 Воронеж. Доступ к пользовательскому интерфейсу Системы осуществляется посредствам используемого заказчиком браузера «Яндекс браузер» - соответствие - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Для своевременного обнаружения, предотвращения и реагирования на инциденты безопасности, что является важным аспектом для поддержания стабильности и надежности информационных систем организации. Необходимость обеспечения совместимости закупаемого программного обеспечения с используемой заказчиком ИТ-инфраструктурой: информационными система и программно-аппаратными комплексами.

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Применение национального режима по ст. 14 Закона № 44-ФЗ

Применение национального режима по ст. 14 Закона № 44-ФЗ: Основанием для установки указания запретов, ограничений закупок товаров, происходящих из иностранных государств, выполняемых работ, оказываемых услуг иностранными лицами, а так же преимуществ в отношении товаров российского происхождения, а также товаров происходящих из стран ЕАЭС, выполняемых работ, оказываемых услуг российскими лицами, а также лицами, зарегистрированными в странах ЕАЭС, является Постановление Правительства Российской Федерации о мерах по предоставлению национального режима от 23.12.2024 № 1875.

Обеспечение заявки

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 22 000,00 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Обеспечение заявки на участие в закупке предоставляется одним из следующих способов (выбор способа обеспечения осуществляется участником закупки самостоятельно): а) путем блокирования денежных средств, внесенных участником закупки на банковский счет, открытый таким участником в банке, включенном в перечень, утвержденный Правительством РФ (специальный счет) (подача заявки на участие в закупке означает согласие участника закупки на блокирование денежных средств, находящихся на его специальном счете, в размере обеспечения заявки на участие в закупке); б) путем предоставления независимой гарантии, соответствующей требованиям статьи 45 Федерального закона от 05.04.2013 № 44-ФЗ. Срок действия независимой гарантии должен составлять не менее месяца с даты окончания срока подачи заявок. Участник закупки для подачи заявки на участие в закупке выбирает с использованием электронной площадки способ обеспечения такой заявки путем указания реквизитов специального счета или указания номера реестровой записи из реестра независимых гарантий, размещенного в единой информационной системе. Государственные, муниципальные учреждения не предоставляют обеспечение подаваемых ими заявок на участие в закупках. Участники закупки, являющиеся юридическими лицами, зарегистрированными на территории государства - члена Евразийского экономического союза, за исключением Российской Федерации, или физическими лицами, являющимися гражданами государства - члена Евразийского экономического союза, за исключением Российской Федерации, вправе предоставить обеспечение заявок в виде денежных средств с учетом особенностей, установленных постановлением Правительства Российской Федерации от 10.04.2023 № 579.

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03214643000000015100, л/c 20516Ш63860, БИК 015004950, ОКЦ № 1 СибГУ Банка России//УФК по Новосибирской области, г Новосибирск, к/c 40102810445370000043

Условия контракта

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, обл Новосибирская, г.о. город Новосибирск, г Новосибирск, ул Немировича-Данченко, д. 132/1

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 10 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Исполнение контракта может обеспечиваться предоставлением независимой гарантии, соответствующей требованиям статьи 45 Федерального закона от 05.04.2013 № 44-ФЗ, или внесением денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Способ обеспечения исполнения контракта, срок действия независимой гарантии определяются в соответствии с требованиями Федерального закона от 05.04.2013 № 44-ФЗ участником закупки, с которым заключается контракт, самостоятельно. При этом срок действия независимой гарантии должен превышать предусмотренный контрактом срок исполнения обязательств, которые должны быть обеспечены такой независимой гарантией, не менее чем на один месяц, в том числе в случае его изменения в соответствии со статьей 95 Федерального закона от 05.04.2013 № 44-ФЗ. Контракт заключается после предоставления участником закупки, с которым заключается контракт, обеспечения исполнения контракта в соответствии с Федеральным законом от 05.04.2013 № 44-ФЗ. В случае непредоставления участником закупки, с которым заключается контракт, обеспечения исполнения контракта в срок, установленный для заключения контракта, такой участник считается уклонившимся от заключения контракта. В ходе исполнения контракта поставщик (подрядчик, исполнитель) вправе изменить способ обеспечения исполнения контракта и (или) предоставить заказчику взамен ранее предоставленного обеспечения исполнения контракта новое обеспечение исполнения контракта, размер которого может быть уменьшен в порядке и случаях, которые предусмотрены частями 7.2 и 7.3 статьи 96 Федерального закона от 05.04.2013 № 44-ФЗ.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03214643000000015100, л/c 20516Ш63860, БИК 015004950, ОКЦ № 1 СибГУ Банка России//УФК по Новосибирской области, г Новосибирск, к/c 40102810445370000043

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Документы

Общая информация

Документы

Журнал событий