Номер извещения: 0809500000326001997

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АО «Сбербанк-АСТ»

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.sberbank-ast.ru

Размещение осуществляет: Уполномоченное учреждение ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ МОРДОВИЯ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОРГАНИЗАЦИИ ЗАКУПОК"

Наименование объекта закупки: оказание услуг по передаче неисключительных прав (лицензий) на использование операционной системы в рамках реализации проекта «Карта жителя Республики Мордовия»

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202608092000009001000040

Контактная информация

Размещение осуществляет: Уполномоченное учреждение

Организация, осуществляющая размещение: ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ МОРДОВИЯ "РЕГИОНАЛЬНЫЙ ЦЕНТР ОРГАНИЗАЦИИ ЗАКУПОК"

Почтовый адрес: Российская Федерация, 430002, Мордовия Респ, Саранск г, УЛ СОВЕТСКАЯ, Д. 26

Место нахождения: Российская Федерация, 430002, Мордовия Респ, Саранск г, УЛ СОВЕТСКАЯ, Д. 26

Ответственное должностное лицо: Шуматова О. В.

Адрес электронной почты: shumatovaov@e-mordovia.ru

Номер контактного телефона: 7-8342-392930

Факс: 7-8342-247456

Дополнительная информация: Ф.И.О., должность, телефон, e-mail контрактного управляющего, сотрудника контрактной службы, ответственных за заключение контракта: Пиняскин Илья Иванович - Директор, 7-8342-391405, pinyaskinii@e-mordovia.ru

Регион: Мордовия Респ

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 28.05.2026 08:50 (МСК)

Дата и время окончания срока подачи заявок: 05.06.2026 09:00 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 05.06.2026

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 09.06.2026

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 1 529 388,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 262132623374013260100100360015829244

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.50.000 - оказание услуги по передаче неисключительных прав (лицензий) на использование операционной системы AltLinux Alt10-0110SC-K (или эквивалент) 1. Общие требования 1.1. Способ предоставления Копия на электронном носителе 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) да 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. да - Штука - 1,00 - 51 948,00 - 51 948,00

ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ МОРДОВИЯ "СЛУЖБА ЗАКАЗЧИКА ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ РЕСПУБЛИКИ МОРДОВИЯ В СФЕРЕ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке 1. Общие требования 1.1. Способ предоставления Копия на электронном носителе Значение характеристики не может изменяться участником закупки 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) да Значение характеристики не может изменяться участником закупки 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. да Значение характеристики не может изменяться участником закупки 1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. да Значение характеристики не может изменяться участником закупки 1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия да Значение характеристики не может изменяться участником закупки 1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». да Значение характеристики не может изменяться участником закупки 1.7.Наличие в России локализованной сервисной (технической) поддержки. да Значение характеристики не может изменяться участником закупки 2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. да Значение характеристики не может изменяться участником закупки 2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). да Значение характеристики не может изменяться участником закупки 2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. да Значение характеристики не может изменяться участником закупки 2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). да Значение характеристики не может изменяться участником закупки 2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. да Значение характеристики не может изменяться участником закупки 2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. да Значение характеристики не может изменяться участником закупки 2.7. Наличие возможности организации сервера сетевой загрузки. да Значение характеристики не может изменяться участником закупки 2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. да Значение характеристики не может изменяться участником закупки 2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. да Значение характеристики не может изменяться участником закупки 2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. да Значение характеристики не может изменяться участником закупки 2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя да Значение характеристики не может изменяться участником закупки 2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. да Значение характеристики не может изменяться участником закупки 2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. да Значение характеристики не может изменяться участником закупки 2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений да Значение характеристики не может изменяться участником закупки 2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. да Значение характеристики не может изменяться участником закупки 2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. да Значение характеристики не может изменяться участником закупки 2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. да Значение характеристики не может изменяться участником закупки 2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. да Значение характеристики не может изменяться участником закупки 2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. да Значение характеристики не может изменяться участником закупки 2.20. Наличие в составе ОС приложения для мониторинга ресурсов. да Значение характеристики не может изменяться участником закупки 2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. да Значение характеристики не может изменяться участником закупки 2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами да Значение характеристики не может изменяться участником закупки 2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 да Значение характеристики не может изменяться участником закупки 2.24.Наличие возможности авторизации по смарт-картам да Значение характеристики не может изменяться участником закупки 2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе да Значение характеристики не может изменяться участником закупки 2.26.Наличие возможности разграничения доступа к подключаемым устройствам да Значение характеристики не может изменяться участником закупки 2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) да Значение характеристики не может изменяться участником закупки 2.28.Наличие возможности организации трастовых доменов да Значение характеристики не может изменяться участником закупки 2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте да Значение характеристики не может изменяться участником закупки 2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена да Значение характеристики не может изменяться участником закупки 2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: да Значение характеристики не может изменяться участником закупки 2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. да Значение характеристики не может изменяться участником закупки 2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. да Значение характеристики не может изменяться участником закупки 2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных да Значение характеристики не может изменяться участником закупки 2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. да Значение характеристики не может изменяться участником закупки 2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. да Значение характеристики не может изменяться участником закупки 2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. да Значение характеристики не может изменяться участником закупки 2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. да Значение характеристики не может изменяться участником закупки 2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. да Значение характеристики не может изменяться участником закупки 2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). да Значение характеристики не может изменяться участником закупки 2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. да Значение характеристики не может изменяться участником закупки 2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. да Значение характеристики не может изменяться участником закупки 2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. да Значение характеристики не может изменяться участником закупки 2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. да Значение характеристики не может изменяться участником закупки 2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN да Значение характеристики не может изменяться участником закупки 2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. да Значение характеристики не может изменяться участником закупки 2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана да Значение характеристики не может изменяться участником закупки 2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) да Значение характеристики не может изменяться участником закупки 2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. да Значение характеристики не может изменяться участником закупки 2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. да Значение характеристики не может изменяться участником закупки 2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. да Значение характеристики не может изменяться участником закупки 2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. да Значение характеристики не может изменяться участником закупки 2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов да Значение характеристики не может изменяться участником закупки 2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов да Значение характеристики не может изменяться участником закупки 2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. да Значение характеристики не может изменяться участником закупки 2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM да Значение характеристики не может изменяться участником закупки 2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. да Значение характеристики не может изменяться участником закупки 2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs да Значение характеристики не может изменяться участником закупки 2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) да Значение характеристики не может изменяться участником закупки 2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит да Значение характеристики не может изменяться участником закупки 2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций да Значение характеристики не может изменяться участником закупки 2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. да Значение характеристики не может изменяться участником закупки 2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. да Значение характеристики не может изменяться участником закупки 2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. да Значение характеристики не может изменяться участником закупки 3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. да Значение характеристики не может изменяться участником закупки 3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. да Значение характеристики не может изменяться участником закупки 3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. да Значение характеристики не может изменяться участником закупки 3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. да Значение характеристики не может изменяться участником закупки 3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. да Значение характеристики не может изменяться участником закупки 3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. да Значение характеристики не может изменяться участником закупки 3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию да Значение характеристики не может изменяться участником закупки 3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). да Значение характеристики не может изменяться участником закупки 3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). да Значение характеристики не может изменяться участником закупки 3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности да Значение характеристики не может изменяться участником закупки 3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. да Значение характеристики не может изменяться участником закупки 3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. да Значение характеристики не может изменяться участником закупки 4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). да Значение характеристики не может изменяться участником закупки 4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. да Значение характеристики не может изменяться участником закупки 4.3. Система основана на программном обеспечении с открытым исходным кодом. да Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - 1. Общие требования 1.1. Способ предоставления - Копия на электронном носителе - - Значение характеристики не может изменяться участником закупки - 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) - да - - Значение характеристики не может изменяться участником закупки - 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки - 1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки - 1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия - да - - Значение характеристики не может изменяться участником закупки - 1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». - да - - Значение характеристики не может изменяться участником закупки - 1.7.Наличие в России локализованной сервисной (технической) поддержки. - да - - Значение характеристики не может изменяться участником закупки - 2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. - да - - Значение характеристики не может изменяться участником закупки - 2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). - да - - Значение характеристики не может изменяться участником закупки - 2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. - да - - Значение характеристики не может изменяться участником закупки - 2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). - да - - Значение характеристики не может изменяться участником закупки - 2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. - да - - Значение характеристики не может изменяться участником закупки - 2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - да - - Значение характеристики не может изменяться участником закупки - 2.7. Наличие возможности организации сервера сетевой загрузки. - да - - Значение характеристики не может изменяться участником закупки - 2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - да - - Значение характеристики не может изменяться участником закупки - 2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. - да - - Значение характеристики не может изменяться участником закупки - 2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. - да - - Значение характеристики не может изменяться участником закупки - 2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - да - - Значение характеристики не может изменяться участником закупки - 2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. - да - - Значение характеристики не может изменяться участником закупки - 2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. - да - - Значение характеристики не может изменяться участником закупки - 2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений - да - - Значение характеристики не может изменяться участником закупки - 2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. - да - - Значение характеристики не может изменяться участником закупки - 2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. - да - - Значение характеристики не может изменяться участником закупки - 2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. - да - - Значение характеристики не может изменяться участником закупки - 2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. - да - - Значение характеристики не может изменяться участником закупки - 2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - да - - Значение характеристики не может изменяться участником закупки - 2.20. Наличие в составе ОС приложения для мониторинга ресурсов. - да - - Значение характеристики не может изменяться участником закупки - 2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. - да - - Значение характеристики не может изменяться участником закупки - 2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами - да - - Значение характеристики не может изменяться участником закупки - 2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 - да - - Значение характеристики не может изменяться участником закупки - 2.24.Наличие возможности авторизации по смарт-картам - да - - Значение характеристики не может изменяться участником закупки - 2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе - да - - Значение характеристики не может изменяться участником закупки - 2.26.Наличие возможности разграничения доступа к подключаемым устройствам - да - - Значение характеристики не может изменяться участником закупки - 2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) - да - - Значение характеристики не может изменяться участником закупки - 2.28.Наличие возможности организации трастовых доменов - да - - Значение характеристики не может изменяться участником закупки - 2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте - да - - Значение характеристики не может изменяться участником закупки - 2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена - да - - Значение характеристики не может изменяться участником закупки - 2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: - да - - Значение характеристики не может изменяться участником закупки - 2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. - да - - Значение характеристики не может изменяться участником закупки - 2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. - да - - Значение характеристики не может изменяться участником закупки - 2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных - да - - Значение характеристики не может изменяться участником закупки - 2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. - да - - Значение характеристики не может изменяться участником закупки - 2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. - да - - Значение характеристики не может изменяться участником закупки - 2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. - да - - Значение характеристики не может изменяться участником закупки - 2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. - да - - Значение характеристики не может изменяться участником закупки - 2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - да - - Значение характеристики не может изменяться участником закупки - 2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). - да - - Значение характеристики не может изменяться участником закупки - 2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. - да - - Значение характеристики не может изменяться участником закупки - 2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - да - - Значение характеристики не может изменяться участником закупки - 2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - да - - Значение характеристики не может изменяться участником закупки - 2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - да - - Значение характеристики не может изменяться участником закупки - 2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN - да - - Значение характеристики не может изменяться участником закупки - 2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - да - - Значение характеристики не может изменяться участником закупки - 2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана - да - - Значение характеристики не может изменяться участником закупки - 2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) - да - - Значение характеристики не может изменяться участником закупки - 2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. - да - - Значение характеристики не может изменяться участником закупки - 2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. - да - - Значение характеристики не может изменяться участником закупки - 2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. - да - - Значение характеристики не может изменяться участником закупки - 2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. - да - - Значение характеристики не может изменяться участником закупки - 2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов - да - - Значение характеристики не может изменяться участником закупки - 2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - да - - Значение характеристики не может изменяться участником закупки - 2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. - да - - Значение характеристики не может изменяться участником закупки - 2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM - да - - Значение характеристики не может изменяться участником закупки - 2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. - да - - Значение характеристики не может изменяться участником закупки - 2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs - да - - Значение характеристики не может изменяться участником закупки - 2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) - да - - Значение характеристики не может изменяться участником закупки - 2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит - да - - Значение характеристики не может изменяться участником закупки - 2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций - да - - Значение характеристики не может изменяться участником закупки - 2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. - да - - Значение характеристики не может изменяться участником закупки - 2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. - да - - Значение характеристики не может изменяться участником закупки - 2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. - да - - Значение характеристики не может изменяться участником закупки - 3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. - да - - Значение характеристики не может изменяться участником закупки - 3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. - да - - Значение характеристики не может изменяться участником закупки - 3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - да - - Значение характеристики не может изменяться участником закупки - 3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - да - - Значение характеристики не может изменяться участником закупки - 3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. - да - - Значение характеристики не может изменяться участником закупки - 3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - да - - Значение характеристики не может изменяться участником закупки - 3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - да - - Значение характеристики не может изменяться участником закупки - 3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). - да - - Значение характеристики не может изменяться участником закупки - 3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - да - - Значение характеристики не может изменяться участником закупки - 3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности - да - - Значение характеристики не может изменяться участником закупки - 3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. - да - - Значение характеристики не может изменяться участником закупки - 3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - да - - Значение характеристики не может изменяться участником закупки - 4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). - да - - Значение характеристики не может изменяться участником закупки - 4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. - да - - Значение характеристики не может изменяться участником закупки - 4.3. Система основана на программном обеспечении с открытым исходным кодом. - да - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

1. Общие требования 1.1. Способ предоставления - Копия на электронном носителе - - Значение характеристики не может изменяться участником закупки

1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) - да - - Значение характеристики не может изменяться участником закупки

1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки

1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки

1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия - да - - Значение характеристики не может изменяться участником закупки

1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». - да - - Значение характеристики не может изменяться участником закупки

1.7.Наличие в России локализованной сервисной (технической) поддержки. - да - - Значение характеристики не может изменяться участником закупки

2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. - да - - Значение характеристики не может изменяться участником закупки

2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). - да - - Значение характеристики не может изменяться участником закупки

2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. - да - - Значение характеристики не может изменяться участником закупки

2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). - да - - Значение характеристики не может изменяться участником закупки

2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. - да - - Значение характеристики не может изменяться участником закупки

2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - да - - Значение характеристики не может изменяться участником закупки

2.7. Наличие возможности организации сервера сетевой загрузки. - да - - Значение характеристики не может изменяться участником закупки

2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - да - - Значение характеристики не может изменяться участником закупки

2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. - да - - Значение характеристики не может изменяться участником закупки

2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. - да - - Значение характеристики не может изменяться участником закупки

2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - да - - Значение характеристики не может изменяться участником закупки

2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. - да - - Значение характеристики не может изменяться участником закупки

2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. - да - - Значение характеристики не может изменяться участником закупки

2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений - да - - Значение характеристики не может изменяться участником закупки

2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. - да - - Значение характеристики не может изменяться участником закупки

2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. - да - - Значение характеристики не может изменяться участником закупки

2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. - да - - Значение характеристики не может изменяться участником закупки

2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. - да - - Значение характеристики не может изменяться участником закупки

2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - да - - Значение характеристики не может изменяться участником закупки

2.20. Наличие в составе ОС приложения для мониторинга ресурсов. - да - - Значение характеристики не может изменяться участником закупки

2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. - да - - Значение характеристики не может изменяться участником закупки

2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами - да - - Значение характеристики не может изменяться участником закупки

2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 - да - - Значение характеристики не может изменяться участником закупки

2.24.Наличие возможности авторизации по смарт-картам - да - - Значение характеристики не может изменяться участником закупки

2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе - да - - Значение характеристики не может изменяться участником закупки

2.26.Наличие возможности разграничения доступа к подключаемым устройствам - да - - Значение характеристики не может изменяться участником закупки

2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) - да - - Значение характеристики не может изменяться участником закупки

2.28.Наличие возможности организации трастовых доменов - да - - Значение характеристики не может изменяться участником закупки

2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте - да - - Значение характеристики не может изменяться участником закупки

2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена - да - - Значение характеристики не может изменяться участником закупки

2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: - да - - Значение характеристики не может изменяться участником закупки

2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. - да - - Значение характеристики не может изменяться участником закупки

2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. - да - - Значение характеристики не может изменяться участником закупки

2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных - да - - Значение характеристики не может изменяться участником закупки

2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. - да - - Значение характеристики не может изменяться участником закупки

2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. - да - - Значение характеристики не может изменяться участником закупки

2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. - да - - Значение характеристики не может изменяться участником закупки

2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. - да - - Значение характеристики не может изменяться участником закупки

2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - да - - Значение характеристики не может изменяться участником закупки

2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). - да - - Значение характеристики не может изменяться участником закупки

2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. - да - - Значение характеристики не может изменяться участником закупки

2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - да - - Значение характеристики не может изменяться участником закупки

2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - да - - Значение характеристики не может изменяться участником закупки

2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - да - - Значение характеристики не может изменяться участником закупки

2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN - да - - Значение характеристики не может изменяться участником закупки

2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - да - - Значение характеристики не может изменяться участником закупки

2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана - да - - Значение характеристики не может изменяться участником закупки

2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) - да - - Значение характеристики не может изменяться участником закупки

2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. - да - - Значение характеристики не может изменяться участником закупки

2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. - да - - Значение характеристики не может изменяться участником закупки

2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. - да - - Значение характеристики не может изменяться участником закупки

2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. - да - - Значение характеристики не может изменяться участником закупки

2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов - да - - Значение характеристики не может изменяться участником закупки

2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - да - - Значение характеристики не может изменяться участником закупки

2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. - да - - Значение характеристики не может изменяться участником закупки

2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM - да - - Значение характеристики не может изменяться участником закупки

2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. - да - - Значение характеристики не может изменяться участником закупки

2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs - да - - Значение характеристики не может изменяться участником закупки

2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) - да - - Значение характеристики не может изменяться участником закупки

2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит - да - - Значение характеристики не может изменяться участником закупки

2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций - да - - Значение характеристики не может изменяться участником закупки

2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. - да - - Значение характеристики не может изменяться участником закупки

2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. - да - - Значение характеристики не может изменяться участником закупки

2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. - да - - Значение характеристики не может изменяться участником закупки

3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. - да - - Значение характеристики не может изменяться участником закупки

3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. - да - - Значение характеристики не может изменяться участником закупки

3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - да - - Значение характеристики не может изменяться участником закупки

3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - да - - Значение характеристики не может изменяться участником закупки

3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. - да - - Значение характеристики не может изменяться участником закупки

3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - да - - Значение характеристики не может изменяться участником закупки

3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - да - - Значение характеристики не может изменяться участником закупки

3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). - да - - Значение характеристики не может изменяться участником закупки

3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - да - - Значение характеристики не может изменяться участником закупки

3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности - да - - Значение характеристики не может изменяться участником закупки

3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. - да - - Значение характеристики не может изменяться участником закупки

3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - да - - Значение характеристики не может изменяться участником закупки

4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). - да - - Значение характеристики не может изменяться участником закупки

4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. - да - - Значение характеристики не может изменяться участником закупки

4.3. Система основана на программном обеспечении с открытым исходным кодом. - да - - Значение характеристики не может изменяться участником закупки

- 58.29.50.000 - оказание услуги по передаче неисключительных прав (лицензий) на использование операционной системы AltLinux Alt10-0110SC (или эквивалент) 1. Общие требования 1.1. Способ предоставления Копия электронного экземпляра 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) да 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. да - Штука - 30,00 - 49 248,00 - 1 477 440,00

ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ МОРДОВИЯ "СЛУЖБА ЗАКАЗЧИКА ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ РЕСПУБЛИКИ МОРДОВИЯ В СФЕРЕ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ" - 30 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке 1. Общие требования 1.1. Способ предоставления Копия электронного экземпляра Значение характеристики не может изменяться участником закупки 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) да Значение характеристики не может изменяться участником закупки 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. да Значение характеристики не может изменяться участником закупки 1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. да Значение характеристики не может изменяться участником закупки 1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия да Значение характеристики не может изменяться участником закупки 1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». да Значение характеристики не может изменяться участником закупки 1.7.Наличие в России локализованной сервисной (технической) поддержки. да Значение характеристики не может изменяться участником закупки 2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. да Значение характеристики не может изменяться участником закупки 2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). да Значение характеристики не может изменяться участником закупки 2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. да Значение характеристики не может изменяться участником закупки 2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). да Значение характеристики не может изменяться участником закупки 2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. да Значение характеристики не может изменяться участником закупки 2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. да Значение характеристики не может изменяться участником закупки 2.7. Наличие возможности организации сервера сетевой загрузки. да Значение характеристики не может изменяться участником закупки 2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. да Значение характеристики не может изменяться участником закупки 2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. да Значение характеристики не может изменяться участником закупки 2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. да Значение характеристики не может изменяться участником закупки 2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя да Значение характеристики не может изменяться участником закупки 2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. да Значение характеристики не может изменяться участником закупки 2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. да Значение характеристики не может изменяться участником закупки 2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений да Значение характеристики не может изменяться участником закупки 2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. да Значение характеристики не может изменяться участником закупки 2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. да Значение характеристики не может изменяться участником закупки 2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. да Значение характеристики не может изменяться участником закупки 2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. да Значение характеристики не может изменяться участником закупки 2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. да Значение характеристики не может изменяться участником закупки 2.20. Наличие в составе ОС приложения для мониторинга ресурсов. да Значение характеристики не может изменяться участником закупки 2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. да Значение характеристики не может изменяться участником закупки 2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами да Значение характеристики не может изменяться участником закупки 2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 да Значение характеристики не может изменяться участником закупки 2.24.Наличие возможности авторизации по смарт-картам да Значение характеристики не может изменяться участником закупки 2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе да Значение характеристики не может изменяться участником закупки 2.26.Наличие возможности разграничения доступа к подключаемым устройствам да Значение характеристики не может изменяться участником закупки 2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) да Значение характеристики не может изменяться участником закупки 2.28.Наличие возможности организации трастовых доменов да Значение характеристики не может изменяться участником закупки 2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте да Значение характеристики не может изменяться участником закупки 2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена да Значение характеристики не может изменяться участником закупки 2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: да Значение характеристики не может изменяться участником закупки 2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. да Значение характеристики не может изменяться участником закупки 2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. да Значение характеристики не может изменяться участником закупки 2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных да Значение характеристики не может изменяться участником закупки 2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. да Значение характеристики не может изменяться участником закупки 2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. да Значение характеристики не может изменяться участником закупки 2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. да Значение характеристики не может изменяться участником закупки 2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. да Значение характеристики не может изменяться участником закупки 2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. да Значение характеристики не может изменяться участником закупки 2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). да Значение характеристики не может изменяться участником закупки 2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. да Значение характеристики не может изменяться участником закупки 2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. да Значение характеристики не может изменяться участником закупки 2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. да Значение характеристики не может изменяться участником закупки 2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. да Значение характеристики не может изменяться участником закупки 2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN да Значение характеристики не может изменяться участником закупки 2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. да Значение характеристики не может изменяться участником закупки 2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана да Значение характеристики не может изменяться участником закупки 2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) да Значение характеристики не может изменяться участником закупки 2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. да Значение характеристики не может изменяться участником закупки 2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. да Значение характеристики не может изменяться участником закупки 2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. да Значение характеристики не может изменяться участником закупки 2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. да Значение характеристики не может изменяться участником закупки 2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов да Значение характеристики не может изменяться участником закупки 2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов да Значение характеристики не может изменяться участником закупки 2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. да Значение характеристики не может изменяться участником закупки 2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM да Значение характеристики не может изменяться участником закупки 2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. да Значение характеристики не может изменяться участником закупки 2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs да Значение характеристики не может изменяться участником закупки 2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) да Значение характеристики не может изменяться участником закупки 2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит да Значение характеристики не может изменяться участником закупки 2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций да Значение характеристики не может изменяться участником закупки 2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. да Значение характеристики не может изменяться участником закупки 2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. да Значение характеристики не может изменяться участником закупки 2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. да Значение характеристики не может изменяться участником закупки 3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. да Значение характеристики не может изменяться участником закупки 3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. да Значение характеристики не может изменяться участником закупки 3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. да Значение характеристики не может изменяться участником закупки 3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. да Значение характеристики не может изменяться участником закупки 3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. да Значение характеристики не может изменяться участником закупки 3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. да Значение характеристики не может изменяться участником закупки 3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию да Значение характеристики не может изменяться участником закупки 3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). да Значение характеристики не может изменяться участником закупки 3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). да Значение характеристики не может изменяться участником закупки 3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности да Значение характеристики не может изменяться участником закупки 3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. да Значение характеристики не может изменяться участником закупки 3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. да Значение характеристики не может изменяться участником закупки 4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). да Значение характеристики не может изменяться участником закупки 4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. да Значение характеристики не может изменяться участником закупки 4.3. Система основана на программном обеспечении с открытым исходным кодом. да Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - 1. Общие требования 1.1. Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки - 1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) - да - - Значение характеристики не может изменяться участником закупки - 1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки - 1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки - 1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия - да - - Значение характеристики не может изменяться участником закупки - 1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». - да - - Значение характеристики не может изменяться участником закупки - 1.7.Наличие в России локализованной сервисной (технической) поддержки. - да - - Значение характеристики не может изменяться участником закупки - 2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. - да - - Значение характеристики не может изменяться участником закупки - 2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). - да - - Значение характеристики не может изменяться участником закупки - 2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. - да - - Значение характеристики не может изменяться участником закупки - 2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). - да - - Значение характеристики не может изменяться участником закупки - 2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. - да - - Значение характеристики не может изменяться участником закупки - 2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - да - - Значение характеристики не может изменяться участником закупки - 2.7. Наличие возможности организации сервера сетевой загрузки. - да - - Значение характеристики не может изменяться участником закупки - 2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - да - - Значение характеристики не может изменяться участником закупки - 2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. - да - - Значение характеристики не может изменяться участником закупки - 2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. - да - - Значение характеристики не может изменяться участником закупки - 2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - да - - Значение характеристики не может изменяться участником закупки - 2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. - да - - Значение характеристики не может изменяться участником закупки - 2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. - да - - Значение характеристики не может изменяться участником закупки - 2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений - да - - Значение характеристики не может изменяться участником закупки - 2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. - да - - Значение характеристики не может изменяться участником закупки - 2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. - да - - Значение характеристики не может изменяться участником закупки - 2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. - да - - Значение характеристики не может изменяться участником закупки - 2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. - да - - Значение характеристики не может изменяться участником закупки - 2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - да - - Значение характеристики не может изменяться участником закупки - 2.20. Наличие в составе ОС приложения для мониторинга ресурсов. - да - - Значение характеристики не может изменяться участником закупки - 2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. - да - - Значение характеристики не может изменяться участником закупки - 2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами - да - - Значение характеристики не может изменяться участником закупки - 2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 - да - - Значение характеристики не может изменяться участником закупки - 2.24.Наличие возможности авторизации по смарт-картам - да - - Значение характеристики не может изменяться участником закупки - 2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе - да - - Значение характеристики не может изменяться участником закупки - 2.26.Наличие возможности разграничения доступа к подключаемым устройствам - да - - Значение характеристики не может изменяться участником закупки - 2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) - да - - Значение характеристики не может изменяться участником закупки - 2.28.Наличие возможности организации трастовых доменов - да - - Значение характеристики не может изменяться участником закупки - 2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте - да - - Значение характеристики не может изменяться участником закупки - 2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена - да - - Значение характеристики не может изменяться участником закупки - 2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: - да - - Значение характеристики не может изменяться участником закупки - 2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. - да - - Значение характеристики не может изменяться участником закупки - 2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. - да - - Значение характеристики не может изменяться участником закупки - 2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных - да - - Значение характеристики не может изменяться участником закупки - 2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. - да - - Значение характеристики не может изменяться участником закупки - 2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. - да - - Значение характеристики не может изменяться участником закупки - 2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. - да - - Значение характеристики не может изменяться участником закупки - 2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. - да - - Значение характеристики не может изменяться участником закупки - 2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - да - - Значение характеристики не может изменяться участником закупки - 2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). - да - - Значение характеристики не может изменяться участником закупки - 2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. - да - - Значение характеристики не может изменяться участником закупки - 2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - да - - Значение характеристики не может изменяться участником закупки - 2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - да - - Значение характеристики не может изменяться участником закупки - 2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - да - - Значение характеристики не может изменяться участником закупки - 2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN - да - - Значение характеристики не может изменяться участником закупки - 2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - да - - Значение характеристики не может изменяться участником закупки - 2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана - да - - Значение характеристики не может изменяться участником закупки - 2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) - да - - Значение характеристики не может изменяться участником закупки - 2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. - да - - Значение характеристики не может изменяться участником закупки - 2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. - да - - Значение характеристики не может изменяться участником закупки - 2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. - да - - Значение характеристики не может изменяться участником закупки - 2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. - да - - Значение характеристики не может изменяться участником закупки - 2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов - да - - Значение характеристики не может изменяться участником закупки - 2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - да - - Значение характеристики не может изменяться участником закупки - 2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. - да - - Значение характеристики не может изменяться участником закупки - 2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM - да - - Значение характеристики не может изменяться участником закупки - 2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. - да - - Значение характеристики не может изменяться участником закупки - 2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs - да - - Значение характеристики не может изменяться участником закупки - 2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) - да - - Значение характеристики не может изменяться участником закупки - 2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит - да - - Значение характеристики не может изменяться участником закупки - 2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций - да - - Значение характеристики не может изменяться участником закупки - 2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. - да - - Значение характеристики не может изменяться участником закупки - 2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. - да - - Значение характеристики не может изменяться участником закупки - 2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. - да - - Значение характеристики не может изменяться участником закупки - 3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. - да - - Значение характеристики не может изменяться участником закупки - 3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. - да - - Значение характеристики не может изменяться участником закупки - 3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - да - - Значение характеристики не может изменяться участником закупки - 3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - да - - Значение характеристики не может изменяться участником закупки - 3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. - да - - Значение характеристики не может изменяться участником закупки - 3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - да - - Значение характеристики не может изменяться участником закупки - 3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - да - - Значение характеристики не может изменяться участником закупки - 3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). - да - - Значение характеристики не может изменяться участником закупки - 3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - да - - Значение характеристики не может изменяться участником закупки - 3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности - да - - Значение характеристики не может изменяться участником закупки - 3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. - да - - Значение характеристики не может изменяться участником закупки - 3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - да - - Значение характеристики не может изменяться участником закупки - 4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). - да - - Значение характеристики не может изменяться участником закупки - 4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. - да - - Значение характеристики не может изменяться участником закупки - 4.3. Система основана на программном обеспечении с открытым исходным кодом. - да - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

1. Общие требования 1.1. Способ предоставления - Копия электронного экземпляра - - Значение характеристики не может изменяться участником закупки

1.2. Соответствие требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017) - да - - Значение характеристики не может изменяться участником закупки

1.3. Соответствие требованиям документов «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки

1.4. Соответствие требованиям документов «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. - да - - Значение характеристики не может изменяться участником закупки

1.5. Соответствие Приказу ФСТЭК от 2 июня 2020 г. №76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по четвертому уровню доверия - да - - Значение характеристики не может изменяться участником закупки

1.6.Наличие в Формуляре операционной системы (Далее – ОС) сведений о том что интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении, утверждена ФСТЭК России 25.12.2020 г». - да - - Значение характеристики не может изменяться участником закупки

1.7.Наличие в России локализованной сервисной (технической) поддержки. - да - - Значение характеристики не может изменяться участником закупки

2.Функциональные требования 2.1.Установка и функционирование на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD или эквивалент), aarch64 («Байкал», Rockchip 3588 или эквивалент) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3 или эквивалент) отдельные образы в сертифицированном исполнении для каждой архитектуры. - да - - Значение характеристики не может изменяться участником закупки

2.2.Поддержка режимом установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). - да - - Значение характеристики не может изменяться участником закупки

2.3.Наличие в составе ядра не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система предоставляет графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. - да - - Значение характеристики не может изменяться участником закупки

2.4.Обеспечение поддержки нескольких видеокарт (работа на нескольких мониторах). - да - - Значение характеристики не может изменяться участником закупки

2.5.Наличие русифицированного интерфейса, а также предоставление русскоязычной документации. - да - - Значение характеристики не может изменяться участником закупки

2.6.Наличие возможности установки с DVD-диска и USB-накопителя. Наличие сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. - да - - Значение характеристики не может изменяться участником закупки

2.7. Наличие возможности организации сервера сетевой загрузки. - да - - Значение характеристики не может изменяться участником закупки

2.8. Наличие возможности установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - да - - Значение характеристики не может изменяться участником закупки

2.9.Наличие в составе носителя с дистрибутивом операционной системы функционала предусматривающего вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. - да - - Значение характеристики не может изменяться участником закупки

2.10.Наличие возможности установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. - да - - Значение характеристики не может изменяться участником закупки

2.11.Наличие в Операционной системе возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя - да - - Значение характеристики не может изменяться участником закупки

2.12. Наличие возможности предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. - да - - Значение характеристики не может изменяться участником закупки

2.13. Наличие возможности независимыого выбора основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. - да - - Значение характеристики не может изменяться участником закупки

2.14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений - да - - Значение характеристики не может изменяться участником закупки

2.15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. - да - - Значение характеристики не может изменяться участником закупки

2.16.Наличие возможности предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей осуществляется как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. - да - - Значение характеристики не может изменяться участником закупки

2.17.Наличие возможности предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. - да - - Значение характеристики не может изменяться участником закупки

2.18.Наличие возможности предоставлять возможность блокировки виртуальных текстовых консолей. - да - - Значение характеристики не может изменяться участником закупки

2.19.Наличие в составе ОС средств защиты обеспечивающих выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs, java-21-openjdk, dotnet) и веб-сервера (nginx, apache2) и сервер приложений (tomcat), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. - да - - Значение характеристики не может изменяться участником закупки

2.20. Наличие в составе ОС приложения для мониторинга ресурсов. - да - - Значение характеристики не может изменяться участником закупки

2.21.Наличие возможности предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор имеет возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов входят: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. - да - - Значение характеристики не может изменяться участником закупки

2.22.Наличие возможности реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала обеспечена как консольными, так и графическими утилитами - да - - Значение характеристики не может изменяться участником закупки

2.23.Наличие возможности создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015 - да - - Значение характеристики не может изменяться участником закупки

2.24.Наличие возможности авторизации по смарт-картам - да - - Значение характеристики не может изменяться участником закупки

2.25.Наличие возможности предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе - да - - Значение характеристики не может изменяться участником закупки

2.26.Наличие возможности разграничения доступа к подключаемым устройствам - да - - Значение характеристики не может изменяться участником закупки

2.27.Наличие возможности ввода в домен Samba-DC или Active Directory с поддержкой: аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO) - да - - Значение характеристики не может изменяться участником закупки

2.28.Наличие возможности организации трастовых доменов - да - - Значение характеристики не может изменяться участником закупки

2.29.При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) доступны, при использовании инструмента RSAT в среде Windows (или эквивалент) или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: настройка установки программного обеспечения из репозитория; исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему; разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей; Управление ярлыками для компьютера или пользователей; Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd); Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь зада-ний) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo; Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs; Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие); Управление настройками приложений через ini-файлы; Управление интервалом времени применения групповой политики; Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium или эквивалент; Возможность принудительного выполнения политики на клиенте - да - - Значение характеристики не может изменяться участником закупки

2.30. Наличие возможности организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент, включая версию для 1С) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB, наличие расширения для колоночного хранения и анализа данных (TimescaleDB или аналог); веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена - да - - Значение характеристики не может изменяться участником закупки

2.31.Наличие в составе ОС клиент-серверного решения для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: - да - - Значение характеристики не может изменяться участником закупки

2.31.1 Клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров (далее - ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. - да - - Значение характеристики не может изменяться участником закупки

2.31.2 ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. - да - - Значение характеристики не может изменяться участником закупки

2.31.3 ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных - да - - Значение характеристики не может изменяться участником закупки

2.31.4 ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. - да - - Значение характеристики не может изменяться участником закупки

2.31.5 ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. - да - - Значение характеристики не может изменяться участником закупки

2.31.6 ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. - да - - Значение характеристики не может изменяться участником закупки

2.31.7 ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. - да - - Значение характеристики не может изменяться участником закупки

2.31.8 ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. - да - - Значение характеристики не может изменяться участником закупки

2.31.9 ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). - да - - Значение характеристики не может изменяться участником закупки

2.31.10 ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. - да - - Значение характеристики не может изменяться участником закупки

2.31.11 ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. - да - - Значение характеристики не может изменяться участником закупки

2.31.12 ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - да - - Значение характеристики не может изменяться участником закупки

2.31.13 ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - да - - Значение характеристики не может изменяться участником закупки

2.32.Наличие возможности предоставлять возможность установления безопасных сетевых соединений по технологии VPN - да - - Значение характеристики не может изменяться участником закупки

2.33.Наличие возможности обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. - да - - Значение характеристики не может изменяться участником закупки

2.34.Наличие возможности реализовывать базовый функционал межсетевого экрана - да - - Значение характеристики не может изменяться участником закупки

2.35. Наличие возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог) - да - - Значение характеристики не может изменяться участником закупки

2.36. Наличие графического приложения для мониторинга ресурсов и просмотра системных журналов. - да - - Значение характеристики не может изменяться участником закупки

2.37. Наличие возможности одновременной работы пользователей в изолированных сеансах с возможностью: отдельного изолированного хранения данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержкой изоляции временных пользовательских файлов. - да - - Значение характеристики не может изменяться участником закупки

2.38.Наличие автоматизированных средств изоляции приложений, чувствительных к сетевым атакам. - да - - Значение характеристики не может изменяться участником закупки

2.39. Наличие возможности предоставления упреждающих мер защиты и быть сконфигурированой с безопасными настройками по умолчанию. - да - - Значение характеристики не может изменяться участником закупки

2.40.Наличие возможности предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов - да - - Значение характеристики не может изменяться участником закупки

2.41.Наличие возможности обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов - да - - Значение характеристики не может изменяться участником закупки

2.42.Наличие инструмента проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. - да - - Значение характеристики не может изменяться участником закупки

2.43.Наличие подсистемы контроля целостности операционной системы с поддержкой технологий IMA и EVM - да - - Значение характеристики не может изменяться участником закупки

2.44.Наличие возможности запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. - да - - Значение характеристики не может изменяться участником закупки

2.45.Наличие поддержки файловых систем ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs - да - - Значение характеристики не может изменяться участником закупки

2.46.Наличие поддержки сетевых протоколов SMB, NFS, FTP, NTP, HTTP(S) - да - - Значение характеристики не может изменяться участником закупки

2.47.Наличие возможности доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система обеспечивает автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит - да - - Значение характеристики не может изменяться участником закупки

2.48.Наличие исходных кодов, обновлений, инструментов для сборки серверной операционной системы в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для операционной системы рабочих станций - да - - Значение характеристики не может изменяться участником закупки

2.49.Наличие возможности предоставить единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. - да - - Значение характеристики не может изменяться участником закупки

2.50.Наличие возможности поддерживать корневые сертификаты Минцифры России. В составе дистрибутива присутствует пакет с отечественными корневыми сертификатами шифрования. - да - - Значение характеристики не может изменяться участником закупки

2.51.Наличие возможности поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава операционной системы. - да - - Значение характеристики не может изменяться участником закупки

3. Требования к контейнеризации 3.1. Наличие, в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты, следующих функции безопасности: изоляция контейнеров; выявление уязвимостей в образах контейнеров; проверка корректности конфигурации контейнеров; контроль целостности контейнеров и их образов; регистрация событий безопасности; управление доступом; идентификация и аутентификация пользователей; централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. - да - - Значение характеристики не может изменяться участником закупки

3.2. Наличие сертифицированных средств контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. - да - - Значение характеристики не может изменяться участником закупки

3.3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. - да - - Значение характеристики не может изменяться участником закупки

3.4. Наличие средства управления образами контейнеров и контейнерами (оркестратор или аналог) со следующими функциями: создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; обновление средства контейнеризации и образов контейнеров из реестра вендора; чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; анализ возникающих событий безопасности в целях выявления инцидентов безопасности; оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - да - - Значение характеристики не может изменяться участником закупки

3.5. Наличие в средстве контейнеризации дистрибутива операционной системы соответствия следующим требованиям к функции изоляции контейнеров: изоляция пространств идентификаторов процессов; изоляция пространств имен для межпроцессного взаимодействия; изоляция пространств имен для пользователей и групп; изоляция пространств имен хостов и доменов; изоляция сетевых пространств имен; изоляция пространств имен для иерархии каталогов. - да - - Значение характеристики не может изменяться участником закупки

3.6. Наличие реализованной ролевая модели управления доступом: разработчик образов контейнеров, администратор безопасности средств контейнеризации, администратор информационной (автоматизированной) системы. - да - - Значение характеристики не может изменяться участником закупки

3.7. Наличие реализованных требований к функциям идентификации и аутентификации пользователей: аутентификация пользователей по паролю; пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (автоматизированной) системы; пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. Указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию - да - - Значение характеристики не может изменяться участником закупки

3.8. Наличие реализованных механизмов по выявлению уязвимостей в образах контейнеров с учетом следующих требований: выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; оповещение о выявленных уязвимостях в образах контейнеров разработчика образов контейнеров и администратора информационной (автоматизированной) системы; средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). - да - - Значение характеристики не может изменяться участником закупки

3.9. Наличие в средстве контейнеризации дистрибутива операционной системы функции управления конфигурацией: возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). - да - - Значение характеристики не может изменяться участником закупки

3.10.Наличие в средстве контейнеризации дистрибутива операционной системы функции контроля целостности контейнеров и их образов с возможностями: контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; контролировать целостность параметров настройки средства контейнеризации; контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой операционной системой; контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности - да - - Значение характеристики не может изменяться участником закупки

3.11. Наличие в средстве контейнеризации дистрибутива операционной системы функции регистрации событий безопасности с возможностями: обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; выполнять действия, являющиеся реакцией на инциденты безопасности; осуществлять сбор и хранение записей в журнале событий безопасности; для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архивирование с последующей очисткой. - да - - Значение характеристики не может изменяться участником закупки

3.11.1 Наличие в функции регистрации событий безопасности возможности записи следующих событий безопасности: неуспешные попытки аутентификации пользователей средства контейнеризации; создание, модификация и удаление образов контейнеров; получение доступа к образам контейнеров; запуск и остановка контейнеров с указанием причины остановки; изменение ролевой модели; модификация запускаемых контейнеров; выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; факты нарушения целостности объектов контроля. должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - да - - Значение характеристики не может изменяться участником закупки

4. Иные требования 4.1. Наличие гарантийной поддержки от разработчика (оперативный выпуск обновлений по безопасности). - да - - Значение характеристики не может изменяться участником закупки

4.2. Наличие технической поддержки пользователям на условиях SLA в течение первого года использования. Для критических инцидентов обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. - да - - Значение характеристики не может изменяться участником закупки

4.3. Система основана на программном обеспечении с открытым исходным кодом. - да - - Значение характеристики не может изменяться участником закупки

Преимущества, требования к участникам

Преимущества: Не установлены

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Применение национального режима по ст. 14 Закона № 44-ФЗ

Применение национального режима по ст. 14 Закона № 44-ФЗ: Основанием для установки указания запретов, ограничений закупок товаров, происходящих из иностранных государств, выполняемых работ, оказываемых услуг иностранными лицами, а так же преимуществ в отношении товаров российского происхождения, а также товаров происходящих из стран ЕАЭС, выполняемых работ, оказываемых услуг российскими лицами, а также лицами, зарегистрированными в странах ЕАЭС, является Постановление Правительства Российской Федерации о мерах по предоставлению национального режима от 23.12.2024 № 1875.

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202608092000009001000040

Начальная (максимальная) цена контракта: 1 529 388,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 262132623374013260100100360015829244

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 31.07.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: Республиканский бюджет Республики Мордовия

Вид бюджета: бюджет субъекта Российской Федерации

Код территории муниципального образования: 89000000: Муниципальные образования Республики Мордовии

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 15 293,88 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке определен в ст. 44 Федерального закона № 44-ФЗ. Условия независимой гарантии в соответствии со ст. 45 Федерального закона № 44-ФЗ. Выбор способа обеспечения осуществляется участником закупки самостоятельно и с учетом особенностей, установленных Постановлением Правительства РФ от 10.04.2023 N 579 «Об особенностях порядка предоставления обеспечения заявок на участие в закупках товаров, работ, услуг для обеспечения государственных или муниципальных нужд участниками таких закупок, являющимися иностранными лицами».

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03222643890000000900, л/c 05092D00440, БИК 042202114, ОКЦ № 1 ВВГУ Банка России//УФК по Республике Мордовия, г Саранск, к/c 40102810545370000114

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, респ. Мордовия

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 76 469,40 ? (5 %)

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Контракт заключается после предоставления участником закупки, с которым заключается контракт, безотзывной независимой гарантии, соответствующей требованиям статьи 45 Федерального закона от 05.04.2013 г. № 44-ФЗ, или внесением денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Способ обеспечения исполнения контракта из указанных выше способов, определяются участником закупки, с которым заключается контракт, самостоятельно. В качестве обеспечения исполнения контрактов принимаются независимые гарантии, выданные: банками, соответствующими требованиям, установленным Правительством Российской Федерации; государственной корпорацией развития "ВЭБ.РФ; фондами содействия кредитованию (гарантийными фондами, фондами поручительств), являющимися участниками национальной гарантийной системы поддержки малого и среднего предпринимательства; Евразийским банком развития. Заказчик рассматривает поступившую в качестве обеспечения исполнения контракта независимую гарантию в срок, не превышающий трех рабочих дней со дня ее поступления.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03222643890000000900, л/c 05092D00440, БИК 042202114, ОКЦ № 1 ВВГУ Банка России//УФК по Республике Мордовия, г Саранск, к/c 40102810545370000114

Требуется гарантия качества товара, работы, услуги: Да

Срок, на который предоставляется гарантия и (или) требования к объему предоставления гарантий качества товара, работы, услуги: Гарантийный срок на оказанные Услуги составляет 12 месяцев после подписания документа о приемке.Требования к объему предоставления гарантий качества оказанных Услуг: на весь объем оказанных Услуг.

Информация о требованиях к гарантийному обслуживанию товара:

Требования к гарантии производителя товара:

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 31.07.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: Республиканский бюджет Республики Мордовия

Вид бюджета: бюджет субъекта Российской Федерации

Код территории муниципального образования: 89000000: Муниципальные образования Республики Мордовии

Документы

Общая информация

Документы

Журнал событий