Номер извещения: 0177200000926002003

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АО «Сбербанк-АСТ»

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.sberbank-ast.ru

Размещение осуществляет: Уполномоченный орган МИНИСТЕРСТВО ЭКОНОМИЧЕСКОГО РАЗВИТИЯ РЕСПУБЛИКИ АЛТАЙ

Наименование объекта закупки: Оказание услуг по передаче неисключительных прав на средства защиты информации для государственной информационной системы «Карта жителя Республики Алтай»

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202603772000122001000021

Контактная информация

Размещение осуществляет: Уполномоченный орган

Организация, осуществляющая размещение: МИНИСТЕРСТВО ЭКОНОМИЧЕСКОГО РАЗВИТИЯ РЕСПУБЛИКИ АЛТАЙ

Почтовый адрес: 649000, Респ Алтай, г Горно-Алтайск, ул В.И.Чаптынова, дом 24

Место нахождения: 649000, РЕСПУБЛИКА АЛТАЙ, г.о. ГОРОД ГОРНО-АЛТАЙСК, Г. ГОРНО-АЛТАЙСК, УЛ. ПАНФИЛОВЦЕВ, Д. 7

Ответственное должностное лицо: Шелегова О. В.

Адрес электронной почты: uorgan2@mineco04.ru

Номер контактного телефона: 8-8007-009440-282

Факс: 8-800700-9440

Дополнительная информация: Заказчик (наименование): КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ"; ИНН заказчика: 0411115216; Место нахождения: 649000, РЕСПУБЛИКА АЛТАЙ, г.о. ГОРОД ГОРНО-АЛТАЙСК, Г. ГОРНО-АЛТАЙСК, УЛ. ЧОРОС-ГУРКИНА Г.И., Д. 38; Почтовый адрес: Российская Федерация, 649000, Алтай Респ, Чорос-Гуркина, 38, -; Адрес электронной почты: paz@eltelkom.ru; Номер контактного телефона: +73882229450; Ответственное должностное лицо: Пропиестис Александр Зигманто; ИКЗ позиции плана-графика: 262041111521604110100100200000000242;

Регион: Алтай Респ

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 26.06.2026 15:29 (МСК+4)

Дата и время окончания срока подачи заявок: 08.07.2026 09:00 (МСК+4)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 08.07.2026

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 10.07.2026

Начальная (максимальная) цена контрактов

Начальная (максимальная) цена контракта: 5 379 131,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 262041111521604110100100200010000242

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Знаки обслуживания, фирменные наименования, патенты, полезные модели, промышленные образцы - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных Способ предоставления Экземпляр на материальном носителе ... - Программное обеспечение - Штука - 16,00 - 238 781,00 - 3 820 496,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 16 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Общие требования 1. Поддерживать современные стандарты реляционных баз данных (БД) по требования ACID, а именно: - Атомарность (Atomicity) - Согласованность (Consistency) - Изолированность (Isolation) - Устойчивость (Durability) 2. Обеспечивать уровни изоляции транзакций SERIALIZABLE, REPEATABLE READ, READ COMMITTED. 3. Поддерживать управление доступом с помощью многоверсионности (MVCC - MultiVersion Concurrency Control), которая используется для поддержания согласованности данных в конкурентных условиях. Система должна видеть копию данных (версию базы данных) на момент начала транзакции несмотря на то, что состояние базы данных могло уже измениться, что защищает транзакцию от несогласованных изменений данных, которые могли быть вызваны другой конкурентной транзакцией и обеспечивает таким образом изоляцию транзакций. Основной выигрыш от использования многоверсионности заключается в том, что блокировка, устанавливаемая ей для чтения, не конфликтует с блокировкой на запись, и поэтому чтение никогда не блокирует запись и наоборот. Значение характеристики не может изменяться участником закупки 4. Обеспечивать поддержку блокировок на уровне записей. 5. Обеспечивать журнал упреждающей записи (Write-Ahead Logging - WAL), механизм протоколирования транзакций, что позволяет восстановить систему после возможных сбоев. Основная идея WAL состоит в том, что все изменения должны записываться на диск после того, как записи журнала, описывающие эти действия, будут гарантировано записаны на диск. Это позволяет не сбрасывать страницы данных на диск после фиксации каждой транзакции, так как всегда есть возможность восстановления базы данных используя журнал транзакций. 6. Обеспечивать ссылочную целостность. 7. Обеспечить возможность добавления новых типов данных, функций, операторов, методов доступа, языков программирования без перекомпилирования ядра СУБД и остановки экземпляра БД. 8. Обеспечить возможность доступа к сторонним данным для работы с СУБД Microsoft SQL Server, MySQL, Oracle и PostgreSQL. Ограничения СУБД: - отсутствие ограничения на размер БД - отсутствие ограничения на максимальное количество записей (строк) - отсутствие ограничения на количество индексов - поддержку таблиц размером не менее 32 ТБ - поддержку не менее 1600 полей (столбцов) в одной таблице - поддержку полей (столбцов) размером не менее 1 ГБ Срок действия лицензии - Не менее 12 месяцев - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Общие требования - 1. Поддерживать современные стандарты реляционных баз данных (БД) по требования ACID, а именно: - Атомарность (Atomicity) - Согласованность (Consistency) - Изолированность (Isolation) - Устойчивость (Durability) 2. Обеспечивать уровни изоляции транзакций SERIALIZABLE, REPEATABLE READ, READ COMMITTED. 3. Поддерживать управление доступом с помощью многоверсионности (MVCC - MultiVersion Concurrency Control), которая используется для поддержания согласованности данных в конкурентных условиях. Система должна видеть копию данных (версию базы данных) на момент начала транзакции несмотря на то, что состояние базы данных могло уже измениться, что защищает транзакцию от несогласованных изменений данных, которые могли быть вызваны другой конкурентной транзакцией и обеспечивает таким образом изоляцию транзакций. Основной выигрыш от использования многоверсионности заключается в том, что блокировка, устанавливаемая ей для чтения, не конфликтует с блокировкой на запись, и поэтому чтение никогда не блокирует запись и наоборот. - - Значение характеристики не может изменяться участником закупки - 4. Обеспечивать поддержку блокировок на уровне записей. 5. Обеспечивать журнал упреждающей записи (Write-Ahead Logging - WAL), механизм протоколирования транзакций, что позволяет восстановить систему после возможных сбоев. Основная идея WAL состоит в том, что все изменения должны записываться на диск после того, как записи журнала, описывающие эти действия, будут гарантировано записаны на диск. Это позволяет не сбрасывать страницы данных на диск после фиксации каждой транзакции, так как всегда есть возможность восстановления базы данных используя журнал транзакций. 6. Обеспечивать ссылочную целостность. 7. Обеспечить возможность добавления новых типов данных, функций, операторов, методов доступа, языков программирования без перекомпилирования ядра СУБД и остановки экземпляра БД. 8. Обеспечить возможность доступа к сторонним данным для работы с СУБД Microsoft SQL Server, MySQL, Oracle и PostgreSQL. - Ограничения СУБД: - отсутствие ограничения на размер БД - отсутствие ограничения на максимальное количество записей (строк) - отсутствие ограничения на количество индексов - поддержку таблиц размером не менее 32 ТБ - поддержку не менее 1600 полей (столбцов) в одной таблице - поддержку полей (столбцов) размером не менее 1 ГБ Срок действия лицензии - Не менее 12 месяцев

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Общие требования - 1. Поддерживать современные стандарты реляционных баз данных (БД) по требования ACID, а именно: - Атомарность (Atomicity) - Согласованность (Consistency) - Изолированность (Isolation) - Устойчивость (Durability) 2. Обеспечивать уровни изоляции транзакций SERIALIZABLE, REPEATABLE READ, READ COMMITTED. 3. Поддерживать управление доступом с помощью многоверсионности (MVCC - MultiVersion Concurrency Control), которая используется для поддержания согласованности данных в конкурентных условиях. Система должна видеть копию данных (версию базы данных) на момент начала транзакции несмотря на то, что состояние базы данных могло уже измениться, что защищает транзакцию от несогласованных изменений данных, которые могли быть вызваны другой конкурентной транзакцией и обеспечивает таким образом изоляцию транзакций. Основной выигрыш от использования многоверсионности заключается в том, что блокировка, устанавливаемая ей для чтения, не конфликтует с блокировкой на запись, и поэтому чтение никогда не блокирует запись и наоборот. - - Значение характеристики не может изменяться участником закупки

4. Обеспечивать поддержку блокировок на уровне записей. 5. Обеспечивать журнал упреждающей записи (Write-Ahead Logging - WAL), механизм протоколирования транзакций, что позволяет восстановить систему после возможных сбоев. Основная идея WAL состоит в том, что все изменения должны записываться на диск после того, как записи журнала, описывающие эти действия, будут гарантировано записаны на диск. Это позволяет не сбрасывать страницы данных на диск после фиксации каждой транзакции, так как всегда есть возможность восстановления базы данных используя журнал транзакций. 6. Обеспечивать ссылочную целостность. 7. Обеспечить возможность добавления новых типов данных, функций, операторов, методов доступа, языков программирования без перекомпилирования ядра СУБД и остановки экземпляра БД. 8. Обеспечить возможность доступа к сторонним данным для работы с СУБД Microsoft SQL Server, MySQL, Oracle и PostgreSQL.

Ограничения СУБД: - отсутствие ограничения на размер БД - отсутствие ограничения на максимальное количество записей (строк) - отсутствие ограничения на количество индексов - поддержку таблиц размером не менее 32 ТБ - поддержку не менее 1600 полей (столбцов) в одной таблице - поддержку полей (столбцов) размером не менее 1 ГБ Срок действия лицензии - Не менее 12 месяцев

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных ... Способ предоставления Экземпляр на материальном носителе ... - - Штука - 22,00 - 45 600,00 - 1 003 200,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 22 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных Значение характеристики не может изменяться участником закупки (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Нефункциональные требования Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Общие требования Операционная система должна соответствовать требованиям документов: «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). Значение характеристики не может изменяться участником закупки «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. Наличие в России локализованной сервисной и/или технической поддержки. Функциональные требования Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования перечисленные в данном документе относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. Значение характеристики не может изменяться участником закупки Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: действовать в качестве первичного или вторичного контроллера домена; аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO). Операционная система должна предоставлять возможность организации трастовых доменов. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: Настройка установки программного обеспечения из репозитория. Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. Управление ярлыками для компьютера или пользователей. Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). Управление настройками приложений через ini-файлы. Управление интервалом времени применения групповой политики. Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. Возможность принудительного выполнения политики на клиенте. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна реализовывать базовый функционал межсетевого экрана. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержка изоляции временных пользовательских файлов. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Нефункциональные требования - Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Общие требования - Операционная система должна соответствовать требованиям документов: «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). - - Значение характеристики не может изменяться участником закупки - «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. Наличие в России локализованной сервисной и/или технической поддержки. - Функциональные требования - Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования перечисленные в данном документе относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. - Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. - Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. - Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: действовать в качестве первичного или вторичного контроллера домена; аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO). Операционная система должна предоставлять возможность организации трастовых доменов. - При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: Настройка установки программного обеспечения из репозитория. Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. Управление ярлыками для компьютера или пользователей. Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). Управление настройками приложений через ini-файлы. Управление интервалом времени применения групповой политики. Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. Возможность принудительного выполнения политики на клиенте. - Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена. - Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. - ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. - ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. - ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна реализовывать базовый функционал межсетевого экрана. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. - Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержка изоляции временных пользовательских файлов. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. - Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Нефункциональные требования - Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Общие требования - Операционная система должна соответствовать требованиям документов: «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). - - Значение характеристики не может изменяться участником закупки

«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. «Требования по безопасности информации к системам управления базами данных» (приказ ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. Наличие в России локализованной сервисной и/или технической поддержки.

Функциональные требования - Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования перечисленные в данном документе относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя.

Операционная система должна предоставлять независимый выбор основных и дополнительных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки.

Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного администрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: настройка даты и времени; управление системными службами; просмотр системных журналов; конфигурирование сетевых подключений и межсетевого экрана; установка обновлений, в том числе для компьютеров без доступа в интернет; управление выключением удаленного компьютера; управление пользователями; настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами.

Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: действовать в качестве первичного или вторичного контроллера домена; аутентификация рабочих станций; авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); поддержка ролей и привилегий (назначение ролей группам); групповые политики (GPO). Операционная система должна предоставлять возможность организации трастовых доменов.

При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: Настройка установки программного обеспечения из репозитория. Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. Управление ярлыками для компьютера или пользователей. Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). Управление настройками приложений через ini-файлы. Управление интервалом времени применения групповой политики. Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. Возможность принудительного выполнения политики на клиенте.

Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: sshd; DNS; DHCP; протокол аутентификации LDAP; OpenVPN; SMTP, POP3/IMAP (postfix, dovecot или эквивалент); межсетевой экран; проксирование HTTP- и FTP-запросов (squid или эквивалент); резервное копирование (bacula или эквивалент); сервер сетевой установки с веб-интерфейсом; сервер обновлений с возможностью зеркалирования репозитория вендора ОС и создания служебных репозиториев используемого Заказчиком ПО; защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью организации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; веб-сервер; FTP-сервер; сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); сервер печати; сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); сервер файлового обмена.

Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями.

ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможностью настроить определенные периоды, в которые будут применяться ограничения. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью создания/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств.

ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользователь. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых серверов; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль.

ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. Операционная система должна реализовывать базовый функционал межсетевого экрана. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов.

Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; поддержка изоляции временных пользовательских файлов. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы.

Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инструменты для ОС рабочих станций. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сертификатами шифрования. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.09) Операционные системы общего назначения ... Способ предоставления Экземпляр на материальном носителе ... - - Штука - 1,00 - 57 720,00 - 57 720,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.09) Операционные системы общего назначения Значение характеристики не может изменяться участником закупки (02.06) Серверное и связующее программное обеспечение (02.04) Средства виртуализации (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Инсталляционный комплект сертифицированной редакции операционной системы Инсталляционный комплект операционной системы содержит: - установочный носитель; - формуляр; - сертификат ФСТЭК; Включен в комплект поставки. Значение характеристики не может изменяться участником закупки Нефункциональные требования 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Общие требования 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Требования к контейнеризации 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. Значение характеристики не может изменяться участником закупки 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Функциональные требования 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Значение характеристики не может изменяться участником закупки 9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. 15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. 21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. 26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. 27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). • Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена. 31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель. r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. 32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. 40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. 42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. 48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций. 49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.09) Операционные системы общего назначения - - Значение характеристики не может изменяться участником закупки - (02.06) Серверное и связующее программное обеспечение - (02.04) Средства виртуализации - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Инсталляционный комплект сертифицированной редакции операционной системы - Инсталляционный комплект операционной системы содержит: - установочный носитель; - формуляр; - сертификат ФСТЭК; Включен в комплект поставки. - - Значение характеристики не может изменяться участником закупки - Нефункциональные требования - 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Общие требования - 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Требования к контейнеризации - 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - - Значение характеристики не может изменяться участником закупки - 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; - • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). - 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. - 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; - g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Функциональные требования - 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки - 9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. - 15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - 21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. 26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. - 27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). - • Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена. 31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. - b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. - n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель. r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. - s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - 32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. - 40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. 42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. - 48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций. 49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.09) Операционные системы общего назначения - - Значение характеристики не может изменяться участником закупки

(02.06) Серверное и связующее программное обеспечение

(02.04) Средства виртуализации

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Инсталляционный комплект сертифицированной редакции операционной системы - Инсталляционный комплект операционной системы содержит: - установочный носитель; - формуляр; - сертификат ФСТЭК; Включен в комплект поставки. - - Значение характеристики не может изменяться участником закупки

Нефункциональные требования - 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Общие требования - 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Требования к контейнеризации - 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - - Значение характеристики не может изменяться участником закупки

5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище;

• средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE).

9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности.

11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров;

g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Функциональные требования - 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки

9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений.

15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. 26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам.

27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие).

• Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена. 31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов.

b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год.

n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель. r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться.

s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей.

32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию.

40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. 42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит.

48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций. 49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации ... Способ предоставления Экземпляр на материальном носителе ... - - Штука - 5,00 - 54 720,00 - 273 600,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 5 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.04) Средства виртуализации Значение характеристики не может изменяться участником закупки (03.01) Средства защиты от несанкционированного доступа к информации (02.07) Средства управления базами данных (02.12) Системы контейнеризации и контейнеры (02.09) Операционные системы общего назначения (02.06) Серверное и связующее программное обеспечение Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Нефункциональные требования 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. Значение характеристики не может изменяться участником закупки Общие требования 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. Значение характеристики не может изменяться участником закупки Требования к контейнеризации 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; Значение характеристики не может изменяться участником закупки 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. Функциональные требования 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. Значение характеристики не может изменяться участником закупки 31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. 9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. 15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. 21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. 26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. 27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). • Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена. l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель. r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. 32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. 40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. 42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. 48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций. 49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки - (03.01) Средства защиты от несанкционированного доступа к информации - (02.07) Средства управления базами данных - (02.12) Системы контейнеризации и контейнеры - (02.09) Операционные системы общего назначения - (02.06) Серверное и связующее программное обеспечение - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Нефункциональные требования - 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки - Общие требования - 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки - Требования к контейнеризации - 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; - - Значение характеристики не может изменяться участником закупки - 1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов. - 5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками; - • средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией: - • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности. - • регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер. - Функциональные требования - 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки - 31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs. - 9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений. - 15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска. - 21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. - 26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. 27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs. - • Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). • Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена. - l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель. - r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей. - 32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. 40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов. - 42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. 48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций. - 49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.04) Средства виртуализации - - Значение характеристики не может изменяться участником закупки

(03.01) Средства защиты от несанкционированного доступа к информации

(02.07) Средства управления базами данных

(02.12) Системы контейнеризации и контейнеры

(02.09) Операционные системы общего назначения

(02.06) Серверное и связующее программное обеспечение

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Нефункциональные требования - 1. Разработчик обязан оказывать гарантийную вендорскую поддержку продукта (оперативный выпуск обновлений по безопасности). 2. Разработчик обязан оказывать техническую поддержку пользователям на условиях SLA в течение первого года использования. Для критических инцидентов должно быть обеспечено время реакции не более 8 часов в период с 9:00 до 19:00 в рабочие дни. 3. Система должна быть основана на программном обеспечении с открытым исходным кодом. - - Значение характеристики не может изменяться участником закупки

Общие требования - 1. Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи РФ по классам «Операционные системы общего назначения», «Средства виртуализации», «Серверное и связующее программное обеспечение», «Средства управления базами данных», «Системы контейнеризации и контейнеры», «Средства защиты от несанкционированного досту-па к информации». 2. Операционная система должна соответствовать требованиям документов: a. «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа «А» четвертого класса защиты ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017). b. «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» не ниже четвертого уровня доверия (приказ ФСТЭК России № 76 от 2 июня 2020 г.). c. «Требования по безопасности информации к средствам контейнеризации» (приказ ФСТЭК России № 118, 2022,) не ниже 4 класса защиты. d. «Требования по безопасности информации к средствам виртуализации» (приказ ФСТЭК России, № 187, 2022 г.) не ниже 4 класса защиты. e. «Требования по безопасности информации к системам управления базами данных» (при-каз ФСТЭК России № 64, 2023 г.) не ниже 4 класса защиты. 3. В Формуляре ОС должны быть указаны интерпретаторы, веб сервера и сервера приложений, проверенные согласно документу: «Методика выявления уязвимостей и недеклариро-ванных возможностей в программном обеспечении», утверждена ФСТЭК России 25.12.2020 г. 4. Разработчик должен иметь собственную инфраструктуру разработки полного цикла, зарегистрированную и находящуюся на территории РФ, в исключительной юрисдикции РФ. 5. Наличие в России локализованной сервисной и/или технической поддержки. - - Значение характеристики не может изменяться участником закупки

Требования к контейнеризации - 11. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции регистрации событий безопасности: • обеспечивать регистрацию событий, относящихся к инцидентам безопасности средства контейнеризации, связанных с попытками осуществления несанкционированного доступа к средству контейнеризации; • оповещать администратора безопасности средства контейнеризации и администратора безопасности информационной (автоматизированной) системы об инцидентах безопасности; • выполнять действия, являющиеся реакцией на инциденты безопасности; • осуществлять сбор и хранение записей в журнале событий безопасности. 12. Средства контейнеризации дистрибутива операционной системы должны соответствовать следующим требованиям к регистрации событий безопасности: • для регистрируемых событий безопасности в каждой записи журнала событий безопасности должны регистрироваться номер (уникальный идентификатор) события, дата, время, тип события безопасности; • записи журнала событий безопасности должны представляться в структурированном виде и содержать время события безопасности, взятое из хостовой операционной системы; • должна быть обеспечена запись событий безопасности контейнеров в журнал событий безопасности информационной (автоматизированной) системы с указанием идентификатора контейнера; • журнал событий безопасности средства контейнеризации должен быть доступен только для чтения. При исчерпании области памяти, отведенной под журнал событий безопасности средства контейнеризации, должно осуществляться его архи-вирование с последующей очисткой; - - Значение характеристики не может изменяться участником закупки

1. Операционная система в соответствии с документом «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022, приказ № 118) по 4-му классу защиты должна реализовывать следующие функции безопасности: • изоляция контейнеров; • выявление уязвимостей в образах контейнеров; • проверка корректности конфигурации контейнеров; • контроль целостности контейнеров и их образов; • регистрация событий безопасности; • управление доступом; • идентификация и аутентификация пользователей; • централизованное управление образами контейнеров и контейнерами в средстве контейнеризации. 2. Операционная система должна предоставлять сертифицированные средства контейнеризации (kubernetes или эквивалент, podman или эквивалент) имеющие возможность запуска от непривилегированного пользователя без необходимости запуска какого-либо демона/службы. 3. Все инструменты, в том числе контейнеры, должны входить в состав дистрибутива операционной системы и устанавливаться без обращения по сети к внешним источникам. Набор контейнеров должен включать базовые контейнеры, в том числе и distroless-образ и набор контейнеров для разворачивания кластера kubernetes. 4. Средства управления образами контейнеров и контейнерами (оркестратор или аналог) должны обеспечивать следующие функции: • создание, модификацию, хранение, получение и удаление образов контейнеров в информационной (автоматизированной) системе; • обновление средства контейнеризации и образов контейнеров из реестра вендора; • чтение, удаление записей о событиях безопасности, формирование отчетов с учетом заданных критериев отбора, выгрузку (экспорт) данных из журнала событий безопасности средства контейнеризации; • анализ возникающих событий безопасности в целях выявления инцидентов безопасности; • оповещение администратора безопасности средства контейнеризации о событиях безопасности; формирование отчетов.

5. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции изоляции контейнеров: • изоляция пространств идентификаторов процессов; • изоляция пространств имен для межпроцессного взаимодействия; • изоляция пространств имен для пользователей и групп; • изоляция пространств имен хостов и доменов; • изоляция сетевых пространств имен; • изоляция пространств имен для иерархии каталогов. 6. В дистрибутиве операционной системы должна быть реализована ролевая модель управления доступом: разработчик образов контейнеров, администратор безопасно-сти средств контейнеризации, администратор информационной (автоматизированной) системы. 7. Дистрибутив операционной системы должен реализовывать следующие требования к функциям идентификации и аутентификации пользователей: • аутентификация пользователей по паролю; • пароль пользователя должен устанавливаться администратором безопасности средства контейнеризации; • средство контейнеризации должно обеспечивать возможность смены установленного администратором безопасности средства контейнеризации пароля пользователя после его первичной аутентификации; • при попытке ввода неправильного значения пароля пользователя должно выводиться соответствующее сообщение с приглашением ввести правильный пароль еще раз; • при исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя средства контейнеризации должна быть заблокирована; • разблокировка учетной записи пользователя средства контейнеризации должна осуществляться администратором безопасности средства контейнеризации; • защита пароля пользователя должна обеспечиваться при его вводе за счет отображения вводимых символов условными знаками;

• средство контейнеризации должно обеспечивать хранение аутентификационной информации пользователя средства контейнеризации в защищенном формате или в защищенном хранилище; • средство контейнеризации не должно запускать процессы в хостовой операционной системе, обладающие привилегиями администратора информационной (автоматизированной) системы и администратора безопасности информационной (ав-томатизированной) системы; • пароль пользователя средства контейнеризации должен содержать не менее 8 символов при алфавите пароля не менее 70 символов. Максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки — 4. • указанные условия должны быть преднастроены в дистрибутиве операционной системы в рамках парольной политики по умолчанию. 8. Дистрибутив операционной системы должен реализовывать специальный механизм по выявлению уязвимостей в образах контейнеров с учетом следующих требований: • выявление известных уязвимостей при создании, первичном запуске и хранении образов контейнеров, самостоятельно или во взаимодействии с сертифицированным средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации БДУ ФСТЭК России (https://bdu.fstec.ru/), а также в иных источниках, содержащих сведения об известных уязвимостях; • оповещение о выявленных уязвимостях в образах контейнеров разработчика обра-зов контейнеров и администратора информационной (автоматизированной) систе-мы; • средство контейнеризации должно обеспечивать запрет создания образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности (уровень опасности определяется по значению (V) CVSS в CVE). 9. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции управления конфигурацией:

• возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной (автоматизированной) системы; • возможность ограничения прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы; • запрет возможности монтирования средством контейнеризации корневой файловой системы хостовой операционной системы (за исключением режима «только для чтения»). 10. Средства контейнеризации дистрибутива операционной системы должны реализовывать следующие требования к функции контроля целостности контейнеров и их образов: • контролировать самостоятельно или с применением средств контроля целостности хостовой операционной системы и иных сертифицированных средств защиты информации целостность образов контейнеров и исполняемых файлов контейнеров; • информировать администратора безопасности информационной (автоматизированной) системы и администратора безопасности средства контейнеризации о нарушении целостности объектов контроля; • контролировать целостность параметров настройки средства контейнеризации; • контролировать целостность сведений о событиях безопасности и обеспечивать формирование отчетов самостоятельно или во взаимодействии с хостовой опера-ционной системой; • контролировать целостность образов контейнеров и параметров настройки средства контейнеризации при первичном запуске и далее периодически за счет применения электронной подписи самостоятельно или во взаимодействии с хостовой операционной системой; • блокировать запуск образа контейнера при нарушении его целостности.

• регистрации подлежат следующие события безопасности: a. неуспешные попытки аутентификации пользователей средства контейнеризации; b. создание, модификация и удаление образов контейнеров; c. получение доступа к образам контейнеров; d. запуск и остановка контейнеров с указанием причины остановки; e. изменение ролевой модели; f. модификация запускаемых контейнеров; g. выявление известных уязвимостей в образах контейнеров и некорректности конфигурации; h. факты нарушения целостности объектов контроля. • должна обеспечиваться запись событий безопасности контейнеров в журнал событий безопасности с указанием идентификатора пользователя хостовой операционной системы, от имени которого был запущен контейнер.

Функциональные требования - 1. Операционная система должна устанавливаться и функционировать на компьютерах с архитектурами x86_64 (64-разрядный процессор Intel или AMD), aarch64 («Байкал», Rockchip 3588) и «Эльбрус» (процессоры 8С, 1С+, 8СВ, 2С3, 12С, 16С) должны быть отдельные образы в сертифицированном исполнении для каждой архитектуры. Требования, перечисленные в данном документе, относятся к архитектуре x86_64 и могут отличатся от требований к другим архитектурам. 2. Операционная система должна поддерживать режимы установки и загрузки Legacy/CSM, UEFI (с включенным механизмом SecureBoot), а также средствами BMC/IPMI (если поддерживается оборудованием). 3. Операционная система должна иметь в составе ядро не ниже 6.12 (LTS) для обеспечения корректного функционирования современных средств вычислительной техники. Система должна предоставлять графические утилиты для установки, удаления и обновления ядра, включая модули, а также для выбора ядра по умолчанию. 4. Операционная система должна обеспечивать поддержку нескольких видеокарт (работа на нескольких мониторах). 5. Операционная система должна обладать русифицированным интерфейсом, а также предоставлять русскоязычную документацию. 6. Операционная система должна иметь возможность установки с DVD-диска и USB-накопителя. Операционная система должна предоставлять варианты сетевой установки: PXE/TFTP (для режима Legacy/CSM-загрузки), HTTPClient (для спецификации UEFI 2.5 и выше), iPXE. 7. Операционная система должна предоставлять возможность организации сервера сетевой загрузки. 8. Операционная система должна предоставлять возможность установки на оборудование без графической подсистемы с локального накопителя, а также установки с использованием сервера сетевой установки по протоколу VNC. - - Значение характеристики не может изменяться участником закупки

31. Операционная система должна предоставлять клиент-серверное решение для резервного копирования и восстановления виртуальных машин, контейнеров и данных с физических узлов, обладающее следующими свойствами: a. Программное обеспечение (ПО) должно создавать и управлять резервными копиями виртуальных машин (ВМ), контейнеров и физических узлов, содержащие архивы файлов и образов. b. ПО должно предоставлять интегрированный клиент для QEMU и LXC в виртуальной среде Proxmox. c. ПО должно поддерживать резервное копирование на магнитную ленту и управление ленточными библиотеками. d. ПО должно поддерживать дедупликацию, сжатие и аутентифицированое шифрование данных. e. ПО должно использовать следующие алгоритмы сжатия данных lzo, gzip и zstd. f. ПО должно содержать в себе веб-интерфейс (RESTful API) управления со встроенной в него консолью, доступ должен осуществляться через системную аутентификацию Linux PAM. g. ПО должно хранить данные резервных копий и предоставлять RESTful API для создания хранилищ данных и управления ими и другими ресурсами на стороне сервера. h. ПО должно позволять с помощью API, предоставленного серверной частью, позволять клиенту резервного копирования получать доступ к сохранённым данным для создания и восстановления резервных копий файлов, а также для управления дисками и другими ресурсами на стороне сервера. i. ПО должно использовать протокол TLS для обеспечения безопасности обмена данными между клиентской и серверной частями. j. ПО должно использовать алгоритм AES-256 GCM при шифровании содержимого резервной копии на стороне клиента. k. ПО должно позволять создавать хранилища данных с файловой системой форматов ext4, xfs.

9. Носитель с дистрибутивом ОС должен предусматривать вариант загрузки для проведения работ по восстановлению системы, включая проверку сохранности содержимого файловой системы и проверку контрольных сумм неизменяемых файлов установленных пакетов, диагностику конфигурации аппаратного обеспечения, изменение таблицы и размеров разделов, изменение параметров файловых систем, восстановление удаленных разделов и файлов, проведение резервного копирования, очистку остаточной информации на разделах и дисках. 10. Операционная система должна иметь возможность установки на программный RAID-массив, размещения разделов в томах LVM и использования маскирования (кодирования) разделов с парольным доступом. 11. Операционная система должна обеспечивать возможность создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. 12. Инсталлятор дистрибутива должен предусматривать возможность предварительной (OEM) установки, позволяющей при первом запуске пользователем после установки выбрать язык, принять лицензионное соглашение, настроить дату/время, настроить сеть, задать пароль root, создать системного пользователя. 13. Операционная система должна предоставлять независимый выбор основных и дополни-тельных приложений в момент установки: серверные приложения (dhcp, dns,ftp, http, почтовый сервер, сервер резервного копирования, сервер печати, сервер сетевой установки), сканер обнаружения уязвимостей, сервер сертифицированной СУБД, сервер управления конфигурациями, сервер виртуальных рабочих столов, средства управления контейнеризацией, средства управления виртуализацией. 14. Операционная система после установки должна предоставлять пользователю рабочую среду, включающую системное ПО, сетевые службы и сервисы, драйвера устройств, утилиты администрирования, базовый набор приложений.

15. Если установлена графическая среда, операционная система должна предоставлять графическое средство настройки многопользовательского режима, позволяющего обеспечить одновременную работу нескольких пользователей на одном компьютере при наличии отдельной видеокарты, клавиатуры и мыши для каждого пользователя. 16. Операционная система должна предоставлять инструмент для поиска уязвимостей в файлах конфигурации, файловых системах, используемых пакетах ОС (включая программные зависимости), образах контейнеров и git-репозиториях. Анализ уязвимостей должен осуществляться как по вендорской базе уязвимостей (CVE), собранной из разных источников, так и по базе уязвимостей (BDU) ФСТЭК России. 17. Операционная система должна предоставлять возможность установки пароля на загрузчик для ограничения доступа к опциям загрузки. 18. Операционная система должна предоставлять возможность блокировки виртуальных текстовых консолей. 19. Комплекс средств защиты ОС должен обеспечивать выполнение программ в защищенной среде. В состав ОС должны быть включены программные интерпретаторы (php, perl, lua, python, nodejs) и веб-сервер (nginx), прошедшие испытания по выявлению уязвимостей и недекларированных возможностей в полном объеме в соответствии с Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении, утвержденной ФСТЭК России 25.12.2020 г. 20. Операционная система должна включать приложение для мониторинга ресурсов. Должно быть обеспечено централизованное управление конфигурациями прав доступа к утилите мониторинга температуры жесткого диска.

21. Операционная система должна предоставлять единый графический модульный интерфейс для администрирования и настроек, а также предоставлять возможность удаленного ад-министрирования по защищенным протоколам с помощью графических утилит (включая конфигурирование установленной системы через веб). Администратор должен иметь возможность назначить права доступа для пользователей к определенным модулям. В состав базовых сервисов должны входить: • настройка даты и времени; • управление системными службами; • просмотр системных журналов; • конфигурирование сетевых подключений и межсетевого экрана; • установка обновлений, в том числе для компьютеров без доступа в интернет; • управление выключением удаленного компьютера; • управление пользователями; • настройка пользовательских квот на использование ресурсов памяти, диска и внешних носителей. 22. Операционная система должна реализовывать возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012. Реализация функционала должна быть обеспечена как консольными, так и графическими утилитами. 23. Операционная система должна обеспечивать возможность создания ssh-туннелей, использующих контроль целостности заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 24. Операционная система должна предоставлять возможность авторизации по смарт-картам в консольном режиме. 25. Операционная система должна предоставлять протокол авторизации, позволяющий выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе.

26. Операционная система должна предоставлять возможность разграничения доступа к подключаемым устройствам. 27. Операционная система должна иметь возможность организации домена Samba-DC или интеграции с доменом Active Directory с поддержкой следующего функционала: • действовать в качестве первичного или вторичного контроллера домена; • аутентификация рабочих станций; • авторизация и предоставление ресурсов без дополнительного ввода пароля (Single Sign-On); • поддержка ролей и привилегий (назначение ролей группам); • групповые политики (GPO). 28. Операционная система должна предоставлять возможность организации трастовых доменов. 29. При работе в гетерогенной среде домена Active Directory (нативного или создаваемого с помощью проекта Samba) должны быть доступны, при использовании инструмента RSAT в среде Windows или с помощью собственного приложения, следующие политики для управления компьютерами и доменными пользователями, работающими на них: • Настройка установки программного обеспечения из репозитория. • Исполнение любых скриптов при включении/выключении компьютера или входе/выходе пользователя в систему. • Разрешение/Запрет на подключение класса съемных накопителей для компьютера или отдельных пользователей. • Управление ярлыками для компьютера или пользователей. • Централизованное управление конфигурациями сервисов systemd, включая интерфейс-терминала смарт-карт (openct), диспетчер авторизации (polkit), службы аудита безопасности (auditd). • Централизованное управление конфигурациями системных сервисов (CUPS, SSHD, NTP Chrony, Postfix MTA и postqueue, DNS, OpenLDAP, Rpcbind, SSSD, очередь заданий) и утилит определения прав доступа к модификации учетных записей, паролей, пользователей (включая создание индивидуальных временных каталогов) и групп, а также к утилитам su/sudo. • Централизованное управление конфигурациями прав доступа монтирования съемных накопителей, пользовательских файловых систем, подключения сетевых ресурсов по nfs.

• Управление файлами и папками (создание, удаление, перемещение, копирование, предоставление общего доступа или скрытие). • Управление настройками приложений через ini-файлы. • Управление интервалом времени применения групповой политики. • Управление всеми политиками веб-браузеров Mozilla Firefox и Chromium. • Возможность принудительного выполнения политики на клиенте. 30. Операционная система должна предоставлять возможность организации и настройки базовых сетевых сервисов и служб: • sshd; • DNS; • DHCP; • протокол аутентификации LDAP; • OpenVPN; • SMTP, POP3/IMAP (postfix, dovecot или эквивалент); • межсетевой экран; • проксирование HTTP- и FTP-запросов (squid или эквивалент); • резервное копирование (bacula или эквивалент); • сервер сетевой установки с веб-интерфейсом; • сервер обновлений с возможностью зеркалирования репозитория вендора ОС и созда-ния служебных репозиториев используемого Заказчиком ПО; • защищенный сервер баз данных (PostgreSQL или эквивалент) с возможностью органи-зации кластера из нескольких серверов, со встроенной реализацией функций round, trunc, date совместимой с Oracle DB; • веб-сервер; • FTP-сервер; • сервер мониторинга сетевых ресурсов с графическим интерфейсом (Zabbix, icinga2 или эквивалент); • сервер печати; • сервер групповой работы с веб-интерфейсом (SOGo или эквивалент); • сервер файлового обмена.

l. ПО должно содержать в себе набор инструментов, используемых для мониторинга и управления системой S.M.A.R.T. для локальных жёстких дисков, с возможностью отображения атрибутов S.M.A.R.T. из веб-интерфейса или при помощи командной строки. m. ПО должно идентифицировать каждое хранилище данных именем и указанием на каталог в файловой системе и связывать с каждым хранилищем параметры хранения, определяющие количество снимков резервных копий для каждого интервала времени: час, день, неделя, месяц, год. n. ПО должно позволять создавать хранилища данных с возможностью выбора и настройки следующих параметров: название; путь к каталогу; количество резервных копий для хранения в этом хранилище; расписания периодического запуска удаления резервных копий и сборки мусора (удаления неиспользуемых блоков данных). o. ПО должно позволять ограничить входящий (например, резервное копирование) и исходящий (например, восстановление) сетевой трафик из набора сетей, с возможно-стью настроить определенные периоды, в которые будут применяться ограничения. p. ПО должно позволять создавать пользователей и управлять ими как из встроенного веб-интерфейса, так и с помощью командной строки, с возможностью созда-ния/удаления/отключения учетных записей, просмотра списка пользователей с возможностью изменения любых свойств. q. ПО должно позволять любому аутентифицированному пользователю генерировать API-токены и использовать их для настройки клиентов резервного копирования вместо прямого указания имени пользователя и пароля. API-токен должен отзываться в случае компрометации клиента и ограничивать разрешения для каждого клиента/токена в рамках разрешения пользователей. ПО должно создавать для токенов собственные записи ACL, где токены не могут делать больше, чем создавший их пользо-ватель.

r. ПО должно использовать систему управления разрешениями на основе ролей и путей, где роль содержит набор разрешенных действий, а путь представляет цель этих действий. По умолчанию разрешения созданным пользователям и API-токенам не должны предоставляться. s. ПО должно предопределять следующий ряд ролей: нет привилегий (используется для запрета доступа); все привилегии; доступ только для чтения; все привилегии для хранилищ данных; просмотр настроек хранилищ и их содержимых, без возможности чтения фактических данных; просмотр содержимого хранилища, восстановление данных; создание и восстановление собственных резервных копий; создание, восстановление и удаление собственных резервных копий; все привилегии для удалённых сер-веров; просмотр настроек удалённых серверов; чтение данных с удалённых серверов. t. ПО должно создавать, хранить и предоставлять следующую информацию о правах доступа: идентификатор ACL; включено или отключено; объект, на который установлено разрешение; пользователи/токены, для которых установлено разрешение; устанавливаемая роль. u. ПО должно реализовывать возможность использования двухфакторной аутентификации с помощью веб-интерфейса тремя методами: TOTP (одноразовый пароль на основе времени) — для создания этого кода должен использоваться алгоритм одноразового пароля с учетом времени входа в систему (код меняется каждые 30 секунд); WebAuthn (веб-аутентификация) — реализуется с помощью различных устройств безопасности, таких как аппаратные ключи или доверенные платформенные модули (TPM). Для работы веб-аутентификации необходим сертификат HTTPS; Recovery Keys (одноразовые ключи восстановления) — список ключей, каждый из которых можно использовать только один раз. В каждый момент времени у пользователя может быть только один набор одноразовых ключей.

32. Операционная система должна предоставлять возможность установления безопасных сетевых соединений по технологии VPN. 33. Операционная система должна обеспечивать возможность создания VPN-туннелей, использующих контроль заголовков IP-пакетов в соответствии с ГОСТ Р 34.12-2015. 34. Операционная система должна реализовывать базовый функционал межсетевого экрана. 35. Операционная система должна предоставлять возможность установки многоплатформенного брокера подключений для создания и управления виртуальными рабочими местами и приложениями (OpenUDS или аналог). 36. Операционная система должна включать графическое приложение для мониторинга ресурсов и просмотра системных журналов. 37. Операционная система должна предоставлять возможность одновременной работы пользователей в изолированных сеансах. Должны быть предусмотрены: • отдельное изолированное хранение данных аутентификации каждого пользователя системы таким образом, чтобы процессы аутентификации локального или сетевого пользователя не могли получить доступа к данным аутентификации и авторизации других пользователей системы; • поддержка изоляции временных пользовательских файлов. 38. Операционная система должна включать автоматизированные средства изоляции приложений, чувствительных к сетевым атакам. 39. Операционная система должна предоставлять упреждающие меры защиты и быть сконфигурирована с безопасными настройками по умолчанию. 40. Операционная система должна предоставлять механизм управления фиксированными состояниями ключевых объектов безопасности системы, сохраняющий установленные права доступа к объектам файловой системы при обновлении пакетов. 41. Операционная система должна обеспечивать поддержку шифрования по ГОСТ Р 34.11-2012 в OpenSSL, включая генерацию ключей и создание сертификатов.

42. Операционная система должна предоставлять инструмент проверки контрольных сумм неизменяемых файлов установленных пакетов как при начальной установке, так и после получения обновлений. Вендор должен обеспечивать доступ к обновлениям и контрольным суммам неизменяемых файлов пакетов в них. 43. Подсистема контроля целостности операционной системы должна поддерживать технологии IMA и EVM. 44. Операционная система должна предоставлять возможность запрета запуска выбранных интерпретаторов в интерактивном режиме, отключения возможности удаления открытых файлов, а также установки запрета бита исполнения (SUID), распространяемого на дочерние процессы. 45. Операционная система должна поддерживать файловые системы ext2, ext3, ext4, btrfs для чтения/записи и установки, iso9660, xfs, fat16, fat32, ntfs. 46. Операционная система должна поддерживать сетевые протоколы SMB, NFS, FTP, NTP, HTTP(S). 47. Операционная система должна предоставлять возможность доустановки необходимого программного обеспечения с диска или из репозитория, а также установки обновлений. Система должна обеспечить автоматическую проверку зависимостей (apt или эквивалент), а также возможность комплексного обновления системы с отдельным процессом установки ядра ядра с помощью графических утилит. 48. Исходные коды, обновления, инструменты для сборки серверной ОС должны находиться в том же репозитории (хранилище), где хранятся исходные коды, обновления и инстру-менты для ОС рабочих станций.

49. Операционная система должна предоставлять единую систему для установки прикладного программного обеспечения в системе (eepm или аналог). Также должна быть обеспечена возможность установки сторонних приложений в форматах deb, tgz, tbz, tbz2, pkg.gz. 50. Операционная система должна поддерживать корневые сертификаты Минцифры России. В составе дистрибутива должен присутствовать пакет с отечественными корневыми сер-тификатами шифрования. 51. Операционная система должна поддерживать корневые сертификаты Российского центра сертификации ТЦИ, предоставляемые соответствующим пакетом из состава ОС.

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.12) Системы контейнеризации и контейнеры ... Способ предоставления Экземпляр на материальном носителе ... - - Штука - 1,00 - 21 900,00 - 21 900,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.12) Системы контейнеризации и контейнеры Значение характеристики не может изменяться участником закупки (02.09) Операционные системы общего назначения Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Требования к встроенному комплексу средств защиты информации операционной системы Операционная система должна обеспечивать встроенными сертифицированными средствами: • управление средствами аутентификации; • управление учетными записями пользователей, разграничение • полномочий и назначение прав пользователям; реализацию разграничения доступа; • возможность создания защищенной среды виртуализации; • возможность создания среды выполнения контейнеров и обеспечение работы с ними; • технологию контейнеризации с поддержкой изоляции процессов. Операционная система должна включать в свой состав сертифицированные средства контейнеризации, обеспечивающие изоляцию контейнеров, контроль целостности контейнеров и их образов, регистрацию событий безопасности, идентификацию и аутентификацию пользователей. В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. В состав операционной системы должен входить комплекс программ объектно-реляционной защищённой СУБД с сертифицированными функциями безопасности. В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. Значение характеристики не может изменяться участником закупки Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: • ограничение прав пользователя на запуск приложений ядром системы; • ограничение прав пользователя средствами графического интерфейса. Должно обеспечиваться разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования, кроме указанных явно администратором безопасности. В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: • идентификацию устройств и сопоставление пользователя с устройством; • контроль подключения носителей информации; • учет носителей информации; • управление доступом к носителям информации; • контроль использования интерфейсов ввода/вывода информации; • ввод-вывод информации на носитель при условии совпадения маркировки носителя и объёма прав пользователя. Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Операционная система должна включать в состав графические средства контроля целостности: • контроль целостности дистрибутива; • контроль объектов файловой системы; • контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. Операционная система должна иметь наличие регулярного включения информации об уязвимостях программного обеспечения в банк данных угроз безопасности информации ФСТЭК России, устраняющих неисправности прикладного программного обеспечения и уязвимости операционной системы с подтверждением информации об исправленных уязвимостях путём размещения таких сведений в банке данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru/vul). Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. Требования к функциональным возможностям операционной системы Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения) Операционная система должна поддерживать отечественные микропроцессорные архитектуры Байкал-М, Эльбрус-8С, Эльбрус-8СВ. Операционная система должна поддерживать работу на ядре Linux версии не ниже 5.15 ОС должна обеспечивать функционал в графическом исполнении: • наличие средств создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; • наличие средств настройки выделяемых ресурсов памяти пользователям (квоты); • наличие графической утилиты для работы с электронной подписью с возможностью нанесения графического штампа на подписанный документ с указанием времени создания документа; • наличие графической утилиты управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; • наличие графического инструмента управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий. Графическое средство просмотра системных событий; • наличие графической утилиты управления и мониторинга компонентов подсистемы безопасности; Значение характеристики не может изменяться участником закупки • наличие графической утилиты для редактирования маркера накладываемого на документы при маркировке печати; • наличие средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); • наличие средств настройки потребления электроэнергии (яркость экрана, потухание или выключение монитора, переход в ждущий режим, сон или гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); • наличие средств монтирования usb устройств по сети (usbip или аналог); • наличие средств настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; • наличие средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; • наличие средств запуска работы с удалёнными, отдельными или вложенными графическими сессиями; • наличие средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; • наличие средств запуска приложений с изменением приоритета выполнения, либо от имени другого пользователя; • наличие средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); • наличие средств расчёта контрольных сумм файлов и их сравнения; • наличие инструментов поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла; • наличие средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); • наличие графических средств настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров. ОС предоставлять графический инструмент для настройки пользовательского окружения. ОС должна поддерживать следующий функционал: • наличие средств организации распределенной файловой системы; • графический интерфейс, адаптированный под использование на портативных устройствах; • поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); • наличие графических средств настройки и изменения ориентации экрана в ручном и/или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; • наличие виртуальной клавиатуры для возможности ввода аутентификационых данных пользователя при входе в систему и при разблокировке экрана; • наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания; • в составе операционной системы должно присутствовать ядро с функциями очистки и ограничения работы с оперативной памятью; • наличие в составе операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных. ОС должна обеспечивать поддержку файловых систем и сетевых протоколов: • ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; • TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; • наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; • поддержка возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ОС должна иметь подтверждённую оценку совместимости в формуляре разработчика СКЗИ в соответствии с реализацией и эксплуатацией в среде ОС шифровальных (криптографических) средств защиты информации регулирующихся Федеральной службой безопасности Российской Федерации, в том числе Приказом ФСБ России от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», а так же поддерживать возможность установки и использования программного обеспечения КриптоПро, включающего: • средства криптографической защиты информации, предназначенные для создания и проверки электронной подписи в целях организации юридически значимого документооборота; • средства криптографической защиты информации, предназначенные для сквозного шифрования сетевых соединений и каналов связи; • средства установления защищенного соединения и обмена зашифрованными данными. ОС должна иметь подтверждённую совместимость со средствами антивирусной защиты. Дополнительные функциональные компоненты: • клиентское ПО, для осуществления подключения по протоколу RDP; • агенты служб централизованного управления системой; • средство для работы с архивами; • средство просмотра и редактирования файлов .pdf; • средство для эмуляции запуска исполняемых файлов .exe; • средства просмотра и редактирования графики и изображений; • средство оптического распознавания символов Требования соответствия законодательным и нормативным документам Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных согласно постановлению правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». OC должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: • «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); • «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); • «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня. • «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты. Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.12) Системы контейнеризации и контейнеры - - Значение характеристики не может изменяться участником закупки - (02.09) Операционные системы общего назначения - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Требования к встроенному комплексу средств защиты информации операционной системы - Операционная система должна обеспечивать встроенными сертифицированными средствами: • управление средствами аутентификации; • управление учетными записями пользователей, разграничение • полномочий и назначение прав пользователям; реализацию разграничения доступа; • возможность создания защищенной среды виртуализации; • возможность создания среды выполнения контейнеров и обеспечение работы с ними; • технологию контейнеризации с поддержкой изоляции процессов. Операционная система должна включать в свой состав сертифицированные средства контейнеризации, обеспечивающие изоляцию контейнеров, контроль целостности контейнеров и их образов, регистрацию событий безопасности, идентификацию и аутентификацию пользователей. В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. В состав операционной системы должен входить комплекс программ объектно-реляционной защищённой СУБД с сертифицированными функциями безопасности. В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. - - Значение характеристики не может изменяться участником закупки - Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: • ограничение прав пользователя на запуск приложений ядром системы; • ограничение прав пользователя средствами графического интерфейса. Должно обеспечиваться разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования, кроме указанных явно администратором безопасности. В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: • идентификацию устройств и сопоставление пользователя с устройством; • контроль подключения носителей информации; • учет носителей информации; • управление доступом к носителям информации; • контроль использования интерфейсов ввода/вывода информации; • ввод-вывод информации на носитель при условии совпадения маркировки носителя и объёма прав пользователя. - Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Операционная система должна включать в состав графические средства контроля целостности: • контроль целостности дистрибутива; • контроль объектов файловой системы; • контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. Операционная система должна иметь наличие регулярного включения информации об уязвимостях программного обеспечения в банк данных угроз безопасности информации ФСТЭК России, устраняющих неисправности прикладного программного обеспечения и уязвимости операционной системы с подтверждением информации об исправленных уязвимостях путём размещения таких сведений в банке данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru/vul). Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы. - Требования к функциональным возможностям операционной системы - Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения) Операционная система должна поддерживать отечественные микропроцессорные архитектуры Байкал-М, Эльбрус-8С, Эльбрус-8СВ. Операционная система должна поддерживать работу на ядре Linux версии не ниже 5.15 ОС должна обеспечивать функционал в графическом исполнении: • наличие средств создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; • наличие средств настройки выделяемых ресурсов памяти пользователям (квоты); • наличие графической утилиты для работы с электронной подписью с возможностью нанесения графического штампа на подписанный документ с указанием времени создания документа; • наличие графической утилиты управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; • наличие графического инструмента управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий. Графическое средство просмотра системных событий; • наличие графической утилиты управления и мониторинга компонентов подсистемы безопасности; - - Значение характеристики не может изменяться участником закупки - • наличие графической утилиты для редактирования маркера накладываемого на документы при маркировке печати; • наличие средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); • наличие средств настройки потребления электроэнергии (яркость экрана, потухание или выключение монитора, переход в ждущий режим, сон или гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); • наличие средств монтирования usb устройств по сети (usbip или аналог); • наличие средств настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; • наличие средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; • наличие средств запуска работы с удалёнными, отдельными или вложенными графическими сессиями; • наличие средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; • наличие средств запуска приложений с изменением приоритета выполнения, либо от имени другого пользователя; • наличие средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); • наличие средств расчёта контрольных сумм файлов и их сравнения; • наличие инструментов поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла; - • наличие средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); • наличие графических средств настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров. ОС предоставлять графический инструмент для настройки пользовательского окружения. ОС должна поддерживать следующий функционал: • наличие средств организации распределенной файловой системы; • графический интерфейс, адаптированный под использование на портативных устройствах; • поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); • наличие графических средств настройки и изменения ориентации экрана в ручном и/или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; • наличие виртуальной клавиатуры для возможности ввода аутентификационых данных пользователя при входе в систему и при разблокировке экрана; • наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания; • в составе операционной системы должно присутствовать ядро с функциями очистки и ограничения работы с оперативной памятью; • наличие в составе операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных. ОС должна обеспечивать поддержку файловых систем и сетевых протоколов: - • ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; • TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; • наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; • поддержка возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ОС должна иметь подтверждённую оценку совместимости в формуляре разработчика СКЗИ в соответствии с реализацией и эксплуатацией в среде ОС шифровальных (криптографических) средств защиты информации регулирующихся Федеральной службой безопасности Российской Федерации, в том числе Приказом ФСБ России от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», а так же поддерживать возможность установки и использования программного обеспечения КриптоПро, включающего: • средства криптографической защиты информации, предназначенные для создания и проверки электронной подписи в целях организации юридически значимого документооборота; • средства криптографической защиты информации, предназначенные для сквозного шифрования сетевых соединений и каналов связи; • средства установления защищенного соединения и обмена зашифрованными данными. - ОС должна иметь подтверждённую совместимость со средствами антивирусной защиты. Дополнительные функциональные компоненты: • клиентское ПО, для осуществления подключения по протоколу RDP; • агенты служб централизованного управления системой; • средство для работы с архивами; • средство просмотра и редактирования файлов .pdf; • средство для эмуляции запуска исполняемых файлов .exe; • средства просмотра и редактирования графики и изображений; • средство оптического распознавания символов - Требования соответствия законодательным и нормативным документам - Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных согласно постановлению правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». OC должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: • «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); • «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); • «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня. • «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.12) Системы контейнеризации и контейнеры - - Значение характеристики не может изменяться участником закупки

(02.09) Операционные системы общего назначения

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Требования к встроенному комплексу средств защиты информации операционной системы - Операционная система должна обеспечивать встроенными сертифицированными средствами: • управление средствами аутентификации; • управление учетными записями пользователей, разграничение • полномочий и назначение прав пользователям; реализацию разграничения доступа; • возможность создания защищенной среды виртуализации; • возможность создания среды выполнения контейнеров и обеспечение работы с ними; • технологию контейнеризации с поддержкой изоляции процессов. Операционная система должна включать в свой состав сертифицированные средства контейнеризации, обеспечивающие изоляцию контейнеров, контроль целостности контейнеров и их образов, регистрацию событий безопасности, идентификацию и аутентификацию пользователей. В составе операционной системы должна быть реализована возможность защиты аутентификационной информации с использованием функции хэширования. В состав операционной системы должен входить комплекс программ объектно-реляционной защищённой СУБД с сертифицированными функциями безопасности. В составе операционной системы должны быть графические средства создания единого пространства пользователей с целью реализации централизованного хранения информации об окружении пользователей и сетевой аутентификации через ldap и kerberos. - - Значение характеристики не может изменяться участником закупки

Операционная система должна иметь графическое средство настройки ограничений пользователя по запуску программ в изолированном окружении с использованием механизма пространств имён и фильтрации системных вызовов, обеспечивающих: • ограничение прав пользователя на запуск приложений ядром системы; • ограничение прав пользователя средствами графического интерфейса. Должно обеспечиваться разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности. Обеспечение запрета запуска (исполнения) пользователем созданных самостоятельно (с использованием текстовых редакторов или непосредственно в командной строке) программ с использованием интерпретируемых языков программирования, кроме указанных явно администратором безопасности. В составе операционной системы должны быть графические средства настройки защиты машинных носителей, обеспечивающие: • идентификацию устройств и сопоставление пользователя с устройством; • контроль подключения носителей информации; • учет носителей информации; • управление доступом к носителям информации; • контроль использования интерфейсов ввода/вывода информации; • ввод-вывод информации на носитель при условии совпадения маркировки носителя и объёма прав пользователя.

Операционная система должна включать в свой состав программное обеспечение, реализующее задачи аудита и журналирования (регистрации) событий безопасности. Операционная система должна включать в состав графические средства контроля целостности: • контроль целостности дистрибутива; • контроль объектов файловой системы; • контроль целостности исполняемых файлов, обеспечивающий проверку их неизменности и подлинности. В составе операционной системы должна быть реализована возможность ограничения полномочий пользователей по использованию консолей. Операционная система должна иметь наличие регулярного включения информации об уязвимостях программного обеспечения в банк данных угроз безопасности информации ФСТЭК России, устраняющих неисправности прикладного программного обеспечения и уязвимости операционной системы с подтверждением информации об исправленных уязвимостях путём размещения таких сведений в банке данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru/vul). Механизмами безопасности операционной системы должна быть обеспечена защита системных и привилегированных процессов от несанкционированного доступа и управления (исключение возможности повышения привилегий пользователей и управления привилегированными процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы). Операционная система должна обеспечивать запрет операций записи в системные каталоги и файлы (программы, файлы конфигурации), а также установки программного обеспечения, запуска и останова системных процессов операционной системы, вне зависимости от изменения пользователем своих привилегий в текущем сеансе работы.

Требования к функциональным возможностям операционной системы - Операционная система должна быть предназначена для функционирования на средствах вычислительной техники с аппаратной платформой х86-64 (процессоры Intel не ниже 12-го поколения) Операционная система должна поддерживать отечественные микропроцессорные архитектуры Байкал-М, Эльбрус-8С, Эльбрус-8СВ. Операционная система должна поддерживать работу на ядре Linux версии не ниже 5.15 ОС должна обеспечивать функционал в графическом исполнении: • наличие средств создания и настройки служебных репозиториев используемого программного обеспечения, с поддержкой проверки зависимостей пакетной базы; • наличие средств настройки выделяемых ресурсов памяти пользователям (квоты); • наличие графической утилиты для работы с электронной подписью с возможностью нанесения графического штампа на подписанный документ с указанием времени создания документа; • наличие графической утилиты управления драйверами nvidia, intel, radeon с возможностью выбора драйверов и возможностью восстановления драйверов при неудачной загрузке ОС; • наличие графического инструмента управления регистрацией событий, включающий в себя управление сервисом системных событий, настройку ротации событий и настройку параметров сбора системных событий. Графическое средство просмотра системных событий; • наличие графической утилиты управления и мониторинга компонентов подсистемы безопасности; - - Значение характеристики не может изменяться участником закупки

• наличие графической утилиты для редактирования маркера накладываемого на документы при маркировке печати; • наличие средств настройки сохранения и восстановления сессии пользователя (восстановление при старте запущенных программ и их расположения после полного отключения электропитания АРМ); • наличие средств настройки потребления электроэнергии (яркость экрана, потухание или выключение монитора, переход в ждущий режим, сон или гибернацию) в случае изменения настроек электропитания (питание от сети, питание от батареи, низкий заряд батареи); • наличие средств монтирования usb устройств по сети (usbip или аналог); • наличие средств настройки одновременной работы нескольких сотрудников на одном ПК с разделяемыми профилями; • наличие средств создания системных отчётов, предназначенных для сбора, сжатия, сохранения и отправки в службу сопровождения диагностических данных о работе системы; • наличие средств запуска работы с удалёнными, отдельными или вложенными графическими сессиями; • наличие средств настройки планирования времени завершения работы без участия пользователя (завершение сессии, выключение АРМ, перехода в энергосберегающие режимы) с настройкой уведомления о событии; • наличие средств запуска приложений с изменением приоритета выполнения, либо от имени другого пользователя; • наличие средств настройки параметров загрузчика операционной системы (загружаемая операционная система по умолчанию, передаваемые параметры ядра, таймаут для ожидания действий пользователя, выбора источника ввода данных при загрузке, выбор терминала для вывода информации); • наличие средств расчёта контрольных сумм файлов и их сравнения; • наличие инструментов поиска файлов по шаблону, по содержимому, по времени создания или изменения, а также размеру файла;

• наличие средств работы с архивами (zip, rar, 7zip, tar, tgz, tar.gz, tar.bz, tar.xz, iso); • наличие графических средств настройки системы, в том числе: установки и синхронизация времени; управления пользователями; просмотра системных журналов; настройки и обслуживания принтеров. ОС предоставлять графический инструмент для настройки пользовательского окружения. ОС должна поддерживать следующий функционал: • наличие средств организации распределенной файловой системы; • графический интерфейс, адаптированный под использование на портативных устройствах; • поддержка управления настройками системы, приложениями и сервисами (включая контекстные меню) с помощью touchscreen (сенсорный экран); • наличие графических средств настройки и изменения ориентации экрана в ручном и/или автоматическом режиме, с возможностью калибровки поворота, а также задания ориентации по умолчанию; • наличие виртуальной клавиатуры для возможности ввода аутентификационых данных пользователя при входе в систему и при разблокировке экрана; • наличие средств управления энергопотреблением портативного устройства в зависимости от состояния батареи/источника питания; • в составе операционной системы должно присутствовать ядро с функциями очистки и ограничения работы с оперативной памятью; • наличие в составе операционной системы браузера из единого реестра российских программ для электронных вычислительных машин и баз данных. ОС должна обеспечивать поддержку файловых систем и сетевых протоколов:

• ext2/3/4, fat, ntfs, iso9660, XFS, ZFS, BTRFS; • TCP/IP, DHCP, DNS, FTP, TFTP, SMTP, IMAP, HTTP(S), NTP, SSH, NFS, SMB; • наличие средств подключения ресурсов WebDAV в качестве локальной файловой системы для возможности использования их стандартными приложениями операционной системы; • поддержка возможности создания точек восстановления (снапшотов) для последующего возвращения системы к исходному состоянию в случае сбоя. ОС должна иметь подтверждённую оценку совместимости в формуляре разработчика СКЗИ в соответствии с реализацией и эксплуатацией в среде ОС шифровальных (криптографических) средств защиты информации регулирующихся Федеральной службой безопасности Российской Федерации, в том числе Приказом ФСБ России от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», а так же поддерживать возможность установки и использования программного обеспечения КриптоПро, включающего: • средства криптографической защиты информации, предназначенные для создания и проверки электронной подписи в целях организации юридически значимого документооборота; • средства криптографической защиты информации, предназначенные для сквозного шифрования сетевых соединений и каналов связи; • средства установления защищенного соединения и обмена зашифрованными данными.

ОС должна иметь подтверждённую совместимость со средствами антивирусной защиты. Дополнительные функциональные компоненты: • клиентское ПО, для осуществления подключения по протоколу RDP; • агенты служб централизованного управления системой; • средство для работы с архивами; • средство просмотра и редактирования файлов .pdf; • средство для эмуляции запуска исполняемых файлов .exe; • средства просмотра и редактирования графики и изображений; • средство оптического распознавания символов

Требования соответствия законодательным и нормативным документам - Программное обеспечение должно быть включено в Единый реестр российских программ для электронных вычислительных машин и баз данных согласно постановлению правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». OC должна иметь сертификат соответствия требованиям нормативных документов ФСТЭК России: • «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016); • «Профиль защиты операционных систем типа «А» не ниже 4 класса ИТ.ОС.А4.ПЗ (ФСТЭК России, 2017); • «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) не ниже 4 уровня. • «Требования по безопасности информации к средствам контейнеризации» (ФСТЭК России, 2022) не ниже 4 класса защиты. - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты Способ предоставления Экземпляр на материальном носителе ... - - Штука - 30,00 - 4 535,00 - 136 050,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 30 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Копия электронного экземпляра Антивирусные средства должны включать: » программные средства антивирусной защиты для рабочих станций Windows; » программные средства антивирусной защиты для рабочих станций MacOS; » программные средства антивирусной защиты для рабочих станций и серверов Linux; » программные средства антивирусной защиты для файловых серверов Windows; » программные средства антивирусной защиты для мобильных устройств (смартфонов и планшетов); » программные средства централизованного управления, мониторинга и обновления; » обновляемые базы данных сигнатур вредоносных программ и атак; » эксплуатационную документацию на русском языке. Программный интерфейс всех антивирусных средств, включая средства управления, должен быть на русском и английском языке. Все антивирусные средства, включая средства управления, должны обладать контекстной справочной системой на русском и английском языке. Значение характеристики не может изменяться участником закупки Требования к обновлению антивирусных баз Обновляемые антивирусные базы данных должны обеспечивать реализацию следующих функциональных возможностей: • создания правил обновления антивирусных баз не реже 24 раз в течение календарных суток; • множественность путей обновления, в том числе – по каналам связи и на отчуждаемых электронных носителях информации; • проверку целостности и подлинности обновлений средствами электронной цифровой подписи. Значение характеристики не может изменяться участником закупки Требования к программным средствам антивирусной защиты для рабочих станций и серверов Linux Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 32-битных операционных систем следующих версий: o CentOS 6.7 и выше. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o Mageia 4. o Red Hat Enterprise Linux 6.7 и выше. o Альт 8 СП РабочаяСтанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 64-битных операционных систем следующих версий: o AlmaLinux OS 8 и выше. o AlmaLinux OS 9 и выше. o AlterOS 7.5 и выше. o Amazon Linux 2. o Astra Linux Common Edition 2.12. o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). o AstraLinuxSpecialEdition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6). o CentOS 6.7 и выше. o CentOS 7.2 и выше. o CentOS Stream 9. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o EMIAS 1.0. o EulerOS 2.0 SP5. o LinuxMint 19.2 и выше. o LinuxMint 20.3 и выше. o openSUSE Leap 15.0 и выше. o Oracle Linux 7.3 и выше. o Oracle Linux 8.0 и выше. o Red Hat Enterprise Linux 6.7 и выше. o Red Hat Enterprise Linux 7.2 и выше. o Red Hat Enterprise Linux 8.0 и выше. o Red Hat Enterprise Linux 9. o Rocky Linux 8.5 и выше. o SUSE Linux Enterprise Server 12.5 и выше. o SUSE Linux Enterprise Server 15 и выше. o Ubuntu 20.04 LTS. o Ubuntu 22.04 LTS. o Альт 8 СП Рабочаястанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. o АльтСервер 10. o Атлант, сборка Alcyone, версия 2022.02. o Гослинукс 7.17. o Гослинукс 7.2. o РЕД ОС 7.3. o РОСА "Кобальт" 7.9. o РОСА "Хром" 12. o ОСОН "ОСНова". Значение характеристики не может изменяться участником закупки Поддерживаемые 64-битные операционные системы для архитектуры ARM: o AstraLinuxSpecialEdition РУСБ.10152-02 (очередное обновление 4.7). o EulerOS 2.0 SP8. o SUSE Linux Enterprise Server 15 SP3. o Ubuntu 20.04 LTS. o Альт 8 СП Сервер. o РЕД ОС 7.3. Требования к программным средствам антивирусной защиты для рабочих станций Windows Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для рабочих станций следующих версий: o Windows 7 Home / Professional / Ultimate / Enterprise Service Pack 1 и выше; o Windows 8 Professional / Enterprise (32 / 64-разрядная); o Windows 8.1 Professional / Enterprise (32 / 64-разрядная); o Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise; o Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise. Значение характеристики не может изменяться участником закупки Требования к программным средствам антивирусной защиты для серверов Windows Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для файловых серверов следующих версий: o Windows Small Business Server 2011 Essentials / Standard (64-разрядная), Microsoft Small Business Server 2011 Standard (64-разрядная) поддерживается только с установленным Service Pack 1 для Microsoft Windows Server 2008 R2; o Windows MultiPoint Server 2011 (64-разрядная); o Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter Service Pack 1 и выше; o Windows Server 2012 Foundation / Essentials / Standard / Datacenter; o Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter; o Windows Server 2016 Essentials / Standard / Datacenter; o Windows Server 2019 Essentials / Standard / Datacenter; o Windows Server 2022. Значение характеристики не может изменяться участником закупки Требования к технической поддержке Техническая поддержка антивирусного программного обеспечения должна: • Предоставляться на русском языке сертифицированными специалистами производителя средств антивирусной защиты и его партнеров на всей территории Российской Федерации по электронной почте и через Интернет. • Web-сайт производителя антивирусного решения должен быть на русском языке, иметь специальный раздел, посвящённый технической поддержке антивирусного решения, пополняемую базу знаний, а также форум пользователей программных продуктов. Значение характеристики не может изменяться участником закупки Требования к эксплуатационной документации Эксплуатационная документация для всех программных продуктов антивирусной защиты, включая средства управления, должна включать документы, подготовленные в соответствии с требованиями государственных стандартов, на русском языке, в том числе: • «Руководство пользователя (администратора)» Документация, поставляемая с антивирусными средствами, должна детально описывать процесс установки, настройки и эксплуатации соответствующего средства антивирусной защиты. Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Копия электронного экземпляра - Антивирусные средства должны включать: - » программные средства антивирусной защиты для рабочих станций Windows; » программные средства антивирусной защиты для рабочих станций MacOS; » программные средства антивирусной защиты для рабочих станций и серверов Linux; » программные средства антивирусной защиты для файловых серверов Windows; » программные средства антивирусной защиты для мобильных устройств (смартфонов и планшетов); » программные средства централизованного управления, мониторинга и обновления; » обновляемые базы данных сигнатур вредоносных программ и атак; » эксплуатационную документацию на русском языке. Программный интерфейс всех антивирусных средств, включая средства управления, должен быть на русском и английском языке. Все антивирусные средства, включая средства управления, должны обладать контекстной справочной системой на русском и английском языке. - - Значение характеристики не может изменяться участником закупки - Требования к обновлению антивирусных баз - Обновляемые антивирусные базы данных должны обеспечивать реализацию следующих функциональных возможностей: • создания правил обновления антивирусных баз не реже 24 раз в течение календарных суток; • множественность путей обновления, в том числе – по каналам связи и на отчуждаемых электронных носителях информации; • проверку целостности и подлинности обновлений средствами электронной цифровой подписи. - - Значение характеристики не может изменяться участником закупки - Требования к программным средствам антивирусной защиты для рабочих станций и серверов Linux - Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 32-битных операционных систем следующих версий: o CentOS 6.7 и выше. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o Mageia 4. o Red Hat Enterprise Linux 6.7 и выше. o Альт 8 СП РабочаяСтанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 64-битных операционных систем следующих версий: o AlmaLinux OS 8 и выше. o AlmaLinux OS 9 и выше. o AlterOS 7.5 и выше. o Amazon Linux 2. o Astra Linux Common Edition 2.12. o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). o AstraLinuxSpecialEdition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6). o CentOS 6.7 и выше. o CentOS 7.2 и выше. o CentOS Stream 9. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o EMIAS 1.0. o EulerOS 2.0 SP5. o LinuxMint 19.2 и выше. o LinuxMint 20.3 и выше. o openSUSE Leap 15.0 и выше. o Oracle Linux 7.3 и выше. o Oracle Linux 8.0 и выше. o Red Hat Enterprise Linux 6.7 и выше. o Red Hat Enterprise Linux 7.2 и выше. o Red Hat Enterprise Linux 8.0 и выше. o Red Hat Enterprise Linux 9. o Rocky Linux 8.5 и выше. o SUSE Linux Enterprise Server 12.5 и выше. o SUSE Linux Enterprise Server 15 и выше. o Ubuntu 20.04 LTS. o Ubuntu 22.04 LTS. o Альт 8 СП Рабочаястанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. o АльтСервер 10. o Атлант, сборка Alcyone, версия 2022.02. o Гослинукс 7.17. o Гослинукс 7.2. o РЕД ОС 7.3. o РОСА "Кобальт" 7.9. o РОСА "Хром" 12. o ОСОН "ОСНова". - - Значение характеристики не может изменяться участником закупки - Поддерживаемые 64-битные операционные системы для архитектуры ARM: o AstraLinuxSpecialEdition РУСБ.10152-02 (очередное обновление 4.7). o EulerOS 2.0 SP8. o SUSE Linux Enterprise Server 15 SP3. o Ubuntu 20.04 LTS. o Альт 8 СП Сервер. o РЕД ОС 7.3. - Требования к программным средствам антивирусной защиты для рабочих станций Windows - Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для рабочих станций следующих версий: o Windows 7 Home / Professional / Ultimate / Enterprise Service Pack 1 и выше; o Windows 8 Professional / Enterprise (32 / 64-разрядная); o Windows 8.1 Professional / Enterprise (32 / 64-разрядная); o Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise; o Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise. - - Значение характеристики не может изменяться участником закупки - Требования к программным средствам антивирусной защиты для серверов Windows - Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для файловых серверов следующих версий: o Windows Small Business Server 2011 Essentials / Standard (64-разрядная), Microsoft Small Business Server 2011 Standard (64-разрядная) поддерживается только с установленным Service Pack 1 для Microsoft Windows Server 2008 R2; o Windows MultiPoint Server 2011 (64-разрядная); o Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter Service Pack 1 и выше; o Windows Server 2012 Foundation / Essentials / Standard / Datacenter; o Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter; o Windows Server 2016 Essentials / Standard / Datacenter; o Windows Server 2019 Essentials / Standard / Datacenter; o Windows Server 2022. - - Значение характеристики не может изменяться участником закупки - Требования к технической поддержке - Техническая поддержка антивирусного программного обеспечения должна: • Предоставляться на русском языке сертифицированными специалистами производителя средств антивирусной защиты и его партнеров на всей территории Российской Федерации по электронной почте и через Интернет. • Web-сайт производителя антивирусного решения должен быть на русском языке, иметь специальный раздел, посвящённый технической поддержке антивирусного решения, пополняемую базу знаний, а также форум пользователей программных продуктов. - - Значение характеристики не может изменяться участником закупки - Требования к эксплуатационной документации - Эксплуатационная документация для всех программных продуктов антивирусной защиты, включая средства управления, должна включать документы, подготовленные в соответствии с требованиями государственных стандартов, на русском языке, в том числе: • «Руководство пользователя (администратора)» Документация, поставляемая с антивирусными средствами, должна детально описывать процесс установки, настройки и эксплуатации соответствующего средства антивирусной защиты. - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Копия электронного экземпляра

Антивирусные средства должны включать: - » программные средства антивирусной защиты для рабочих станций Windows; » программные средства антивирусной защиты для рабочих станций MacOS; » программные средства антивирусной защиты для рабочих станций и серверов Linux; » программные средства антивирусной защиты для файловых серверов Windows; » программные средства антивирусной защиты для мобильных устройств (смартфонов и планшетов); » программные средства централизованного управления, мониторинга и обновления; » обновляемые базы данных сигнатур вредоносных программ и атак; » эксплуатационную документацию на русском языке. Программный интерфейс всех антивирусных средств, включая средства управления, должен быть на русском и английском языке. Все антивирусные средства, включая средства управления, должны обладать контекстной справочной системой на русском и английском языке. - - Значение характеристики не может изменяться участником закупки

Требования к обновлению антивирусных баз - Обновляемые антивирусные базы данных должны обеспечивать реализацию следующих функциональных возможностей: • создания правил обновления антивирусных баз не реже 24 раз в течение календарных суток; • множественность путей обновления, в том числе – по каналам связи и на отчуждаемых электронных носителях информации; • проверку целостности и подлинности обновлений средствами электронной цифровой подписи. - - Значение характеристики не может изменяться участником закупки

Требования к программным средствам антивирусной защиты для рабочих станций и серверов Linux - Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 32-битных операционных систем следующих версий: o CentOS 6.7 и выше. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o Mageia 4. o Red Hat Enterprise Linux 6.7 и выше. o Альт 8 СП РабочаяСтанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. Программные средства антивирусной защиты для рабочих станций Linux должны функционировать на компьютерах, работающих под управлением 64-битных операционных систем следующих версий: o AlmaLinux OS 8 и выше. o AlmaLinux OS 9 и выше. o AlterOS 7.5 и выше. o Amazon Linux 2. o Astra Linux Common Edition 2.12. o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6). o Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). o AstraLinuxSpecialEdition РУСБ.10015-16 (исполнение 1) (очередное обновление 1.6). o CentOS 6.7 и выше. o CentOS 7.2 и выше. o CentOS Stream 9. o Debian GNU/Linux 10.1 и выше. o Debian GNU/Linux 11. o EMIAS 1.0. o EulerOS 2.0 SP5. o LinuxMint 19.2 и выше. o LinuxMint 20.3 и выше. o openSUSE Leap 15.0 и выше. o Oracle Linux 7.3 и выше. o Oracle Linux 8.0 и выше. o Red Hat Enterprise Linux 6.7 и выше. o Red Hat Enterprise Linux 7.2 и выше. o Red Hat Enterprise Linux 8.0 и выше. o Red Hat Enterprise Linux 9. o Rocky Linux 8.5 и выше. o SUSE Linux Enterprise Server 12.5 и выше. o SUSE Linux Enterprise Server 15 и выше. o Ubuntu 20.04 LTS. o Ubuntu 22.04 LTS. o Альт 8 СП Рабочаястанция. o Альт 8 СП Сервер. o АльтОбразование 10. o АльтРабочаяСтанция 10. o АльтСервер 10. o Атлант, сборка Alcyone, версия 2022.02. o Гослинукс 7.17. o Гослинукс 7.2. o РЕД ОС 7.3. o РОСА "Кобальт" 7.9. o РОСА "Хром" 12. o ОСОН "ОСНова". - - Значение характеристики не может изменяться участником закупки

Поддерживаемые 64-битные операционные системы для архитектуры ARM: o AstraLinuxSpecialEdition РУСБ.10152-02 (очередное обновление 4.7). o EulerOS 2.0 SP8. o SUSE Linux Enterprise Server 15 SP3. o Ubuntu 20.04 LTS. o Альт 8 СП Сервер. o РЕД ОС 7.3.

Требования к программным средствам антивирусной защиты для рабочих станций Windows - Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для рабочих станций следующих версий: o Windows 7 Home / Professional / Ultimate / Enterprise Service Pack 1 и выше; o Windows 8 Professional / Enterprise (32 / 64-разрядная); o Windows 8.1 Professional / Enterprise (32 / 64-разрядная); o Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise; o Windows 11 Home / Pro / Pro для рабочих станций / Education / Enterprise. - - Значение характеристики не может изменяться участником закупки

Требования к программным средствам антивирусной защиты для серверов Windows - Программные средства антивирусной защиты должны функционировать на компьютерах, работающих под управлением операционной системы для файловых серверов следующих версий: o Windows Small Business Server 2011 Essentials / Standard (64-разрядная), Microsoft Small Business Server 2011 Standard (64-разрядная) поддерживается только с установленным Service Pack 1 для Microsoft Windows Server 2008 R2; o Windows MultiPoint Server 2011 (64-разрядная); o Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter Service Pack 1 и выше; o Windows Server 2012 Foundation / Essentials / Standard / Datacenter; o Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter; o Windows Server 2016 Essentials / Standard / Datacenter; o Windows Server 2019 Essentials / Standard / Datacenter; o Windows Server 2022. - - Значение характеристики не может изменяться участником закупки

Требования к технической поддержке - Техническая поддержка антивирусного программного обеспечения должна: • Предоставляться на русском языке сертифицированными специалистами производителя средств антивирусной защиты и его партнеров на всей территории Российской Федерации по электронной почте и через Интернет. • Web-сайт производителя антивирусного решения должен быть на русском языке, иметь специальный раздел, посвящённый технической поддержке антивирусного решения, пополняемую базу знаний, а также форум пользователей программных продуктов. - - Значение характеристики не может изменяться участником закупки

Требования к эксплуатационной документации - Эксплуатационная документация для всех программных продуктов антивирусной защиты, включая средства управления, должна включать документы, подготовленные в соответствии с требованиями государственных стандартов, на русском языке, в том числе: • «Руководство пользователя (администратора)» Документация, поставляемая с антивирусными средствами, должна детально описывать процесс установки, настройки и эксплуатации соответствующего средства антивирусной защиты. - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты Способ предоставления Экземпляр на материальном носителе ... - - Штука - 1,00 - 2 040,00 - 2 040,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (03.06) Средства антивирусной защиты Значение характеристики не может изменяться участником закупки Способ предоставления Экземпляр на материальном носителе Значение характеристики не может изменяться участником закупки Копия электронного экземпляра Общие требования Комплект поставки сертифицированного медиа-пака должен включать: - CD (DVD) диск с записанными сертифицированными приложениями; - формуляры - документы, подтверждающие, что данный CD-диск действительно содержат сертифицированные приложения; - заверенные копии сертификатов ФСТЭК и ФСБ. Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки - Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки - Копия электронного экземпляра - Общие требования - Комплект поставки сертифицированного медиа-пака должен включать: - CD (DVD) диск с записанными сертифицированными приложениями; - формуляры - документы, подтверждающие, что данный CD-диск действительно содержат сертифицированные приложения; - заверенные копии сертификатов ФСТЭК и ФСБ. - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (03.06) Средства антивирусной защиты - - Значение характеристики не может изменяться участником закупки

Способ предоставления - Экземпляр на материальном носителе - - Значение характеристики не может изменяться участником закупки

Копия электронного экземпляра

Общие требования - Комплект поставки сертифицированного медиа-пака должен включать: - CD (DVD) диск с записанными сертифицированными приложениями; - формуляры - документы, подтверждающие, что данный CD-диск действительно содержат сертифицированные приложения; - заверенные копии сертификатов ФСТЭК и ФСБ. - - Значение характеристики не может изменяться участником закупки

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

- 58.29.11.000 58.29.11.000-00000003 - Программное обеспечение Вид лицензии Простая (неисключительная) Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных ... Способ предоставления Экземпляр на материальном носителе ... - - Штука - 1,00 - 64 125,00 - 64 125,00

КАЗЕННОЕ УЧРЕЖДЕНИЕ РЕСПУБЛИКИ АЛТАЙ ПО ЭКСПЛУАТАЦИИ РАДИОРЕЛЕЙНОЙ ЛИНИИ СВЯЗИ "ЭЛ ТЕЛКОМ" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Вид лицензии Простая (неисключительная) Значение характеристики не может изменяться участником закупки Класс программ для электронных вычислительных машин и баз данных (02.07) Средства управления базами данных Значение характеристики не может изменяться участником закупки (02.09) Операционные системы общего назначения Способ предоставления Экземпляр на материальном носителе Участник закупки указывает в заявке все значения характеристики Копия электронного экземпляра Общие требования САЗ (средства анализа защищённости) должно обеспечивать инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в нескольких режимах: сканирование всех портов в диапазоне от 1 до 65535, сканирование наиболее популярных портов с выбором интенсивности определения версий сервисов. САЗ (средства анализа защищённости) должно осуществлять идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети (карты сети). САЗ (средства анализа защищённости) должно иметь возможность выбора порта, с которого осуществляется сканирование, а также выбор сетевого интерфейса для проведения сканирования САЗ (средства анализа защищённости) должно иметь возможность настройки политики сканирования ресурсов сети в части определения минимального и максимального количества пакетов в секунду, отправляемых на ресурсы сети для выполнения сканирования. САЗ (средства анализа защищённости) должно иметь возможность проведения инвентаризации с использованием учетных записей для получения полного списка установленного ПО. САЗ (средства анализа защищённости) должно обеспечивать возможность аутентификации по протоколам SSH и WinRM использовать локальные и доменные учетные записи САЗ (средства анализа защищённости) должно обнаруживать уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ (средства анализа защищённости) должно использовать встроенную кумулятивную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. Значение характеристики не может изменяться участником закупки База данных уязвимостей САЗ (средства анализа защищённости) должна содержать унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru); база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). База данных уязвимостей САЗ (средства анализа защищённости) должна иметь возможность обновляться как в онлайн-режиме, так и в оффлайн с помощью архива. База данных уязвимостей САЗ (средства анализа защищённости) доступная для скачивания с сервера обновлений САЗ (средства анализа защищённости) должна обновляться минимум один раз в 24 часа. САЗ (средства анализа защищённости) должно осуществлять поиск уязвимостей вручную или по расписанию, задаваемому оператором. По каждой уязвимости в САЗ (средства анализа защищённости) должна быть следующая информация: Описание уязвимости на русском языке; CVSS2\CVSS3 балл уязвимости; CVSS2\CVSS3 вектор уязвимости; Название уязвимого ПО; Версия уязвимого ПО; Рекомендации по устранению уязвимости; Список существующих эксплойтов для эксплуатации уязвимости. САЗ (средства анализа защищённости) должно осуществлять подбор паролей по словарю для следующих сетевых сервисов: ftp, imap, imaps, mssql, mysql, pop3, pop3s, postgres, rdp, redis, smb, smtp, smtps, snmp, ssh, telnet, vnc. САЗ (средства анализа защищённости) при подборе паролей должно осуществлять проверку пустого пароля, проверять совпадения логина и пароля, проверять совпадения логина и пароля в обратном порядке САЗ (средства анализа защищённости) должно обеспечивать контроль за установкой обновлений ОС Microsoft Windows, Microsoft Windows Server. САЗ (средства анализа защищённости) должно обеспечивать контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». САЗ (средства анализа защищённости) должно обеспечивать формирование отчетов по результатам проверок в форматах: HTML, PDF в кратком и полном формате. Возможность одновременно сканировать 8 IP-адресов. Установочный комплект - 1 шт. - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки - Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки - (02.09) Операционные системы общего назначения - Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики - Копия электронного экземпляра - Общие требования - САЗ (средства анализа защищённости) должно обеспечивать инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в нескольких режимах: сканирование всех портов в диапазоне от 1 до 65535, сканирование наиболее популярных портов с выбором интенсивности определения версий сервисов. САЗ (средства анализа защищённости) должно осуществлять идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети (карты сети). САЗ (средства анализа защищённости) должно иметь возможность выбора порта, с которого осуществляется сканирование, а также выбор сетевого интерфейса для проведения сканирования САЗ (средства анализа защищённости) должно иметь возможность настройки политики сканирования ресурсов сети в части определения минимального и максимального количества пакетов в секунду, отправляемых на ресурсы сети для выполнения сканирования. САЗ (средства анализа защищённости) должно иметь возможность проведения инвентаризации с использованием учетных записей для получения полного списка установленного ПО. САЗ (средства анализа защищённости) должно обеспечивать возможность аутентификации по протоколам SSH и WinRM использовать локальные и доменные учетные записи САЗ (средства анализа защищённости) должно обнаруживать уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ (средства анализа защищённости) должно использовать встроенную кумулятивную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. - - Значение характеристики не может изменяться участником закупки - База данных уязвимостей САЗ (средства анализа защищённости) должна содержать унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru); база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). База данных уязвимостей САЗ (средства анализа защищённости) должна иметь возможность обновляться как в онлайн-режиме, так и в оффлайн с помощью архива. База данных уязвимостей САЗ (средства анализа защищённости) доступная для скачивания с сервера обновлений САЗ (средства анализа защищённости) должна обновляться минимум один раз в 24 часа. САЗ (средства анализа защищённости) должно осуществлять поиск уязвимостей вручную или по расписанию, задаваемому оператором. По каждой уязвимости в САЗ (средства анализа защищённости) должна быть следующая информация: Описание уязвимости на русском языке; CVSS2\CVSS3 балл уязвимости; CVSS2\CVSS3 вектор уязвимости; Название уязвимого ПО; Версия уязвимого ПО; Рекомендации по устранению уязвимости; Список существующих эксплойтов для эксплуатации уязвимости. САЗ (средства анализа защищённости) должно осуществлять подбор паролей по словарю для следующих сетевых сервисов: ftp, imap, imaps, mssql, mysql, pop3, pop3s, postgres, rdp, redis, smb, smtp, smtps, snmp, ssh, telnet, vnc. САЗ (средства анализа защищённости) при подборе паролей должно осуществлять проверку пустого пароля, проверять совпадения логина и пароля, проверять совпадения логина и пароля в обратном порядке САЗ (средства анализа защищённости) должно обеспечивать контроль за установкой обновлений ОС Microsoft Windows, Microsoft Windows Server. - САЗ (средства анализа защищённости) должно обеспечивать контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». САЗ (средства анализа защищённости) должно обеспечивать формирование отчетов по результатам проверок в форматах: HTML, PDF в кратком и полном формате. Возможность одновременно сканировать 8 IP-адресов. Установочный комплект - 1 шт.

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Вид лицензии - Простая (неисключительная) - - Значение характеристики не может изменяться участником закупки

Класс программ для электронных вычислительных машин и баз данных - (02.07) Средства управления базами данных - - Значение характеристики не может изменяться участником закупки

(02.09) Операционные системы общего назначения

Способ предоставления - Экземпляр на материальном носителе - - Участник закупки указывает в заявке все значения характеристики

Копия электронного экземпляра

Общие требования - САЗ (средства анализа защищённости) должно обеспечивать инвентаризацию ресурсов сети, определение состояния TCP и UDP портов в нескольких режимах: сканирование всех портов в диапазоне от 1 до 65535, сканирование наиболее популярных портов с выбором интенсивности определения версий сервисов. САЗ (средства анализа защищённости) должно осуществлять идентификацию операционных систем и сетевых приложений, трассировку маршрутов следования данных для построения топологии сети (карты сети). САЗ (средства анализа защищённости) должно иметь возможность выбора порта, с которого осуществляется сканирование, а также выбор сетевого интерфейса для проведения сканирования САЗ (средства анализа защищённости) должно иметь возможность настройки политики сканирования ресурсов сети в части определения минимального и максимального количества пакетов в секунду, отправляемых на ресурсы сети для выполнения сканирования. САЗ (средства анализа защищённости) должно иметь возможность проведения инвентаризации с использованием учетных записей для получения полного списка установленного ПО. САЗ (средства анализа защищённости) должно обеспечивать возможность аутентификации по протоколам SSH и WinRM использовать локальные и доменные учетные записи САЗ (средства анализа защищённости) должно обнаруживать уязвимости кода и конфигурации программного обеспечения. Для выявления (поиска) уязвимостей САЗ (средства анализа защищённости) должно использовать встроенную кумулятивную базу данных уязвимостей кода и уязвимостей конфигурации программного обеспечения. - - Значение характеристики не может изменяться участником закупки

База данных уязвимостей САЗ (средства анализа защищённости) должна содержать унифицированные описания уязвимостей, аналогичные содержащимся в следующих общедоступных источниках: банк данных угроз безопасности информации ФСТЭК России (http://www.bdu.fstec.ru); база данных «Common Vulnerabilities and Exposures (https://cve.mitre.org). База данных уязвимостей САЗ (средства анализа защищённости) должна иметь возможность обновляться как в онлайн-режиме, так и в оффлайн с помощью архива. База данных уязвимостей САЗ (средства анализа защищённости) доступная для скачивания с сервера обновлений САЗ (средства анализа защищённости) должна обновляться минимум один раз в 24 часа. САЗ (средства анализа защищённости) должно осуществлять поиск уязвимостей вручную или по расписанию, задаваемому оператором. По каждой уязвимости в САЗ (средства анализа защищённости) должна быть следующая информация: Описание уязвимости на русском языке; CVSS2\CVSS3 балл уязвимости; CVSS2\CVSS3 вектор уязвимости; Название уязвимого ПО; Версия уязвимого ПО; Рекомендации по устранению уязвимости; Список существующих эксплойтов для эксплуатации уязвимости. САЗ (средства анализа защищённости) должно осуществлять подбор паролей по словарю для следующих сетевых сервисов: ftp, imap, imaps, mssql, mysql, pop3, pop3s, postgres, rdp, redis, smb, smtp, smtps, snmp, ssh, telnet, vnc. САЗ (средства анализа защищённости) при подборе паролей должно осуществлять проверку пустого пароля, проверять совпадения логина и пароля, проверять совпадения логина и пароля в обратном порядке САЗ (средства анализа защищённости) должно обеспечивать контроль за установкой обновлений ОС Microsoft Windows, Microsoft Windows Server.

САЗ (средства анализа защищённости) должно обеспечивать контроль за настройками комплекса средств защиты ОС специального назначения «Astra Linux Special Edition». САЗ (средства анализа защищённости) должно обеспечивать формирование отчетов по результатам проверок в форматах: HTML, PDF в кратком и полном формате. Возможность одновременно сканировать 8 IP-адресов. Установочный комплект - 1 шт.

- Обоснование включения дополнительной информации в сведения о товаре, работе, услуге Руководствуясь п. 5,6 Правил использования каталога товаров, работ, услуг для обеспечения государственных и муниципальных нужд, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2017 г. № 145, Заказчик указывает в извещении об осуществлении закупки, приглашении и документации о закупке иную и (или) дополнительную информацию, иные потребительские свойства, в том числе функциональные, технические, качественные, эксплуатационные характеристики услуги, поскольку часть информации, необходимой Заказчику для осуществления закупки, отсутствует в каталоге товаров, работ, услуг для обеспечения государственных и муниципальных нужд, но при этом является значимой для Заказчика и соответствует его потребности. Указание иных дополнительных характеристик услуги позволят участнику закупки правильно идентифицировать необходимую Заказчику услугу.

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ 2. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 3. Требование к участникам закупок в соответствии с п. 1 ч. 1 ст. 31 Закона № 44-ФЗ Дополнительные требования В соответствии с положениями статей 1229, 1233 Гражданского кодекса РФ участник закупки должен являться правообладателем исключительного права или обладать правом на использование объекта интеллектуальной собственности, что должно быть подтверждено одним из перечисленных документов: - документом, подтверждающим наличие у участника закупки исключительных прав на ПО (для правообладателя); - лицензионным договором (лицензионным соглашением) с правообладателем, предоставляющий участнику закупки полномочия, необходимые и достаточные для исполнения обязательств по контракту; - сублицензионным договором с лицом, с которым правообладатель ПО, заключил лицензионный договор и предоставил этому лицу права на использование ПО и которое, в свою очередь, предоставило соответствующие права участнику закупки в объеме, необходимом и достаточном для исполнения обязательств по контракту. Соответствие требованию подтверждается предоставлением электронных оригиналов или копий вышеуказанных документов.

Применение национального режима по ст. 14 Закона № 44-ФЗ

Применение национального режима по ст. 14 Закона № 44-ФЗ: Основанием для установки указания запретов, ограничений закупок товаров, происходящих из иностранных государств, выполняемых работ, оказываемых услуг иностранными лицами, а так же преимуществ в отношении товаров российского происхождения, а также товаров происходящих из стран ЕАЭС, выполняемых работ, оказываемых услуг российскими лицами, а также лицами, зарегистрированными в странах ЕАЭС, является Постановление Правительства Российской Федерации о мерах по предоставлению национального режима от 23.12.2024 № 1875.

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202603772000122001000021

Начальная (максимальная) цена контракта: 5 379 131,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 262041111521604110100100200010000242

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 30.09.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: республиканский бюджет Республики Алтай

Вид бюджета: бюджет субъекта Российской Федерации

Код территории муниципального образования: 84000000: Муниципальные образования Республики Алтай

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 53 791,31 Российский рубль

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Обеспечение заявки на участие в закупке может предоставляться участником закупки в виде денежных средств или независимой гарантии, предусмотренной статьей 45 Закона № 44-ФЗ. Выбор способа обеспечения осуществляется участником закупки самостоятельно. Срок действия независимой гарантии должен составлять не менее месяца с даты окончания срока подачи заявок. Участник закупки вправе предоставить обеспечение заявки в соответствии со ст. 44-45 Закона № 44-ФЗ. Участники закупки, являющиеся юридическими лицами, зарегистрированными на территории государства - члена Евразийского экономического союза, за исключением РФ, или физическими лицами, являющимися гражданами государства - члена Евразийского экономического союза, за исключением РФ, вправе предоставить обеспечение заявок в соответствии с Постановлением Правительства РФ от 10.04.2023 № 579 «Об особенностях порядка предоставления обеспечения заявок на участие в закупках товаров, работ, услуг для обеспечения государственных или муниципальных нужд участниками таких закупок, являющимися иностранными лицами».

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03222643840000007700, л/c 05772D02210, БИК 045004109, ОКЦ № 1 СибГУ Банка России//УФК по Республике Алтай, г Горно-Алтайск, к/c 40102810745370000109

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО РЕСПУБЛИКЕ АЛТАЙ (УФК ПО РЕСПУБЛИКЕ АЛТАЙ) () ИНН: 0411008817 КПП: 041101001 КБК: 00011610051010100140 ОКТМО: 84701000001 40102810745370000109 03100643000000017700 045004109

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, респ. Алтай, г. Горно-Алтайск

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 5 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Исполнение контракта может обеспечиваться предоставлением независимой гарантии, соответствующей требованиям статьи 45 Закона № 44-ФЗ, или внесением денежных средств на указанный заказчиком счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику. Способ обеспечения исполнения контракта, срок действия независимой гарантии определяются в соответствии с требованиями Закона № 44-ФЗ участником закупки, с которым заключается контракт, самостоятельно. При этом срок действия независимой гарантии должен превышать предусмотренный контрактом срок исполнения обязательств, которые должны быть обеспечены такой независимой гарантией, не менее чем на один месяц, в том числе в случае его изменения в соответствии со статьей 95 Закона № 44-ФЗ. Контракт заключается после предоставления участником закупки, с которым заключается контракт, обеспечения исполнения контракта в соответствии с Законом № 44-ФЗ. В случае непредоставления участником закупки, с которым заключается контракт, обеспечения исполнения контракта в срок, установленный для заключения контракта, такой участник считается уклонившимся от заключения контракта. В случае, если предложенные в заявке участника закупки цена, сумма цен единиц товара, работы, услуги снижены на двадцать пять и более процентов по отношению к начальной (максимальной) цене контракта, начальной сумме цен единиц товара, работы, услуги, участник закупки, с которым заключается контракт, предоставляет обеспечение исполнения контракта с учетом положений статьи 37 Закона № 44-ФЗ. Участник закупки вправе предоставить обеспечение исполнения контракта в соответствии с Законом № 44-ФЗ.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03221643840000007700, л/c 03772D02210, БИК 045004109, ОКЦ № 1 СибГУ Банка России//УФК по Республике Алтай, г Горно-Алтайск, к/c 40102810745370000109

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: с даты заключения контракта

Срок исполнения контракта: 30.09.2026

Закупка за счет бюджетных средств: Да

Наименование бюджета: республиканский бюджет Республики Алтай

Вид бюджета: бюджет субъекта Российской Федерации

Код территории муниципального образования: 84000000: Муниципальные образования Республики Алтай

Документы

Общая информация

Документы

Журнал событий