Номер извещения: 0373100063325000067

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Электронный аукцион

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: АО "РАД"

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: https://gz.lot-online.ru

Размещение осуществляет: Заказчик ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "ДИРЕКЦИЯ ПО СТРОИТЕЛЬСТВУ И ЭКСПЛУАТАЦИИ ОБЪЕКТОВ РОСГРАНИЦЫ"

Наименование объекта закупки: Оказание услуг по защищенному размещению в сети Интернет и техническому сопровождению сайта ФГКУ Росгранстрой (в рамках ИКТ)

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503731000633001000137

Контактная информация

Размещение осуществляет: Заказчик

Организация, осуществляющая размещение: ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ УЧРЕЖДЕНИЕ "ДИРЕКЦИЯ ПО СТРОИТЕЛЬСТВУ И ЭКСПЛУАТАЦИИ ОБЪЕКТОВ РОСГРАНИЦЫ"

Почтовый адрес: 107078, г. Москва, ул. Садовая-Спасская, д.18, стр.1.

Место нахождения: Российская Федерация, 107078, Москва, Садовая-Спасская, Д.18 СТР.1

Ответственное должностное лицо: Кузнецова Н. С.

Адрес электронной почты: info@rosgranstroy.ru

Номер контактного телефона: 7-495-7850334

Дополнительная информация: Ответственное должностное лицо за описание объекта закупки: Антипова Ярослава Васильевна

Регион: Москва

Информация о процедуре закупки

Дата и время начала срока подачи заявок: 17.11.2025 17:46 (МСК)

Дата и время окончания срока подачи заявок: 26.11.2025 09:00 (МСК)

Дата проведения процедуры подачи предложений о цене контракта либо о сумме цен единиц товара, работы, услуги: 26.11.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 28.11.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 6 000 000,00

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 251770982726677080100101140016312242

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 01.01.2026

Срок исполнения контракта: 30.12.2026

Количество этапов: 13

Закупка за счет бюджетных средств: Да

Наименование бюджета: Федеральный бюджет

Вид бюджета: федеральный бюджет

Код территории муниципального образования: 00000001:

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 63.12.10.000 - Оказание услуг по защищенному размещению в сети Интернет и техническому сопровождению сайта ФГКУ Росгранстрой (в рамках ИКТ) Требования к организации технологических площадок Исполнителем должна быть организована основная и резервная технологические площадки. Исполнителем должны быть выполнены работы по организации постоянной репликации данных от основной технологической площадки к резервной. Репликации подлежат базы данных и контент интернет ресурса. Технологическая площадка Исполнителя должна располагаться на территории Российской Федерации. Сайт ФГКУ Росгранстрой должен обеспечивать доступность и полную функциональность на уровне не менее 99% от общего времени эксплуатации по контракту. Исполнителем должна быть обеспечена защита от DDoS атак со следующими характеристиками: – Размер отражаемой DDoS атаки не менее 30Gb/c; – Полоса пропускания легитимного трафика 1Gb/c; – Время реакции на атаку 3 мин; – Система защиты от DDoS атак не должна негативно сказываться на работу WEB-ресурсов заказчика или каким либо образом замедлять их работу. Работы системы DDoS защиты должна быть незаметна для обычного пользователя ресурса да Исполнителем должна быть обеспечена защита средствами WAF(web application firewall). В WAF должны быть реализованы следующие механизмы защиты: Должна обеспечивать защиту от следующих видов атак: - атак на веб -приложения из перечня OWASP Top 10; - атак на API из перечня OWASP Top 10 API Security Risks; - атак на протокол HTTP, включая атаки на переполнение буфера; - синтаксических атак в т.ч. различных атак класса injection (внедрение команд в передаваемые данные - SQL Injection, Code Injection, OS Command Injection, LDAP Injection, Path Traversal и др.). - атак «методом грубой силы», в т.ч. переборных атак и атак класса «умный DoS»; - логических атак на приложения, в том числе от атак на механизмы аутентификации и контроля сессий и атак на бизнес-логику; - атак «внутри» передаваемых данных с произвольным уровнем вложенности (атаки на бэкенд, механизмы сериализации/десериализации и т.п.); - атак на клиентов веб-приложений (CSRF, XSS и т.п.); - 0-day и 1-day атак; - атак с применением ботов и средств автоматизации Защита от нежелательной бот-активности; - Должен обеспечивать возможность контроля использования защищаемого приложения легитимными пользователями; - Должен поддерживать схемы работы «разрешено все, что не запрещено явно», «запрещено все, что не разрешено явно», а также комбинации обеих схем; да Требования к организации технологических площадок - Должен обеспечивать своевременное обнаружение факторов компрометации и возможность последующего расследования инцидентов. WAF должен поддерживать следующие ключевые возможности: - работу с использованием негативных методов обнаружения аномалий, в том числе: - Наличие базового набора встроенных сигнатур в комплекте поставки для защиты от угроз OWASP top 10; - Поддержка распространенного открытого формата веб-сигнатур ModSecurity; - Создание аномальных последовательностей (цепочек) действий, для моделирования нежелательного поведения да - Условная единица - 1,00 - 6 000 000,00 - 6 000 000,00

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Требования к организации технологических площадок Исполнителем должна быть организована основная и резервная технологические площадки. Исполнителем должны быть выполнены работы по организации постоянной репликации данных от основной технологической площадки к резервной. Репликации подлежат базы данных и контент интернет ресурса. Технологическая площадка Исполнителя должна располагаться на территории Российской Федерации. Сайт ФГКУ Росгранстрой должен обеспечивать доступность и полную функциональность на уровне не менее 99% от общего времени эксплуатации по контракту. Исполнителем должна быть обеспечена защита от DDoS атак со следующими характеристиками: – Размер отражаемой DDoS атаки не менее 30Gb/c; – Полоса пропускания легитимного трафика 1Gb/c; – Время реакции на атаку 3 мин; – Система защиты от DDoS атак не должна негативно сказываться на работу WEB-ресурсов заказчика или каким либо образом замедлять их работу. Работы системы DDoS защиты должна быть незаметна для обычного пользователя ресурса да Значение характеристики не может изменяться участником закупки Исполнителем должна быть обеспечена защита средствами WAF(web application firewall). В WAF должны быть реализованы следующие механизмы защиты: Должна обеспечивать защиту от следующих видов атак: - атак на веб -приложения из перечня OWASP Top 10; - атак на API из перечня OWASP Top 10 API Security Risks; - атак на протокол HTTP, включая атаки на переполнение буфера; - синтаксических атак в т.ч. различных атак класса injection (внедрение команд в передаваемые данные - SQL Injection, Code Injection, OS Command Injection, LDAP Injection, Path Traversal и др.). - атак «методом грубой силы», в т.ч. переборных атак и атак класса «умный DoS»; - логических атак на приложения, в том числе от атак на механизмы аутентификации и контроля сессий и атак на бизнес-логику; - атак «внутри» передаваемых данных с произвольным уровнем вложенности (атаки на бэкенд, механизмы сериализации/десериализации и т.п.); - атак на клиентов веб-приложений (CSRF, XSS и т.п.); - 0-day и 1-day атак; - атак с применением ботов и средств автоматизации Защита от нежелательной бот-активности; - Должен обеспечивать возможность контроля использования защищаемого приложения легитимными пользователями; - Должен поддерживать схемы работы «разрешено все, что не запрещено явно», «запрещено все, что не разрешено явно», а также комбинации обеих схем; да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок - Должен обеспечивать своевременное обнаружение факторов компрометации и возможность последующего расследования инцидентов. WAF должен поддерживать следующие ключевые возможности: - работу с использованием негативных методов обнаружения аномалий, в том числе: - Наличие базового набора встроенных сигнатур в комплекте поставки для защиты от угроз OWASP top 10; - Поддержка распространенного открытого формата веб-сигнатур ModSecurity; - Создание аномальных последовательностей (цепочек) действий, для моделирования нежелательного поведения да Значение характеристики не может изменяться участником закупки Работа на основе нормальных моделей работы приложения (позитивных моделей): возможность гибкой настройки различных типов моделей для каждого из защищаемых приложений, в том числе: - модели определения и фильтрации статического контента; - модели валидации протокола HTTP, включая контроль заголовков, cookie и др.; - рекурсивной модели синтаксического анализа запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности данных (в частности, XML, JSON, BASE64, GZIP, SOAP); - модели проверки соответствия XML-подобных форматов данных заданным схемам XSD, загружаемым в виде файлов в интерфейсе WAF; - модели источников – определение характеристик источника на основе параметров запроса; - модели определения логических действий (бизнес-действий) в приложении, параметров логических действий и их значений, последовательностей действий, проверки успешности действий; - модели идентификации, аутентификации и контроля сессий в приложении; - модели защиты от переборных атак и атак типа «умный DoS» на уровне отдельных логических действий и произвольных параметров действия. - Наличие готовых моделей валидации протокола HTTP и синтаксического анализа запросов для типового веб-приложения в комплекте поставки; - Возможность ручной тонкой настройки моделей отдельно для каждого из логических действий и параметров, в частности настройка сигнатурного анализа, моделей параметров, конфигураций модуля защиты от переборных атак; - Противодействие переборным атакам; да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок - Возможность ограничения количества запросов, направляемых приложению в единицу времени; - Возможность индивидуальной настройки параметров противодействия переборным атакам для отдельных логических действий в приложении; - Возможность блокировки периодических однотипных запросов от одного источника; - Возможность блокировки явных переборов любых параметров запроса. Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных как в HTTP-запросах, так и в HTTP-ответах; - Возможность обнаружения аномалий работы приложения на основе сопоставления значений параметров HTTP запросов/ответов с сигнатурами атак; - Возможность обнаружения аномалий или значимых данных в работе приложения на основе настроенных позитивных моделей приложения (совпадение с моделью или наоборот – отклонение от нее); - Обнаружение аномалий и значимых параметров непосредственно внутри вложенных данных, передаваемых по протоколу HTTP без ограничений на количество уровней вложенности; - Возможность обнаружения аномалий, свидетельствующих о возможных попытках атак, осуществляемых «методом грубой силы» (bruteforce); да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных в процессе работы механизмов идентификации, аутентификации, авторизации пользователей и контроля пользовательских сессий; - Возможность обнаружения аномалий нарушения бизнес-логики приложения или контроля выполнения бизнес-логики путем использования соответствующей позитивной модели работы приложения; - Подавление ложных срабатываний и оптимизация отображения информации - Наличие механизма предварительного ("раннего") подавления ложных срабатываний, чтобы исключить возможность их влияния на сформированные правила принятия решений, а также чтобы предотвратить их попадание в интерфейс мониторинга; - Наличие функции упрощенного ("быстрого") подавления ложных срабатываний оператором Системы непосредственно при просмотре описания выявленной аномалии; - Возможность тонкой настройки подавления ложных срабатываний различных механизмов определения аномалий в привязке к отдельным параметрам запроса/ответа или логическим действиям в приложении; - Возможность разделения запросов к статическому и динамическому контенту с отдельным режимом обработки статического контента для экономии системных ресурсов и минимизации времени обработки статического контента да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок Требования к функционалу принятия решений: - Наличие настраиваемого модуля принятия решений, позволяющего выделять значимые события информационной безопасности и принимать решения относительно дальнейших действий в отношении HTTP-транзакций (запрос/ответ); - Управление правилами принятия решений на основе данных об источнике (ip-адрес, пользователь, id сессии) и цели hттр-транзакции (приложение, логическое (бизнес)-действие), а также обнаруженных в ней аномалиях или значимых данных; - Поддержка следующих возможных решений: блокировать HTTP-транзакцию, пропустить HTTP-транзакцию, пометить HTTP-транзакцию, модифицировать ответ; - Управление правилами принятия решений (создание, удаление, перегруппировка) с помощью графического конфигуратора через интерфейс управления да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок Требования к функциям автоматического обучения: - WAF должен поддерживать гибкие механизмы автоматического обучения для снижения затрат времени и ресурсов на настройку системы при внедрении и обслуживании, в том числе, в условиях частых изменений функционала защищаемых приложений, а также в условиях активного цикла разработки. WAF должен обладать следующими возможностями автоматического обучения: - автоматическое определение и описание статического контента на основе анализа статистики запросов к защищаемым приложениям; - автоматическое построение рекурсивной модели синтаксического анализа данных запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности (в частности, XML, JSON, BASE64, GZIP, SOAP); - автоматическое построение модели маршрутизации запросов для веб-приложения; - автоматическое построение моделей логических действий в приложении и моделей параметров этих действий, а также последовательностей (цепочек) логических действий; - оценка отклонения параметров логических действий в веб-приложении от статистической нормы; - автоматическая настройка порогов срабатывания модуля противодействия переборным атакам и медленным ботам, анализирующего частоту запросов на конкретный URL или к конкретной функции веб-приложения. WAF должна иметь следующие возможности по выполнению автоматического обучения: - непрерывное обучение в процессе функционирования; - периодический запуск заданий по обучению по установленному расписанию; - ручной однократный запуск заданий по обучению да Значение характеристики не может изменяться участником закупки Результаты автоматического обучения должны быть полностью интерпретируемыми и корректируемы оператором. WAF должна обеспечивать возможность инкрементного обучения (только для изменений, произошедших с момента предыдущего обучения), а также частичной ручной корректировки результатов обучения для отдельных статических ресурсов, элементов модели синтаксического анализа, логических действий и т.п. без необходимости проводить полное обучение заново. Должна быть обеспечена производительность WAF(web application firewall) не менее 3000 сессий в секунду для каждого из защищаемых ресурсов. Работа WAF должна вносить не более 0.5с задержки обращения к Интернет-ресурсам Заказчика. В случае, если объем обращений к Интернет-ресурсам Заказчика обрабатывает с задержкой более 0.5с, Исполнитель должен предоставить несколько независимых WAF, для обеспечения указанной скорости обработки обращения да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок Требования к функциям автоматического обучения: WAF должен работать в кластерной конфигурации. WAF должен быть сертифицирован ФСТЭК России как СЗИ и находиться в реестре отечественного программного обеспечения. Должен обеспечиваться контроль страновой принадлежности источника в соответствии с автоматически обновляемой базой GeoIP Минцифры. Нужно обеспечить возможность блокировки доступа к Интернет-ресурсам Заказчика по страновому принципу по запросу Заказчика. Исполнителем должна быть предоставлена система мониторинга, обеспечивающая непрерывный контроль за состоянием программного и аппаратного обеспечения. Система мониторинга должна состоять из двух независимых контуров мониторинга и обеспечивать мониторинг в режиме 24x7x365 и обеспечивать информирование средствами SMS и e-mail. Опрос системами мониторинга контролируемых параметров должен быть не реже 1 раза в минуту. Первый контур мониторинга должен следить за состоянием работы серверов: работой внутренних систем, дисковой подсистемой, загрузкой CPU, отслеживать загруженность оперативной памяти, сетевых интерфейсов. Статистические данные работы первого контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу да Значение характеристики не может изменяться участником закупки Второй контур мониторинга должен отслеживать корректность обрабатывания сценариев. Статистические данные работы второго контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу. Должно проводиться ежедневное копирование всей размещенной на Интернет ресурсах информации и электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения информационного ресурса, позволяющих обеспечивать учет всех действий по размещению, изменению и удалению информации на информационном ресурсе, фиксировать точное время и содержание изменений на информационном ресурсе, а также фиксировать автора изменений (учетная запись автора, IP адрес АРМ с которого проводились изменения), обеспечивающее возможность их восстановления. Операции по созданию резервных копий не должны снижать производительность интернет ресурса да Значение характеристики не может изменяться участником закупки Требования к организации технологических площадок Технические требования к системе резервного копирования: – резервное копирование всех данных, системных настроек системного и прикладного программного обеспечения; – хранение резервных копий в течение 30 дней; – возможность восстановления данных сайтов и системных настроек на любой из 30 дней; – поддержку развертывания резервной копии не более чем за 15 минут; – обеспечить хранение ежеквартальных и ежегодных копий; – обеспечить хранение резервных копий на внешних носителях информации вне здания ЦОД. Исполнитель несет ответственность за неправомерные действия третьих лиц, получивших доступ к технологическим площадкам вследствие несоблюдения Исполнителем правил защиты информации. Для обеспечения выполнения требований настоящего раздела технического задания Исполнителю необходимо обеспечить предоставление (в терминах Постановления Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации", далее – Перечень): да Значение характеристики не может изменяться участником закупки – доступа к сети связи лицензиата (подпункт «а» пункта 4 части XIV Перечня); – соединения по сети передачи данных, за исключением соединений для целей передачи голосовой информации (подпункт «б» пункта 4 части XIV Перечня); – доступа к информационным системам информационно-телекоммуникационных сетей, в том числе к сети Интернет (подпункт «б» пункта 4 части XVI Перечня). Соблюдение данных условий требует (в соответствии с Постановлением Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации") наличия лицензий, в соответствии с которыми должны оказываться услуги да Значение характеристики не может изменяться участником закупки Требования к обеспечению работоспособности Исполнитель должен обеспечить бесперебойную работу, а также приемлемое быстродействие. Приемлемым быстродействием считается такое время загрузки страниц, которое превышает время загрузки соответствующих страниц не более чем в два раза в случае, когда нагрузка на серверы минимальна. Оптимальное время загрузки составляет не более 2 секунд. В течение всего периода оказания услуг Исполнителем должно быть обеспечено: – выполнение диагностических и профилактических мероприятий по предотвращению сбоев системного и прикладного программного обеспечения интернет ресурса; – контроль сохранения функциональности программных средств, структур баз данных и интерфейсов межсистемного взаимодействия; – исправление ошибок конфигурации программных и аппаратных средств, обеспечивающих работы интернет ресурса; – информационно-техническое сопровождение интернет ресурса, в том числе: • поддержка системного программного обеспечения; • выполнение необходимых мероприятий в случае некорректной работы прикладного программного обеспечения серверов; • резервное копирование конфигурационных файлов системного и прикладного программного обеспечения и файлов данных; да Значение характеристики не может изменяться участником закупки • консультация и техническая помощь представителям Заказчика, ответственным за ведение Интернет ресурса (в рамках технической поддержки), по вопросам функционирования системного и прикладного программного обеспечения, а также управления содержимым страниц ресурса. Технические работы, в ходе которых доступ пользователей к информации, размещенной на интернет ресурсе будет невозможен, должны согласовываться с Заказчиком. По требованию Заказчика уведомление о проведении работ должно быть размещено на главной странице соответствующего информационного ресурса в срок не менее чем за сутки до начала работ. В случае возникновения технических неполадок программного обеспечения или иных проблем, влекущих невозможность доступа пользователей к Интернет ресурсам или его частям, администраторам Интернет ресурсам должно быть направлено уведомление о неработоспособности информационного ресурса по e-mail, в мессенджеры и SMS-сообщением. Количество администраторов, которым должно приходить уведомление – не менее 4 да Значение характеристики не может изменяться участником закупки Требования к обеспечению работоспособности При возобновлении доступа после сбоя администраторам интернет ресурса должно быть направлено соответствующее уведомление. Отправка информации не должна превышать 30 (тридцати) минут с момента восстановления доступа к интернет ресурсу. Длительность перерывов в работе интернет ресурса не должна превышать 4 (четырех) часов в месяц, не считая время плановой недоступности, согласованной с Заказчиком. В отчетную документацию должна войти информация о длительности перерывов в работе интернет ресурса. Также в отчетной документации должно быть отражено проведение технических работ или возникновения технических неполадок, неполадок программного обеспечения или иных проблем с указанием причины, даты и времени начала технических работ или возникновения неполадок, или иных проблем, а также периода да Значение характеристики не может изменяться участником закупки Требования к тестовой площадке В целях проведения отладки при устранении ошибок и проверки совместимости при проведении обновлений системного и прикладного программного обеспечения Исполнитель должен развернуть на собственных аппаратных ресурсах тестовый стенд – технологическую копию интернет ресурса. Анализ и выявление заявленных Заказчиком проблем должны производиться на тестовом стенде с применением используемой Заказчиком версии программного обеспечения и тестовыми данными да Значение характеристики не может изменяться участником закупки Требования к защите персональных данных Средствами интернет ресурса осуществляется обработка персональных данных пользователей (формируемых в сервисе «Обращения граждан и организаций»). В соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Для исполнения приведенных требований Исполнитель должен осуществлять контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации на Портале. В соответствии с пунктом 1 Перечня сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. № 188) персональные данные отнесены к конфиденциальной информации да Значение характеристики не может изменяться участником закупки В соответствии с пунктом 5 части 1 статьи 12 Федерального закона от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации является лицензируемой. В соответствии с пунктом 4 подпункты б) Положения о лицензировании деятельности по технической защите конфиденциальной информации (приложение к Постановлению Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации») Исполнитель должен иметь действующую лицензию на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, разрешающую выполнение работ по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации да Значение характеристики не может изменяться участником закупки Требования по защите информации Защита информации должна быть обеспечена в соответствии с приказом Федеральной службы безопасности Российской Федерации № 416, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 года №489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования». Требования, указанные в данных приказах, являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а именно должны быть выполнены следующие мероприятия: • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе (включая обновление модели угроз безопасности информации, содержащей описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации); • Обновлена система защиты информации информационной системы; • Внедрена обновленная система защиты информации информационной системы;\ • Проведена аттестация технологической площадки для размещения Информационного ресурса Заказчика и ввод ее в действие. да Значение характеристики не может изменяться участником закупки Аттестация включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы Требованиям приказа ФСТЭК от 29 апреля 2021 года № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну". Аттестация технологической площадки размещения ресурса должна быть проведена в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085; да Значение характеристики не может изменяться участником закупки Требования по защите информации • Обеспечена защита информации в ходе эксплуатации аттестованной информационной системы; • Обеспечена защита информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации содержащейся в информационной системе; • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе. В связи с необходимостью защиты конфиденциальной информации, а именно персональных данных граждан, передаваемых при обращениях через сайт и обрабатываемых программно-техническим комплексом, и в соответствии с пунктом 5 статьи 12 Федерального закона от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства Российской Федерации от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации», постановлением Правительства Российской Федерации от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности», указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Исполнитель должен обладать лицензией на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, в соответствии с подпунктами г), д), е) пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79. да Значение характеристики не может изменяться участником закупки Для оказания услуг по размещению сайта на технологической площадке Исполнителя, согласно ст. 29 Федерального закон от 07.07.2003 № 126-ФЗ «О связи» и постановлению Правительства РФ от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий», Исполнитель должен обладать лицензией на оказание телематических услуг связи, выданной Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций да Значение характеристики не может изменяться участником закупки В связи с использованием защищенного криптографическим способом канала связи при проведении работ по управлению контентом и администрированию сайта и в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)", требуется наличие у Исполнителя действующей лицензии ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг да Значение характеристики не может изменяться участником закупки в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), включающая работы по пунктам 17, 18 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность. да Значение характеристики не может изменяться участником закупки Требования по защите сетевого взаимодействия пользователей порталов Исполнитель обязан обеспечить доступность интернет ресурса Заказчика в сети Интернет с применением защищенных протоколов сетевого взаимодействия 443/TCP (HTTPS). Исполнитель за свой счет обеспечивает на площадке SSL сертификаты для доменов: • rosgranstroy.ru да Значение характеристики не может изменяться участником закупки Требования к организации линии технической поддержки Для обеспечения технической поддержки интернет ресурса Исполнителем должны быть реализованы следующие мероприятия: – организация телефонной «горячей линии» для Заказчика; – обеспечение приема и регистрации обращений, поступающих от Заказчика через систему обработки обращений, по телефону «горячей линии» и по электронной почте; – обработка обращений в зависимости от установленного приоритета; – оказание консультационной помощи Заказчику по всем вопросам, непосредственно связанным с эксплуатацией интернет ресурса. Режим работы: – система обработки обращений – 24 часа в сутки, 7 дней в неделю; – телефонной «горячей линии» – 24 часа в сутки, 7 дней в неделю да Значение характеристики не может изменяться участником закупки Требования к предоставлению доступа к системе обработки обращений На период действия линии технической поддержки ответственным работникам Заказчика должен быть предоставлен доступ в систему электронного взаимодействия (обработки обращений) для учета обращений и формирования статистической информации в разрезе ответственных исполнителей, исполнения обращений Заказчика. Система обработки обращений (далее – СОО) должна обладать следующими возможностями: СОО должна функционировать в режиме 24x7x365 (круглосуточно, семь дней в неделю, 365 дней в году) и быть доступна в сети Интернет и размещаться на серверах Исполнителя. СОО должна обеспечивать сбор, хранение, обработку, поиск, выдачу, сортировку по реквизитам необходимой информации в соответствии с настоящими техническими требованиями. Заказчику должен быть предоставлен доступ к СОО через WEB интерфейс. Учетные данные для ответственных представителей Заказчика предоставляются по письменному запросу, направленному в адрес Исполнителя. В СОО для заказчика должны быть предусмотрены роли: – Заказчик наблюдатель – должен иметь возможность просматривать все заявки. – Заказчик пользователь – должен иметь возможность подавать заявки, видеть все свои заявки, следить за ходом исполнения, вносить комментарии по ходу выполнения работы над заявкой, видеть комментарии исполнителей, получать SMS/E-mail уведомления о состоянии заявки да Значение характеристики не может изменяться участником закупки Требования к предоставлению доступа к системе обработки обращений В СОО не должно быть предусмотрено (доступно) операций удаления какой бы то ни было информации ни для кого из пользователей СОО. Исполнитель полностью отвечает за информационную безопасность СОО. СОО должна обеспечивать минимальный перечень полей базы данных заявок (обращений): – Уникальный номер заявки; – Дата и время поступления заявки; – Период (срок) оказания услуг по заявке; – ФИО пользователя подавшего обращение; – Должность пользователя подавшего обращение; – Контактный телефон; – Номер кабинета; – Предмет заявки; – Статус заявки; – Сотрудник Исполнителя; – Обеспечить возможность прикрепления в заявке файла; – Инвентарный номер; да Значение характеристики не может изменяться участником закупки В СОО в заявке должна быть возможность указать категорию заявки. Список категорий согласовывается с Исполнителем. В СОО и сотрудников Исполнителя должны быть отдельные учетные записи с возможностью доступа через WEB интерфейс. В СОО для Исполнителя должны быть предусмотрены роли: – Ответственный сотрудник исполнителя – должен иметь возможность заводить заявки, назначить их на инженеров, приостанавливать заявки, отменять заявки, закрывать заявки; – Оператор – должен иметь возможность заводить заявки, назначить их на инженеров; – Разработчик – должен иметь возможность принимать в работу заявки, завершать работу по заявкам; Для каждого обращения в СОО сохраняется как минимум следующая информация: обращение, контактная информация лица (телефон, адрес электронной почты, должность, ФИО) подавшего обращение, дата и время регистрации обращения, дата и время решения инцидента\исполнения заявки. Исполнитель самостоятельно в инициативном порядке узнает у обратившегося за консультацией пользователя всю информацию, необходимую для ведения базы обращений и выявления содержания обращения да Значение характеристики не может изменяться участником закупки Требования к предоставлению доступа к системе обработки обращений В СОО заявки должны иметь состояния: – “Новая заявка” – новая заявка недавно поступившая в работу; – “Назначенная заявка” – заявка назначенная инженеру ответственным сотрудником исполнителя; – “Заявка в работе ” – заявка принята инженером исполнителя в работу; – “Заявка выполненная ” – заявка, работы по которой инженер исполнителя закончил; – “Приостановленная заявка” – заявка приостановленная инженером исполнителя. Без указания причины заявка не может быть переведена в указанное состояние; – “Возобновленная заявка” – заявка возобновлённая инженером исполнителя; – “Закрытая заявка” – заявка, работы по которой приняты ответственным сотрудником исполнителя; – “Просроченная заявка” – заявка, работы по которой не завершены и срок выполнения заявки превышен; – “Отмененная заявка” – заявка, отмененная ответственным сотрудником исполнителя с указанием причин её отмены. Без указания причины заявка не может быть переведена в указанное состояние; да Значение характеристики не может изменяться участником закупки – Сотрудник Исполнителя с ролью “Разработчик” в своем WEB интерфейсе видеть только назначенные на него заявки; – Заказчик с ролью “Заказчик наблюдатель” в своем WEB интерфейсе должен видеть все заявки; – Заказчик с ролью “Заказчик пользователь” в своем WEB интерфейсе должен видеть только свои заявки; – Сотрудник Исполнителя с ролью “Ответственный” в своем WEB интерфейсе должен видеть все заявки; – Сотрудник Исполнителя с ролью “Оператор” в своем WEB интерфейсе должен видеть все заявки; – Должна быть предусмотрена возможность информирования по SMS заявителя о статусе заявки, ответственном за выполнение данной заявки. – Работники Заказчика должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – Работники Исполнителя должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – СОО должна уметь забирать заявки со специально отведенного для получения заявок e-mail адреса. Заявке полученной по e-mail должен присваиваться уникальный номер. Данный номер должен подставляться в поле ТЕМА обратного письма. При сохранении в теме письма данного номера, все сообщения пользователя должны попадать в качестве комментариев пользователя в соответствующую заявку в быть видимы через WEB интерфейс сотрудникам исполнителя. – СОО должна информировать сотрудников исполнителя с ролью “Ответственный” о просроченных заявках. – СОО должна обеспечивать выгрузку за любой произвольный период список заявок с полной информацией по заявке да Значение характеристики не может изменяться участником закупки Требования к предоставлению доступа к системе обработки обращений – СОО должна обеспечивать выгрузку по выполненным заявкам по любому из сотрудников Исполнителя. Порядок получения доступа к СОО: Заказчик направляет в адрес Исполнителя письменное обращение с указанием списка сотрудников Заказчика имеющих право доступа к СОО. В списке сотрудников Заказчика, имеющих право доступа к СОО, в обязательном порядке для каждого сотрудника указываются: ФИО; должность; служебный телефонный номер; адрес электронной почты, телефон. Исполнитель передает Заказчику список учетных данных, закреплённых за указанными сотрудниками. Заказчик несёт полную ответственность за деятельность своих сотрудников в СОО и конфиденциальность переданных учетных данных. В случае если Заказчиком были утеряны учетные данные пользователя, либо переданные Исполнителем учетные данные не позволяют осуществить доступ к СОО, Заказчик письменно сообщает об этом Исполнителю да Значение характеристики не может изменяться участником закупки Требования к срокам размещения и миграции Исполнитель в течении 3 дней с даты заключения государственного контракта должен предоставить Заказчику: Технологические площадки согласно настоящему Техническому заданию. В случае необходимости миграции ресурса Заказчика, Исполнитель также предоставляет: • план мероприятий по развертыванию прикладного программного обеспечения, предоставляемого Заказчиком; • план мероприятий по миграции данных на представленную техническую площадку Исполнителя, который обеспечивал бы перерыв в работе ресурса не более 4 часов на период миграции. Работы по развертыванию и миграции данных на представленные технологические площадки Исполнителя должны быть проведены в течение 5 дней после заключения государственного контракта да Значение характеристики не может изменяться участником закупки Требования к срокам исполнения обращений Время регистрации и классификации обращения – не более 30 (тридцати) минут во время работы линии технической поддержки. Работа над обращением должны выполняться в сроки, указанные в таблице нормативов (см. таблицу) да Значение характеристики не может изменяться участником закупки Требования к гарантии качества оказываемых услуг Гарантия качества распространяется на услуги по технической поддержке Интернет ресурса. Гарантийный срок составляет 12 (двенадцать) месяцев с даты подписания Документа о приемке услуг в ЕИС по последнему этапу. В случае выявления недостатков Исполнитель должен обеспечить их устранение своими силами и за свой счет в срок до 10 (десяти) календарных дней да Значение характеристики не может изменяться участником закупки - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Требования к организации технологических площадок Исполнителем должна быть организована основная и резервная технологические площадки. Исполнителем должны быть выполнены работы по организации постоянной репликации данных от основной технологической площадки к резервной. Репликации подлежат базы данных и контент интернет ресурса. Технологическая площадка Исполнителя должна располагаться на территории Российской Федерации. Сайт ФГКУ Росгранстрой должен обеспечивать доступность и полную функциональность на уровне не менее 99% от общего времени эксплуатации по контракту. Исполнителем должна быть обеспечена защита от DDoS атак со следующими характеристиками: – Размер отражаемой DDoS атаки не менее 30Gb/c; – Полоса пропускания легитимного трафика 1Gb/c; – Время реакции на атаку 3 мин; – Система защиты от DDoS атак не должна негативно сказываться на работу WEB-ресурсов заказчика или каким либо образом замедлять их работу. Работы системы DDoS защиты должна быть незаметна для обычного пользователя ресурса - да - - Значение характеристики не может изменяться участником закупки - Исполнителем должна быть обеспечена защита средствами WAF(web application firewall). В WAF должны быть реализованы следующие механизмы защиты: Должна обеспечивать защиту от следующих видов атак: - атак на веб -приложения из перечня OWASP Top 10; - атак на API из перечня OWASP Top 10 API Security Risks; - атак на протокол HTTP, включая атаки на переполнение буфера; - синтаксических атак в т.ч. различных атак класса injection (внедрение команд в передаваемые данные - SQL Injection, Code Injection, OS Command Injection, LDAP Injection, Path Traversal и др.). - атак «методом грубой силы», в т.ч. переборных атак и атак класса «умный DoS»; - логических атак на приложения, в том числе от атак на механизмы аутентификации и контроля сессий и атак на бизнес-логику; - атак «внутри» передаваемых данных с произвольным уровнем вложенности (атаки на бэкенд, механизмы сериализации/десериализации и т.п.); - атак на клиентов веб-приложений (CSRF, XSS и т.п.); - 0-day и 1-day атак; - атак с применением ботов и средств автоматизации Защита от нежелательной бот-активности; - Должен обеспечивать возможность контроля использования защищаемого приложения легитимными пользователями; - Должен поддерживать схемы работы «разрешено все, что не запрещено явно», «запрещено все, что не разрешено явно», а также комбинации обеих схем; - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок - Должен обеспечивать своевременное обнаружение факторов компрометации и возможность последующего расследования инцидентов. WAF должен поддерживать следующие ключевые возможности: - работу с использованием негативных методов обнаружения аномалий, в том числе: - Наличие базового набора встроенных сигнатур в комплекте поставки для защиты от угроз OWASP top 10; - Поддержка распространенного открытого формата веб-сигнатур ModSecurity; - Создание аномальных последовательностей (цепочек) действий, для моделирования нежелательного поведения - да - - Значение характеристики не может изменяться участником закупки - Работа на основе нормальных моделей работы приложения (позитивных моделей): возможность гибкой настройки различных типов моделей для каждого из защищаемых приложений, в том числе: - модели определения и фильтрации статического контента; - модели валидации протокола HTTP, включая контроль заголовков, cookie и др.; - рекурсивной модели синтаксического анализа запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности данных (в частности, XML, JSON, BASE64, GZIP, SOAP); - модели проверки соответствия XML-подобных форматов данных заданным схемам XSD, загружаемым в виде файлов в интерфейсе WAF; - модели источников – определение характеристик источника на основе параметров запроса; - модели определения логических действий (бизнес-действий) в приложении, параметров логических действий и их значений, последовательностей действий, проверки успешности действий; - модели идентификации, аутентификации и контроля сессий в приложении; - модели защиты от переборных атак и атак типа «умный DoS» на уровне отдельных логических действий и произвольных параметров действия. - Наличие готовых моделей валидации протокола HTTP и синтаксического анализа запросов для типового веб-приложения в комплекте поставки; - Возможность ручной тонкой настройки моделей отдельно для каждого из логических действий и параметров, в частности настройка сигнатурного анализа, моделей параметров, конфигураций модуля защиты от переборных атак; - Противодействие переборным атакам; - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок - Возможность ограничения количества запросов, направляемых приложению в единицу времени; - Возможность индивидуальной настройки параметров противодействия переборным атакам для отдельных логических действий в приложении; - Возможность блокировки периодических однотипных запросов от одного источника; - Возможность блокировки явных переборов любых параметров запроса. Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных как в HTTP-запросах, так и в HTTP-ответах; - Возможность обнаружения аномалий работы приложения на основе сопоставления значений параметров HTTP запросов/ответов с сигнатурами атак; - Возможность обнаружения аномалий или значимых данных в работе приложения на основе настроенных позитивных моделей приложения (совпадение с моделью или наоборот – отклонение от нее); - Обнаружение аномалий и значимых параметров непосредственно внутри вложенных данных, передаваемых по протоколу HTTP без ограничений на количество уровней вложенности; - Возможность обнаружения аномалий, свидетельствующих о возможных попытках атак, осуществляемых «методом грубой силы» (bruteforce); - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных в процессе работы механизмов идентификации, аутентификации, авторизации пользователей и контроля пользовательских сессий; - Возможность обнаружения аномалий нарушения бизнес-логики приложения или контроля выполнения бизнес-логики путем использования соответствующей позитивной модели работы приложения; - Подавление ложных срабатываний и оптимизация отображения информации - Наличие механизма предварительного ("раннего") подавления ложных срабатываний, чтобы исключить возможность их влияния на сформированные правила принятия решений, а также чтобы предотвратить их попадание в интерфейс мониторинга; - Наличие функции упрощенного ("быстрого") подавления ложных срабатываний оператором Системы непосредственно при просмотре описания выявленной аномалии; - Возможность тонкой настройки подавления ложных срабатываний различных механизмов определения аномалий в привязке к отдельным параметрам запроса/ответа или логическим действиям в приложении; - Возможность разделения запросов к статическому и динамическому контенту с отдельным режимом обработки статического контента для экономии системных ресурсов и минимизации времени обработки статического контента - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок Требования к функционалу принятия решений: - Наличие настраиваемого модуля принятия решений, позволяющего выделять значимые события информационной безопасности и принимать решения относительно дальнейших действий в отношении HTTP-транзакций (запрос/ответ); - Управление правилами принятия решений на основе данных об источнике (ip-адрес, пользователь, id сессии) и цели hттр-транзакции (приложение, логическое (бизнес)-действие), а также обнаруженных в ней аномалиях или значимых данных; - Поддержка следующих возможных решений: блокировать HTTP-транзакцию, пропустить HTTP-транзакцию, пометить HTTP-транзакцию, модифицировать ответ; - Управление правилами принятия решений (создание, удаление, перегруппировка) с помощью графического конфигуратора через интерфейс управления - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок Требования к функциям автоматического обучения: - WAF должен поддерживать гибкие механизмы автоматического обучения для снижения затрат времени и ресурсов на настройку системы при внедрении и обслуживании, в том числе, в условиях частых изменений функционала защищаемых приложений, а также в условиях активного цикла разработки. WAF должен обладать следующими возможностями автоматического обучения: - автоматическое определение и описание статического контента на основе анализа статистики запросов к защищаемым приложениям; - автоматическое построение рекурсивной модели синтаксического анализа данных запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности (в частности, XML, JSON, BASE64, GZIP, SOAP); - автоматическое построение модели маршрутизации запросов для веб-приложения; - автоматическое построение моделей логических действий в приложении и моделей параметров этих действий, а также последовательностей (цепочек) логических действий; - оценка отклонения параметров логических действий в веб-приложении от статистической нормы; - автоматическая настройка порогов срабатывания модуля противодействия переборным атакам и медленным ботам, анализирующего частоту запросов на конкретный URL или к конкретной функции веб-приложения. WAF должна иметь следующие возможности по выполнению автоматического обучения: - непрерывное обучение в процессе функционирования; - периодический запуск заданий по обучению по установленному расписанию; - ручной однократный запуск заданий по обучению - да - - Значение характеристики не может изменяться участником закупки - Результаты автоматического обучения должны быть полностью интерпретируемыми и корректируемы оператором. WAF должна обеспечивать возможность инкрементного обучения (только для изменений, произошедших с момента предыдущего обучения), а также частичной ручной корректировки результатов обучения для отдельных статических ресурсов, элементов модели синтаксического анализа, логических действий и т.п. без необходимости проводить полное обучение заново. Должна быть обеспечена производительность WAF(web application firewall) не менее 3000 сессий в секунду для каждого из защищаемых ресурсов. Работа WAF должна вносить не более 0.5с задержки обращения к Интернет-ресурсам Заказчика. В случае, если объем обращений к Интернет-ресурсам Заказчика обрабатывает с задержкой более 0.5с, Исполнитель должен предоставить несколько независимых WAF, для обеспечения указанной скорости обработки обращения - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок Требования к функциям автоматического обучения: WAF должен работать в кластерной конфигурации. WAF должен быть сертифицирован ФСТЭК России как СЗИ и находиться в реестре отечественного программного обеспечения. Должен обеспечиваться контроль страновой принадлежности источника в соответствии с автоматически обновляемой базой GeoIP Минцифры. Нужно обеспечить возможность блокировки доступа к Интернет-ресурсам Заказчика по страновому принципу по запросу Заказчика. Исполнителем должна быть предоставлена система мониторинга, обеспечивающая непрерывный контроль за состоянием программного и аппаратного обеспечения. Система мониторинга должна состоять из двух независимых контуров мониторинга и обеспечивать мониторинг в режиме 24x7x365 и обеспечивать информирование средствами SMS и e-mail. Опрос системами мониторинга контролируемых параметров должен быть не реже 1 раза в минуту. Первый контур мониторинга должен следить за состоянием работы серверов: работой внутренних систем, дисковой подсистемой, загрузкой CPU, отслеживать загруженность оперативной памяти, сетевых интерфейсов. Статистические данные работы первого контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу - да - - Значение характеристики не может изменяться участником закупки - Второй контур мониторинга должен отслеживать корректность обрабатывания сценариев. Статистические данные работы второго контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу. Должно проводиться ежедневное копирование всей размещенной на Интернет ресурсах информации и электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения информационного ресурса, позволяющих обеспечивать учет всех действий по размещению, изменению и удалению информации на информационном ресурсе, фиксировать точное время и содержание изменений на информационном ресурсе, а также фиксировать автора изменений (учетная запись автора, IP адрес АРМ с которого проводились изменения), обеспечивающее возможность их восстановления. Операции по созданию резервных копий не должны снижать производительность интернет ресурса - да - - Значение характеристики не может изменяться участником закупки - Требования к организации технологических площадок Технические требования к системе резервного копирования: – резервное копирование всех данных, системных настроек системного и прикладного программного обеспечения; – хранение резервных копий в течение 30 дней; – возможность восстановления данных сайтов и системных настроек на любой из 30 дней; – поддержку развертывания резервной копии не более чем за 15 минут; – обеспечить хранение ежеквартальных и ежегодных копий; – обеспечить хранение резервных копий на внешних носителях информации вне здания ЦОД. Исполнитель несет ответственность за неправомерные действия третьих лиц, получивших доступ к технологическим площадкам вследствие несоблюдения Исполнителем правил защиты информации. Для обеспечения выполнения требований настоящего раздела технического задания Исполнителю необходимо обеспечить предоставление (в терминах Постановления Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации", далее – Перечень): - да - - Значение характеристики не может изменяться участником закупки - – доступа к сети связи лицензиата (подпункт «а» пункта 4 части XIV Перечня); – соединения по сети передачи данных, за исключением соединений для целей передачи голосовой информации (подпункт «б» пункта 4 части XIV Перечня); – доступа к информационным системам информационно-телекоммуникационных сетей, в том числе к сети Интернет (подпункт «б» пункта 4 части XVI Перечня). Соблюдение данных условий требует (в соответствии с Постановлением Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации") наличия лицензий, в соответствии с которыми должны оказываться услуги - да - - Значение характеристики не может изменяться участником закупки - Требования к обеспечению работоспособности Исполнитель должен обеспечить бесперебойную работу, а также приемлемое быстродействие. Приемлемым быстродействием считается такое время загрузки страниц, которое превышает время загрузки соответствующих страниц не более чем в два раза в случае, когда нагрузка на серверы минимальна. Оптимальное время загрузки составляет не более 2 секунд. В течение всего периода оказания услуг Исполнителем должно быть обеспечено: – выполнение диагностических и профилактических мероприятий по предотвращению сбоев системного и прикладного программного обеспечения интернет ресурса; – контроль сохранения функциональности программных средств, структур баз данных и интерфейсов межсистемного взаимодействия; – исправление ошибок конфигурации программных и аппаратных средств, обеспечивающих работы интернет ресурса; – информационно-техническое сопровождение интернет ресурса, в том числе: • поддержка системного программного обеспечения; • выполнение необходимых мероприятий в случае некорректной работы прикладного программного обеспечения серверов; • резервное копирование конфигурационных файлов системного и прикладного программного обеспечения и файлов данных; - да - - Значение характеристики не может изменяться участником закупки - • консультация и техническая помощь представителям Заказчика, ответственным за ведение Интернет ресурса (в рамках технической поддержки), по вопросам функционирования системного и прикладного программного обеспечения, а также управления содержимым страниц ресурса. Технические работы, в ходе которых доступ пользователей к информации, размещенной на интернет ресурсе будет невозможен, должны согласовываться с Заказчиком. По требованию Заказчика уведомление о проведении работ должно быть размещено на главной странице соответствующего информационного ресурса в срок не менее чем за сутки до начала работ. В случае возникновения технических неполадок программного обеспечения или иных проблем, влекущих невозможность доступа пользователей к Интернет ресурсам или его частям, администраторам Интернет ресурсам должно быть направлено уведомление о неработоспособности информационного ресурса по e-mail, в мессенджеры и SMS-сообщением. Количество администраторов, которым должно приходить уведомление – не менее 4 - да - - Значение характеристики не может изменяться участником закупки - Требования к обеспечению работоспособности При возобновлении доступа после сбоя администраторам интернет ресурса должно быть направлено соответствующее уведомление. Отправка информации не должна превышать 30 (тридцати) минут с момента восстановления доступа к интернет ресурсу. Длительность перерывов в работе интернет ресурса не должна превышать 4 (четырех) часов в месяц, не считая время плановой недоступности, согласованной с Заказчиком. В отчетную документацию должна войти информация о длительности перерывов в работе интернет ресурса. Также в отчетной документации должно быть отражено проведение технических работ или возникновения технических неполадок, неполадок программного обеспечения или иных проблем с указанием причины, даты и времени начала технических работ или возникновения неполадок, или иных проблем, а также периода - да - - Значение характеристики не может изменяться участником закупки - Требования к тестовой площадке В целях проведения отладки при устранении ошибок и проверки совместимости при проведении обновлений системного и прикладного программного обеспечения Исполнитель должен развернуть на собственных аппаратных ресурсах тестовый стенд – технологическую копию интернет ресурса. Анализ и выявление заявленных Заказчиком проблем должны производиться на тестовом стенде с применением используемой Заказчиком версии программного обеспечения и тестовыми данными - да - - Значение характеристики не может изменяться участником закупки - Требования к защите персональных данных Средствами интернет ресурса осуществляется обработка персональных данных пользователей (формируемых в сервисе «Обращения граждан и организаций»). В соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Для исполнения приведенных требований Исполнитель должен осуществлять контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации на Портале. В соответствии с пунктом 1 Перечня сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. № 188) персональные данные отнесены к конфиденциальной информации - да - - Значение характеристики не может изменяться участником закупки - В соответствии с пунктом 5 части 1 статьи 12 Федерального закона от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации является лицензируемой. В соответствии с пунктом 4 подпункты б) Положения о лицензировании деятельности по технической защите конфиденциальной информации (приложение к Постановлению Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации») Исполнитель должен иметь действующую лицензию на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, разрешающую выполнение работ по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации - да - - Значение характеристики не может изменяться участником закупки - Требования по защите информации Защита информации должна быть обеспечена в соответствии с приказом Федеральной службы безопасности Российской Федерации № 416, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 года №489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования». Требования, указанные в данных приказах, являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а именно должны быть выполнены следующие мероприятия: • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе (включая обновление модели угроз безопасности информации, содержащей описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации); • Обновлена система защиты информации информационной системы; • Внедрена обновленная система защиты информации информационной системы;\ • Проведена аттестация технологической площадки для размещения Информационного ресурса Заказчика и ввод ее в действие. - да - - Значение характеристики не может изменяться участником закупки - Аттестация включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы Требованиям приказа ФСТЭК от 29 апреля 2021 года № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну". Аттестация технологической площадки размещения ресурса должна быть проведена в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085; - да - - Значение характеристики не может изменяться участником закупки - Требования по защите информации • Обеспечена защита информации в ходе эксплуатации аттестованной информационной системы; • Обеспечена защита информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации содержащейся в информационной системе; • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе. В связи с необходимостью защиты конфиденциальной информации, а именно персональных данных граждан, передаваемых при обращениях через сайт и обрабатываемых программно-техническим комплексом, и в соответствии с пунктом 5 статьи 12 Федерального закона от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства Российской Федерации от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации», постановлением Правительства Российской Федерации от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности», указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Исполнитель должен обладать лицензией на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, в соответствии с подпунктами г), д), е) пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79. - да - - Значение характеристики не может изменяться участником закупки - Для оказания услуг по размещению сайта на технологической площадке Исполнителя, согласно ст. 29 Федерального закон от 07.07.2003 № 126-ФЗ «О связи» и постановлению Правительства РФ от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий», Исполнитель должен обладать лицензией на оказание телематических услуг связи, выданной Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций - да - - Значение характеристики не может изменяться участником закупки - В связи с использованием защищенного криптографическим способом канала связи при проведении работ по управлению контентом и администрированию сайта и в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)", требуется наличие у Исполнителя действующей лицензии ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг - да - - Значение характеристики не может изменяться участником закупки - в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), включающая работы по пунктам 17, 18 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность. - да - - Значение характеристики не может изменяться участником закупки - Требования по защите сетевого взаимодействия пользователей порталов Исполнитель обязан обеспечить доступность интернет ресурса Заказчика в сети Интернет с применением защищенных протоколов сетевого взаимодействия 443/TCP (HTTPS). Исполнитель за свой счет обеспечивает на площадке SSL сертификаты для доменов: • rosgranstroy.ru - да - - Значение характеристики не может изменяться участником закупки - Требования к организации линии технической поддержки Для обеспечения технической поддержки интернет ресурса Исполнителем должны быть реализованы следующие мероприятия: – организация телефонной «горячей линии» для Заказчика; – обеспечение приема и регистрации обращений, поступающих от Заказчика через систему обработки обращений, по телефону «горячей линии» и по электронной почте; – обработка обращений в зависимости от установленного приоритета; – оказание консультационной помощи Заказчику по всем вопросам, непосредственно связанным с эксплуатацией интернет ресурса. Режим работы: – система обработки обращений – 24 часа в сутки, 7 дней в неделю; – телефонной «горячей линии» – 24 часа в сутки, 7 дней в неделю - да - - Значение характеристики не может изменяться участником закупки - Требования к предоставлению доступа к системе обработки обращений На период действия линии технической поддержки ответственным работникам Заказчика должен быть предоставлен доступ в систему электронного взаимодействия (обработки обращений) для учета обращений и формирования статистической информации в разрезе ответственных исполнителей, исполнения обращений Заказчика. Система обработки обращений (далее – СОО) должна обладать следующими возможностями: СОО должна функционировать в режиме 24x7x365 (круглосуточно, семь дней в неделю, 365 дней в году) и быть доступна в сети Интернет и размещаться на серверах Исполнителя. СОО должна обеспечивать сбор, хранение, обработку, поиск, выдачу, сортировку по реквизитам необходимой информации в соответствии с настоящими техническими требованиями. Заказчику должен быть предоставлен доступ к СОО через WEB интерфейс. Учетные данные для ответственных представителей Заказчика предоставляются по письменному запросу, направленному в адрес Исполнителя. В СОО для заказчика должны быть предусмотрены роли: – Заказчик наблюдатель – должен иметь возможность просматривать все заявки. – Заказчик пользователь – должен иметь возможность подавать заявки, видеть все свои заявки, следить за ходом исполнения, вносить комментарии по ходу выполнения работы над заявкой, видеть комментарии исполнителей, получать SMS/E-mail уведомления о состоянии заявки - да - - Значение характеристики не может изменяться участником закупки - Требования к предоставлению доступа к системе обработки обращений В СОО не должно быть предусмотрено (доступно) операций удаления какой бы то ни было информации ни для кого из пользователей СОО. Исполнитель полностью отвечает за информационную безопасность СОО. СОО должна обеспечивать минимальный перечень полей базы данных заявок (обращений): – Уникальный номер заявки; – Дата и время поступления заявки; – Период (срок) оказания услуг по заявке; – ФИО пользователя подавшего обращение; – Должность пользователя подавшего обращение; – Контактный телефон; – Номер кабинета; – Предмет заявки; – Статус заявки; – Сотрудник Исполнителя; – Обеспечить возможность прикрепления в заявке файла; – Инвентарный номер; - да - - Значение характеристики не может изменяться участником закупки - В СОО в заявке должна быть возможность указать категорию заявки. Список категорий согласовывается с Исполнителем. В СОО и сотрудников Исполнителя должны быть отдельные учетные записи с возможностью доступа через WEB интерфейс. В СОО для Исполнителя должны быть предусмотрены роли: – Ответственный сотрудник исполнителя – должен иметь возможность заводить заявки, назначить их на инженеров, приостанавливать заявки, отменять заявки, закрывать заявки; – Оператор – должен иметь возможность заводить заявки, назначить их на инженеров; – Разработчик – должен иметь возможность принимать в работу заявки, завершать работу по заявкам; Для каждого обращения в СОО сохраняется как минимум следующая информация: обращение, контактная информация лица (телефон, адрес электронной почты, должность, ФИО) подавшего обращение, дата и время регистрации обращения, дата и время решения инцидента\исполнения заявки. Исполнитель самостоятельно в инициативном порядке узнает у обратившегося за консультацией пользователя всю информацию, необходимую для ведения базы обращений и выявления содержания обращения - да - - Значение характеристики не может изменяться участником закупки - Требования к предоставлению доступа к системе обработки обращений В СОО заявки должны иметь состояния: – “Новая заявка” – новая заявка недавно поступившая в работу; – “Назначенная заявка” – заявка назначенная инженеру ответственным сотрудником исполнителя; – “Заявка в работе ” – заявка принята инженером исполнителя в работу; – “Заявка выполненная ” – заявка, работы по которой инженер исполнителя закончил; – “Приостановленная заявка” – заявка приостановленная инженером исполнителя. Без указания причины заявка не может быть переведена в указанное состояние; – “Возобновленная заявка” – заявка возобновлённая инженером исполнителя; – “Закрытая заявка” – заявка, работы по которой приняты ответственным сотрудником исполнителя; – “Просроченная заявка” – заявка, работы по которой не завершены и срок выполнения заявки превышен; – “Отмененная заявка” – заявка, отмененная ответственным сотрудником исполнителя с указанием причин её отмены. Без указания причины заявка не может быть переведена в указанное состояние; - да - - Значение характеристики не может изменяться участником закупки - – Сотрудник Исполнителя с ролью “Разработчик” в своем WEB интерфейсе видеть только назначенные на него заявки; – Заказчик с ролью “Заказчик наблюдатель” в своем WEB интерфейсе должен видеть все заявки; – Заказчик с ролью “Заказчик пользователь” в своем WEB интерфейсе должен видеть только свои заявки; – Сотрудник Исполнителя с ролью “Ответственный” в своем WEB интерфейсе должен видеть все заявки; – Сотрудник Исполнителя с ролью “Оператор” в своем WEB интерфейсе должен видеть все заявки; – Должна быть предусмотрена возможность информирования по SMS заявителя о статусе заявки, ответственном за выполнение данной заявки. – Работники Заказчика должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – Работники Исполнителя должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – СОО должна уметь забирать заявки со специально отведенного для получения заявок e-mail адреса. Заявке полученной по e-mail должен присваиваться уникальный номер. Данный номер должен подставляться в поле ТЕМА обратного письма. При сохранении в теме письма данного номера, все сообщения пользователя должны попадать в качестве комментариев пользователя в соответствующую заявку в быть видимы через WEB интерфейс сотрудникам исполнителя. – СОО должна информировать сотрудников исполнителя с ролью “Ответственный” о просроченных заявках. – СОО должна обеспечивать выгрузку за любой произвольный период список заявок с полной информацией по заявке - да - - Значение характеристики не может изменяться участником закупки - Требования к предоставлению доступа к системе обработки обращений – СОО должна обеспечивать выгрузку по выполненным заявкам по любому из сотрудников Исполнителя. Порядок получения доступа к СОО: Заказчик направляет в адрес Исполнителя письменное обращение с указанием списка сотрудников Заказчика имеющих право доступа к СОО. В списке сотрудников Заказчика, имеющих право доступа к СОО, в обязательном порядке для каждого сотрудника указываются: ФИО; должность; служебный телефонный номер; адрес электронной почты, телефон. Исполнитель передает Заказчику список учетных данных, закреплённых за указанными сотрудниками. Заказчик несёт полную ответственность за деятельность своих сотрудников в СОО и конфиденциальность переданных учетных данных. В случае если Заказчиком были утеряны учетные данные пользователя, либо переданные Исполнителем учетные данные не позволяют осуществить доступ к СОО, Заказчик письменно сообщает об этом Исполнителю - да - - Значение характеристики не может изменяться участником закупки - Требования к срокам размещения и миграции Исполнитель в течении 3 дней с даты заключения государственного контракта должен предоставить Заказчику: Технологические площадки согласно настоящему Техническому заданию. В случае необходимости миграции ресурса Заказчика, Исполнитель также предоставляет: • план мероприятий по развертыванию прикладного программного обеспечения, предоставляемого Заказчиком; • план мероприятий по миграции данных на представленную техническую площадку Исполнителя, который обеспечивал бы перерыв в работе ресурса не более 4 часов на период миграции. Работы по развертыванию и миграции данных на представленные технологические площадки Исполнителя должны быть проведены в течение 5 дней после заключения государственного контракта - да - - Значение характеристики не может изменяться участником закупки - Требования к срокам исполнения обращений Время регистрации и классификации обращения – не более 30 (тридцати) минут во время работы линии технической поддержки. Работа над обращением должны выполняться в сроки, указанные в таблице нормативов (см. таблицу) - да - - Значение характеристики не может изменяться участником закупки - Требования к гарантии качества оказываемых услуг Гарантия качества распространяется на услуги по технической поддержке Интернет ресурса. Гарантийный срок составляет 12 (двенадцать) месяцев с даты подписания Документа о приемке услуг в ЕИС по последнему этапу. В случае выявления недостатков Исполнитель должен обеспечить их устранение своими силами и за свой счет в срок до 10 (десяти) календарных дней - да - - Значение характеристики не может изменяться участником закупки

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Требования к организации технологических площадок Исполнителем должна быть организована основная и резервная технологические площадки. Исполнителем должны быть выполнены работы по организации постоянной репликации данных от основной технологической площадки к резервной. Репликации подлежат базы данных и контент интернет ресурса. Технологическая площадка Исполнителя должна располагаться на территории Российской Федерации. Сайт ФГКУ Росгранстрой должен обеспечивать доступность и полную функциональность на уровне не менее 99% от общего времени эксплуатации по контракту. Исполнителем должна быть обеспечена защита от DDoS атак со следующими характеристиками: – Размер отражаемой DDoS атаки не менее 30Gb/c; – Полоса пропускания легитимного трафика 1Gb/c; – Время реакции на атаку 3 мин; – Система защиты от DDoS атак не должна негативно сказываться на работу WEB-ресурсов заказчика или каким либо образом замедлять их работу. Работы системы DDoS защиты должна быть незаметна для обычного пользователя ресурса - да - - Значение характеристики не может изменяться участником закупки

Исполнителем должна быть обеспечена защита средствами WAF(web application firewall). В WAF должны быть реализованы следующие механизмы защиты: Должна обеспечивать защиту от следующих видов атак: - атак на веб -приложения из перечня OWASP Top 10; - атак на API из перечня OWASP Top 10 API Security Risks; - атак на протокол HTTP, включая атаки на переполнение буфера; - синтаксических атак в т.ч. различных атак класса injection (внедрение команд в передаваемые данные - SQL Injection, Code Injection, OS Command Injection, LDAP Injection, Path Traversal и др.). - атак «методом грубой силы», в т.ч. переборных атак и атак класса «умный DoS»; - логических атак на приложения, в том числе от атак на механизмы аутентификации и контроля сессий и атак на бизнес-логику; - атак «внутри» передаваемых данных с произвольным уровнем вложенности (атаки на бэкенд, механизмы сериализации/десериализации и т.п.); - атак на клиентов веб-приложений (CSRF, XSS и т.п.); - 0-day и 1-day атак; - атак с применением ботов и средств автоматизации Защита от нежелательной бот-активности; - Должен обеспечивать возможность контроля использования защищаемого приложения легитимными пользователями; - Должен поддерживать схемы работы «разрешено все, что не запрещено явно», «запрещено все, что не разрешено явно», а также комбинации обеих схем; - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок - Должен обеспечивать своевременное обнаружение факторов компрометации и возможность последующего расследования инцидентов. WAF должен поддерживать следующие ключевые возможности: - работу с использованием негативных методов обнаружения аномалий, в том числе: - Наличие базового набора встроенных сигнатур в комплекте поставки для защиты от угроз OWASP top 10; - Поддержка распространенного открытого формата веб-сигнатур ModSecurity; - Создание аномальных последовательностей (цепочек) действий, для моделирования нежелательного поведения - да - - Значение характеристики не может изменяться участником закупки

Работа на основе нормальных моделей работы приложения (позитивных моделей): возможность гибкой настройки различных типов моделей для каждого из защищаемых приложений, в том числе: - модели определения и фильтрации статического контента; - модели валидации протокола HTTP, включая контроль заголовков, cookie и др.; - рекурсивной модели синтаксического анализа запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности данных (в частности, XML, JSON, BASE64, GZIP, SOAP); - модели проверки соответствия XML-подобных форматов данных заданным схемам XSD, загружаемым в виде файлов в интерфейсе WAF; - модели источников – определение характеристик источника на основе параметров запроса; - модели определения логических действий (бизнес-действий) в приложении, параметров логических действий и их значений, последовательностей действий, проверки успешности действий; - модели идентификации, аутентификации и контроля сессий в приложении; - модели защиты от переборных атак и атак типа «умный DoS» на уровне отдельных логических действий и произвольных параметров действия. - Наличие готовых моделей валидации протокола HTTP и синтаксического анализа запросов для типового веб-приложения в комплекте поставки; - Возможность ручной тонкой настройки моделей отдельно для каждого из логических действий и параметров, в частности настройка сигнатурного анализа, моделей параметров, конфигураций модуля защиты от переборных атак; - Противодействие переборным атакам; - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок - Возможность ограничения количества запросов, направляемых приложению в единицу времени; - Возможность индивидуальной настройки параметров противодействия переборным атакам для отдельных логических действий в приложении; - Возможность блокировки периодических однотипных запросов от одного источника; - Возможность блокировки явных переборов любых параметров запроса. Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных как в HTTP-запросах, так и в HTTP-ответах; - Возможность обнаружения аномалий работы приложения на основе сопоставления значений параметров HTTP запросов/ответов с сигнатурами атак; - Возможность обнаружения аномалий или значимых данных в работе приложения на основе настроенных позитивных моделей приложения (совпадение с моделью или наоборот – отклонение от нее); - Обнаружение аномалий и значимых параметров непосредственно внутри вложенных данных, передаваемых по протоколу HTTP без ограничений на количество уровней вложенности; - Возможность обнаружения аномалий, свидетельствующих о возможных попытках атак, осуществляемых «методом грубой силы» (bruteforce); - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок Обнаружение аномалий и значимых событий: - Возможность обнаружения аномалий или значимых данных в процессе работы механизмов идентификации, аутентификации, авторизации пользователей и контроля пользовательских сессий; - Возможность обнаружения аномалий нарушения бизнес-логики приложения или контроля выполнения бизнес-логики путем использования соответствующей позитивной модели работы приложения; - Подавление ложных срабатываний и оптимизация отображения информации - Наличие механизма предварительного ("раннего") подавления ложных срабатываний, чтобы исключить возможность их влияния на сформированные правила принятия решений, а также чтобы предотвратить их попадание в интерфейс мониторинга; - Наличие функции упрощенного ("быстрого") подавления ложных срабатываний оператором Системы непосредственно при просмотре описания выявленной аномалии; - Возможность тонкой настройки подавления ложных срабатываний различных механизмов определения аномалий в привязке к отдельным параметрам запроса/ответа или логическим действиям в приложении; - Возможность разделения запросов к статическому и динамическому контенту с отдельным режимом обработки статического контента для экономии системных ресурсов и минимизации времени обработки статического контента - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок Требования к функционалу принятия решений: - Наличие настраиваемого модуля принятия решений, позволяющего выделять значимые события информационной безопасности и принимать решения относительно дальнейших действий в отношении HTTP-транзакций (запрос/ответ); - Управление правилами принятия решений на основе данных об источнике (ip-адрес, пользователь, id сессии) и цели hттр-транзакции (приложение, логическое (бизнес)-действие), а также обнаруженных в ней аномалиях или значимых данных; - Поддержка следующих возможных решений: блокировать HTTP-транзакцию, пропустить HTTP-транзакцию, пометить HTTP-транзакцию, модифицировать ответ; - Управление правилами принятия решений (создание, удаление, перегруппировка) с помощью графического конфигуратора через интерфейс управления - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок Требования к функциям автоматического обучения: - WAF должен поддерживать гибкие механизмы автоматического обучения для снижения затрат времени и ресурсов на настройку системы при внедрении и обслуживании, в том числе, в условиях частых изменений функционала защищаемых приложений, а также в условиях активного цикла разработки. WAF должен обладать следующими возможностями автоматического обучения: - автоматическое определение и описание статического контента на основе анализа статистики запросов к защищаемым приложениям; - автоматическое построение рекурсивной модели синтаксического анализа данных запросов и ответов с поддержкой различных видов сжатия, кодирования и способов передачи данных с произвольным уровнем вложенности (в частности, XML, JSON, BASE64, GZIP, SOAP); - автоматическое построение модели маршрутизации запросов для веб-приложения; - автоматическое построение моделей логических действий в приложении и моделей параметров этих действий, а также последовательностей (цепочек) логических действий; - оценка отклонения параметров логических действий в веб-приложении от статистической нормы; - автоматическая настройка порогов срабатывания модуля противодействия переборным атакам и медленным ботам, анализирующего частоту запросов на конкретный URL или к конкретной функции веб-приложения. WAF должна иметь следующие возможности по выполнению автоматического обучения: - непрерывное обучение в процессе функционирования; - периодический запуск заданий по обучению по установленному расписанию; - ручной однократный запуск заданий по обучению - да - - Значение характеристики не может изменяться участником закупки

Результаты автоматического обучения должны быть полностью интерпретируемыми и корректируемы оператором. WAF должна обеспечивать возможность инкрементного обучения (только для изменений, произошедших с момента предыдущего обучения), а также частичной ручной корректировки результатов обучения для отдельных статических ресурсов, элементов модели синтаксического анализа, логических действий и т.п. без необходимости проводить полное обучение заново. Должна быть обеспечена производительность WAF(web application firewall) не менее 3000 сессий в секунду для каждого из защищаемых ресурсов. Работа WAF должна вносить не более 0.5с задержки обращения к Интернет-ресурсам Заказчика. В случае, если объем обращений к Интернет-ресурсам Заказчика обрабатывает с задержкой более 0.5с, Исполнитель должен предоставить несколько независимых WAF, для обеспечения указанной скорости обработки обращения - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок Требования к функциям автоматического обучения: WAF должен работать в кластерной конфигурации. WAF должен быть сертифицирован ФСТЭК России как СЗИ и находиться в реестре отечественного программного обеспечения. Должен обеспечиваться контроль страновой принадлежности источника в соответствии с автоматически обновляемой базой GeoIP Минцифры. Нужно обеспечить возможность блокировки доступа к Интернет-ресурсам Заказчика по страновому принципу по запросу Заказчика. Исполнителем должна быть предоставлена система мониторинга, обеспечивающая непрерывный контроль за состоянием программного и аппаратного обеспечения. Система мониторинга должна состоять из двух независимых контуров мониторинга и обеспечивать мониторинг в режиме 24x7x365 и обеспечивать информирование средствами SMS и e-mail. Опрос системами мониторинга контролируемых параметров должен быть не реже 1 раза в минуту. Первый контур мониторинга должен следить за состоянием работы серверов: работой внутренних систем, дисковой подсистемой, загрузкой CPU, отслеживать загруженность оперативной памяти, сетевых интерфейсов. Статистические данные работы первого контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу - да - - Значение характеристики не может изменяться участником закупки

Второй контур мониторинга должен отслеживать корректность обрабатывания сценариев. Статистические данные работы второго контура мониторинга должны храниться за весь период исполнения Контракта и предоставляться Заказчику по запросу. Должно проводиться ежедневное копирование всей размещенной на Интернет ресурсах информации и электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения информационного ресурса, позволяющих обеспечивать учет всех действий по размещению, изменению и удалению информации на информационном ресурсе, фиксировать точное время и содержание изменений на информационном ресурсе, а также фиксировать автора изменений (учетная запись автора, IP адрес АРМ с которого проводились изменения), обеспечивающее возможность их восстановления. Операции по созданию резервных копий не должны снижать производительность интернет ресурса - да - - Значение характеристики не может изменяться участником закупки

Требования к организации технологических площадок Технические требования к системе резервного копирования: – резервное копирование всех данных, системных настроек системного и прикладного программного обеспечения; – хранение резервных копий в течение 30 дней; – возможность восстановления данных сайтов и системных настроек на любой из 30 дней; – поддержку развертывания резервной копии не более чем за 15 минут; – обеспечить хранение ежеквартальных и ежегодных копий; – обеспечить хранение резервных копий на внешних носителях информации вне здания ЦОД. Исполнитель несет ответственность за неправомерные действия третьих лиц, получивших доступ к технологическим площадкам вследствие несоблюдения Исполнителем правил защиты информации. Для обеспечения выполнения требований настоящего раздела технического задания Исполнителю необходимо обеспечить предоставление (в терминах Постановления Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации", далее – Перечень): - да - - Значение характеристики не может изменяться участником закупки

– доступа к сети связи лицензиата (подпункт «а» пункта 4 части XIV Перечня); – соединения по сети передачи данных, за исключением соединений для целей передачи голосовой информации (подпункт «б» пункта 4 части XIV Перечня); – доступа к информационным системам информационно-телекоммуникационных сетей, в том числе к сети Интернет (подпункт «б» пункта 4 части XVI Перечня). Соблюдение данных условий требует (в соответствии с Постановлением Правительства РФ от 30.12.2020 № 2385 "О лицензировании деятельности в области оказания услуг связи и признании утратившими силу некоторых актов Правительства Российской Федерации") наличия лицензий, в соответствии с которыми должны оказываться услуги - да - - Значение характеристики не может изменяться участником закупки

Требования к обеспечению работоспособности Исполнитель должен обеспечить бесперебойную работу, а также приемлемое быстродействие. Приемлемым быстродействием считается такое время загрузки страниц, которое превышает время загрузки соответствующих страниц не более чем в два раза в случае, когда нагрузка на серверы минимальна. Оптимальное время загрузки составляет не более 2 секунд. В течение всего периода оказания услуг Исполнителем должно быть обеспечено: – выполнение диагностических и профилактических мероприятий по предотвращению сбоев системного и прикладного программного обеспечения интернет ресурса; – контроль сохранения функциональности программных средств, структур баз данных и интерфейсов межсистемного взаимодействия; – исправление ошибок конфигурации программных и аппаратных средств, обеспечивающих работы интернет ресурса; – информационно-техническое сопровождение интернет ресурса, в том числе: • поддержка системного программного обеспечения; • выполнение необходимых мероприятий в случае некорректной работы прикладного программного обеспечения серверов; • резервное копирование конфигурационных файлов системного и прикладного программного обеспечения и файлов данных; - да - - Значение характеристики не может изменяться участником закупки

• консультация и техническая помощь представителям Заказчика, ответственным за ведение Интернет ресурса (в рамках технической поддержки), по вопросам функционирования системного и прикладного программного обеспечения, а также управления содержимым страниц ресурса. Технические работы, в ходе которых доступ пользователей к информации, размещенной на интернет ресурсе будет невозможен, должны согласовываться с Заказчиком. По требованию Заказчика уведомление о проведении работ должно быть размещено на главной странице соответствующего информационного ресурса в срок не менее чем за сутки до начала работ. В случае возникновения технических неполадок программного обеспечения или иных проблем, влекущих невозможность доступа пользователей к Интернет ресурсам или его частям, администраторам Интернет ресурсам должно быть направлено уведомление о неработоспособности информационного ресурса по e-mail, в мессенджеры и SMS-сообщением. Количество администраторов, которым должно приходить уведомление – не менее 4 - да - - Значение характеристики не может изменяться участником закупки

Требования к обеспечению работоспособности При возобновлении доступа после сбоя администраторам интернет ресурса должно быть направлено соответствующее уведомление. Отправка информации не должна превышать 30 (тридцати) минут с момента восстановления доступа к интернет ресурсу. Длительность перерывов в работе интернет ресурса не должна превышать 4 (четырех) часов в месяц, не считая время плановой недоступности, согласованной с Заказчиком. В отчетную документацию должна войти информация о длительности перерывов в работе интернет ресурса. Также в отчетной документации должно быть отражено проведение технических работ или возникновения технических неполадок, неполадок программного обеспечения или иных проблем с указанием причины, даты и времени начала технических работ или возникновения неполадок, или иных проблем, а также периода - да - - Значение характеристики не может изменяться участником закупки

Требования к тестовой площадке В целях проведения отладки при устранении ошибок и проверки совместимости при проведении обновлений системного и прикладного программного обеспечения Исполнитель должен развернуть на собственных аппаратных ресурсах тестовый стенд – технологическую копию интернет ресурса. Анализ и выявление заявленных Заказчиком проблем должны производиться на тестовом стенде с применением используемой Заказчиком версии программного обеспечения и тестовыми данными - да - - Значение характеристики не может изменяться участником закупки

Требования к защите персональных данных Средствами интернет ресурса осуществляется обработка персональных данных пользователей (формируемых в сервисе «Обращения граждан и организаций»). В соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Для исполнения приведенных требований Исполнитель должен осуществлять контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации на Портале. В соответствии с пунктом 1 Перечня сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 г. № 188) персональные данные отнесены к конфиденциальной информации - да - - Значение характеристики не может изменяться участником закупки

В соответствии с пунктом 5 части 1 статьи 12 Федерального закона от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации является лицензируемой. В соответствии с пунктом 4 подпункты б) Положения о лицензировании деятельности по технической защите конфиденциальной информации (приложение к Постановлению Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации») Исполнитель должен иметь действующую лицензию на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, разрешающую выполнение работ по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации - да - - Значение характеристики не может изменяться участником закупки

Требования по защите информации Защита информации должна быть обеспечена в соответствии с приказом Федеральной службы безопасности Российской Федерации № 416, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 года №489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования». Требования, указанные в данных приказах, являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а именно должны быть выполнены следующие мероприятия: • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе (включая обновление модели угроз безопасности информации, содержащей описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации); • Обновлена система защиты информации информационной системы; • Внедрена обновленная система защиты информации информационной системы;\ • Проведена аттестация технологической площадки для размещения Информационного ресурса Заказчика и ввод ее в действие. - да - - Значение характеристики не может изменяться участником закупки

Аттестация включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы Требованиям приказа ФСТЭК от 29 апреля 2021 года № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну". Аттестация технологической площадки размещения ресурса должна быть проведена в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в информационной системе. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085; - да - - Значение характеристики не может изменяться участником закупки

Требования по защите информации • Обеспечена защита информации в ходе эксплуатации аттестованной информационной системы; • Обеспечена защита информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации содержащейся в информационной системе; • Соблюдены требования к мерам защиты информации, содержащейся в информационной системе. В связи с необходимостью защиты конфиденциальной информации, а именно персональных данных граждан, передаваемых при обращениях через сайт и обрабатываемых программно-техническим комплексом, и в соответствии с пунктом 5 статьи 12 Федерального закона от 04 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства Российской Федерации от 3 февраля 2012 года №79 «О лицензировании деятельности по технической защите конфиденциальной информации», постановлением Правительства Российской Федерации от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности», указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Исполнитель должен обладать лицензией на деятельность по технической защите конфиденциальной информации, выданной ФСТЭК России, в соответствии с подпунктами г), д), е) пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79. - да - - Значение характеристики не может изменяться участником закупки

Для оказания услуг по размещению сайта на технологической площадке Исполнителя, согласно ст. 29 Федерального закон от 07.07.2003 № 126-ФЗ «О связи» и постановлению Правительства РФ от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий», Исполнитель должен обладать лицензией на оказание телематических услуг связи, выданной Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций - да - - Значение характеристики не может изменяться участником закупки

В связи с использованием защищенного криптографическим способом канала связи при проведении работ по управлению контентом и администрированию сайта и в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)", требуется наличие у Исполнителя действующей лицензии ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг - да - - Значение характеристики не может изменяться участником закупки

в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), включающая работы по пунктам 17, 18 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность. - да - - Значение характеристики не может изменяться участником закупки

Требования по защите сетевого взаимодействия пользователей порталов Исполнитель обязан обеспечить доступность интернет ресурса Заказчика в сети Интернет с применением защищенных протоколов сетевого взаимодействия 443/TCP (HTTPS). Исполнитель за свой счет обеспечивает на площадке SSL сертификаты для доменов: • rosgranstroy.ru - да - - Значение характеристики не может изменяться участником закупки

Требования к организации линии технической поддержки Для обеспечения технической поддержки интернет ресурса Исполнителем должны быть реализованы следующие мероприятия: – организация телефонной «горячей линии» для Заказчика; – обеспечение приема и регистрации обращений, поступающих от Заказчика через систему обработки обращений, по телефону «горячей линии» и по электронной почте; – обработка обращений в зависимости от установленного приоритета; – оказание консультационной помощи Заказчику по всем вопросам, непосредственно связанным с эксплуатацией интернет ресурса. Режим работы: – система обработки обращений – 24 часа в сутки, 7 дней в неделю; – телефонной «горячей линии» – 24 часа в сутки, 7 дней в неделю - да - - Значение характеристики не может изменяться участником закупки

Требования к предоставлению доступа к системе обработки обращений На период действия линии технической поддержки ответственным работникам Заказчика должен быть предоставлен доступ в систему электронного взаимодействия (обработки обращений) для учета обращений и формирования статистической информации в разрезе ответственных исполнителей, исполнения обращений Заказчика. Система обработки обращений (далее – СОО) должна обладать следующими возможностями: СОО должна функционировать в режиме 24x7x365 (круглосуточно, семь дней в неделю, 365 дней в году) и быть доступна в сети Интернет и размещаться на серверах Исполнителя. СОО должна обеспечивать сбор, хранение, обработку, поиск, выдачу, сортировку по реквизитам необходимой информации в соответствии с настоящими техническими требованиями. Заказчику должен быть предоставлен доступ к СОО через WEB интерфейс. Учетные данные для ответственных представителей Заказчика предоставляются по письменному запросу, направленному в адрес Исполнителя. В СОО для заказчика должны быть предусмотрены роли: – Заказчик наблюдатель – должен иметь возможность просматривать все заявки. – Заказчик пользователь – должен иметь возможность подавать заявки, видеть все свои заявки, следить за ходом исполнения, вносить комментарии по ходу выполнения работы над заявкой, видеть комментарии исполнителей, получать SMS/E-mail уведомления о состоянии заявки - да - - Значение характеристики не может изменяться участником закупки

Требования к предоставлению доступа к системе обработки обращений В СОО не должно быть предусмотрено (доступно) операций удаления какой бы то ни было информации ни для кого из пользователей СОО. Исполнитель полностью отвечает за информационную безопасность СОО. СОО должна обеспечивать минимальный перечень полей базы данных заявок (обращений): – Уникальный номер заявки; – Дата и время поступления заявки; – Период (срок) оказания услуг по заявке; – ФИО пользователя подавшего обращение; – Должность пользователя подавшего обращение; – Контактный телефон; – Номер кабинета; – Предмет заявки; – Статус заявки; – Сотрудник Исполнителя; – Обеспечить возможность прикрепления в заявке файла; – Инвентарный номер; - да - - Значение характеристики не может изменяться участником закупки

В СОО в заявке должна быть возможность указать категорию заявки. Список категорий согласовывается с Исполнителем. В СОО и сотрудников Исполнителя должны быть отдельные учетные записи с возможностью доступа через WEB интерфейс. В СОО для Исполнителя должны быть предусмотрены роли: – Ответственный сотрудник исполнителя – должен иметь возможность заводить заявки, назначить их на инженеров, приостанавливать заявки, отменять заявки, закрывать заявки; – Оператор – должен иметь возможность заводить заявки, назначить их на инженеров; – Разработчик – должен иметь возможность принимать в работу заявки, завершать работу по заявкам; Для каждого обращения в СОО сохраняется как минимум следующая информация: обращение, контактная информация лица (телефон, адрес электронной почты, должность, ФИО) подавшего обращение, дата и время регистрации обращения, дата и время решения инцидента\исполнения заявки. Исполнитель самостоятельно в инициативном порядке узнает у обратившегося за консультацией пользователя всю информацию, необходимую для ведения базы обращений и выявления содержания обращения - да - - Значение характеристики не может изменяться участником закупки

Требования к предоставлению доступа к системе обработки обращений В СОО заявки должны иметь состояния: – “Новая заявка” – новая заявка недавно поступившая в работу; – “Назначенная заявка” – заявка назначенная инженеру ответственным сотрудником исполнителя; – “Заявка в работе ” – заявка принята инженером исполнителя в работу; – “Заявка выполненная ” – заявка, работы по которой инженер исполнителя закончил; – “Приостановленная заявка” – заявка приостановленная инженером исполнителя. Без указания причины заявка не может быть переведена в указанное состояние; – “Возобновленная заявка” – заявка возобновлённая инженером исполнителя; – “Закрытая заявка” – заявка, работы по которой приняты ответственным сотрудником исполнителя; – “Просроченная заявка” – заявка, работы по которой не завершены и срок выполнения заявки превышен; – “Отмененная заявка” – заявка, отмененная ответственным сотрудником исполнителя с указанием причин её отмены. Без указания причины заявка не может быть переведена в указанное состояние; - да - - Значение характеристики не может изменяться участником закупки

– Сотрудник Исполнителя с ролью “Разработчик” в своем WEB интерфейсе видеть только назначенные на него заявки; – Заказчик с ролью “Заказчик наблюдатель” в своем WEB интерфейсе должен видеть все заявки; – Заказчик с ролью “Заказчик пользователь” в своем WEB интерфейсе должен видеть только свои заявки; – Сотрудник Исполнителя с ролью “Ответственный” в своем WEB интерфейсе должен видеть все заявки; – Сотрудник Исполнителя с ролью “Оператор” в своем WEB интерфейсе должен видеть все заявки; – Должна быть предусмотрена возможность информирования по SMS заявителя о статусе заявки, ответственном за выполнение данной заявки. – Работники Заказчика должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – Работники Исполнителя должны иметь возможность оставлять комментарии в неограниченном количестве по ходу выполнения работы над заявкой. Должна быть возможность прикреплять файлы, картинки. – СОО должна уметь забирать заявки со специально отведенного для получения заявок e-mail адреса. Заявке полученной по e-mail должен присваиваться уникальный номер. Данный номер должен подставляться в поле ТЕМА обратного письма. При сохранении в теме письма данного номера, все сообщения пользователя должны попадать в качестве комментариев пользователя в соответствующую заявку в быть видимы через WEB интерфейс сотрудникам исполнителя. – СОО должна информировать сотрудников исполнителя с ролью “Ответственный” о просроченных заявках. – СОО должна обеспечивать выгрузку за любой произвольный период список заявок с полной информацией по заявке - да - - Значение характеристики не может изменяться участником закупки

Требования к предоставлению доступа к системе обработки обращений – СОО должна обеспечивать выгрузку по выполненным заявкам по любому из сотрудников Исполнителя. Порядок получения доступа к СОО: Заказчик направляет в адрес Исполнителя письменное обращение с указанием списка сотрудников Заказчика имеющих право доступа к СОО. В списке сотрудников Заказчика, имеющих право доступа к СОО, в обязательном порядке для каждого сотрудника указываются: ФИО; должность; служебный телефонный номер; адрес электронной почты, телефон. Исполнитель передает Заказчику список учетных данных, закреплённых за указанными сотрудниками. Заказчик несёт полную ответственность за деятельность своих сотрудников в СОО и конфиденциальность переданных учетных данных. В случае если Заказчиком были утеряны учетные данные пользователя, либо переданные Исполнителем учетные данные не позволяют осуществить доступ к СОО, Заказчик письменно сообщает об этом Исполнителю - да - - Значение характеристики не может изменяться участником закупки

Требования к срокам размещения и миграции Исполнитель в течении 3 дней с даты заключения государственного контракта должен предоставить Заказчику: Технологические площадки согласно настоящему Техническому заданию. В случае необходимости миграции ресурса Заказчика, Исполнитель также предоставляет: • план мероприятий по развертыванию прикладного программного обеспечения, предоставляемого Заказчиком; • план мероприятий по миграции данных на представленную техническую площадку Исполнителя, который обеспечивал бы перерыв в работе ресурса не более 4 часов на период миграции. Работы по развертыванию и миграции данных на представленные технологические площадки Исполнителя должны быть проведены в течение 5 дней после заключения государственного контракта - да - - Значение характеристики не может изменяться участником закупки

Требования к срокам исполнения обращений Время регистрации и классификации обращения – не более 30 (тридцати) минут во время работы линии технической поддержки. Работа над обращением должны выполняться в сроки, указанные в таблице нормативов (см. таблицу) - да - - Значение характеристики не может изменяться участником закупки

Требования к гарантии качества оказываемых услуг Гарантия качества распространяется на услуги по технической поддержке Интернет ресурса. Гарантийный срок составляет 12 (двенадцать) месяцев с даты подписания Документа о приемке услуг в ЕИС по последнему этапу. В случае выявления недостатков Исполнитель должен обеспечить их устранение своими силами и за свой счет в срок до 10 (десяти) календарных дней - да - - Значение характеристики не может изменяться участником закупки

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требование к участникам закупок в соответствии с п. 1 ч. 1 ст. 31 Закона № 44-ФЗ Дополнительные требования Наличие у участника закупки: - действующей лицензии ФСБ России на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств; - действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации; - действующей лицензии на оказание телематических услуг связи, выданной Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. 2. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 3. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Обеспечение заявки

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 60 000,00 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: Обеспечение заявки на участие в закупке предоставляется одним из следующих способов: 1) путем блокирования денежных средств на банковском счете, открытом таким участником в банке, включенном в перечень, утвержденный Правительством Российской Федерации (далее - специальный счет), для их перевода в случаях, предусмотренных статьей 44 Федерального закона № 44-ФЗ, на счет, на котором в соответствии с законодательством Российской Федерации учитываются операции со средствами, поступающими заказчику, или в соответствующий бюджет бюджетной системы Российской Федерации. Требования к таким банкам, к договору специального счета, к порядку использования имеющегося у участника закупки банковского счета в качестве специального счета устанавливаются Правительством Российской Федерации. 2) путем предоставления независимой гарантии, соответствующей требованиям статьи 45 Федерального закона № 44-ФЗ. Участник закупки для подачи заявки на участие в закупке выбирает с использованием электронной площадки способ обеспечения такой заявки путем указания реквизитов специального счета или указания номера реестровой записи из реестра независимых гарантий, размещенного в единой информационной системе. Участники закупки, зарегистрированные на территории государства — члена ЕАЭС (кроме России) вносят денежные средства, предназначенные для обеспечения заявок, на счет, который указан в пункте  16.2 извещения, и на котором в соответствии с законодательством РФ учитываются операции со средствами, поступающими заказчику.Денежные средства, внесенные участниками закупки, зарегистрированными на территории государства — члена ЕАЭС (кроме России) в качестве обеспечения заявки на участие в закупке, заказчик возвращает не позднее 5 рабочих дней со дня, следующего за днем наступления случаев, предусмотренных пунктами 16 части 10 статьи 44 Закона № 44-ФЗ. Возврат денежных средств участнику закупки не осуществляется в случае, предусмотренном пунктом 7 части 10 статьи 44  Закона № 44-ФЗ.

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03212643000000017300, л/c 05731D10041, БИК 004525988

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО Г. МОСКВЕ (ФГКУ РОСГРАНСТРОЙ) ИНН: 7709827266 КПП: 770801001 КБК: 10311610051019000140 ОКТМО: 45378000 40102810545370000003 03100643000000017300 004525988

Условия контракта

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, г Москва, г. Москва, ул. Садовая-Спасская, д.18, стр.1

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Обеспечение исполнения контракта

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 30 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: Не позднее пяти рабочих дней, следующих за днем размещения заказчиком в соответствии с частью 2 статьи 51 Федерального закона № 44-ФЗ проекта контракта, участник закупки с которым заключается контракт подписывает усиленной электронной подписью лица, имеющего право действовать от имени участника закупки, проект контракта и одновременно размещает на электронной площадке подписанный проект контракта, а также документ, подтверждающий предоставление обеспечения исполнения контракта в соответствии с Федеральным законом № 44-ФЗ. Участник закупки, с которым заключается контракт по результатам определения поставщика (подрядчика, исполнителя) в соответствии с пунктом 1 части 1 статьи 30 настоящего Федерального закона, освобождается от предоставления обеспечения исполнения контракта, в том числе с учетом положений статьи 37 настоящего Федерального закона, от обеспечения гарантийных обязательств в случае предоставления таким участником закупки информации, содержащейся в реестре контрактов, заключенных заказчиками, и подтверждающей исполнение таким участником (без учета правопреемства) в течение трех лет до даты подачи заявки на участие в закупке трех контрактов, исполненных без применения к такому участнику неустоек (штрафов, пеней). Такая информация представляется участником закупки до заключения контракта в случаях, установленных настоящим Федеральным законом для предоставления обеспечения исполнения контракта. При этом сумма цен таких контрактов должна составлять не менее начальной (максимальной) цены контракта, указанной в извещении об осуществлении закупки и документации о закупке.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03212643000000017300, л/c 05731D10041, БИК 004525988

Информация о банковском и (или) казначейском сопровождении контракта

Банковское или казначейское сопровождение контракта не требуется

Документы

Общая информация

Документы

Журнал событий