Номер извещения: 0187300014725002044

Общая информация о закупке

Внимание! За нарушение требований антимонопольного законодательства Российской Федерации о запрете участия в ограничивающих конкуренцию соглашениях, осуществления ограничивающих конкуренцию согласованных действий предусмотрена ответственность в соответствии со ст. 14.32 КоАП РФ и ст. 178 УК РФ

Способ определения поставщика (подрядчика, исполнителя): Открытый конкурс в электронной форме

Наименование электронной площадки в информационно-телекоммуникационной сети «Интернет»: РТС-тендер

Адрес электронной площадки в информационно-телекоммуникационной сети «Интернет»: http://www.rts-tender.ru

Размещение осуществляет: Уполномоченный орган АДМИНИСТРАЦИЯ СУРГУТСКОГО РАЙОНА

Наименование объекта закупки: Оказание услуг по проведению теста на проникновение и анализу уязвимостей объектов информационной инфраструктуры органов местного самоуправления Сургутского района

Этап закупки: Подача заявок

Сведения о связи с позицией плана-графика: 202503873000553001000014

Контактная информация

Размещение осуществляет: Уполномоченный орган

Организация, осуществляющая размещение: АДМИНИСТРАЦИЯ СУРГУТСКОГО РАЙОНА

Почтовый адрес: 628412, ХАНТЫ-МАНСИЙСКИЙ АВТОНОМНЫЙ ОКРУГ - ЮГРА , СУРГУТ, УЛ ЭНГЕЛЬСА, ЗД. 10

Место нахождения: 628412, ХАНТЫ-МАНСИЙСКИЙ АВТОНОМНЫЙ ОКРУГ - ЮГРА , СУРГУТ, УЛ ЭНГЕЛЬСА, ЗД. 10

Ответственное должностное лицо: Новожилова Д. С.

Адрес электронной почты: nds@admsr.ru

Номер контактного телефона: 8-34625-26087-1087

Дополнительная информация: КОНТАКТНАЯ ИНФОРМАЦИЯ: Заказчик : МУНИЦИПАЛЬНОЕ КАЗЁННОЕ УЧРЕЖДЕНИЕ "ХОЗЯЙСТВЕННО-ЭКСПЛУАТАЦИОННОЕ УПРАВЛЕНИЕ АДМИНИСТРАЦИИ СУРГУТСКОГО РАЙОНА"; Контактная информация : Местонахождение: 628433, ХАНТЫ-МАНСИЙСКИЙ АВТОНОМНЫЙ ОКРУГ - ЮГРА , СУРГУТСКИЙ Р-Н, ПГТ БЕЛЫЙ ЯР, УЛ. МАЯКОВСКОГО, Д. 1 А; Телефон: 7-3462-526526; E-mail: KarelinaES@admsr.ru; Контактное лицо заказчика: Иванова Светлана Сергеевна; Номер контактного телефона: 8-34625-26513; E-mail: ivanovass@admsr.ru;

Регион: Ханты-Мансийский Автономный округ - Югра АО

Информация о процедуре закупки

Дата и время окончания срока подачи заявок: 09.12.2025 09:00 (МСК+2)

Дата окончания срока рассмотрения и оценки вторых частей заявок: 11.12.2025

Дата подведения итогов определения поставщика (подрядчика, исполнителя): 12.12.2025

Начальная (максимальная) цена контракта

Начальная (максимальная) цена контракта: 2 026 388,41

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 253861702001986170100100150160000244

Информация об объекте закупки

Код позиции - Наименование товара, работы, услуги - Ед. измерения - Количество (объем работы, услуги) - Цена за ед., ? - Стоимость, ?

- 74.90.20.149 - Оказание услуг по проведению теста на проникновение и анализу уязвимостей объектов информационной инфраструктуры органов местного самоуправления Сургутского района Цель оказания услуг Оценка уровня защищённости ИТ-инфраструктуры органов местного самоуправления Сургутского района, включая веб-приложения, внешнюю и внутреннюю сетевую инфраструктуру, с выявлением уязвимостей, потенциальных векторов атак и разработкой приоритетных рекомендаций по устранению рисков информационной безопасности Место и срок оказания услуг Срок оказания услуг: в течение 35 рабочих дней с даты заключения Муниципального контракта Место оказания услуг: 628416, Ханты–Мансийский автономный округ – Югра, г. Сургут, улица Бажова, 16; 628408, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энгельса, д. 10; 628412, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энергетиков, д. 22; 628401, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Мелик-Карамова, 37/1 Услуги оказываются: дистанционно, с использованием средств связи и вычислительных ресурсов на территории РФ Задачи оказания услуг 3.1.Проведение внешнего, внутреннего и веб-тестирования на проникновение (пентест) с целью выявления уязвимостей в веб-приложениях, сетевой инфраструктуре, конфигурациях оборудования и программного обеспечения. 3.2.Анализ возможных сценариев несанкционированного доступа к критичной информации, включая персональные данные, административные интерфейсы, системные ресурсы и конфиденциальные документы. 3.3.Оценка эффективности существующих технических и организационных мер защиты. 3.4.Моделирование угроз. Практическая демонстрация возможности использования уязвимостей (на примере наиболее критичных). 3.5.Разработка детализированных рекомендаций по устранению выявленных уязвимостей и повышению общего уровня информационной безопасности. 3.6.Проведение контрольной перепроверки устранённых уязвимостей для работ по внешнему тестированию на проникновению и анализу защищенности веб приложений. 3.7. Подготовка полного отчётного документа, соответствующего требованиям законодательства РФ и международным стандартам - Штука - 1,00 - 2 026 388,41 - 2 026 388,41

МУНИЦИПАЛЬНОЕ КАЗЁННОЕ УЧРЕЖДЕНИЕ "ХОЗЯЙСТВЕННО-ЭКСПЛУАТАЦИОННОЕ УПРАВЛЕНИЕ АДМИНИСТРАЦИИ СУРГУТСКОГО РАЙОНА" - 1 -

- Наименование характеристики Значение характеристики Единица измерения характеристики Инструкция по заполнению характеристик в заявке Цель оказания услуг Оценка уровня защищённости ИТ-инфраструктуры органов местного самоуправления Сургутского района, включая веб-приложения, внешнюю и внутреннюю сетевую инфраструктуру, с выявлением уязвимостей, потенциальных векторов атак и разработкой приоритетных рекомендаций по устранению рисков информационной безопасности Место и срок оказания услуг Срок оказания услуг: в течение 35 рабочих дней с даты заключения Муниципального контракта Место оказания услуг: 628416, Ханты–Мансийский автономный округ – Югра, г. Сургут, улица Бажова, 16; 628408, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энгельса, д. 10; 628412, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энергетиков, д. 22; 628401, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Мелик-Карамова, 37/1 Услуги оказываются: дистанционно, с использованием средств связи и вычислительных ресурсов на территории РФ Задачи оказания услуг 3.1.Проведение внешнего, внутреннего и веб-тестирования на проникновение (пентест) с целью выявления уязвимостей в веб-приложениях, сетевой инфраструктуре, конфигурациях оборудования и программного обеспечения. 3.2.Анализ возможных сценариев несанкционированного доступа к критичной информации, включая персональные данные, административные интерфейсы, системные ресурсы и конфиденциальные документы. 3.3.Оценка эффективности существующих технических и организационных мер защиты. 3.4.Моделирование угроз. Практическая демонстрация возможности использования уязвимостей (на примере наиболее критичных). 3.5.Разработка детализированных рекомендаций по устранению выявленных уязвимостей и повышению общего уровня информационной безопасности. 3.6.Проведение контрольной перепроверки устранённых уязвимостей для работ по внешнему тестированию на проникновению и анализу защищенности веб приложений. 3.7. Подготовка полного отчётного документа, соответствующего требованиям законодательства РФ и международным стандартам Состав и содержание услуг 4.1.Внешнее тестирование на проникновение 4.1.1.Сбор информации Определение IP-адресов, доменов, поддоменов, открытых портов, сервисов. Анализ средств защиты (IDS/IPS), сетевых ограничений. OSINT-сбор данных: анализ доменов, поддоменов, email, резюме сотрудников, WHOIS, DNS, утечек на GitHub, Pastebin и др. 4.1.2.Сканирование и анализ Сканирование портов, сбор баннеров. Определение версий ПО. Поиск устаревшего ПО, небезопасных конфигураций, учётных записей по умолчанию. Перебор паролей, поиск ресурсов без авторизации. 4.1.3.Ручной поиск уязвимостей Агрегация информации о сети. Перебор логинов/паролей в веб-интерфейсах, RDP, сетевом оборудовании. Поиск сценариев проникновения во внутреннюю сеть. Анализ веб-приложений (даже если они не в основной области) 4.1.4.Эксплуатация уязвимостей Построение цепочек атак Получение доступа к системам, данным, административным интерфейсам. Демонстрация компрометации. 4.1.5.Проверка межсетевой изоляции Оценка эффективности сегментации между внешней и внутренней сетью. Проверка возможности перехода с внешнего IP-адреса во внутреннюю сеть. Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др. 4.2.Внутреннее тестирование на проникновение 4.2.1.Сбор информации Анализ сегментации сети, механизмов выдачи IP (DHCP). Определение доступных узлов из пользовательского сегмента. 4.2.2.Сканирование внутренних ресурсов Определение типов устройств, ОС, сервисов. Поиск скрытых сервисов (SMB, NFS, RDP, базы данных). 4.2.3. Поиск уязвимостей Проверка доступа к СУБД, интерфейсам управления, удалённому доступу. Перехват сетевого трафика, выявление небезопасных протоколов (SMBv1, Telnet). Подбор слабых паролей (в рамках политики безопасности). 4.2.4.Повышение привилегий и перемещение по сети Попытки повышения привилегий. Проверка возможности доступа к ресурсам с ограниченным доступом. Проверка возможности перехода из пользовательской сети в административные сегменты. Для проведения работ Заказчик предоставляет доступ к типовому АРМ с минимальными привилегиями. Используемое при оказании услуг ПО (не включая внутренние разработки): Nmap; Masscan; Patator; Metasploit; PowerMad; ntlmrelayx; Responder; Rubeus; SharpRDP; SharpSocks; Proxifier; Nishang; PowerSploit; Bloodhound; PowerUp; Impacket и др 4.3.Анализ защищённости веб-приложений 4.3.1.Сбор информации Анализ сетевого взаимодействия, HTTP-запросов, определение целевых API-методов. Выявление потенциально уязвимых модулей: аутентификация, авторизация, загрузка файлов, обработка ввода, парсинг документов, взаимодействие с СУБД и внешними сервисами. 4.3.2.Автоматизированное сканирование Использование инструментов анализа защищённости (Burp Suite, OWASP ZAP, Nmap). Верификация результатов: отсеивание ложных срабатываний, уточнение уровня риска. 4.3.3.Ручной и полуавтоматический поиск уязвимостей Определение используемых технологий, фреймворков, версий ПО. Поиск: ?Инъекций (SQLi, XSS, Command Injection, XXE); ?Уязвимостей десериализации, type confusion; ?Ошибок авторизации, повышения привилегий, mass assignment; ?Криптографических уязвимостей (padding oracle, слабые генераторы, ошибки подписи); ?Логических ошибок, состояний гонки, утечек данных; ?Уязвимостей JavaScript-кода (XSS, CSRF, prototype pollution). 4.3.4.Эксплуатация уязвимостей Демонстрация получения доступа к системам и данным. Компрометация серверов, приложений, баз данных. Построение цепочек атак для достижения целей (например, доступ к ПДн). Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др 4.4.Повторная проверка Одна процедура контрольной перепроверки после устранения уязвимостей Заказчиком. Срок повторной проверки — не ранее 7 и не позднее 10 календарных месяцев с даты сдачи отчёта. При повторном обнаружении уязвимости, требующей финансовых вложений, Исполнитель предоставляет альтернативные варианты устранения. 4.5. Отчетная документация 4.5.1. Отчет о результатах внешнего и внутреннего тестирования на проникновение: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности; • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • результаты проведенного тестирования на проникновение; • оценка состояния защищенности ИТ-инфраструктуры как с точки зрения потенциальных векторов проникновения, так и с точки зрения используемых механизмов защиты; • перечень и описание существующих угроз; • перечень и описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности (критичности), вероятности их использования, описание последствий реализации выявленных уязвимостей; • перечень скомпрометированных в рамках работ компонентов инфраструктуры заказчика; • оценка мер по противодействию моделирования атаки со стороны заказчика • результаты проведенных проверок • результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования. • выводы по анализу уязвимостей в веб-приложениях и методах их нейтрализации; • приоритизированный перечень рекомендации по повышению уровня защищенности и устранению выявленных уязвимостей; 4.5.2. Отчет о результатах анализа защищенности веб- приложения: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • обобщенные результаты тестирования; • описание и краткая характеристика веб-приложения; • описание обнаруженных уязвимостей; • оценка мер по противодействию моделирования атаки со стороны заказчика • описание результатов использования выявленных уязвимостей и возможности их эксплуатации; • рекомендации по устранению найденных уязвимостей и повышению текущего уровня защищенности веб-приложения. 4.5.3. Отчет о результатах перепроверки Условия оказания Услуг 5.1 Услуги оказываются только в отношении ресурсов, принадлежащих Заказчику, либо находящихся в оперативном управлении Заказчика по заданию органа местного самоуправления. 5.2 Заказчик предоставляет Исполнителю авторизационное письмо с описанием информационной инфраструктуры, подлежащей тестированию, подтверждая факт правообладания ресурсами, а также доступы, необходимые для оказания Услуг, не позднее 5 (пяти) рабочих дней с даты подписания Муниципального контракта или получения соответствующего запроса. 5.3 Исполнитель может запросить у Заказчика дополнительную информацию / дополнительного содействия с целью оказания Услуг. 5.4 Услуги предварительно согласовываются с ответственными представителями Заказчика. Все действия Исполнителя, которые могут привести к нарушению функционирования или другим негативным последствиям для Заказчика, согласовываются с Заказчиком заблаговременно. 5.5 Методика оказания Услуг определяется Исполнителем. Заказчик предоставляет свое согласие на использование Исполнителем любых программных средств и методов, необходимых для оказания Услуг в соответствии с настоящим Описанием объекта закупки. 5.6 В случае высокой вероятности нарушения функционирования целевых систем или в случае успешного доступа к конфиденциальной информации Заказчика Исполнитель прекращает дальнейшее оказание Услуг до получения от Заказчика формального разрешения на продолжение оказания Услуг. 5.7 Услуги осуществляются методом черного и серого ящика 5.8 После выполнения услуг все средства проведения Оценки уровня защищенности, применявшиеся в рамках выполнения услуг, удаляются из инфраструктуры. 5.9 Исполнитель предоставляет полную информацию о действиях, выполнявшихся в ходе Оценке защищенности, применявшихся методах атаки, выявленных недостатках и причинах, результатах использования наиболее серьезных недостатков и объективных свидетельствах, подтверждающих как наличие недостатков, так и результаты их использования специалистами Исполнителя. Модель угроз и оценка рисков 6.1. Используемые модели нарушителя. Модель нарушителя применяемая в рамках внешнего тестирования на проникновение: Внешний злоумышленник без доступа к внутренней сети. Цель: получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках внутреннего тестирования на проникновение: Пользователь, имеющий сетевой доступ во внутненнюю сеть Заказчика, не обладающий логическими привилегиями. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках тестирования на проникновение веб-приложения: Внешний нарушитель, не обладающий привилегированным доступом к функциональности веб-приложения. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, получение несанкционированного доступа к обрабатываемой информации, компрометация сервера. Использует общедоступное ПО, не разрабатывает 0-day эксплойты 6.2.Шкала оценки рисков (Уровень: Критерии). Критический: Полная компрометация, доступ к ПДн, RCE; Высокий: SQLi, XSS, повышение привилегий; Средний: Утечка информации, слабая аутентификация; Низкий: Отсутствие заголовков безопасности, открытые директории. Оценка проводится по комбинации CVSS и внутренней шкалы Количественные характеристики Количество веб-приложений: не менее 2 (двух) Точные данные предоставляются после подписания Соглашения о неразглашении конфиденциальной информации Оценка защищенности внешнего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 50 (пятидесяти). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. Оценка защищенности внутреннего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 2000 (двух тысяч). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. Методология тестирования Black box («чёрный ящик»). По согласованию — grey box (с частичными данными) Нормативно-правовая база Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 24.06.2025) "Об информации, информационных технологиях и о защите информации"; Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 28.02.2025) "О персональных данных"; Федеральный закон от 28.12.2010 N 390-ФЗ (ред. от 10.07.2023) "О безопасности"; Требования приказов ФСТЭК и политики информационной безопасности Администрации Сургутского района Требования по обеспечению конфиденциальности информации 10.1. Исполнитель обязуется обеспечивать в отношении персональных данных, полученных при оказании услуг, все требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ №152-ФЗ), включая, но не ограничиваясь: соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ №152-ФЗ; соблюдать конфиденциальность персональных данных; не осуществлять трансграничную передачу персональных данных, обеспечить выполнение обязательств статьи 18.1. ФЗ №152-ФЗ. 10.2. Исполнитель обязуется осуществлять только те действия с персональными данными, которые напрямую относятся к целям контракта. Исполнитель обязуется не предоставлять и не передавать персональные данные иным третьим лицам. Несмотря на изложенное в настоящем пункте ограничение (или ограничение в тексте МК Исполнитель вправе (при соблюдении надлежащего уровня безопасности получаемых персональных данных, а также иных требований законодательства в области обработки персональных данных) обрабатывать такие персональные данные (как в зашифрованном виде, так и в незашифрованном) в центрах обработки персональных данных (в том числе виртуальных) и облачных платформах, находящихся в собственности непосредственно Исполнителя. Требования к качеству и безопасности услуг Услуги оказываются с учётом рабочего времени пользователей, эксплуатирующих обследуемые системы и сервисы, ИТ-инфраструктуру. Использование инструментальных (программных и программно-технических) средств контроля защищенности компонент объекта не должны приводить к нарушению работоспособности обследуемых систем, сервисов и ИТ. Требования к обработке и уничтожению данных Все данные (логи, дампы, учётные записи, сессии): - хранятся на зашифрованных носителях; - не передаются третьим лицам; - уничтожаются в течение 30 дней после сдачи отчёта. По завершению — предоставляется Акт уничтожения данных с подписью представителя Исполнителя (приложение 3 к проекту контракта). Требования к исполнителю Наличие действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации на работы, предусмотренные пунктом «б» перечня видов работ и услуг, составляющих лицензируемую деятельность, указанного в Положении, утвержденном Постановлением Правительства Российской Федерации № 79 от 03.02.2012 либо записи из реестра лицензий, либо копии акта лицензирующего органа о принятом решении В ходе пентеста Исполнителем может быть получен доступ к ПДн (в логах, дампах, сессиях и т.д): Исполнитель обязан соблюдать требования ФЗ-152. Требования к отчётным документам Отчёт предоставляется в форматах: Формат: PDF + DOCX , подпись, печать. Язык: русский. Срок предоставления: в течение 10 рабочих дней после завершения тестирования. Уровень конфиденциальности: «Для служебного пользования». Содержание отчёта - Техническая часть (для ИТ-специалистов) - Управленческая часть (для руководства) - Графическое отображение векторов атак с оценкой сложности - Рекомендации по устранению уязвимостей и улучшению ИБ Формат предоставления: - Электронно: на зашифрованном USB-носителе (2 экземпляра) - Бумажно: сброшюрованный экземпляр (1 шт.) Ответственность сторон Исполнитель не несёт ответственности за сбои, вызванные: - Предсуществующими дефектами ПО; - Недостаточным резервным копированием со стороны Заказчика. Заказчик: - Обеспечивает резервное копирование критичных систем перед началом работ. - Блокирует тестовые среды от влияния на используемые в работе данные. Исполнитель использует только легальные методы, не проводит DoS-атаки и не модифицирует данные без согласия Заказчика. Исполнитель предоставляет копию договора страхования гражданской ответственности. Порядок взаимодействия Основной канал: защищённая электронная почта. Еженедельный статус-отчёт по ходу работ. Критические уязвимости сообщаются в течение 1 часа после обнаружения (по телефону + email). Согласование времени проведения критичных работ — не менее чем за 24 часа . Требования к привлечению субподрядчиков 17.1 Исполнитель вправе привлекать третьих лиц для оказания услуг только с согласования Заказчика. 17.2 При привлечении к исполнению контракта соисполнителей, соответствие соисполнителя требованиям по п. 13 и наличию специалистов и иных работников определенного уровня квалификации подтверждается путем предоставления Заказчику подтверждающих документов в течение 5 (пяти) дней с даты заключения контракта. 17.3 При привлечении к исполнению МК соисполнителей, с ним подписывается Соглашение о нерасглашении конфиденциальной информацмии. 17.4 При отсутствии подтверждающих документов по п. 13, наличию специалистов и иных работников определенного уровня квалификации и подписанного Соглашения о неразглашении, соисполнитель к оказанию услуг не допускается. Требования к гарантии качества оказания услуг Срок предоставления гарантии качества оказанныхуслуг - 12 месяцев со дня подписания Акта о приемке оказанных Услуг. Исполнитель в течение срока предоставления гарантии обеспечивает своевременное (в срок не более 10 рабочих дней после предоставления Заказчиком всей необходимой для устранения ошибок информации) устранение недочетов и ошибок, выявленных после оказания Услуг. Требования к контролю и приемке оказанных услуг 19.1 В процессе оказания услуг представитель Заказчика вправе проверять текущее состояние оказания услуг, давать замечания и предложения, которые, при согласовании, учитываются Исполнителем. Замечания и предложения не должны увеличивать стоимость оказания услуг. 19.2 Исполнитель оказывает Услуги в электронном виде и формирует необходимые отчетные документы по завершении каждого этапа. По завершении выполнения услуг Исполнитель формирует Отчеты, являющиеся основанием для формирования документа о приемке. 19.3. Срок устранения предоставленных Заказчиком замечаний к результатам оказания услуг и повторного предоставления исправленных результатов оказания услуг на рассмотрение Заказчиком составляет 3 рабочих дня с момента предоставления Исполнителю указанных замечаний - Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке - Цель оказания услуг - Оценка уровня защищённости ИТ-инфраструктуры органов местного самоуправления Сургутского района, включая веб-приложения, внешнюю и внутреннюю сетевую инфраструктуру, с выявлением уязвимостей, потенциальных векторов атак и разработкой приоритетных рекомендаций по устранению рисков информационной безопасности - - - Место и срок оказания услуг - Срок оказания услуг: в течение 35 рабочих дней с даты заключения Муниципального контракта Место оказания услуг: 628416, Ханты–Мансийский автономный округ – Югра, г. Сургут, улица Бажова, 16; 628408, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энгельса, д. 10; 628412, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энергетиков, д. 22; 628401, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Мелик-Карамова, 37/1 Услуги оказываются: дистанционно, с использованием средств связи и вычислительных ресурсов на территории РФ - - - Задачи оказания услуг - 3.1.Проведение внешнего, внутреннего и веб-тестирования на проникновение (пентест) с целью выявления уязвимостей в веб-приложениях, сетевой инфраструктуре, конфигурациях оборудования и программного обеспечения. 3.2.Анализ возможных сценариев несанкционированного доступа к критичной информации, включая персональные данные, административные интерфейсы, системные ресурсы и конфиденциальные документы. 3.3.Оценка эффективности существующих технических и организационных мер защиты. 3.4.Моделирование угроз. Практическая демонстрация возможности использования уязвимостей (на примере наиболее критичных). 3.5.Разработка детализированных рекомендаций по устранению выявленных уязвимостей и повышению общего уровня информационной безопасности. 3.6.Проведение контрольной перепроверки устранённых уязвимостей для работ по внешнему тестированию на проникновению и анализу защищенности веб приложений. 3.7. Подготовка полного отчётного документа, соответствующего требованиям законодательства РФ и международным стандартам - - - Состав и содержание услуг - 4.1.Внешнее тестирование на проникновение 4.1.1.Сбор информации Определение IP-адресов, доменов, поддоменов, открытых портов, сервисов. Анализ средств защиты (IDS/IPS), сетевых ограничений. OSINT-сбор данных: анализ доменов, поддоменов, email, резюме сотрудников, WHOIS, DNS, утечек на GitHub, Pastebin и др. 4.1.2.Сканирование и анализ Сканирование портов, сбор баннеров. Определение версий ПО. Поиск устаревшего ПО, небезопасных конфигураций, учётных записей по умолчанию. Перебор паролей, поиск ресурсов без авторизации. 4.1.3.Ручной поиск уязвимостей Агрегация информации о сети. Перебор логинов/паролей в веб-интерфейсах, RDP, сетевом оборудовании. Поиск сценариев проникновения во внутреннюю сеть. Анализ веб-приложений (даже если они не в основной области) 4.1.4.Эксплуатация уязвимостей Построение цепочек атак Получение доступа к системам, данным, административным интерфейсам. Демонстрация компрометации. 4.1.5.Проверка межсетевой изоляции Оценка эффективности сегментации между внешней и внутренней сетью. Проверка возможности перехода с внешнего IP-адреса во внутреннюю сеть. Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др. - - - 4.2.Внутреннее тестирование на проникновение 4.2.1.Сбор информации Анализ сегментации сети, механизмов выдачи IP (DHCP). Определение доступных узлов из пользовательского сегмента. 4.2.2.Сканирование внутренних ресурсов Определение типов устройств, ОС, сервисов. Поиск скрытых сервисов (SMB, NFS, RDP, базы данных). 4.2.3. Поиск уязвимостей Проверка доступа к СУБД, интерфейсам управления, удалённому доступу. Перехват сетевого трафика, выявление небезопасных протоколов (SMBv1, Telnet). Подбор слабых паролей (в рамках политики безопасности). 4.2.4.Повышение привилегий и перемещение по сети Попытки повышения привилегий. Проверка возможности доступа к ресурсам с ограниченным доступом. Проверка возможности перехода из пользовательской сети в административные сегменты. Для проведения работ Заказчик предоставляет доступ к типовому АРМ с минимальными привилегиями. Используемое при оказании услуг ПО (не включая внутренние разработки): Nmap; Masscan; Patator; Metasploit; PowerMad; ntlmrelayx; Responder; Rubeus; SharpRDP; SharpSocks; Proxifier; Nishang; PowerSploit; Bloodhound; PowerUp; Impacket и др - 4.3.Анализ защищённости веб-приложений 4.3.1.Сбор информации Анализ сетевого взаимодействия, HTTP-запросов, определение целевых API-методов. Выявление потенциально уязвимых модулей: аутентификация, авторизация, загрузка файлов, обработка ввода, парсинг документов, взаимодействие с СУБД и внешними сервисами. 4.3.2.Автоматизированное сканирование Использование инструментов анализа защищённости (Burp Suite, OWASP ZAP, Nmap). Верификация результатов: отсеивание ложных срабатываний, уточнение уровня риска. 4.3.3.Ручной и полуавтоматический поиск уязвимостей Определение используемых технологий, фреймворков, версий ПО. Поиск: ?Инъекций (SQLi, XSS, Command Injection, XXE); ?Уязвимостей десериализации, type confusion; ?Ошибок авторизации, повышения привилегий, mass assignment; ?Криптографических уязвимостей (padding oracle, слабые генераторы, ошибки подписи); ?Логических ошибок, состояний гонки, утечек данных; ?Уязвимостей JavaScript-кода (XSS, CSRF, prototype pollution). 4.3.4.Эксплуатация уязвимостей Демонстрация получения доступа к системам и данным. Компрометация серверов, приложений, баз данных. Построение цепочек атак для достижения целей (например, доступ к ПДн). Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др - 4.4.Повторная проверка Одна процедура контрольной перепроверки после устранения уязвимостей Заказчиком. Срок повторной проверки — не ранее 7 и не позднее 10 календарных месяцев с даты сдачи отчёта. При повторном обнаружении уязвимости, требующей финансовых вложений, Исполнитель предоставляет альтернативные варианты устранения. - 4.5. Отчетная документация 4.5.1. Отчет о результатах внешнего и внутреннего тестирования на проникновение: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности; • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • результаты проведенного тестирования на проникновение; • оценка состояния защищенности ИТ-инфраструктуры как с точки зрения потенциальных векторов проникновения, так и с точки зрения используемых механизмов защиты; • перечень и описание существующих угроз; • перечень и описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности (критичности), вероятности их использования, описание последствий реализации выявленных уязвимостей; • перечень скомпрометированных в рамках работ компонентов инфраструктуры заказчика; • оценка мер по противодействию моделирования атаки со стороны заказчика • результаты проведенных проверок • результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования. • выводы по анализу уязвимостей в веб-приложениях и методах их нейтрализации; • приоритизированный перечень рекомендации по повышению уровня защищенности и устранению выявленных уязвимостей; - 4.5.2. Отчет о результатах анализа защищенности веб- приложения: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • обобщенные результаты тестирования; • описание и краткая характеристика веб-приложения; • описание обнаруженных уязвимостей; • оценка мер по противодействию моделирования атаки со стороны заказчика • описание результатов использования выявленных уязвимостей и возможности их эксплуатации; • рекомендации по устранению найденных уязвимостей и повышению текущего уровня защищенности веб-приложения. 4.5.3. Отчет о результатах перепроверки - Условия оказания Услуг - 5.1 Услуги оказываются только в отношении ресурсов, принадлежащих Заказчику, либо находящихся в оперативном управлении Заказчика по заданию органа местного самоуправления. 5.2 Заказчик предоставляет Исполнителю авторизационное письмо с описанием информационной инфраструктуры, подлежащей тестированию, подтверждая факт правообладания ресурсами, а также доступы, необходимые для оказания Услуг, не позднее 5 (пяти) рабочих дней с даты подписания Муниципального контракта или получения соответствующего запроса. 5.3 Исполнитель может запросить у Заказчика дополнительную информацию / дополнительного содействия с целью оказания Услуг. 5.4 Услуги предварительно согласовываются с ответственными представителями Заказчика. Все действия Исполнителя, которые могут привести к нарушению функционирования или другим негативным последствиям для Заказчика, согласовываются с Заказчиком заблаговременно. 5.5 Методика оказания Услуг определяется Исполнителем. Заказчик предоставляет свое согласие на использование Исполнителем любых программных средств и методов, необходимых для оказания Услуг в соответствии с настоящим Описанием объекта закупки. 5.6 В случае высокой вероятности нарушения функционирования целевых систем или в случае успешного доступа к конфиденциальной информации Заказчика Исполнитель прекращает дальнейшее оказание Услуг до получения от Заказчика формального разрешения на продолжение оказания Услуг. 5.7 Услуги осуществляются методом черного и серого ящика 5.8 После выполнения услуг все средства проведения Оценки уровня защищенности, применявшиеся в рамках выполнения услуг, удаляются из инфраструктуры. 5.9 Исполнитель предоставляет полную информацию о действиях, выполнявшихся в ходе Оценке защищенности, применявшихся методах атаки, выявленных недостатках и причинах, результатах использования наиболее серьезных недостатков и объективных свидетельствах, подтверждающих как наличие недостатков, так и результаты их использования специалистами Исполнителя. - - - Модель угроз и оценка рисков - 6.1. Используемые модели нарушителя. Модель нарушителя применяемая в рамках внешнего тестирования на проникновение: Внешний злоумышленник без доступа к внутренней сети. Цель: получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках внутреннего тестирования на проникновение: Пользователь, имеющий сетевой доступ во внутненнюю сеть Заказчика, не обладающий логическими привилегиями. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках тестирования на проникновение веб-приложения: Внешний нарушитель, не обладающий привилегированным доступом к функциональности веб-приложения. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, получение несанкционированного доступа к обрабатываемой информации, компрометация сервера. Использует общедоступное ПО, не разрабатывает 0-day эксплойты 6.2.Шкала оценки рисков (Уровень: Критерии). Критический: Полная компрометация, доступ к ПДн, RCE; Высокий: SQLi, XSS, повышение привилегий; Средний: Утечка информации, слабая аутентификация; Низкий: Отсутствие заголовков безопасности, открытые директории. Оценка проводится по комбинации CVSS и внутренней шкалы - - - Количественные характеристики - Количество веб-приложений: не менее 2 (двух) Точные данные предоставляются после подписания Соглашения о неразглашении конфиденциальной информации Оценка защищенности внешнего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 50 (пятидесяти). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. Оценка защищенности внутреннего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 2000 (двух тысяч). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. - - - Методология тестирования - Black box («чёрный ящик»). По согласованию — grey box (с частичными данными) - - - Нормативно-правовая база - Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 24.06.2025) "Об информации, информационных технологиях и о защите информации"; Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 28.02.2025) "О персональных данных"; Федеральный закон от 28.12.2010 N 390-ФЗ (ред. от 10.07.2023) "О безопасности"; Требования приказов ФСТЭК и политики информационной безопасности Администрации Сургутского района - - - Требования по обеспечению конфиденциальности информации - 10.1. Исполнитель обязуется обеспечивать в отношении персональных данных, полученных при оказании услуг, все требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ №152-ФЗ), включая, но не ограничиваясь: соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ №152-ФЗ; соблюдать конфиденциальность персональных данных; не осуществлять трансграничную передачу персональных данных, обеспечить выполнение обязательств статьи 18.1. ФЗ №152-ФЗ. 10.2. Исполнитель обязуется осуществлять только те действия с персональными данными, которые напрямую относятся к целям контракта. Исполнитель обязуется не предоставлять и не передавать персональные данные иным третьим лицам. Несмотря на изложенное в настоящем пункте ограничение (или ограничение в тексте МК Исполнитель вправе (при соблюдении надлежащего уровня безопасности получаемых персональных данных, а также иных требований законодательства в области обработки персональных данных) обрабатывать такие персональные данные (как в зашифрованном виде, так и в незашифрованном) в центрах обработки персональных данных (в том числе виртуальных) и облачных платформах, находящихся в собственности непосредственно Исполнителя. - - - Требования к качеству и безопасности услуг - Услуги оказываются с учётом рабочего времени пользователей, эксплуатирующих обследуемые системы и сервисы, ИТ-инфраструктуру. Использование инструментальных (программных и программно-технических) средств контроля защищенности компонент объекта не должны приводить к нарушению работоспособности обследуемых систем, сервисов и ИТ. - - - Требования к обработке и уничтожению данных - Все данные (логи, дампы, учётные записи, сессии): - хранятся на зашифрованных носителях; - не передаются третьим лицам; - уничтожаются в течение 30 дней после сдачи отчёта. По завершению — предоставляется Акт уничтожения данных с подписью представителя Исполнителя (приложение 3 к проекту контракта). - - - Требования к исполнителю - Наличие действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации на работы, предусмотренные пунктом «б» перечня видов работ и услуг, составляющих лицензируемую деятельность, указанного в Положении, утвержденном Постановлением Правительства Российской Федерации № 79 от 03.02.2012 либо записи из реестра лицензий, либо копии акта лицензирующего органа о принятом решении В ходе пентеста Исполнителем может быть получен доступ к ПДн (в логах, дампах, сессиях и т.д): Исполнитель обязан соблюдать требования ФЗ-152. - - - Требования к отчётным документам - Отчёт предоставляется в форматах: Формат: PDF + DOCX , подпись, печать. Язык: русский. Срок предоставления: в течение 10 рабочих дней после завершения тестирования. Уровень конфиденциальности: «Для служебного пользования». Содержание отчёта - Техническая часть (для ИТ-специалистов) - Управленческая часть (для руководства) - Графическое отображение векторов атак с оценкой сложности - Рекомендации по устранению уязвимостей и улучшению ИБ Формат предоставления: - Электронно: на зашифрованном USB-носителе (2 экземпляра) - Бумажно: сброшюрованный экземпляр (1 шт.) - - - Ответственность сторон - Исполнитель не несёт ответственности за сбои, вызванные: - Предсуществующими дефектами ПО; - Недостаточным резервным копированием со стороны Заказчика. Заказчик: - Обеспечивает резервное копирование критичных систем перед началом работ. - Блокирует тестовые среды от влияния на используемые в работе данные. Исполнитель использует только легальные методы, не проводит DoS-атаки и не модифицирует данные без согласия Заказчика. Исполнитель предоставляет копию договора страхования гражданской ответственности. - - - Порядок взаимодействия - Основной канал: защищённая электронная почта. Еженедельный статус-отчёт по ходу работ. Критические уязвимости сообщаются в течение 1 часа после обнаружения (по телефону + email). Согласование времени проведения критичных работ — не менее чем за 24 часа . - - - Требования к привлечению субподрядчиков - 17.1 Исполнитель вправе привлекать третьих лиц для оказания услуг только с согласования Заказчика. 17.2 При привлечении к исполнению контракта соисполнителей, соответствие соисполнителя требованиям по п. 13 и наличию специалистов и иных работников определенного уровня квалификации подтверждается путем предоставления Заказчику подтверждающих документов в течение 5 (пяти) дней с даты заключения контракта. 17.3 При привлечении к исполнению МК соисполнителей, с ним подписывается Соглашение о нерасглашении конфиденциальной информацмии. 17.4 При отсутствии подтверждающих документов по п. 13, наличию специалистов и иных работников определенного уровня квалификации и подписанного Соглашения о неразглашении, соисполнитель к оказанию услуг не допускается. - - - Требования к гарантии качества оказания услуг - Срок предоставления гарантии качества оказанныхуслуг - 12 месяцев со дня подписания Акта о приемке оказанных Услуг. Исполнитель в течение срока предоставления гарантии обеспечивает своевременное (в срок не более 10 рабочих дней после предоставления Заказчиком всей необходимой для устранения ошибок информации) устранение недочетов и ошибок, выявленных после оказания Услуг. - - - Требования к контролю и приемке оказанных услуг - 19.1 В процессе оказания услуг представитель Заказчика вправе проверять текущее состояние оказания услуг, давать замечания и предложения, которые, при согласовании, учитываются Исполнителем. Замечания и предложения не должны увеличивать стоимость оказания услуг. 19.2 Исполнитель оказывает Услуги в электронном виде и формирует необходимые отчетные документы по завершении каждого этапа. По завершении выполнения услуг Исполнитель формирует Отчеты, являющиеся основанием для формирования документа о приемке. 19.3. Срок устранения предоставленных Заказчиком замечаний к результатам оказания услуг и повторного предоставления исправленных результатов оказания услуг на рассмотрение Заказчиком составляет 3 рабочих дня с момента предоставления Исполнителю указанных замечаний - -

Наименование характеристики - Значение характеристики - Единица измерения характеристики - Инструкция по заполнению характеристик в заявке

Цель оказания услуг - Оценка уровня защищённости ИТ-инфраструктуры органов местного самоуправления Сургутского района, включая веб-приложения, внешнюю и внутреннюю сетевую инфраструктуру, с выявлением уязвимостей, потенциальных векторов атак и разработкой приоритетных рекомендаций по устранению рисков информационной безопасности - -

Место и срок оказания услуг - Срок оказания услуг: в течение 35 рабочих дней с даты заключения Муниципального контракта Место оказания услуг: 628416, Ханты–Мансийский автономный округ – Югра, г. Сургут, улица Бажова, 16; 628408, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энгельса, д. 10; 628412, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Энергетиков, д. 22; 628401, Ханты–Мансийский автономный округ – Югра, г. Сургут, ул. Мелик-Карамова, 37/1 Услуги оказываются: дистанционно, с использованием средств связи и вычислительных ресурсов на территории РФ - -

Задачи оказания услуг - 3.1.Проведение внешнего, внутреннего и веб-тестирования на проникновение (пентест) с целью выявления уязвимостей в веб-приложениях, сетевой инфраструктуре, конфигурациях оборудования и программного обеспечения. 3.2.Анализ возможных сценариев несанкционированного доступа к критичной информации, включая персональные данные, административные интерфейсы, системные ресурсы и конфиденциальные документы. 3.3.Оценка эффективности существующих технических и организационных мер защиты. 3.4.Моделирование угроз. Практическая демонстрация возможности использования уязвимостей (на примере наиболее критичных). 3.5.Разработка детализированных рекомендаций по устранению выявленных уязвимостей и повышению общего уровня информационной безопасности. 3.6.Проведение контрольной перепроверки устранённых уязвимостей для работ по внешнему тестированию на проникновению и анализу защищенности веб приложений. 3.7. Подготовка полного отчётного документа, соответствующего требованиям законодательства РФ и международным стандартам - -

Состав и содержание услуг - 4.1.Внешнее тестирование на проникновение 4.1.1.Сбор информации Определение IP-адресов, доменов, поддоменов, открытых портов, сервисов. Анализ средств защиты (IDS/IPS), сетевых ограничений. OSINT-сбор данных: анализ доменов, поддоменов, email, резюме сотрудников, WHOIS, DNS, утечек на GitHub, Pastebin и др. 4.1.2.Сканирование и анализ Сканирование портов, сбор баннеров. Определение версий ПО. Поиск устаревшего ПО, небезопасных конфигураций, учётных записей по умолчанию. Перебор паролей, поиск ресурсов без авторизации. 4.1.3.Ручной поиск уязвимостей Агрегация информации о сети. Перебор логинов/паролей в веб-интерфейсах, RDP, сетевом оборудовании. Поиск сценариев проникновения во внутреннюю сеть. Анализ веб-приложений (даже если они не в основной области) 4.1.4.Эксплуатация уязвимостей Построение цепочек атак Получение доступа к системам, данным, административным интерфейсам. Демонстрация компрометации. 4.1.5.Проверка межсетевой изоляции Оценка эффективности сегментации между внешней и внутренней сетью. Проверка возможности перехода с внешнего IP-адреса во внутреннюю сеть. Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др. - -

4.2.Внутреннее тестирование на проникновение 4.2.1.Сбор информации Анализ сегментации сети, механизмов выдачи IP (DHCP). Определение доступных узлов из пользовательского сегмента. 4.2.2.Сканирование внутренних ресурсов Определение типов устройств, ОС, сервисов. Поиск скрытых сервисов (SMB, NFS, RDP, базы данных). 4.2.3. Поиск уязвимостей Проверка доступа к СУБД, интерфейсам управления, удалённому доступу. Перехват сетевого трафика, выявление небезопасных протоколов (SMBv1, Telnet). Подбор слабых паролей (в рамках политики безопасности). 4.2.4.Повышение привилегий и перемещение по сети Попытки повышения привилегий. Проверка возможности доступа к ресурсам с ограниченным доступом. Проверка возможности перехода из пользовательской сети в административные сегменты. Для проведения работ Заказчик предоставляет доступ к типовому АРМ с минимальными привилегиями. Используемое при оказании услуг ПО (не включая внутренние разработки): Nmap; Masscan; Patator; Metasploit; PowerMad; ntlmrelayx; Responder; Rubeus; SharpRDP; SharpSocks; Proxifier; Nishang; PowerSploit; Bloodhound; PowerUp; Impacket и др

4.3.Анализ защищённости веб-приложений 4.3.1.Сбор информации Анализ сетевого взаимодействия, HTTP-запросов, определение целевых API-методов. Выявление потенциально уязвимых модулей: аутентификация, авторизация, загрузка файлов, обработка ввода, парсинг документов, взаимодействие с СУБД и внешними сервисами. 4.3.2.Автоматизированное сканирование Использование инструментов анализа защищённости (Burp Suite, OWASP ZAP, Nmap). Верификация результатов: отсеивание ложных срабатываний, уточнение уровня риска. 4.3.3.Ручной и полуавтоматический поиск уязвимостей Определение используемых технологий, фреймворков, версий ПО. Поиск: ?Инъекций (SQLi, XSS, Command Injection, XXE); ?Уязвимостей десериализации, type confusion; ?Ошибок авторизации, повышения привилегий, mass assignment; ?Криптографических уязвимостей (padding oracle, слабые генераторы, ошибки подписи); ?Логических ошибок, состояний гонки, утечек данных; ?Уязвимостей JavaScript-кода (XSS, CSRF, prototype pollution). 4.3.4.Эксплуатация уязвимостей Демонстрация получения доступа к системам и данным. Компрометация серверов, приложений, баз данных. Построение цепочек атак для достижения целей (например, доступ к ПДн). Используемое при оказании услуг ПО (не включая внутренние разработки): Burp Suite Pro; Sqlmap; Nmap; Masscan; Ffuf; Wfuzz; Gobuster; Patator; Metasploit; IIS-shortname-scanner; Linkfinder; SSLScan и др

4.4.Повторная проверка Одна процедура контрольной перепроверки после устранения уязвимостей Заказчиком. Срок повторной проверки — не ранее 7 и не позднее 10 календарных месяцев с даты сдачи отчёта. При повторном обнаружении уязвимости, требующей финансовых вложений, Исполнитель предоставляет альтернативные варианты устранения.

4.5. Отчетная документация 4.5.1. Отчет о результатах внешнего и внутреннего тестирования на проникновение: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности; • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • результаты проведенного тестирования на проникновение; • оценка состояния защищенности ИТ-инфраструктуры как с точки зрения потенциальных векторов проникновения, так и с точки зрения используемых механизмов защиты; • перечень и описание существующих угроз; • перечень и описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности (критичности), вероятности их использования, описание последствий реализации выявленных уязвимостей; • перечень скомпрометированных в рамках работ компонентов инфраструктуры заказчика; • оценка мер по противодействию моделирования атаки со стороны заказчика • результаты проведенных проверок • результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования. • выводы по анализу уязвимостей в веб-приложениях и методах их нейтрализации; • приоритизированный перечень рекомендации по повышению уровня защищенности и устранению выявленных уязвимостей;

4.5.2. Отчет о результатах анализа защищенности веб- приложения: • общие сведения, описание целей последующей Оценки защищенности, срок проведения и описание хода работ по Оценке защищенности • описание цепочек атак; • графическое отображение основных выявленных векторов атак с оценкой сложности их реализации; • журнал действий, содержащий следующие сведения: идентификатор субъекта, идентификатор объекта, дату/время активного воздействия, тип действия, описание действия, результат действия • резюме Исполнителя с указанием квалификации сотрудников, привлекаемых к реализации Оценки защищенности, а также описание релевантного опыта по выполнению Оценки защищённости • оценка уровня защищенности; • перечень ограничений, наложенных в рамках выполнения услуги по Оценке защищенности, включая технические и организационные • описание модели злоумышленника (неавторизованный пользователь, пользователь системы); • обобщенные результаты тестирования; • описание и краткая характеристика веб-приложения; • описание обнаруженных уязвимостей; • оценка мер по противодействию моделирования атаки со стороны заказчика • описание результатов использования выявленных уязвимостей и возможности их эксплуатации; • рекомендации по устранению найденных уязвимостей и повышению текущего уровня защищенности веб-приложения. 4.5.3. Отчет о результатах перепроверки

Условия оказания Услуг - 5.1 Услуги оказываются только в отношении ресурсов, принадлежащих Заказчику, либо находящихся в оперативном управлении Заказчика по заданию органа местного самоуправления. 5.2 Заказчик предоставляет Исполнителю авторизационное письмо с описанием информационной инфраструктуры, подлежащей тестированию, подтверждая факт правообладания ресурсами, а также доступы, необходимые для оказания Услуг, не позднее 5 (пяти) рабочих дней с даты подписания Муниципального контракта или получения соответствующего запроса. 5.3 Исполнитель может запросить у Заказчика дополнительную информацию / дополнительного содействия с целью оказания Услуг. 5.4 Услуги предварительно согласовываются с ответственными представителями Заказчика. Все действия Исполнителя, которые могут привести к нарушению функционирования или другим негативным последствиям для Заказчика, согласовываются с Заказчиком заблаговременно. 5.5 Методика оказания Услуг определяется Исполнителем. Заказчик предоставляет свое согласие на использование Исполнителем любых программных средств и методов, необходимых для оказания Услуг в соответствии с настоящим Описанием объекта закупки. 5.6 В случае высокой вероятности нарушения функционирования целевых систем или в случае успешного доступа к конфиденциальной информации Заказчика Исполнитель прекращает дальнейшее оказание Услуг до получения от Заказчика формального разрешения на продолжение оказания Услуг. 5.7 Услуги осуществляются методом черного и серого ящика 5.8 После выполнения услуг все средства проведения Оценки уровня защищенности, применявшиеся в рамках выполнения услуг, удаляются из инфраструктуры. 5.9 Исполнитель предоставляет полную информацию о действиях, выполнявшихся в ходе Оценке защищенности, применявшихся методах атаки, выявленных недостатках и причинах, результатах использования наиболее серьезных недостатков и объективных свидетельствах, подтверждающих как наличие недостатков, так и результаты их использования специалистами Исполнителя. - -

Модель угроз и оценка рисков - 6.1. Используемые модели нарушителя. Модель нарушителя применяемая в рамках внешнего тестирования на проникновение: Внешний злоумышленник без доступа к внутренней сети. Цель: получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках внутреннего тестирования на проникновение: Пользователь, имеющий сетевой доступ во внутненнюю сеть Заказчика, не обладающий логическими привилегиями. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, административным интерфейсам, компрометация серверов. Использует общедоступное ПО, не разрабатывает 0-day эксплойты Модель нарушителя применяемая в рамках тестирования на проникновение веб-приложения: Внешний нарушитель, не обладающий привилегированным доступом к функциональности веб-приложения. Цель: Компрометация учетных записей, повышение привилегий, получение доступа к ПДн, получение несанкционированного доступа к обрабатываемой информации, компрометация сервера. Использует общедоступное ПО, не разрабатывает 0-day эксплойты 6.2.Шкала оценки рисков (Уровень: Критерии). Критический: Полная компрометация, доступ к ПДн, RCE; Высокий: SQLi, XSS, повышение привилегий; Средний: Утечка информации, слабая аутентификация; Низкий: Отсутствие заголовков безопасности, открытые директории. Оценка проводится по комбинации CVSS и внутренней шкалы - -

Количественные характеристики - Количество веб-приложений: не менее 2 (двух) Точные данные предоставляются после подписания Соглашения о неразглашении конфиденциальной информации Оценка защищенности внешнего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 50 (пятидесяти). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. Оценка защищенности внутреннего периметра информационной инфраструктуры. Количество элементов инфраструктуры: не менее 2000 (двух тысяч). Точное количество адресов определяется Исполнителем на начальном этапе сбора информации. - -

Методология тестирования - Black box («чёрный ящик»). По согласованию — grey box (с частичными данными) - -

Нормативно-правовая база - Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 24.06.2025) "Об информации, информационных технологиях и о защите информации"; Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 28.02.2025) "О персональных данных"; Федеральный закон от 28.12.2010 N 390-ФЗ (ред. от 10.07.2023) "О безопасности"; Требования приказов ФСТЭК и политики информационной безопасности Администрации Сургутского района - -

Требования по обеспечению конфиденциальности информации - 10.1. Исполнитель обязуется обеспечивать в отношении персональных данных, полученных при оказании услуг, все требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ №152-ФЗ), включая, но не ограничиваясь: соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ №152-ФЗ; соблюдать конфиденциальность персональных данных; не осуществлять трансграничную передачу персональных данных, обеспечить выполнение обязательств статьи 18.1. ФЗ №152-ФЗ. 10.2. Исполнитель обязуется осуществлять только те действия с персональными данными, которые напрямую относятся к целям контракта. Исполнитель обязуется не предоставлять и не передавать персональные данные иным третьим лицам. Несмотря на изложенное в настоящем пункте ограничение (или ограничение в тексте МК Исполнитель вправе (при соблюдении надлежащего уровня безопасности получаемых персональных данных, а также иных требований законодательства в области обработки персональных данных) обрабатывать такие персональные данные (как в зашифрованном виде, так и в незашифрованном) в центрах обработки персональных данных (в том числе виртуальных) и облачных платформах, находящихся в собственности непосредственно Исполнителя. - -

Требования к качеству и безопасности услуг - Услуги оказываются с учётом рабочего времени пользователей, эксплуатирующих обследуемые системы и сервисы, ИТ-инфраструктуру. Использование инструментальных (программных и программно-технических) средств контроля защищенности компонент объекта не должны приводить к нарушению работоспособности обследуемых систем, сервисов и ИТ. - -

Требования к обработке и уничтожению данных - Все данные (логи, дампы, учётные записи, сессии): - хранятся на зашифрованных носителях; - не передаются третьим лицам; - уничтожаются в течение 30 дней после сдачи отчёта. По завершению — предоставляется Акт уничтожения данных с подписью представителя Исполнителя (приложение 3 к проекту контракта). - -

Требования к исполнителю - Наличие действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации на работы, предусмотренные пунктом «б» перечня видов работ и услуг, составляющих лицензируемую деятельность, указанного в Положении, утвержденном Постановлением Правительства Российской Федерации № 79 от 03.02.2012 либо записи из реестра лицензий, либо копии акта лицензирующего органа о принятом решении В ходе пентеста Исполнителем может быть получен доступ к ПДн (в логах, дампах, сессиях и т.д): Исполнитель обязан соблюдать требования ФЗ-152. - -

Требования к отчётным документам - Отчёт предоставляется в форматах: Формат: PDF + DOCX , подпись, печать. Язык: русский. Срок предоставления: в течение 10 рабочих дней после завершения тестирования. Уровень конфиденциальности: «Для служебного пользования». Содержание отчёта - Техническая часть (для ИТ-специалистов) - Управленческая часть (для руководства) - Графическое отображение векторов атак с оценкой сложности - Рекомендации по устранению уязвимостей и улучшению ИБ Формат предоставления: - Электронно: на зашифрованном USB-носителе (2 экземпляра) - Бумажно: сброшюрованный экземпляр (1 шт.) - -

Ответственность сторон - Исполнитель не несёт ответственности за сбои, вызванные: - Предсуществующими дефектами ПО; - Недостаточным резервным копированием со стороны Заказчика. Заказчик: - Обеспечивает резервное копирование критичных систем перед началом работ. - Блокирует тестовые среды от влияния на используемые в работе данные. Исполнитель использует только легальные методы, не проводит DoS-атаки и не модифицирует данные без согласия Заказчика. Исполнитель предоставляет копию договора страхования гражданской ответственности. - -

Порядок взаимодействия - Основной канал: защищённая электронная почта. Еженедельный статус-отчёт по ходу работ. Критические уязвимости сообщаются в течение 1 часа после обнаружения (по телефону + email). Согласование времени проведения критичных работ — не менее чем за 24 часа . - -

Требования к привлечению субподрядчиков - 17.1 Исполнитель вправе привлекать третьих лиц для оказания услуг только с согласования Заказчика. 17.2 При привлечении к исполнению контракта соисполнителей, соответствие соисполнителя требованиям по п. 13 и наличию специалистов и иных работников определенного уровня квалификации подтверждается путем предоставления Заказчику подтверждающих документов в течение 5 (пяти) дней с даты заключения контракта. 17.3 При привлечении к исполнению МК соисполнителей, с ним подписывается Соглашение о нерасглашении конфиденциальной информацмии. 17.4 При отсутствии подтверждающих документов по п. 13, наличию специалистов и иных работников определенного уровня квалификации и подписанного Соглашения о неразглашении, соисполнитель к оказанию услуг не допускается. - -

Требования к гарантии качества оказания услуг - Срок предоставления гарантии качества оказанныхуслуг - 12 месяцев со дня подписания Акта о приемке оказанных Услуг. Исполнитель в течение срока предоставления гарантии обеспечивает своевременное (в срок не более 10 рабочих дней после предоставления Заказчиком всей необходимой для устранения ошибок информации) устранение недочетов и ошибок, выявленных после оказания Услуг. - -

Требования к контролю и приемке оказанных услуг - 19.1 В процессе оказания услуг представитель Заказчика вправе проверять текущее состояние оказания услуг, давать замечания и предложения, которые, при согласовании, учитываются Исполнителем. Замечания и предложения не должны увеличивать стоимость оказания услуг. 19.2 Исполнитель оказывает Услуги в электронном виде и формирует необходимые отчетные документы по завершении каждого этапа. По завершении выполнения услуг Исполнитель формирует Отчеты, являющиеся основанием для формирования документа о приемке. 19.3. Срок устранения предоставленных Заказчиком замечаний к результатам оказания услуг и повторного предоставления исправленных результатов оказания услуг на рассмотрение Заказчиком составляет 3 рабочих дня с момента предоставления Исполнителю указанных замечаний - -

Преимущества, требования к участникам

Преимущества: Преимущество в соответствии с ч. 3 ст. 30 Закона № 44-ФЗ - Размер преимущества не установлен

Требования к участникам: 1. Требования к участникам закупок в соответствии с ч. 1.1 ст. 31 Закона № 44-ФЗ 2. Единые требования к участникам закупок в соответствии с ч. 1 ст. 31 Закона № 44-ФЗ

Критерии оценки заявок участников

Сведения о связи с позицией плана-графика

Сведения о связи с позицией плана-графика: 202503873000553001000014

Начальная (максимальная) цена контракта: 2 026 388,41

Валюта: РОССИЙСКИЙ РУБЛЬ

Идентификационный код закупки (ИКЗ): 253861702001986170100100150160000244

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 0  рабочих дней с даты заключения контракта

Срок исполнения контракта: 62  рабочих дней

Закупка за счет бюджетных средств: Да

Наименование бюджета: Бюджет Сургутского района

Вид бюджета: местный бюджет

Код территории муниципального образования: 71826000: Муниципальные образования Тюменской области / Муниципальные районы и городские округа Ханты-Мансийского автономного округа - Югры / Сургутский муниципальный район

Требуется обеспечение заявки: Да

Размер обеспечения заявки: 20 263,88 РОССИЙСКИЙ РУБЛЬ

Порядок внесения денежных средств в качестве обеспечения заявки на участие в закупке, а также условия гарантии: в соответствии со ст. 44 Федерального закона от 05.04.2013 №44-ФЗ

Реквизиты счета для учета операций со средствами, поступающими заказчику: p/c 03100643000000018700, л/c 04873014340, БИК 007162163, РКЦ Ханты-Мансийск//УФК по Ханты-Мансийскому автономному округу-Югре г. Ханты-Мансийск, к/c 40102810245370000007

Реквизиты счета для перечисления денежных средств в случае, предусмотренном ч.13 ст. 44 Закона № 44-ФЗ (в соответствующий бюджет бюджетной системы Российской Федерации): Получатель Номер единого казначейского счета Номер казначейского счета БИК ТОФК УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ХАНТЫ-МАНСИЙСКОМУ АВТОНОМНОМУ ОКРУГУ - ЮГРЕ (МКУ "ХЭУ АСР") ИНН: 8617020019 КПП: 861701001 КБК: 07011610000031050140 ОКТМО: 71826155051 40102810245370000007 03100643000000018700 007162163

Место поставки товара, выполнения работы или оказания услуги: Российская Федерация, АО Ханты-Мансийский Автономный округ - Югра, г.о. Сургут, г Сургут, ул Энгельса, зд. 10, Срок оказания услуги: в течение 35 рабочих дней с даты заключения Муниципального контракта Российская Федерация, АО Ханты-Мансийский Автономный округ - Югра, г.о. Сургут, г Сургут, ул Энергетиков, д. 22, Срок оказания услуги: в течение 35 рабочих дней с даты заключения Муниципального контракта Российская Федерация, АО Ханты-Мансийский Автономный округ - Югра, г.о. Сургут, г Сургут, ул Бажова, д. 16, Срок оказания услуги: в течение 35 рабочих дней с даты заключения Муниципального контракта Российская Федерация, АО Ханты-Мансийский Автономный округ - Югра, г.о. Сургут, г Сургут, ул Мелик-Карамова, д. 37/1, Срок оказания услуги: в течение 35 рабочих дней с даты заключения Муниципального контракта

Право заключения контрактов с несколькими участниками закупки в случаях, указанных в части 10 статьи 34 Федерального закона 44-ФЗ: Не установлено

Предусмотрена возможность одностороннего отказа от исполнения контракта в соответствии со ст. 95 Закона № 44-ФЗ: Да

Требуется обеспечение исполнения контракта: Да

Размер обеспечения исполнения контракта: 7 %

Порядок предоставления обеспечения исполнения контракта, требования к обеспечению: в соответствии со ст. 96 Федерального закона от 05.04.2013 №44-ФЗ, проектом контракта. Банковское сопровождение контракта - не предусмотрено.

Платежные реквизиты для обеспечения исполнения контракта: p/c 03232643718260008700, л/c 05873014340, БИК 007162163, РКЦ ХАНТЫ-МАНСИЙСК//УФК по Ханты-Мансийскому автономному округу - Югре, к/c 40102810245370000007

Банковское или казначейское сопровождение контракта не требуется

Информация о сроках исполнения контракта и источниках финансирования

Срок исполнения контракта (отдельных этапов исполнения контракта) включает в том числе приемку поставленного товара, выполненной работы, оказанной услуги, а также оплату заказчиком поставщику (подрядчику, исполнителю) поставленного товара, выполненной работы, оказанной услуги

Дата начала исполнения контракта: 0  рабочих дней с даты заключения контракта

Срок исполнения контракта: 62  рабочих дней

Закупка за счет бюджетных средств: Да

Наименование бюджета: Бюджет Сургутского района

Вид бюджета: местный бюджет

Код территории муниципального образования: 71826000: Муниципальные образования Тюменской области / Муниципальные районы и городские округа Ханты-Мансийского автономного округа - Югры / Сургутский муниципальный район

Документы

Общая информация

Документы

Журнал событий