Внимание! Соединение с приложением прервано. Дождитесь повторного подключения.
Обсуждение документации - Просмотр сообщения № 629181
Тема сообщения
Запрос о разъяснении КД
Тип сообщения
Запрос о разъяснении КД
Поставщик
Товарищество с ограниченной ответственностью "Qaz Tech Innovation"
Представитель поставщика
АЛИФЕРЕНКО ОЛЕГ МИХАЙЛОВИЧ
Дата и время отправки сообщения
2026-04-21 13:17:33
Текст сообщения
В разделе требований к ПО для мониторинга указано: «Шифрование: TLS 1.3 для web-интерфейса и API; Хранение данных — с использованием AES-256 на уровне тома/файла (dm-crypt / fsCrypt)». Просим разъяснить, предъявляются ли аналогичные требования к шифрованию данных, передаваемых между агентами и сервером, и какие конкретно протоколы и алгоритмы шифрования должны использоваться для этого. Также просим разъяснить, будет ли заказчик предоставлять сертификаты TLS для настройки защищенного соединения, или поставщик должен их сгенерировать самостоятельно, и требуется ли использование сертификатов, подписанных доверенным центром сертификации.
Ответы представителей заказчика и организатора, секретаря
Дата:
2026-04-22 16:26:04
Автор:
ТЛЕПОВА ЗИНАИДА ТОЛЕБАЕВНА
Решение:
Представить разъяснение положений конкурсной документации
Текст разъяснения
Требования «TLS 1.3 для web-интерфейса и API» и «AES-256 для хранения данных» в технической спецификации устанавливают минимальный уровень криптографической защиты, обеспечивающий безопасность функционирования программного обеспечения для мониторинга.
В части шифрования взаимодействия между агентами и сервером сообщаем следующее:
• передача данных между компонентами системы (агент–сервер) должна осуществляться по защищенным каналам связи;
• допускается использование современных криптографических протоколов транспортного уровня (TLS 1.2 и выше, предпочтительно TLS 1.3), либо эквивалентных механизмов защиты канала передачи данных, реализованных в составе программного обеспечения;
• выбор конкретной реализации протокола осуществляется поставщиком при условии обеспечения эквивалентного уровня защищенности передаваемой информации.
Относительно сертификатов TLS сообщаем:
• обеспечение корректной работы защищенного соединения является обязанностью поставщика в рамках внедрения программного решения;
• сертификаты могут быть как самоподписанные (в тестовой/внутренней среде), так и выпущенные доверенным центром сертификации в зависимости от архитектуры внедрения;
• использование доверенных сертификатов определяется требованиями безопасности инфраструктуры Заказчика и политиками информационной безопасности, применяемыми при эксплуатации системы;
• при необходимости поставщик обеспечивает генерацию, установку и настройку сертификатов в рамках внедрения системы.
Таким образом:
• требования к шифрованию распространяются на все каналы передачи данных в рамках системы, включая агент–сервер;
• конкретные криптографические механизмы могут быть реализованы различными способами при соблюдении уровня безопасности TLS 1.3 или эквивалентного;
• обеспечение сертификатами осуществляется в рамках внедрения системы и настройки программного комплекса;
• требования не ограничивают конкуренцию и соответствуют общепринятым стандартам информационной безопасности.
На основании вышеизложенного оснований для внесения изменений в техническую спецификацию не имеется.
В части шифрования взаимодействия между агентами и сервером сообщаем следующее:
• передача данных между компонентами системы (агент–сервер) должна осуществляться по защищенным каналам связи;
• допускается использование современных криптографических протоколов транспортного уровня (TLS 1.2 и выше, предпочтительно TLS 1.3), либо эквивалентных механизмов защиты канала передачи данных, реализованных в составе программного обеспечения;
• выбор конкретной реализации протокола осуществляется поставщиком при условии обеспечения эквивалентного уровня защищенности передаваемой информации.
Относительно сертификатов TLS сообщаем:
• обеспечение корректной работы защищенного соединения является обязанностью поставщика в рамках внедрения программного решения;
• сертификаты могут быть как самоподписанные (в тестовой/внутренней среде), так и выпущенные доверенным центром сертификации в зависимости от архитектуры внедрения;
• использование доверенных сертификатов определяется требованиями безопасности инфраструктуры Заказчика и политиками информационной безопасности, применяемыми при эксплуатации системы;
• при необходимости поставщик обеспечивает генерацию, установку и настройку сертификатов в рамках внедрения системы.
Таким образом:
• требования к шифрованию распространяются на все каналы передачи данных в рамках системы, включая агент–сервер;
• конкретные криптографические механизмы могут быть реализованы различными способами при соблюдении уровня безопасности TLS 1.3 или эквивалентного;
• обеспечение сертификатами осуществляется в рамках внедрения системы и настройки программного комплекса;
• требования не ограничивают конкуренцию и соответствуют общепринятым стандартам информационной безопасности.
На основании вышеизложенного оснований для внесения изменений в техническую спецификацию не имеется.
