Внимание! Соединение с приложением прервано. Дождитесь повторного подключения.
Обсуждение документации - Просмотр сообщения № 629191
Тема сообщения
Запрос о разъяснении КД
Тип сообщения
Запрос о разъяснении КД
Поставщик
Товарищество с ограниченной ответственностью "Qaz Tech Innovation"
Представитель поставщика
АЛИФЕРЕНКО ОЛЕГ МИХАЙЛОВИЧ
Дата и время отправки сообщения
2026-04-21 13:18:41
Текст сообщения
В разделе требований к ПО для мониторинга указано: «Аудит: логирование всех действий (с retention не менее 90 дней); Аудит: на соответствие ISO и другим нормам безопасности». Просим разъяснить, каким конкретно стандартам ISO (ISO 27001, ISO 27002, ISO 22301 и т.д.) должно соответствовать решение, и какие именно требования этих стандартов подлежат проверке. Просим также разъяснить, кто и каким образом будет проводить аудит на соответствие, и какие документы (сертификаты, заключения) должны быть предоставлены поставщиком для подтверждения соответствия. Отсутствие конкретных ссылок на стандарты и требования делает данное положение неисполнимым.
Ответы представителей заказчика и организатора, секретаря
Дата:
2026-04-22 16:30:17
Автор:
ТЛЕПОВА ЗИНАИДА ТОЛЕБАЕВНА
Решение:
Представить разъяснение положений конкурсной документации
Текст разъяснения
Требование «Аудит: логирование всех действий (retention не менее 90 дней); соответствие ISO и другим нормам безопасности» в технической спецификации носит общий функционально-организационный характер и направлено на обеспечение базового уровня информационной безопасности и прослеживаемости действий пользователей в системе мониторинга.
Сообщаем следующее:
1. О конкретных стандартах ISO
В технической спецификации не устанавливается требование обязательного соответствия конкретному стандарту ISO (например, ISO/IEC 27001, ISO/IEC 27002, ISO 22301 и др.).
Упоминание ISO носит обобщающий характер и означает необходимость соответствия общепринятым международным практикам в области информационной безопасности и управления рисками.
2. Содержание требования по аудиту
Под «аудитом» понимается функциональная возможность программного обеспечения обеспечивать:
o фиксацию действий пользователей и системных операций;
o хранение журналов событий (логов) не менее 90 календарных дней;
o возможность последующего анализа и выгрузки журналов.
3. Проверка соответствия
Проверка соответствия осуществляется Заказчиком на этапе приемки системы на основании:
o функционального тестирования;
o анализа документации производителя;
o демонстрации возможностей системы.
Проведение отдельного внешнего аудита соответствия стандартам ISO в рамках данной закупки не предусмотрено.
4. Сертификация и документы
Наличие формальных сертификатов соответствия ISO не является обязательным требованием технической спецификации.
Допускается подтверждение функциональных возможностей посредством:
o технической документации производителя;
o описания функционала системы;
o результатов тестирования при приемке.
5. Назначение требования
Данное положение направлено на обеспечение:
o прозрачности действий пользователей;
o возможности расследования инцидентов информационной безопасности;
o базового соответствия международным практикам ведения журналов событий.
Таким образом:
• конкретные стандарты ISO не фиксируются;
• аудит понимается как функциональная возможность логирования и анализа;
• сертификация ISO не является обязательным условием;
• проверка осуществляется в рамках приемки системы.
На основании вышеизложенного оснований для внесения изменений в техническую спецификацию не имеется.
Сообщаем следующее:
1. О конкретных стандартах ISO
В технической спецификации не устанавливается требование обязательного соответствия конкретному стандарту ISO (например, ISO/IEC 27001, ISO/IEC 27002, ISO 22301 и др.).
Упоминание ISO носит обобщающий характер и означает необходимость соответствия общепринятым международным практикам в области информационной безопасности и управления рисками.
2. Содержание требования по аудиту
Под «аудитом» понимается функциональная возможность программного обеспечения обеспечивать:
o фиксацию действий пользователей и системных операций;
o хранение журналов событий (логов) не менее 90 календарных дней;
o возможность последующего анализа и выгрузки журналов.
3. Проверка соответствия
Проверка соответствия осуществляется Заказчиком на этапе приемки системы на основании:
o функционального тестирования;
o анализа документации производителя;
o демонстрации возможностей системы.
Проведение отдельного внешнего аудита соответствия стандартам ISO в рамках данной закупки не предусмотрено.
4. Сертификация и документы
Наличие формальных сертификатов соответствия ISO не является обязательным требованием технической спецификации.
Допускается подтверждение функциональных возможностей посредством:
o технической документации производителя;
o описания функционала системы;
o результатов тестирования при приемке.
5. Назначение требования
Данное положение направлено на обеспечение:
o прозрачности действий пользователей;
o возможности расследования инцидентов информационной безопасности;
o базового соответствия международным практикам ведения журналов событий.
Таким образом:
• конкретные стандарты ISO не фиксируются;
• аудит понимается как функциональная возможность логирования и анализа;
• сертификация ISO не является обязательным условием;
• проверка осуществляется в рамках приемки системы.
На основании вышеизложенного оснований для внесения изменений в техническую спецификацию не имеется.
