Номер:
ae3119a1cd814a53b4269b9de4d57b27
Пов'язаний елемент:
Закупівля
Дата опублікування:
24.09.2024 07:44
Опис:
Шановний Замовник!, просимо надати пояснення:
1. «Для забезпечення безперервності процесу автоматизації надання соціальної підтримки при переході від діючих інформаційних систем до ЄІССС потрібно забезпечити інтеграцію ЄІССС в ізольоване та відокремлене від ІКС "ЄІССС" хмарне середовище, що забезпечує додатковий захист конфіденційної інформації (персональні дані користувачів, державні інформаційні ресурси).»
Що мається на увазі? Які роботи має провести Виконавець з метою виконання зазначеної вимоги та чи входить вона до послуг зі створення технічного завдання щодо модернізації комплексної системи захисту інформації інформаційно-комунікаційної системи "Єдина інформаційна система соціальної сфери" Міністерства соціальної політики України?
2. «До функціональних підсистем ЄІССС відносяться: …4. Єдина інформаційно-аналітична система “Діти” (заплановано до реалізації); 5. Підсистема " Соціальне страхування"(заплановано до реалізації)…»
Чи входять в обсяг модернізації КСЗІ єдина інформаційно-аналітична система “Діти” та Підсистема " Соціальне страхування", що прописані як "заплановані до реалізації"?
3. "Для забезпечення безперервності процесу автоматизації надання соціальної підтримки при переході від діючих інформаційних систем до ЄІССС потрібно забезпечити інтеграцію ЄІССС в ізольоване та відокремлене від ІКС "ЄІССС" хмарне середовище, що забезпечує додатковий захист конфіденційної інформації (персональні дані користувачів, державні інформаційні ресурси)"
Зазначена вимога висувається до потенційного виконавця в рамках проведення модернізації КСЗІ? Яким чином, Замовник передбачає забезпечення інтеграції ЄІССС в ізольоване та відокремлене від ІКС "ЄІССС" хмарне середовище в рамках надання послуг зі створення технічного завдання на модернізацію КСЗІ ІКС "ЄІССС"?
4. "В додаткових підсистемах ІКС "ЄІССС" (електронні кабінети користувачів соціального порталу, електронні кабінети "кейс-менеджерів", веб-портал BI, що містить загальнодоступну публічну інформацію, підсистема адміністрування ІКС "ЄІССС") що розробляються під час модернізації, заборонено зберігання конфіденційної інформації зовнішніх користувачів".
Чи передбачається передача персональних даних до/через соціальний портал, електронні кабінети "кейс-менеджерів", веб-портал BI? Якщо так, то який криптографічний захист інформації передбачений під час її передачі?
5. "Веб-портал ІКС "ЄІССС" повинен взаємодіяти з зовнішніми користувачами використовуючи функціонал веб-браузерів актуальних версій"
Що мається на увазі і чи висувається зазначена вимога до виконавця?
6. На якому хмарному ЦОД розгорнуто частину інфраструктури ІКС "ЄІССС"? Чи заходиться він поза межами України?
7."З метою виявлення і знешкодження комп’ютерних вірусів і шкідливих програм в режимі реального часу в ІКС "ЄІССС" передбачено інсталяцію ПЗ антивірусного захисту."
Якого засобу? Чи висувається до виконавця вимога щодо постачання або визначення типу антивірусного засобу в рамках надання послуг?
8. «Взаємодія зовнішнього користувача з ІКС "ЄІССС" здійснюється через відкритий інтернет канал з використанням засобів КЗІ.»
Які засобі КЗІ наявні в системі? Захист яких каналів зв’язку вони забезпечують?
9. «Конфіденційна інформація, яка міститься у резервних копіях державних інформаційних ресурсів, зберігається у хмарному середовищі (хмарному резервному ЦОДі) у зашифрованому вигляді».
Яким засобом КЗІ це забезпечується і чи наявний у нього чинний експертний Держспецзв’язку висновок у галузі КЗІ?
10. Чи можливо чітко визначити що входить до обсягу модернізації КСЗІ ІКС "ЄІССС" та із чим пов’язане її проведення?
11. «Цілі модернізації КСЗІ: – забезпечити максимальний рівень ефективного захисту персональних даних, конфіденційної та службової інформації та державних інформаційних ресурсів в ІКС "ЄІССС";…»
В ІКС "ЄІССС" передбачається обробка інформаційних ресурсів із грифом «ДСК»? Якщо ні, то який тип інформації класифікувався як «службова»?
12. В останньому абзаці розділу 5 технічних вимог зазначена наступна інформація: «Засіб КЗІ може бути представлений у вигляді окремого (окремих) засобів або може бути інтегрований до підсистеми віртуалізації ІКС "ЄІССС".?
Про який засіб КЗІ йде мова? До виконавця висувається вимога щодо його постачання в рамках надання послуг зі створення технічного завдання щодо модернізації КСЗІ ІКС?
13. До виконавця висувається вимога врахування аспектів, які стосуються сегменту адміністрування ІКС "ЄІССС", таких як:
- «Адміністративна підсистема ІКС "ЄІССС" повинна обов'язково мати в своєму складі наступні елементи: - Функціонал Адміністратора Безпеки, зокрема:….»,
- «В інтерфейсі користувача, зокрема передбачити максимальну інформативність та інтуїтивність…»,
-«Для функціоналу журналювання операцій та/або подій, що виконуються користувачами системи, передбачити зокрема: • Реєстрацію у журналі входів та виходів: час, IP-адреса (реальна, з браузера, а не за NAT)…..»,
-та інш. по тексту
А якщо висунуті вимоги не реалізовані у відповідних компонентах системи, до кого висувається вимога щодо їх реалізації? Чи можуть бути перенесені терміни надання послуг за договором включно до моменту їх виконання?
Взагалі чи реалізовані висунуті у технічних вимогах аспекти сегменту адміністрування ІКС "ЄІССС?
14.У п.7.3 «Формування загальних вимог КСЗІ» зазначається: «КСЗІ має пройти державну експертизу відповідно до чинного законодавства України, в рамках якої дозволяється, зокрема, провести експертизу засобів ТЗІ і КЗІ в разі відсутності відповідних експертних висновків.»
До виконавця висувається вимога організації експертних випробувань на етапі попередньому до створення технічного завдання? Взагалі в послуги зі створення технічного завдання щодо модернізації КСЗІ ІКС "ЄІССС" включена державна експертиза?
15. «Виконання завдань на РС в ІКС "ЄІССС" повинне забезпечуватись у функціонально замкненому середовищі, в межах якого доступ забезпечується лише до ресурсів, що є необхідними для виконання поставлених перед користувачами завдань, та в межах правил розмежування доступу»
Про яке «замкнене середовище» йде мова? До обсягу надання послуг з і створення технічного завдання щодо модернізації КСЗІ ІКС "ЄІССС" входить налаштування КЗЗ?
16. Який результат проведення етапу «Підготовка загальних вимог до КСЗІ» передбачає замовник, з урахування вже підготовлених за попередніми етапами акту обстеження і політики безпеки інформації?
17. У абзаці 1 та 3 п. 7.4 Технічних вимог до виконавця висувається вимога розробки наступних документів: Перелік інформації, що підлягає автоматизованому обробленню в ІКС, Акт обстеження середовищ функціонування ІКС "ЄІССС", Модель порушника безпеки інформації, Модель загроз для інформації, Політика безпеки, План захисту інформації, Загальні вимоги до КСЗІ в ІКС "ЄІССС".
Тобто, результатом етапу «Розробка технічного завдання на модернізацію КСЗІ в ІКС "ЄІССС"» передбачається додаткова розробка: акту обстеження та переліку інформації, що підлягає автоматизованому обробленню в ІКС, моделі загроз, моделі порушника, Плану захисту інформації, що і так входять до Політики безпеки?
У чому мета подібного дублювання документів?
Що включає в себе документ «Загальні вимоги до КСЗІ в ІКС "ЄІССС"», які відомості у ньому зазнаються, що він описує (визначає) і яким нормативно-правовим актом України передбачена його розробка?