-
Спрощена закупівля
-
Однолотова
-
КЕП
Захищене автоматизоване робоче місце з пасивним захистом інформації та діючим експертним висновком про відповідність вимогам технічного захисту інформації
Завершена
11 336 000.00
UAH з ПДВ
мін. крок: 1% або 113 360.00 UAH
мін. крок: 1% або 113 360.00 UAH
Період уточнення:
27.05.2025 16:14 - 02.06.2025 00:00
Відповідь надана
Система екстреного знищення інформації на накопичувачі SSD
Номер:
4d17c223baf04827b94818e21cd83aa2
Дата опублікування:
29.05.2025 16:31
Опис:
З огляду на викладену вимогу щодо системи екстреного знищення інформації на накопичувачі SSD, просимо надати детальні роз’яснення з наступних технічних і нормативних питань:
1. Наявність офіційних вимог та стандартів
Просимо уточнити:
Чи має система екстреного знищення інформації на SSD відповідати вимогам регулюючих органів у сфері технічного захисту інформації (ТЗІ) або інших?
Якщо так, то які саме нормативно-правові акти (стандарти, методики, рекомендації тощо) регламентують:
- архітектуру такої системи;
- порядок її сертифікації;
- критерії ефективності та надійності;
- порядок підтвердження 100% знищення інформації на SSD?
2. Як визначити, що рішення не є "саморобним" або таким, що не пройшло випробування?
Чи повинен виробник надати експертні висновки, сертифікати або протоколи випробувань щодо відповідності цієї функції критеріям ефективного знищення даних?
Яким чином Замовник планує перевіряти працездатність такої системи?
Адже без проведення стендових випробувань із підтвердженням неможливості відновлення даних — немає способу об'єктивно підтвердити ефективність або безвідмовність системи.
3. Відсутність технічних критеріїв – ризик довільного трактування.
На сьогодні не зрозуміло:
Яка саме структура цієї системи вважається допустимою? (наприклад, апаратна кнопка, криптографічне знищення ключа, подача надлишкової напруги на SSD, повне стирання вмісту накопичувача тощо).
Як вона має ініціюватися – локально, віддалено, вручну або автоматично?
Який рівень знищення вважається достатнім – логічне стирання, криптографічне очищення чи фізичне знищення накопичувача?
Звертаємо увагу, що відповідно до загальновизнаних міжнародних стандартів, існують різні рівні знищення інформації — від одноразового стирання до повного фізичного знищення накопичувача. Але жоден із цих стандартів не визначає універсальну "систему екстреного знищення", інтегровану в комп’ютер.
4. Умовно будь-яке рішення можна назвати "системою" знищення.
За відсутності чітко визначених стандартів, будь-який механізм, що дозволяє знищити дані (включно з молотком, кувалдою у комплекті), може бути інтерпретований як "система екстреного знищення інформації".
Отже:
Які саме технічні рішення вважаються допустимими?
Який критерій ефективності має бути досягнутий?
Хто повинен засвідчити, що рішення працює гарантовано?
Просимо надати:
Чіткий перелік нормативних документів, на які Замовник спирається при формуванні цієї вимоги.
Визначення технічних характеристик або типових прикладів реалізації системи, що вважається допустимою.
Перелік документів, які учасник має надати для підтвердження відповідності цієї вимоги.
Відповідь:
Шановний Учаснику!
1. Наявність офіційних вимог та стандартів Просимо уточнити: Чи має система екстреного знищення інформації на SSD відповідати вимогам регулюючих органів у сфері технічного захисту інформації (ТЗІ) або інших? Якщо так, то які саме нормативно-правові акти (стандарти, методики, рекомендації тощо) регламентують:
- архітектуру такої системи;
- порядок її сертифікації;
- критерії ефективності та надійності;
- порядок підтвердження 100% знищення інформації на SSD?
На даний момент немає національних стандартів щодо знищення інформації з цифрових носіїв, хоча як правильно зазначено у запиті є «загальновизнані міжнародні стандарти». Так у США, Великій Британії, Німеччині, Франції та багатьох інших країнах існують свої національні стандарти. Стандарти США регламентуються NIST.
2. Як визначити, що рішення не є "саморобним" або таким, що не пройшло випробування? Чи повинен виробник надати експертні висновки, сертифікати або протоколи випробувань щодо відповідності цієї функції критеріям ефективного знищення даних? Яким чином Замовник планує перевіряти працездатність такої системи? Адже без проведення стендових випробувань із підтвердженням неможливості відновлення даних — немає способу об'єктивно підтвердити ефективність або безвідмовність системи.
Тендерна документація не містить обов’язкової вимоги щодо надання протоколів випробувань на підтвердження ефективності знищення даних. Водночас ми очікуємо, що відповідальні виробники постачатимуть засоби автоматизованого знищення інформації (ЗАРМ), які вже пройшли необхідні дослідження та випробування, підтверджуючи їх відповідність заявленим характеристикам.
Замовник залишає за собою право перевірити працездатність та відповідність таких систем будь-якими доступними методами, зокрема шляхом проведення власних випробувань. У разі виявлення невідповідностей між задекларованими та фактичними технічними властивостями виробу, відповідальність несе постачальник. Таким чином, надійність та функціональність рішень повинна бути підтверджена на етапі постачання або приймання продукції.
3. Відсутність технічних критеріїв – ризик довільного трактування. На сьогодні не зрозуміло: Яка саме структура цієї системи вважається допустимою? (наприклад, апаратна кнопка, криптографічне знищення ключа, подача надлишкової напруги на SSD, повне стирання вмісту накопичувача тощо). Як вона має ініціюватися – локально, віддалено, вручну або автоматично? Який рівень знищення вважається достатнім – логічне стирання, криптографічне очищення чи фізичне знищення накопичувача?
На цьому етапі тендерна документація не містить жорстко регламентованих технічних критеріїв щодо архітектури або способу реалізації системи екстреного знищення інформації. Це дає можливість учасникам запропонувати власні технічні рішення, які, на їхню думку, найбільш ефективно забезпечують функціональність відповідно до поставленої мети. Водночас, незалежно від архітектури, ключовою вимогою є забезпечення повного та безповоротного знищення інформації, що унеможливлює її відновлення стандартними засобами. Система повинна бути ініційована локально, а також мати можливість спрацювання за відсутності зовнішнього електроживлення. Замовник залишає за собою право перевірити працездатність системи під час приймання обладнання. Таким чином, відповідальність за відповідність рішення функціональним очікуванням несе Учасник, який повинен бути готовий обґрунтувати ефективність та надійність свого підходу.
4. Умовно будь-яке рішення можна назвати "системою" знищення. За відсутності чітко визначених стандартів, будь-який механізм, що дозволяє знищити дані (включно з молотком, кувалдою у комплекті), може бути інтерпретований як "система екстреного знищення інформації".
Дивіться пункт 3
5. Які саме технічні рішення вважаються допустимими?
Рішення, які забезпечують стирання даних без порушення працездатності SSD.
6. Який критерій ефективності має бути досягнутий?
100% стирання всієї області даних SSD, тобто гарантоване, повне та безповоротне знищення інформації, що унеможливлює її подальше відновлення.
7. Хто повинен засвідчити, що рішення працює гарантовано?
Учасник відповідає за якість роботи всього ЗАРМ, у тому числі і за систему стирання інформації як однієї зі складових ЗАРМ.
8. Просимо надати:
Чіткий перелік нормативних документів, на які Замовник спирається при формуванні цієї вимоги.
На сьогоднішній день національні або міжнародні нормативні документи, які б чітко регламентували вимоги до інтегрованих систем екстреного знищення інформації у складі комп’ютерних засобів, відсутні.
При формуванні вимог Замовник виходить із власних функціональних потреб, аналізу сучасних загроз інформаційній безпеці, а також практики застосування подібних рішень в критично важливих системах.
Таким чином, технічне завдання сформульоване не шляхом формального посилання на чинні нормативні акти, а виходячи з логіки досягнення реального, практичного результату — надійного та невідновлюваного знищення інформації за вимогою оператора. Усі заявлені характеристики можуть бути перевірені в процесі приймання.
У випадку наявності у постачальника обґрунтованих технічних рішень або сертифікованих технологій — Замовник готовий їх розглянути в межах оцінки відповідності пропозиції заявленим функціональним вимогам.
9. Визначення технічних характеристик або типових прикладів реалізації системи, що вважається допустимою. Перелік документів, які учасник має надати для підтвердження відповідності цієї вимоги.
Замовник не обмежує учасників конкретною конструкцією або вузькою реалізацією системи екстреного знищення інформації, натомість має бути кінцевий результат — гарантоване, повне та безповоротне знищення інформації, що унеможливлює її подальше відновлення.
Перелік документів, які учасник має надати для підтвердження відповідності цієї вимоги.
- Гарантійний талон. Учасник несе відповідальність за комплектність, якість та відповідність заявленим вимогам відповідно до чинного законодавства.
Дякуємо за звернення.
Дата відповіді:
30.05.2025 14:45