-
Відкриті торги
-
Однолотова
-
КЕП
Створення інформаційно-аналітичної системи "Електронна медицина, 1 черга
-
Завершена
1 200 000.00
UAH з ПДВ
мін. крок: 0.8% або 10 000.00 UAH
мін. крок: 0.8% або 10 000.00 UAH
Період уточнення:
24.10.2016 18:51 - 07.11.2016 11:00
Відповідь надана
тендерна документація
Номер:
9ea1d9ae0e984623b3ec040db8190b49
Дата опублікування:
26.10.2016 10:53
Опис:
У пункті 5 зазначено: Вимоги з забезпечення захисту інформації від несанкціонованого доступу (НСД) повинні бути реалізовані засобами підсистеми «Адміністрування» та, у подальшому, організаційно-адміністративними заходами, програмно-технічними засобами, інженерно-технічним забезпеченням за рахунок створення комплексної системи захисту інформації (КСЗІ)
Питання: якщо вимоги з забезпечення захисту інформації від НСД повинні бути реалізовані засобами підсистеми «Адміністрування», то навіщо необхідне програмне забезпечення, зазначене у пункті 4.1, що повинне мати експертний висновок та забезпечувати рівень гарантій Г-2, що включає зазначені функціональні послуги безпеки?
Відповідь:
Доброго часу доби!
Згідно з п.21. Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах затверджено Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373 «У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту» Застосування довіреного середовища та інструментів розробки (п.4.1), а також бібліотеки сертифікованих криптографічних модулів (абз. 3 п.5) сприятиме підвищенню надійності нового проекту та спрощенню процедур державної експертизи.
Дата відповіді:
28.10.2016 15:28
Відповідь надана
тендерна документація
Номер:
c77a457da460485fb378e0c4e92503f6
Дата опублікування:
26.10.2016 10:52
Опис:
У пункті 4.1 зазначено, Програмне забезпечення, на базі якого буде побудована система, повинна мати експертний висновок та забезпечувати рівень гарантій Г-2, що включає наступні функціональні послуги безпеки:
Питання: Чи правильно ми розуміємо, що експертний висновок повинна мати та забезпечувати рівень гарантій Г-2, що включає зазначені функціональні послуги безпеки, не безпосередньо сама Система, а якесь інше програмне забезпечення? Якщо – так, то надайте інформацію, яким чином функціональні послуги безпеки іншого окремого програмного забезпечення будуть відноситися до Системи?
Відповідь:
Доброго часу доби!
«Система повинна мати в наявності ті ж самі засоби розробки, які використовуються самим виробником програмного забезпечення і можливість використання цих засобів для виконання розробок силами фахівців Замовника …
Система повинна передбачати можливість вбудовування додаткових розробок, що забезпечують потрібну функціональність, в програмне забезпечення (ПЗ), що поставляється, таким чином, щоб ці розробки не суперечили стандартному ПЗ і не конфліктували з сервісними пакетами та оновленнями».
Застосування довіреного середовища та інструментів розробки (п.4.1), а також бібліотеки сертифікованих криптографічних модулів (абз. 3 п.5) сприятиме підвищенню надійності нового проекту та усуненню потенційних загроз інформаційної безпеки, що обумовлені можливими помилками етапу проектування, завдяки застосуванню перевірених (що отримали позитивний експертний висновок) надійних технологічних рішень (див. ISO/IEC 15026-2:2011, Проектирование систем и разработка программного обеспечения. Гарантирование систем и программного обеспечения. Часть 2. Обоснование гарантии, ISO/IEC 15026-3:2015, Systems and software engineering Systems and software assurance Part 3: System integrity levels, ISO/IEC 15026-4:2012 Проектирование систем и разработка программного обеспечения. Гарантирование систем и программного обеспечения. Часть 4. Гарантия в контексте жизненного цикла, ISO/IEC/IEEE 15288:2015 Systems and software engineering System life cycle processes).
Дата відповіді:
28.10.2016 15:28
Відповідь надана
тендерна документація
Номер:
c21a05262b1b44a88d05316889decaca
Дата опублікування:
26.10.2016 10:52
Опис:
У пункті 4.1 зазначено, що Система повинна мати наступні характеристики та функціональність: можливість одночасного використання ЕЦП, які підтримують ДСТУ 4145-2002 та інтерфейси SSPI (наприклад PKI)
Питання: надайте посилання на нормативно-правовий акт, який визначає ЕЦП, що підтримує інтерфейси SSPI
Відповідь:
Доброго часу доби!
Інтерфейс Security Support Provider Interface (SSPI) надає можливість програмному додатку використовувати різні моделі безпеки, що доступні на комп’ютері або в мережі без зміни інтерфейсу до системи безпеки. SSPI не встановлює облікових даних для доступу до системи, оскільки це є привілейованою операцією що керується операційною системою (див. https://msdn.microsoft.com/en-us/library/windows/desktop/aa380497(v=vs.85).aspx ) або окремою системою розмежування доступу у складі КСЗІ.
Таким чином, інтерфейс SSPI не є функцією (засобом) ані криптографічного, ані технічного захисту інформації, тому її застосування не регламентуються нормативними документами з питань захисту інформації (див. Положення про порядок здійснення криптографічного захисту в Україні, Указ Президента України від 22.05.1998 №505/98, Положення про технічний захист в Україні, Указ Президента України від 27.09.1999 року №1229/99). У той же час, у рамках створення комплексної системи захисту обов’язковим етапом є розробка технічного завдання (НД ТЗІ 3.7-003-05), яке визначить вимоги до основних технічних рішень та буде узгоджене з адміністрацією Держспецзв’язку України.
Дата відповіді:
28.10.2016 15:26