Внимание! Соединение с приложением прервано. Дождитесь повторного подключения.
Обсуждение документации - Просмотр сообщения № 656414
Тема сообщения
Нормы и требования информационной безопасности не уточнены
Тип сообщения
Замечание к КД
Поставщик
Товарищество с ограниченной ответственностью "Mediana Services Limited"
Представитель поставщика
КУРБАНБАЕВ УМИРБЕК ОРАЗИМБЕТОВИЧ
Дата и время отправки сообщения
2026-05-15 10:09:25
Текст сообщения
ТС содержит перечень требований в области ИБ, включая требования к NGFW, IPS, EDR, SIEM, DNS-фильтрации, Threat Prevention, Sandboxing, VPN, AntiBot и иным специализированным средствам защиты информации, однако при этом документация не содержит надлежащего нормативного, технического и организационного обоснования необходимости применения указанных мер. В частности, в документации отсутствуют:
— сведения о классе защищенности информационной системы;
— сведения об отнесении объекта информатизации к объектам критически важной информационно-коммуникационной инфраструктуры (КВОИКИ);
— аттестат информационной безопасности;
— результаты аудита информационной безопасности;
— модель угроз и анализ рисков информационной безопасности;
— категорирование объекта информатизации;
— предписания либо требования уполномоченных государственных органов или регуляторов о необходимости внедрения комплекса мер информационной безопасности уровня enterprise/SOC;
— обоснование необходимости применения специализированных средств защиты информации в отношении бухгалтерской информационной системы организаций образования.
Отсутствие раскрытия категории и уровня защищенности объекта информатизации делает невозможным объективную оценку соразмерности и правомерности предъявляемых требований, а также создаёт риск искусственного завышения требований к потенциальным поставщикам.
В связи с изложенным просим изменить и вносить в КД дополнения:
1) предоставить нормативное и техническое обоснование необходимости установленных требований информационной безопасности с указаниием стандартов и пороги соответствия; 2) предоставить сведения о категории и уровне защищенности объекта информатизации и обоснование такого требования;
3) предоставить результаты аудита, модели угроз либо иные документы, послужившие основанием для формирования требований уровня enterprise-security/SOC, по которым устанавливаются такие технические требования и ограничения конкурентной среды;
Или отменить конкурс.
— сведения о классе защищенности информационной системы;
— сведения об отнесении объекта информатизации к объектам критически важной информационно-коммуникационной инфраструктуры (КВОИКИ);
— аттестат информационной безопасности;
— результаты аудита информационной безопасности;
— модель угроз и анализ рисков информационной безопасности;
— категорирование объекта информатизации;
— предписания либо требования уполномоченных государственных органов или регуляторов о необходимости внедрения комплекса мер информационной безопасности уровня enterprise/SOC;
— обоснование необходимости применения специализированных средств защиты информации в отношении бухгалтерской информационной системы организаций образования.
Отсутствие раскрытия категории и уровня защищенности объекта информатизации делает невозможным объективную оценку соразмерности и правомерности предъявляемых требований, а также создаёт риск искусственного завышения требований к потенциальным поставщикам.
В связи с изложенным просим изменить и вносить в КД дополнения:
1) предоставить нормативное и техническое обоснование необходимости установленных требований информационной безопасности с указаниием стандартов и пороги соответствия; 2) предоставить сведения о категории и уровне защищенности объекта информатизации и обоснование такого требования;
3) предоставить результаты аудита, модели угроз либо иные документы, послужившие основанием для формирования требований уровня enterprise-security/SOC, по которым устанавливаются такие технические требования и ограничения конкурентной среды;
Или отменить конкурс.
