Внимание! Соединение с приложением прервано. Дождитесь повторного подключения.
Обсуждение документации - Просмотр сообщения № 750218
Тема сообщения
Так же в технической спецификации прописано что защита периметра сети организаций образования является обязательным условием обеспечения конфиденциальности Логика ошибочная потому что Конфиденциальность обеспечивается через контроль доступа, TLS и auth(jwt/сессии)
Тип сообщения
Замечание к КД
Поставщик
Товарищество с ограниченной ответственностью "FinCore"
Представитель поставщика
ТӘШКЕНБАЕВА АҚЕРКЕ ЕРМЕКҚЫЗЫ
Дата и время отправки сообщения
2026-06-09 18:49:31
Текст сообщения
Так же в технической спецификации прописано что защита периметра сети организаций образования является обязательным условием обеспечения конфиденциальности Логика ошибочная потому что Конфиденциальность обеспечивается через контроль доступа, TLS и auth(jwt/сессии)
Даже если у школы будет слабая сеть с уязвимыми, данные будут передаваться через сквозное шифрование
Ошибка в том что они приписывают сетевой защите клиента функции, которые выполняет сервер и протокол.
В связи с изложенным просим:
предоставить официальные разъяснения;
внести корректировки в конкурсную документацию;
привести техническую спецификацию в соответствие с принципами прозрачности, объективности и добросовестной конкуренции.
Даже если у школы будет слабая сеть с уязвимыми, данные будут передаваться через сквозное шифрование
Ошибка в том что они приписывают сетевой защите клиента функции, которые выполняет сервер и протокол.
В связи с изложенным просим:
предоставить официальные разъяснения;
внести корректировки в конкурсную документацию;
привести техническую спецификацию в соответствие с принципами прозрачности, объективности и добросовестной конкуренции.
Ответы представителей заказчика и организатора, секретаря
Дата:
2026-06-12 12:46:23
Автор:
КУМБАЕВ АМАНТАЙ ЯСАВИЛЕВИЧ
Решение:
Отклонить замечания
Причина отклонения
Замечание не принимается.
Довод основан на ошибочном отождествлении защиты информации исключительно с конфиденциальностью, обеспечиваемой шифрованием канала (TLS) и механизмами аутентификации. В соответствии со статьёй 22 Закона РК «О персональных данных и их защите» собственник и (или) оператор обязан обеспечивать конфиденциальность, целостность и доступность персональных данных, а статья 23 того же Закона прямо требует реализации правовых, организационных и технических мер защиты, в том числе мер по защите сети передачи данных и средств обработки персональных данных от несанкционированного доступа.
Шифрование транспортного уровня (TLS) и механизмы аутентификации защищают данные при передаче, но не обеспечивают защиту рабочих станций пользователей от вредоносного программного обеспечения, не предотвращают компрометацию учётных данных через незащищённую сеть организации образования, не исключают перехват и модификацию трафика в точке подключения и не обеспечивают доступность ИС (защиту от атак типа «отказ в обслуживании» и шифровальщиков). Единые требования в области ИКТ и обеспечения информационной безопасности (ПП РК от 20.12.2016 № 832) предусматривают обязательность многоуровневой защиты периметра сети, фильтрации входящего и исходящего трафика, контроля и журналирования сетевых событий независимо от применения шифрования на прикладном уровне.
Таким образом, защита периметра сети и шифрование/аутентификация являются невзаимозаменяемыми, а взаимодополняющими уровнями эшелонированной защиты. Требования технической спецификации основаны на прямых нормах законодательства и оставлены без изменений.
Довод основан на ошибочном отождествлении защиты информации исключительно с конфиденциальностью, обеспечиваемой шифрованием канала (TLS) и механизмами аутентификации. В соответствии со статьёй 22 Закона РК «О персональных данных и их защите» собственник и (или) оператор обязан обеспечивать конфиденциальность, целостность и доступность персональных данных, а статья 23 того же Закона прямо требует реализации правовых, организационных и технических мер защиты, в том числе мер по защите сети передачи данных и средств обработки персональных данных от несанкционированного доступа.
Шифрование транспортного уровня (TLS) и механизмы аутентификации защищают данные при передаче, но не обеспечивают защиту рабочих станций пользователей от вредоносного программного обеспечения, не предотвращают компрометацию учётных данных через незащищённую сеть организации образования, не исключают перехват и модификацию трафика в точке подключения и не обеспечивают доступность ИС (защиту от атак типа «отказ в обслуживании» и шифровальщиков). Единые требования в области ИКТ и обеспечения информационной безопасности (ПП РК от 20.12.2016 № 832) предусматривают обязательность многоуровневой защиты периметра сети, фильтрации входящего и исходящего трафика, контроля и журналирования сетевых событий независимо от применения шифрования на прикладном уровне.
Таким образом, защита периметра сети и шифрование/аутентификация являются невзаимозаменяемыми, а взаимодополняющими уровнями эшелонированной защиты. Требования технической спецификации основаны на прямых нормах законодательства и оставлены без изменений.
