Поиск бэкдоров и троянов

запроса котировок

«Ростелеком» хочет потратить 300 миллионов на российскую систему безопасности


«Ростелеком» продолжает использовать российский софт контроля защищенности ИТ-систем компании Positive Technologies и запустил самый крупный для себя тендер на поставку лицензий решения MaxPatrol.


Сотни миллионов на MaxPatrol


«Ростелеком» готов потратить на ПО контроля защищенности своих ИТ-систем на базе комплекса MaxPatrol российской компании Positive Technologies 284,3 млн руб. Эта сумма фигурирует в качестве начальной цены контракта в запущенном оператором тендере.
Для поиска поставщика «Ростелеком» выбрал формат запроса котировок в электронной форме.

Заявки от претендентов будут приниматься до 28 марта 2018 г. На их оценку заказчик отвел себе два месяца — подведение итогов закупки намечено на 28 мая.


В пресс-службе Positive Technologies сообщили CNews, что компания позиционирует себя в качестве вендора, поэтому самостоятельно участия в тендерных процедурах традиционно не принимает.

То есть поставщиком MaxPatrol станет кто-то из интеграторов. В последние годы неизменным подрядчиком «Ростелекома» по линии MaxPatrol становилась зеленоградская «Компания зикс».


Зачем «Ростелекому» MaxPatrol


В пресс-службе «Ростелекома» рассказали CNews, что оператор сотрудничает с Positive Technologies с 2014 г. Тогда впервые был закуплен продукт MaxPatrol как средство информбезопасности, позволяющее проводить анализ защищенности сетей корпоративного центра «Ростелекома» и приводить их к соответствующим стандартам (закону о персональных данных и различным приказам ФСТЭК).
«Результаты внедрения данного продукта были признаны успешными, в связи с чем было принято решение масштабировать систему на всю корпоративную сеть передачи данных “Ростелекома”, — указывают собеседники CNews. — К 2016 г. продукт MaxPatrol был развернут во всех макрорегиональных филиалах компании».


В «Ростелекоме» отмечают, что сканер безопасности Positive Technologies позволяет решить задачи по контролю защищенности периметра сети, проводить аудит и инвентаризацию ИТ-систем, осуществлять анализ парольной политики.


MaxPatrol глазами разработчика


На сайте разработчика сообщается, что решение MaxPatrol позволяет получать объективную оценку состояния защищенности как всей информационной системы организации, так и отдельных ее подразделений, узлов и приложений.


«Механизмы тестирования на проникновение, системных проверок и контроля соответствия стандартам в сочетании с поддержкой анализа различных операционных систем, СУБД и Web-приложений позволяют MaxPatrol обеспечивать непрерывный технический аудит безопасности на всех уровнях информационной системы», — заверяют в компании.


Основой MaxPatrol заявлен высокопроизводительный сетевой сканер, который позволяет обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.


Какие лицензии закупает «Ростелеком»


Номенклатура поставки лицензий включает серверное, сканирующее, мобильное, консолидирующее (для аккумулирования информации с различных серверов) ПО и локальный сервер обновлений в различных конфигурациях, а также ряд пакетов дополнений.

Конкретное название ПО — MaxPatrol Server, Scanner, Mobile Server, Consolidation Server, Local Update Server.


Предыдущие закупки MaxPatrol


Как следует по информации, размещенной на сайте госзакупок, с 2015 по 2017 гг. «Ростелеком» проводил тендеры, связанные с ПО MaxPatrol, как минимум четыре раза.

Так, в мае 2015 г. «Компания зикс» получила контракт на предоставление лицензий и предоставление техподдержки на сумму порядка 34 млн руб. Конкурентом на конкурсе выступили «Инфосистемы джет».


В июле 2015 г. «Компании зикс» достался контракт на автоматизацию и централизацию процессов поиска уязвимостей, контроль состояния информационной безопасности и соответствия стандартам в информсисх за 53,2 млн руб.

Проигравшим конкурентом снова оказались «Инфосистемы джет».


Вторая часть одноименных работ отошла «Компании зикс» в декабре 2015 г. В отношении этого тендера «Ростелеком» в крайне запутанной форме разместил документы в разделе «сведения о договоре» на сайте госзакупок.

Зачастую сделал это с явными ошибками — в одной из карточек в графе «сведения о сумме договора» указана дата. Тем не менее, однозначно можно сделать вывод, что подрядчику досталось не меньше 41,7 млн руб. проверка безопасности сервера Конкурентов на тендере у «Компании зикс» не оказалось.


Наконец, в мае 2016 г. эта организация получила контракт на предоставление прав использования ПО и техподдержку системы контроля защищенности и соответствия стандартам. «Компании зикс» досталось свыше 50 млн руб. Конкурентов на тендере у нее снова не оказалось.


Через день после выхода материала с редакцией связались представители «Ростелекома». «В последнем абзаце статьи прослеживается намек на искусственное ограничение конкуренции при проведении предыдущих закупок по данной тике, — отметили собеседники CNews. —

Выход на закупку единственной компании “Зикс” был обусловлен проставлением в закупочной документации признака “малое и среднее предпринимательство”, поскольку определенный процент закупок мы обязаны совершать у данной категории компаний исходя из требований финансово-экономического блока “Ростелекома”».

Похожие статьи Pentest

  • It securityЗащитить сайт или очистить от вредоностного кода. Защита сервера или сайта от DDos атак. Безопасность внутренней сети предприятий. Комплексные работы по...
  • Информационная безопасностьАвтор работы: Пользователь скрыл имя Тип работы: Информационная безопасность (ИБ) как индустрия начиналась с простейших программных продуктов -...
  • Проникновение метод тестированияТестирование проникновения представляет собой сочетание методов, которые рассматриваются различные вопросы систем и испытаний, анализов, и дает решения....
  • Тестирование на проникновениеИнциденты информационной безопасности, такие как взлом локальной сети, сайта компании, почтового ящика, вирусная атака, хотя бы раз возникали у...
  • Комплексная оценка уровня защищенностиОценка уровня защищенности - это комплексный аудит информационной среды компании в разрезе конфиденциальности, доступности и целостности. При проведении...