Обгрунтування застосування переговорної процедури
Пункт закону
Непозбувна бентега
Обгрунтування
Необхідність використання апаратно-програмних засобів (АПЗ) криптографічного захисту інформації (КЗІ) в інформаційно-телекомунікаційній системі (ІТС) АМКУ з одного боку визначається порядком застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності, затвердженого постановою КМУ від 28.10.2004р. №1452 (зі змінами), а також технічним завданням (ТЗ) на КСЗІ в ІТС-АМКУ, з іншого боку. За рахунок впровадження АПЗ КЗІ планується розв’язати завдання безпечного зберігання особистих ключів користувачів ІТС (особистих ключів електронного цифрового підпису та особистих ключів для автентифікації у домені на базі Active Directory), посилення механізмів автентифікації користувачів на робочих станціях зі складу ІТС (шляхом введення двох-факторної автентифікації за допомогою електронних ключів). Також, додатково до вищезазначеного, особисті ключі користувачів є частиною технологічного процесу утворення захищеного каналу зв’язку між територіальними відділеннями та Центральним апаратом (ЦА) АМКУ. У лютому 2018 року укладено Договір № 10 від 14.02.2018 з Приватним акціонерним товариством «Інститут інформаційних технологій» (далі – АТ «ІІТ») з підготовки технічного завдання на КСЗІ. У червні 2018 року укладений договір № 53 від 04.06.2018 на проектування та впровадження комплексної системи захисту інформації інформаційно-телекомунікаційної системи (далі – ІТС) Антимонопольного комітету, що включає: розробку проектної та експлуатаційної документації КСЗІ ІТС Антимонопольного комітету України (п. 6.4 НД ТЗІ 3.7-003-05), впровадження КСЗІ ІТС Антимонопольного комітету України (п. 6.5 НД ТЗІ 3.7-003-05), попередні випробування та дослідна експлуатація КСЗІ ІТС Антимонопольного комітету України (п. 6.5 НД ТЗІ 3.7-003-05), підготовку вихідних документів для організації державної експертизи. 05.07.2018р. Комітетом здійснено закупівлю у АТ «ІІТ» програмного забезпечення (ПЗ) криптографічного захисту інформації, яке призначене для вирішення завдань із забезпечення конфіденційності та цілісності інформації, що передається незахищеними каналами зв’язку між територіальними відділеннями та ЦА Антимонопольного комітету України, виготовлення та обслуговування технологічних сертифікатів відкритих ключів, впровадження програмних механізмів криптографічного захисту інформації (КЗІ) в середовище автентифікації користувачів. Вищезазначене ПЗ реалізує відповідні функції у взаємодії з особистими криптографічними ключами, які зберігаються в АПЗ КЗІ, тому вагомим критерієм вибору АПЗ КЗІ є сумісність з відповідним програмним забезпеченням. АТ «ІІТ» згідно Експертного висновку Харківської торгово-промислової плати від 17.01.2018 №56-4/18 є розробником та виробником електронного ключа «Алмаз-1К» та має виключне право на внесення змін, модернізацію, продаж й обслуговування даного обладнання й нікому такого права не надавали. В Україні не виявлено інших виробників та постачальників електронного ключа «Алмаз – 1 К» окрім АТ «ІІТ». Згідно експертного висновку, виданим ТОВ «НДІ «АВТОПРОМ», зареєстрованого в Адміністрації Державної служби спеціального зв’язку та захисту інформації України за результатами експертизи встановлено, що комплекс засобів захисту від несанкціонованого доступу апаратно-програмного комплексу електронного ключа «Алмаз-1К», який надано на експертизу ПП. «ІІТ» відповідає вимогам нормативних документів системи технічного захисту інформації в Україні в обсязі функцій, зазначених у технічних вимогах з технічного захисту інформації від несанкціонованого доступу електронного ключа «Алмаз-1К», сукупність яких визначається функціональним профілем захищеності: КА-2, КО-1, КВ-1, ЦА-1, ЦВ-1, НР-3, НИ-2, НК-1, НО-1, НЦ-3, НТ-3, НВ-1 з рівнем гарантій Г-3 коректності їх реалізації згідно НД ТЗІ 2.5-004-99 та є надійним засобом електронного цифрового підпису, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу і безпосереднього ознайомлення із зазначенням параметрів особистих ключів та їх копіювання. Електронні ключі «Алмаз-1К» та ПЗ криптографічного захисту інформації є продуктами одного виробника – АТ «ІІТ», який гарантує повну сумісність власних програмних та апаратних засобів КЗІ. Електронний ключ «Алмаз-1К» забезпечує реалізацію криптографічних перетворень (у тому числі генерації особистих ключів) усередині електронного ключа, що підтверджено експертним висновком Адміністрації ДССЗЗІ в сфері криптографічного захисту інформації (КЗІ) від 12.05.2014р. №05/02/02-1597 та задовольняє вимогам ТЗ на КСЗІ в ІТС АМКУ. Відповідно до виконання вимог ТЗ на КСЗІ, АПЗ КЗІ повинні реалізовувати щонайменше такі функції: - ідентифікації та автентифікація користувачів електронного ключа за паролем (послуга безпеки НИ-2 згідно критеріїв НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу»); - забезпечення конфіденційності та контролю цілісності даних, які передаються між електронним ключем та автентифікованими програмними засобами користувача робочої станції (послуги безпеки КВ-1, ЦВ-1 та НВ-1 згідно критеріїв НД ТЗІ 2.5-004-99); - контроль цілісності вбудованого програмного забезпечення (послуга безпеки НЦ-2 згідно критеріїв НД ТЗІ 2.5-004-99); - тестування правильності криптографічних перетворень (послуга безпеки НТ-2 згідно критеріїв НД ТЗІ 2.5-004-99). Експертним висновком Адміністрації Державної служби спеціального зв’язку та захисту інформації (ДССЗЗІ) України в сфері ТЗІ від 01.07.2017р. №739 підтверджується факт реалізації електронним ключем «Алмаз-1К» наступного профілю захищеності, що відповідає вимогам ТЗ на КСЗІ в ІТС АМКУ: КА-1, КО-1, КВ-1, ЦА-1, ЦВ-1, НР-3, НР-2, НИ-2, НК-1, НО-1, НЦ-3, НТ-3, НВ-1. Використання електронних ключів «Алмаз-1К» у складі ІТС АМКУ відповідає вимогам порядку застосування електронного цифрового підпису органами державної влади у частині використання захищених носіїв особистих ключів – надійних засобів ЕЦП згідно з Законом України.