Номер вимоги: UA-2019-08-23-002193-c.a1
Статус:
Залишена без розгляду
Учасник: ТОВ "Спецбайт", Код ЄДРПОУ:38050241
Дата подання: 28.08.2019 08:40
Відповідно до Кваліфікаційних вимог Тендерної документації, Учасник повинен надати Довідку у довільній формі, а саме:
"Довідка у довільній формі, що містить інформацію про наявність в учасника відповідного обладнання та матеріально-технічної бази (автоматизована система, у якій створена комплексна система захисту інформації з підтвердженою відповідністю) для виконання умов договору, підтверджена завіреною копією Атестата відповідності комплексної системи захисту інформації в автоматизованій системі вимогам нормативно-правових актів та нормативних документів з технічного захисту інформації або копією зареєстрованої в Держспецзв’язку Декларації про відповідність комплексної системи захисту інформації в автоматизованій системі вимогам нормативно-правових актів та нормативних документів з технічного захисту інформації"
Чим саме обумовлена необхідність наявності у Виконавця - АС, у якій створена комплексна система захисту інформації (далі - КСЗІ) з підтвердженою відповідністю?
Оскільки, на сьогоднішній день, відповідно до постанови КМУ від 16.11.2016 №821 "Деякі питання ліцензування господарської діяльності з надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації за переліком, що визначається Кабінетом Міністрів України" при створенні/ побудові КСЗІ ліцензія на провадження такої господарської діяльності не потрібна.
Враховуючи зазначене, створювати/ будувати КСЗІ може будь-хто не маючи ні ліцензій, ні матеріальної бази. А отже, і вимога щодо наявної у Виконавця АС, у якій створена КСЗІ з підтвердженою відповідністю, є дискримінуючою для інших учасників.
Просимо внести зміни в тендерну документацію відповідно до вимог Закону України «Про публічні закупівлі».
Розгорнути
Згорнути
Рішення замовника: Вимога відхилена
Щодо необхідності наявності у Виконавця - АС, у якій створена комплексна система захисту інформації з підтвердженою відповідністю
Згідно з нормами статті 4 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації. Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
Статтею 5 цього Закону визначено, що власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом. Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.
На підставі вимог статті 7 цього Закону власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Статтею 8 вказаного вище Закону встановлено вимогу щодо умов обробки інформації в системі, зокрема, умови обробки інформації в системі визначаються власником системи відповідно до договору з володільцем інформації, якщо інше не передбачено законодавством. Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю (далі – КСЗІ). Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Згідно з визначенням, наведеним у Законі України «Про Державну служби спеціального зв’язку та захисту інформації України», «державні інформаційні ресурси» – систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
Послуги зі створення КСЗІ в інформаційно-телекомунікаційній системі (далі – ІТС), власником (розпорядником) якої є МЗС України, безпосередньо будуть пов’язані з ознайомленням, використанням та документуванням інформації, що стосуються середовища функціонування ІТС, виявлення в ньому елементів, які безпосередньо чи опосередковано можуть впливати на безпеку інформації, топологію, параметри та функціонування, наявність вразливостей, визначення політики безпеки в ІТС, порядок, засоби та механізми забезпечення захисту інформації тощо.
Оскільки право на володіння, використання або розпорядження інформацією щодо КСЗІ в ІТС МЗС належить МЗС, створення цієї інформації передбачено законодавством, як вимога щодо власника системи з використанням якої передбачається обробка інформації, вимога щодо захисту якої встановлена законом, то обробка цієї інформації (як державних інформаційних ресурсів) повинна здійснюватися з дотриманням вимог законодавства в сфері захисту інформації (див. вимоги статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
Крім того, до складу ІТС МЗС, як інтегрованої системи, входять складові підсистеми, які мають особливості їх функціонування, пов’язані з можливістю обробки інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом. Вказане свідчить, що відомості щодо КСЗІ ІТС МЗС в частині цих підсистем, як інформація з обмеженим доступом, повинні також оброблятись в АС, де створено КСЗІ з підтвердженою відповідністю.
Таким чином, на підставі вимог Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» МЗС
не тільки має право визначати умови обробки інформації щодо створення КСЗІ в ІТС МЗС виконавцем цих робіт (як до власника системи, де оброблятиметься така інформація), але й має обов’язок щодо дотримання умов обробки державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захист якої встановлена законом.
Отже, вимога щодо наявної у Виконавця АС, у якій створена КСЗІ з підтвердженою відповідністю, є законною, не може розглядатись як дискримінуюча для інших учасників.
З огляду на викладене вище вважаємо, що Кваліфікаційні критерії до учасників, викладені Тендерній документації МЗС, є правомірними.
Потреба у внесені змін до Тендерної документації відповідно до вимог Закону України «Про публічні закупівлі» відсутня.