Номер вимоги: UA-2023-02-23-013553-a.c1
Статус:
Відхилена
Учасник: АТ «УКРТЕЛЕКОМ», Код ЄДРПОУ:21560766
Дата подання: 24.02.2023 23:42
Замовником Державним центром зайнятості України, оголошено закупівлю UA-2023-02-23-013553-a Послуг некомутованого доступу до мережі Інтернет, ДК 021:2015 72411000-4
У пункті 4.3 розділу 3 «Технічна підтримка Оператора» ДОДАТКУ 2 до тендерної документації ЗАКУПІВЛІ» викладено, що для підтвердження відповідності тендерної пропозиції технічним, якісним, кількісним вимогам до предмета закупівлі, Учасником у складі тендерної пропозиції додатково надається копія документу, що підтверджує впровадження та використання ним системи управління інформаційною безпекою згідно вимогам стандарту ISO/IEC 27001.
Вважаємо таку вимогу дискримінаційною та такою що немає жодного застосунку до технічних, якісних, кількісних вимог до предмету закупівлі.
Усі технічні, якісні та кількісні характеристики предмета закупівлі із зазначенням необхідних параметрів викладено у Додатку №2. Яким чином стандарт ISO/IEC 27001 безпосередньо відноситься до вказаних вище характеристик предмету закупівлі Замовник жодним чином не обґрунтовує.
Система сертифікації якості ISO (ІСО) проводиться на відповідність міжнародним стандартам, встановленим Міжнародною Організацією по Стандартизації (ISO, International Organization for Standardization). Організація ISO не проводить сертифікацію, а тільки розробляє стандарти відповідності. Функція сертифікації переходить на національні акредитовані установи, які займаються впровадженням стандартів на підприємстві, видають сертифікати та проводять наглядовий аудит. Організацією ISO розроблено велику кількість стандартів у різних сферах діяльності, зокрема і Стандарти ISO 45001:2018 (або ДСТУ ОНSAS 18001:2010 або OHSAS 18001:2007), ISO 9001:2015 (або ДСТУ ISO 9001:2015), ISO 14001:2015 (або ДСТУ ІSO 14001:2015), ДСТУ ISO 28000:2008 (або ISO 28000:2007), ДСТУ ISO/IEC 27001:2015 (або ISO/IEC 27001:2013).
Усі ці стандарти стосуються безпосередньо менеджменту та бізнес-процесів, які в результаті опосередковано впливатимуть на якість продукції, захист довкілля та безпеку праці. Організація ISO не сертифікує компанії на відповідність стандартами і відповідно до своїх повноважень не може зобов'язати сертифікувати у обов'язковому порядку ні певну компанію, ні певну галузь. Ці рішення приймаються виключно на рівні кожної окремої держави, а в Україні діє принцип добровільної сертифікації. Тобто, ніхто не може зобов'язати бізнес в примусовому порядку сертифікувати товар чи підприємство, оскільки дана вимога відсутня в чинному законодавстві.
Учасники, які зацікавлені взяти участь у цій закупівлі, відповідно до її предмету, здійснюють діяльність у сфері електронних комунікацій можуть виконати вимоги про ТЕХНІЧНІ, ЯКІСНІ ТА КІЛЬКІСНІ ХАРАКТЕРИСТИКИ ПРЕДМЕТА ЗАКУПІВЛІ- некомутованого доступу до мережі Інтернет.
А відсутність копії документу, що підтверджує впровадження та використання системи управління інформаційною безпекою згідно вимогам стандарту ISO/IEC 27001 жодним чином не впливає на можливість суб’єкта господарювання, який здійснює діяльність у сфері електронних комунікацій надавати послугу некомутованого доступу до мережі Інтернет.
Наявність такої вимоги змушує учасника , у якого копія такого сертифікату відсутня відмовитись від участі у закупівлі.
Отримання такого сертифікату Учасником, у якого його немає пов’язано з майновими та часовими витратами, при цьому останні є не виконуваними, оскільки дана закупівля відбувається у короткі строки. І у проміжок часу з моменту оголошення закупівлі та подання тендерної пропозиції такий сертифікат отримати неможливо.
Зважаючи на наведене вище, з такою вимогою участь у закупівлі є неможливою для широкого кола Учасників діяльність, яких пов’язана із сферою електронних комунікацій, і які у свою чергу можуть виконати усі ТЕХНІЧНІ, ЯКІСНІ ТА КІЛЬКІСНІ ХАРАКТЕРИСТИКИ ПРЕДМЕТА ЗАКУПІВЛІ- некомутованого доступу до мережі Інтернет та надати послугу за найкращою ціною для Замовника.
Отже, вимога про копія документу, що підтверджує впровадження та використання ним системи управління інформаційною безпекою згідно вимогам стандарту ISO/IEC 27001 є дискримінаційною.
Дискримінація учасників публічних закупівель — це обмеження прав когось із них, встановлення у тендерній документації вимог, яким можуть відповідати лише один або декілька учасників. Законом України «Про публічні закупівлі» від 25.12.2015 № 922-VIII (далі — Закон № 922) дискримінація учасників заборонена.
У зв’язку з цим, просимо привести вимоги тендерної документації у відповідність до Закону №922, що у свою чергу дозволить Замовнику провести закупівлю у добросовісній конкуренції за участю суб’єктів господарювання, що надають якісні послуги у сфері електронних комунікацій.
Розгорнути
Згорнути
Рішення замовника: Вимога не задоволена
Шановний запитувачу!
Статтею 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» визначені умови обробки інформації в системі, зокрема: державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації у разі виконання всіх таких умов:
підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;
використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації;
жоден з елементів системи не може бути розташований на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на територіях держав, визнаних Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції", та на територіях держав, які входять до митних союзів з такими державами;
виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.
З метою забезпечення відповідного рівня інформаційної безпеки в умовах збройної агресії Російської Федерації та постійних кібератак з боку російських хакерських угруповань, в тому числі на ресурси Замовника та керуючись рекомендаціями Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки СБУ та РНБО щодо підвищення рівня захисту інформаційних ресурсів, Замовником було встановлено вимогу щодо наявності документів, що підтверджують відповідність системи менеджменту інформаційної безпеки вимогам стандарту ISO/IEC 27001, який визначає вимоги до проектування, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою, тобто визначає засоби контролю безпеки та процеси управління, які Учасники повинні мати для забезпечення конфіденційності, захисту, цілісності та доступності інформації. Стандарт допомагає організаціям захистити свої дані від таких загроз, як кібератаки, зловмисне програмне забезпечення, людські помилки та інші ризики.
Вимоги, наведені в стандарті ISO/IEC 27001, є загальними та можуть бути запроваджені для всіх організацій незалежно від типу, розміру та природи. Отже, будь-яка організація може отримати відповідний сертифікат, що є підтвердженням відсутності дискримінації в цій частині, що узгоджується з позицією Постійно діючої адміністративної колегії з розгляду скарг про порушення законодавства у сфері публічних закупівель (рішення № 16218-р/пк-пз від 15.07.2021, оголошення № UA-2021-06-11-004579-b).
Таким чином, встановлення вимоги щодо наявності сертифікату, яким посвідчується, що система управління інформаційною безпекою стосовно діяльності в сфері надання послуг некомутованого доступу до мережі Інтернет, відповідає вимогам стандарту ISO/IEC 27001, не порушує права та законні інтереси скаржника, пов’язані з участю у процедурі закупівлі.
Дякуємо за вимогу.