UA-2020-05-21-006390-c.b7 id: 9f7de9213a414411b2967ab4d64bc8ce
Вимога
Дата створення
10/06/2020 13:46:16
Назва органiзацiї
"GNI SOFTWARE" LTD
Код за ЄДРПОУ або реєстраційний номер облікової картки платника податків/РНОКПП
1401748081
Адреса
Україна, AZ1014, , Baku, Nasimi r., Samed Vurgun st., 71, app. 1
Контактна особа
Сергій Сигловий
Статус рішення
Не задоволено
Дискримінація Г-2
Наша компанія була створена, як одна із підрозділів міжнародної групи компаній, і представлена в 5 країнах з загальною кількістю більше 250 чоловік. Наша група компаній спеціалізується на впровадженні комплексних ІТ рішень під ключ для приватних і державних організацій. Ми успішно впровадили більше 100 проектів в приватному і державному секторах. Нашими клієнтами є державні установи, в тому числі гарантування вкладів, кредитно-гарантійні фонди в різних країнах світу, так і приватні міжнародні фінансові групи.
Всі ці організації вимагають самий вищий рівень забезпечення безпеки інформації, як з точки зору протидії шахрайству, несанкціонованого розкриття інформації третім особам, так і відповідності вимогам локального законодавства різних країн, в тому числі Банківського законодавства (банківська таємниця і тд.).
Всі наші програмні рішення реалізовані на технології Oracle та/або на інших сучасних технологіях, що використовуються кращими компаніями світу:
Фронтова клієнтська частина реалізована на платформі Oracle Apex;
Всі другова форми реалізовані на базі Jasper Reports (iReport);
Сервер застосунків - Oracle Weblogic або Apache Tomcat;
Сервер бази даних - Oracle 12 или Oracle 18;
Система документообороту реалізована на технології Alfresco.
В результаті чого, наші рішення пройшли повну сертифікацію міжнародної компанії Oracle і ми отримали статус офіційного партнера компанії Oracle - Gold Certified Partner.
Як результат, оскільки ми використовуємо технології Oracle і в рамках поточних вимог тендерної процедури, додаткові ліцензії на програмне забезпечення компанії (в нашому випадку це ліцензії Oracle) мають включатись в тендерну пропозицію, то вони є в реєстрі Держспецзв’язку, як ті, що відповідають вимогам сертифікату рівня Г-2 у відповідності до вимог Положення «Про державну експертизу в сфері технічного захисту інформації». А ось що стосується нашого програмного комплексу, то ми, як компанія нерезидент, лише довідавшись про оголошену закупівлю, дізнались про необхідність наявності сертифікату класу Г-2 як однієї із умов для подачі тендерної пропозиції. Відповідно такого висновку на даному етапі у нас просто не може бути.
При цьому ми погоджуємось і розуміємо, що дана вимога є абсолютно раціональною з точки зору вимог в цілому по проекту, але при цьому абсолютно дискримінаційною на етапі подання тендерних пропозицій, оскільки:
Неможливо отримати сертифікат рівня Г-2 в терміни, що вимагаються тендерною документацією зі сторони Замовника, оскільки у відповідності до вимог Положення «Про державну експертизу в сфері технічного захисту інформації» тільки комісія, що повинна зібратись для розгляду відповідних документів має право приймати рішення на протязі 1 місяця, не кажучи що ще необхідний час на підготовку необхідних документів у відповідності до вимог цього Положення;
Наш програмний комплекс, що має пройти державну експертизу, має бути у відповідності до Положення п. 4, розділ 1 «невід'ємною складовою інформаційної, телекомунікаційної або інформаційно-телекомунікаційної системи» за яку Учасник не несе відповідальність в рамках проекту.
Як результат, ми повністю підтримуємо вимогу, що програмний комплекс Учасників має відповідати вимогам Законодавства України, в тому числі забезпечити необхідний сертифікат для підтвердження необхідного рівня безпеки інформації, але тільки за результатами впровадження системи.
З цієї підстави, просимо вас зробити зміни до вимог тендерної документації та проекту договору на момент подачі тендерних пропозицій, на редакцію «сертифікат Г- 2 повинен бути наданий за результатами впровадження проекту» з метою проведення прозорого конкурсу і включення нерезидентів, що не мають даного сертифікату до списку Учасників.
Роз`яснення замовника
Шановний учасник, дякуємо за увагу до закупівель АТ "Укрпошта".
За результатами розгляду Вашої Вимоги повідомляємо наступне
Відповідно до Положення про державну експертизу в сфері технічного захисту інформації затвердженого наказом Адміністрації державної служби спеціального зв’язку та захисту інформації Українги від 16.05.2007 № 93 (Положення), державна експертиза у сфері технічного захисту інформації (далі - експертиза) проводиться з метою дослідження, перевірки, аналізу та оцінки об'єктів експертизи щодо їх відповідності вимогам нормативних документів із технічного захисту інформації та можливості їх використання для забезпечення технічного захисту інформації.
Об’єктами експертизи, відповідно до п. 4 цього Положення, є зокрема, технічні та програмні засоби, які реалізують функції технічного захисту інформації та/або оцінки стану захисту інформації Відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України № 373 від 29.03.2006 (Правила) захисту в системі підлягає: зокрема, конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації"; службова інформація; інформація, яка становить державну або іншу передбачену законом таємницю.
Відповідно до п. 6 вказаних Правил, під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
Відповідно до п 9 Правил, забезпечення захисту в системі таємної інформації, яка не становить державну таємницю, та конфіденційної інформації здійснюється згідно з вимогами до захисту службової інформації, якщо інше не передбачено законом.
Закупівля системи керування інформаційними потоками, бізнес-процесами та ресурсами АТ "Укрпошта" передбачає, що всі конфіденційні та службові дані, щодо даних працівників АТ «Укрпошта», персональних даних клієнтів компанії, фінансові та інші операції щодо надання послуг поштово зв’язку, будуть відображатись у вказаній системі, тому система має передбачати гарантований рівень захисту від несанкціонованого доступу до конфіденційної та службової інформації, забезпечувати її схоронність та недопущення несанкціонованого витоку інформції.
Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу визначаютсья відповдіно до НД ТЗІ 2.5-004-99, що затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від “ 28 ” квітня 1999 р. № 22. Водночас, рівень реалізації послуг безпеки повинен бути не нижчий, ніж Г2 для автоматизованоих систем класу 2 Відповідно до НД ТЗІ 2.5-005-99 Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. № 22, автоматизована система являє собою організаційно-технічну систему, що об’єднує обчислювальна система, фізичне середовище, персонал і оброблювану інформацію.
Вимоги до функціонального складу комплекс засобів захисту залежать від характеристик оброблюваної інформації, самої обчислювальна система, фізичного середовища, персоналу і організаційної підсистеми. Вимоги до гарантій визначаються насамперед характером (важливістю) оброблюваної інформації і призначенням автоматизована система. Клас «2» автоматизованої системи предбачає локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію різних ступенів обмеження доступу.
Таким чином програмна продукція (ЕРП система), що закуповується Замовником передбачає наявність великої кількості користувачів такої системи, понад 5 тис осіб, та обробку інформації, в т.ч. службової та конференційної, та відноситься до автоматизованих систем класу 2 і повинна передбачати відповідний рівень гарантій, не нижче Г2.
При цьому Загальними вимогами до кіберзахисту об’єктів критичної інфраструктури, затвердженими постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 передбачено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації. Відповідно до постанови Кабінету Міністрів України від 4 березня 2015 р. № 83 «Про затвердження переліку об'єктів державної власності, що мають стратегічне значення для економіки і безпеки держави АТ “Укрпошта”, являється об’єктом критичної інфраструктури.
При цьому, відповідно до НД ТЗІ 2.5-004-99, критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, середовища функціонування, документації і випробувань комплексу засобів захисту. В цих критеріях вводиться сім рівнів гарантій, які є ієрархічними. Вимоги викладаються за розділами. Для того, щоб комп’ютерна система одержала певний рівень гарантій (якщо вона не може одержати більш високий), повинні бути задоволені всі вимоги, визначені для даного рівня в кожному з розділів.
З огляду на вищевикладене, при закупівлі системи керування інформаційними потоками, бізнес-процесами та ресурсами АТ "Укрпошта", з метою дотримання вимог чинного законодавства, Замовником встановлено вимогу наявності в учасників відповідних технологій, що передбачають можливість забезпечення інформаційного захисту системи (програмного забезпечення), що пропонується учасником до постачання. Відповідність такому критерію передбачає наявність гарантій не нижчий, ніж Г-2, що мають гарантувати коректність реалізації функціонального профілю безпеки відповідно до вимог НД ТЗІ 2.5-004-99 та підтверджується шляхом проведенням експертизи в сфері технічного захисту інформації та видачею відповідного експертного висновку, що реєструється в Держспецзв’язку.