Послуги зі зберігання та обробки даних у формі хмарного (віртуального) дата-центру

ISO/IEC 27701:2019 – це стандарт в області зберігання та обробки персональних даних і до GDPR він має опосередковане відношення. ISO/IEC 27001 це комплекс організаційних, програмних, технічних і фізичних засобів і методів, спрямованих на управління ризиками, які пов’язані з використанням у компаніях інформації та інформаційних технологій. В свою чергу ISO/IEC 27701 це «надбудова» над ISO/IEC 27001, а саме комплекс організаційних, програмних, технічних, фізичних засобів і методів, спрямованих на захист персональних даних. Необхідність цієї вимоги зумовлено потребою в наявності підтвердження незалежної та авторитетної організації, що політики, регламенти та операційні процеси хмарного провайдера в області зберігання та обробки персональних даних існують та відповідають кращим світовим практикам, що, в свою чергу, є надійним підтвердженням спроможності провайдера забезпечити безпечне зберігання та обробку персональних даних відповідно до Закону Україні «Про захист персональних даних». ISO/IEC 27701 розроблено міжнародною організацією стандартизації (International Organisation for Standardization) та поширюється на більше ніж 167 держав членів ISO. В Україні прийнято стандарт ДСТУ ISO/IEC 27701:2022 (ISO/IEC 27701:2019, IDT) «Методи безпеки. Розширення до ISO/IEC 27001 та ISO/IEC 27002 для керування конфіденційною інформацією. Вимоги та настанови», гармонізований з наведеним стандартом, методом підтвердження за Наказом Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 29.11.2022 № 232. За пунктом 9 розділу 4 Додатку 2 до Тендерної документації учасник у складі тендерної пропозиції повинен надати Діючий(і) сертифікат(и) учасника, який підтверджує, що система управління учасника відповідає вимогам: 9.1. ДСТУ ISO/IEC 27001:2015 в розширеній редакції ДСТУ ISO/IEC 27701:2022. 9.2. Стандарту ISO/IEC 27001:2013 в розширеній редакції стандарту ISO/IEC 27701:2019. 9.3. ДСТУ ISO/IEC 27001:2015 та ДСТУ ISO/IEC 27701:2022. 9.4. Стандарту ISO/IEC 27001:2013 та стандарту ISO/IEC 27701:2019. На виконання вимог цього пункту учасник може надати документи лише за вимогою одного з підпунктів цього пункту. Сертифікат повинен відповідати вимогам цього пункту. Враховуючи викладене наявні правові підстави для встановлення вимоги пункту 9 розділу 4 Додатку 2 до Тендерної документації, що в свою чергу встановлена з дотриманням принципу недискримінації учасників.

В порядку пункту 51 Особливостей здійснення публічних закупівель товарів, робіт і послуг для замовників, передбачених Законом України “Про публічні закупівлі”, на період дії правового режиму воєнного стану в Україні та протягом 90 днів з дня його припинення або скасування, затверджених Постановою Кабінету Міністрів України від 12.10.2022 № 1178, внесено зміни до тендерної документації та виключено пункт 2 розділу 1 додатку 1 до Тендерної документації, що є предметом вимоги. Відповідні зміни оприлюднено в електронній системі закупівель.

Встановлюючи таку вимогу, Замовник виходив зі специфіки послуг, які є предметом закупівлі і, зокрема, передбачають перенесення до основного та резервного ЦОД (Центр обробки даних) Учасника усіх інформаційних систем (далі – ІС) Замовника, включаючи ті ІС, що містять критичну для Замовника інформацію з точки зору конфіденційності, достовірності та постійної доступності, а також необхідності зменшення ризиків інформаційної безпеки. Наявність обтяження щодо Нерухомого майна Учасника несе ризики застосування передбачених Законом України “Про виконавче провадження“ заходів примусового виконання рішень у разі порушення Учасником своїх зобов’язань за правочинами, на забезпечення яких застосовано таке обтяження. Таким заходом є, зокрема звернення стягнення на майно, що полягає в його арешті, вилученні та примусовій реалізації (стаття 48 зазначеного закону). Звернення стягнення на Нерухоме майно Учасника для Замовника несе ризики невиконання/неналежного виконання Виконавцем зобов’язань за договором про закупівлю в результаті обмеження доступу до ІС, розміщених в ЦОДах на території такого Нерухомого майна, що може призвести до зупинення робочих процесів Замовника в результаті втрати ним можливості використання своїх ІС тощо. Даний кваліфікаційний критерій встановлений Замовником як додаткова гарантія уникнення зазначених вище ризиків, а не бажання обмежити коло учасників процедури закупівлі та надати перевагу якомусь із них. Крім того вимоги, щодо розташування приміщень Центрів обробки даних (ЦОД) не обмежені певним містом чи відстанню від Замовника. Учасники можуть використовувати ЦОД, що розташовані по всій території України. Враховуючи наведене, та те, що виконання Учасником своїх зобов’язань за правочинами, у зв’язку з якими встановлено обтяження Нерухомого майна, знаходиться поза межами впливу чи контролю Замовника, виконання вимоги Замовника щодо надання інформаційної довідки, яка підтверджує, що нерухоме майно, яке входить до складу матеріально-технічної бази, необхідної для надання послуг відповідно до специфікації та технічних вимог Замовника, не перебуває під арештом, заставою або під іншими обтяженнями, суттєво зменшує ризики зупинення робочих процесів Замовника в результаті втрати ним можливості використання своїх ІС внаслідок звернення стягнення на Нерухоме майно Виконавця.

Шановний Учасник, дакуємо за звернення. В тендерну документацію будуть внесені відповідні зміни

Відповідно до пункту 4.3. Додатку 1 та пункту 4.4. Додатку 1 до Проєкту договору Додатку 4 до Тендерної документації нерухоме майно, де розташований ЦОД Виконавця, не повинно перебувати під арештом, заставою або під іншими обтяженнями. Підпунктом 1.2. пункту 1 розділу 1 Додатку 2 до Тендерної документації визначено, що на підтвердження відповідності учасника кваліфікаційному критерію наявність в учасника обладнання, матеріально-технічної бази та технологій, а також забезпечення вищевикладених вимог, учасник повинен надати інформаційну довідку «Інформація з Державного реєстру речових прав на нерухоме майно та Реєстру прав власності на нерухоме майно, Державного реєстру Іпотек, Єдиного реєстру заборон відчуження об’єктів нерухомого майна щодо об’єктів нерухомого майна» (далі – Інформаційна довідка), яка підтверджує, що нерухоме майно, адреса якого вказана в довідці про наявність обладнання, матеріально-технічної бази та технологій, не перебуває під арештом, заставою або під іншими обтяженнями. Визначені обставини наведених умов закупівлі встановлюються на етапі кваліфікації учасників та будуть контролюватися Замовником протягом терміну дії договору. Обтяження нерухомого майна є фактором, який напряму залежить від надавача послуг, в той час коли ризик фізичного пошкодження або тимчасового виходу з ладу ЦОД Учасника можна віднести до форс мажорних обставин. Документ на вимогу підпункту 1.2. пункту 1 розділу 1 Додатку 2 до Тендерної документації як додаткова гарантія уникнення зазначених вище ризиків, а не бажання обмежити коло учасників процедури закупівлі та надати перевагу якомусь із них. Крім того вимоги, щодо розташування приміщень Центрів обробки даних (ЦОД) не обмежені певним містом чи відстанню від Замовника. Учасники можуть використовувати ЦОД, що розташовані по всій території України. Враховуючи наведене, та те, що виконання Учасником своїх зобов’язань за правочинами, у зв’язку з якими встановлено обтяження Нерухомого майна, знаходиться поза межами впливу чи контролю Замовника, виконання вимоги Замовника щодо надання інформаційної довідки, яка підтверджує, що нерухоме майно, яке входить до складу матеріально-технічної бази, необхідної для надання послуг відповідно до специфікації та технічних вимог Замовника, не перебуває під арештом, заставою або під іншими обтяженнями, суттєво зменшує ризики зупинення робочих процесів Замовника в результаті втрати ним можливості використання своїх ІС внаслідок звернення стягнення на Нерухоме майно Виконавця. Враховуючи викладене варто зазначити наступне: Щодо 1го питання вимоги: Відповідно до статті 3 Закону України «Про забезпечення вимог кредиторів та реєстрацію обтяжень» (далі - Закон) обтяженням є право обтяжувача на рухоме майно боржника або обмеження права боржника чи обтяжувача на рухоме майно, що виникає на підставі закону, договору, рішення суду або з інших дій фізичних і юридичних осіб, з якими закон пов’язує виникнення прав і обов’язків щодо рухомого майна. Відповідно до обтяження в обтяжувача і боржника виникають права і обов’язки, встановлені законом та/або договором. У випадках, встановлених законом, права і обов’язки, пов’язані з обтяженням, виникають у третіх осіб. Таким чином, з врахування вищенаведеного положення Закону Замовником закупівлі зазначено в тендерній документації документальне підтвердження відсутності обтяжень щодо ЦОД, оскільки його (їх) наявність може спричинити виникнення додаткових прав та обов’язків. Щодо 2го питання вимоги: Замовник може контролювати виникнення обтяження відповідно до вимог Закону України «Про забезпечення вимог кредиторів та реєстрацію обтяжень», шляхом отримання відомостей Державного реєстру обтяжень рухомого майна. Більше того, в проекті договору, який є додатком до тендерної документації передбачено вимогу щодо відсутності обтяжень ЦОД. Щодо 3го питання вимоги: Ні, не перебуває, оскільки контроль може здійснюватися Замовником відповідно до положень Закону. Питання впливу на можливе виникнення у майбутньому обтяжень ЦОД Виконавця регламентовано чинним законодавством України в частині застосування різних способів захисту прав Замовника. Щодо 4го питання вимоги: Замовник не вбачає підстав щодо внесення змін до тендерної документації, оскільки кваліфікаційні критерії, вимоги та їх документальне підтвердження визначено Замовником з дотриманням принципів, передбачених Законом України «Про публічні закупівлі».

В порядку пункту 51 Особливостей здійснення публічних закупівель товарів, робіт і послуг для замовників, передбачених Законом України “Про публічні закупівлі”, на період дії правового режиму воєнного стану в Україні та протягом 90 днів з дня його припинення або скасування, затверджених Постановою Кабінету Міністрів України від 12.10.2022 № 1178, внесено зміни до тендерної документації та виключено пункт 2 розділу 1 додатку 1 до Тендерної документації, що є предметом вимоги. Відповідні зміни оприлюднено в електронній системі закупівель.

Згідно пункту 4.2.¹ Додатку 1 до Тендерної документації у разі фізичного пошкодження або тимчасового виходу з ладу ЦОД Учасника, Учасник повинен використати потужності резервного ЦОД (власного чи орендованого ) для того, щоб забезпечити збереження копій для подальшого поновлення інформації на ХЦОД. Тим самим тендерною документацією визначено вимоги до предмета закупівлі, за якими визначається потреба в закупівлі послуги зі зберігання та обробки даних у формі хмарного (віртуального) дата-центру, з використанням також потужностей резервного ЦОД у випадку, зазначеному умовою вище. За підпунктом 1.3. пункту 1 розділу 1 Додатку 2 до Тендерної документації на підтвердження кваліфікаційного критерію наявність обладнання, матеріально-технічної бази та технологій учасник повинен надати чинний атестат відповідності КСЗІ (документ може надаватись без документів, що є його невід’ємною частиною) на ХЦОД, виданий Державною службою спеціального зв’язку та захисту інформації України, який в свою чергу повинен підтвердити, що комплексна система захисту інформації інформаційно-телекомунікаційної системи, із застосуванням якої будуть надаватись послуги, яка належить учаснику, забезпечує захист інформації відповідно до вимог нормативних документів з технічного захисту інформації. Також варто зазначити, що закупівля здійснюється у відповідності до принципів здійснення закупівель, зокрема недискримінації учасників. Законодавством у сфері публічних закупівель не визначено обов’язковість ділення предмета закупівлі на частини. Крім того закупівля не може бути поділена на частини, оскільки наявна потреба в закупівлі послуг за технічними вимогами, визначеними умовами закупівлі, що наведено вище.

Відповідно пункту 1.1. Додатку 1 до Тендерної документації послуги зі зберігання та обробки даних у формі хмарного (віртуального) дата-центру необхідні для розміщення основних, резервних та тестових інформаційних систем Фонду гарантування вкладів фізичних осіб (далі – Фонд, Замовник). Закупівля даних послуг здійснюється для існуючих інформаційних систем Фонду, які розроблені та функціонують на базі ПЗ гіпервізора VMWare ESXi. Таким чином ХЦОД має бути побудованим на програмному забезпеченні Гіпервізора VMware ESXi, так як міграція інформаційних систем Фонду на несумісний тип Гіпервізора та масштабне тестування на новій платформі перед переходом до продуктивного режиму використання потребуватимуть значного часу, фінансових та людських ресурсів. Вимогу сумісності ПЗ Гіпервізора з VMWare ESXi слід розглядати як одну з вимог до базової архітектури інфраструктурної платформи, що продиктована поточними архітектурою та конфігурацією інформаційних систем Фонду. Згідно з пунктами 7.2. і 7.3. Додатку 1 до Тендерної документації інформаційні системи Замовника розроблені та функціонують на базі ПЗ Гіпервізора VMWare ESXi. ХЦОД має бути побудованим на програмному забезпеченні Гіпервізора VMware ESXi. ХЦОД повинен бути створений у повній відповідності до вимог технологічності, функціональності, надійності та відмовостійкості еталонної системної VMware архітектури. Учасник повинен мати доступ до цілодобової технічної підтримки від виробника ПЗ Гіпервізора. Статус VMware Cloud Verified є підтвердженням того, що хмара створена у повній відповідності до вимог технологічності, функціональності, надійності та стійкості до відмови еталонної системної VMware архітектури. Крім того, оператор такого класу повинен мати високий рівень взаємодії з провайдером та інтегрувати у хмару його передові інструменти: ESXi, vCenter, NSX, vRealize Log Insight, vRealize Operations, vCloud Usage Meter та останні версії vCloud Director та vSAN). Статус «VMware Cloud Verified», на відміну від рівня партнерства згідно програми VMware Partner Connect на кшталт Select/Advanced/Principal, відноситься до категорії Master Service Competency (MSC), тобто підтверджує найвищий рівень компетенції партнера в одній із спеціалізованих областей застосування технологій VMware. MSC Cloud Verified надається саме хмарним провайдерам, що використовують технологічний стек VMware та підтвердили відповідність своєї хмарної платформи референтній архітектурі та кращим практикам виробника хмарного технологічного стеку – компанії VMware. При цьому треба зазначити, що можливість набуття MSC Cloud Verified, на відміну від партнерських статусів Select/Advanced/Principal, не залежить від обсягу придбання продуктів VMware, а підтверджується саме відповідністю хмарної платформи провайдера референтній архітектурі та кращим практикам VMware, що, в свою чергу, підтверджує спроможність провайдера надавати хмарні послуги з високим рівнем якості. За цієї причини, вимога до наявності партнерського статусу в програмі VMware Partner Connect не є адекватною заміною вимоги до наявності статусу VMware Cloud Verified в контексті підтвердження спроможності провайдера надавати хмарні послуги високої якості. Наявність даного статусу в учасника підтверджує відповідність тендерної пропозиції учасника вимогам до предмета закупівлі за Додатком 1 до Тендерної документації. Згідно інформації яка вказана за посиланням https://cloud.vmware.com/providers/vmware-cloud-verified статус VMware Cloud Verified мають 336 хмарних операторів

У відповідності до абзаців 1 і 2 частини 1 статті 13 Закону України «Про публічні закупівлі» (далі – Закон) закупівлі можуть здійснюватися шляхом застосування однієї з визначених конкурентних процедур, зокрема відкриті торги. Згідно абзацу 1 пункту 10 Особливостей здійснення публічних закупівель товарів, робіт і послуг для замовників, передбачених Законом України «Про публічні закупівлі», на період дії правового режиму воєнного стану в Україні та протягом 90 днів з дня його припинення або скасування, затверджених постановою Кабінету Міністрів України від 12.10.2022 № 1178, (далі – Особливості) замовники, у тому числі централізовані закупівельні організації, здійснюють закупівлі товарів і послуг (крім послуг з поточного ремонту, предмет закупівлі яких визначається відповідно до пункту 3 розділу II Порядку визначення предмета закупівлі, затвердженого наказом Мінекономіки від 15 квітня 2020 р. № 708 (далі - послуги з поточного ремонту), вартість яких становить або перевищує 100 тис. гривень, послуг з поточного ремонту, вартість яких становить або перевищує 200 тис. гривень, робіт, вартість яких становить або перевищує 1,5 млн гривень, шляхом застосування відкритих торгів у порядку, визначеному Особливостями, та/або шляхом використання електронного каталогу для закупівлі товару. Пунктами 24-51 Особливостей визначено порядок проведення відкритих торгів. Ні Законом ні Особливостями не визначено такої процедури закупівлі, як відкриті торги з особливостями. Тим самим відсутні підстави для внесення змін до Тендерної документації.

Вимога Замовника, передбачена пунктом 2 розділу 1 Додатку 2 до Тендерної документації стосовно наявності «не менше одного фахівця в сфері інформаційної безпеки, який має навички спеціаліста з кібербезпеки з тестування проникнення веб-додатків та який зможе на регулярній основі або за необхідності, повно та якісно надавати консультації Замовнику щодо покращення безпеки інфраструктури та сервісів» кваліфікаційного критерію «Наявність працівників відповідної кваліфікації, які мають необхідні знання та досвід» пов’язана з тим, що в умовах запровадженого в державі правового режиму воєнного стану, у зв'язку з військовою агресією Російської Федерації проти України, захист інформаційної безпеки держави є максимально пріоритетним, оскільки від надійності захисту інформаційних систем залежить безпека суспільства і життя громадян. Наявність у Учасника підготовленого та сертифікованого фахівця з інформаційної безпеки дозволяє своєчасно та якісно супроводжувати побудовану систему захисту інформації на етапі експлуатації, а також організувати належний захист у випадку кібератаки на інфраструктуру.

Шановний Учасник, дакуємо за звернення. В тендерну документацію будуть внесені відповідні зміни

Відповідно до абзацу 2 пункту 36 Особливостей затвердження особливостей здійснення публічних закупівель товарів, робіт і послуг для замовників, передбачених Законом України “Про публічні закупівлі”, на період дії правового режиму воєнного стану в Україні та протягом 90 днів з дня його припинення або скасування, затверджених Постановою Кабінету Міністрів України від 12.10.2022 № 1178, (далі – Особливості) не підлягає розкриттю інформація, що обґрунтовано визначена учасником як конфіденційна, у тому числі інформація, що містить персональні дані. Конфіденційною не може бути визначена інформація про запропоновану ціну, інші критерії оцінки, технічні умови, технічні специфікації та документи, що підтверджують відповідність кваліфікаційним критеріям відповідно до статті 16 Закону України «Про публічні закупівлі», і документи, що підтверджують відсутність підстав, визначених пунктом Особливостей. Замовник, орган оскарження та Держаудитслужба мають доступ в електронній системі закупівель до інформації, яка визначена учасником процедури закупівлі конфіденційною. Згідно пункту 6 розділу 4 Додатку 2 до Тендерної документації у складі тендерної пропозиції учасник повинен надати структуру власності учасника за формою та змістом, встановленими наказом Міністерства фінансів України від 19.03.2021 № 163. Документ надається учасником – юридичною особою. Зазначений документ відноситься до іншої інформації ніж визначена абзацом 2 пункту 36 Особливостей, що не можна визначити конфіденційною. Таким чином учаснику не заборонено і не буде підлягати відхиленню визначення конфіденційною інформації (документу), що вимагається за пунктом 6 розділу 4 Додатку 2 до Тендерної документації.