Послуги з розробки та впровадження ERP - системи

ДП "АМПУ", ідентифікаційний код: 38727770 (надалі – Замовник), оголошено закупівлю № UA-2024-11-08-010737-a, про проведення відкритих торгів (з особливостями) за предметом: ДК 021:2015:72260000-5: Послуги, пов’язані з програмним забезпеченням. Товариство з обмеженою відповідальністю Науково-виробниче підприємство "ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ" (надалі – Учасник, Скаржник) є учасником закупівлі № UA-2024-11-08-010737-a за предметом закупівлі ДК 021:2015:72260000-5: Послуги, пов’язані з програмним забезпеченням, з очікуваною вартістю предмета закупівлі в розмірі 8 520 916,67 грн з ПДВ. Відповідно з вимогами пункту 31 постанови Кабінету Міністрів України від 12 жовтня 2022 р. № 1178 (надалі – Постанова) тендерна пропозиція подається в електронній формі через електронну систему закупівель шляхом заповнення електронних форм з окремими полями, у яких зазначається інформація про ціну, інші критерії оцінки (у разі їх встановлення замовником), інформація від учасника процедури закупівлі про його відповідність кваліфікаційним (кваліфікаційному) критеріям (у разі їх (його) встановлення, наявність/відсутність підстав, установлених у пункті 47 цієї постанови і в тендерній документації, та шляхом завантаження необхідних документів, що вимагаються замовником у тендерній документації. Нашим підприємством подано тендерну пропозицію у повній відповідності з нормами права та умовами тендерної документації цієї закупівлі. Рішенням уповноваженої особи Замовника, відповідно до протоколу від 27.11.2024 (надалі – Протокол), пропозиція Учасника була відхилена з підстав визначених в абз.2, пп. 2 п. 44 Постанови – «Учасником надано копію Експертного висновку на комплекс засобів захисту комп’ютерної програми (системи управління підприємством), яка буде використовуватися Замовником згідно технічних вимог предмету закупівлі, вимогам нормативних документів системи технічного захисту інформації в Україні (відповідно до пункту 14 додатку 4 до тендерної документації). Відповідно до інформації, яку розміщено на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України за посиланням https://cip.gov.ua/ua/news/zasobi-tzi-yaki-mayut-ekspertnii-visnovok-pro-vidpovidnist-do-vimog-tekhnichnogo-zakhistu-informaciyi (Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації) Комп'ютерна програма (системи управління підприємством) «ІТ-Enterprise» виробництва ТОВ НВП «Інформаційні технології» має чинний Експертні висновки № 1001, дійсний з 2019-07-18 до 2022-07-18 (термін дії продовжено до кінця дії воєнного стану в Україні). Зазначеним Експертним висновком підтверджується відповідність у профілі захищеності запропонованого програмного забезпечення функціональних послуг, КВ-1 (конфіденційність при обміні рівень 1) та ЦВ-1 (цілісність при обміні рівень 1), які були передбачені вимогами тендерної документації. Разом з цим, Експертний висновок наданий Учасником для усунення виявлених невідповідностей не надає підтвердження відповідності профілю захищеності запропонованої Комп'ютерної програми (системи управління підприємством) «ІТ-Enterprise» вимогам до предмету закупівлі за функціональною послугою НИ-3 (ідентифікація і автентифікація рівень 3), яка була передбачена тендерною документацією. Слід зазначити, що надані Учасником відомості про реалізованість у запропонованому Учасником рішенні послуги НИ-3 не може бути прийняті, оскільки позитивний висновок про коректність реалізації послуги в функціональному профілі захищеності засобів технічного захисту інформації може бути наданий виключно за результатами державної експертизи, порядок організації та проведення якої визначається Положенням про державну експертизу у сфері технічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 № 93 (зі мінами), зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087. Отже, документи, які надані ТОВ НВП «ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ» для усунення виявлених невідповідностей, не підтверджують наявності необхідних функціональних послуг профілю захищеності комплексу засобів захисту запропонованої комп’ютерної програми (системи управління підприємством) відповідно до вимог тендерної документації та тендерна пропозиція ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ НАУКОВО-ВИРОБНИЧЕ ПІДПРИЄМСТВО "ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ" підлягає відхиленню». З наведеним рішенням Замовника не можливо погодитись з підстав наступного. Відповідно до додатку 1 до тендерної документації передбачено - Програмний продукт, який використовуються Виконавцем для створення Системи, повинен відповідати вимогам нормативних документів системи технічного захисту інформації в Україні та реалізовувати послуги безпеки в обсязі функціонального профілю захищеності не гірше ніж {КА-2, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НИ-3, НК-1, НО-1, НЦ-1, НТ-2}, з рівнем гарантії Г-3, специфікації яких наведено в НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу», що має бути підтверджено відповідним позитивним експертним висновком за результатами державної експертизи у сфері технічного захисту інформації (надається відповідний документ). Відповідно до пункту 14 додатку 4 до тендерної документації передбачено - Для підтвердження відповідності програмного продукту, який використовуються учасником для створення Системи, вимогам нормативних документів системи технічного захисту інформації в Україні: Учасник надає копії діючих Експертних висновків (на рішення та/або на його складові, які будуть використовуватися Замовником згідно технічних вимог), зареєстрованих в Адміністрації Державної служби спеціального зв’язку та захисту інформації України щодо відповідності вимогам нормативних документів системи технічного захисту інформації в Україні в обсязі функціонального профілю захищеності не гірше ніж {КА-2, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДЗ-1, ДВ-1, НР-2, НИ-1, НИ-2, НИ-3, НК-1, НО-1, НЦ-1, НТ-2}, з рівнем гарантії Г-3. Повідомляємо, що відповідно до пункту 9.2 Нормативного документу «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» передбачено: Отже, відповідно до Нормативного документу «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» (Затвердженого наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від “ 28 ” квітня 1999 р. № 22 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806) (далі – Нормативний документ) різниця між НИ-1, НИ-2 та НИ-3 полягає у кількості можливих автентифікацій, і для наявності рівня НИ-3 необхідна наявність використання щонайменше двох типів захищених механізмів автентифікацій. Повідомляємо, що відповідно до розділу 2 Нормативного документу - Цей нормативний документ (далі — Критерії) — установлює критерії оцінки захищеності інформації, оброблюваної в комп'ютерних системах, від несанкціонованого доступу. Цей документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних систем, які використовуються для обробки (в тому числі збирання, зберігання, передачі і т. ін.) критичної інформації, а також для органів, що здійснюють функції оцінювання захищеності такої інформації та контролю за її обробкою. На виконання зазначеної вимоги нами тендерної документації було надано у складі тендерної пропозиції експертний висновок (файл «10. ДСТЗІ Експертний висновок Г3 на час війни.pdf»), в пункті 2.5.1 якого зазначено, зокрема: - «здійснення автентифікації за логіном/паролем IT-Enterprise; автентифікація за допомогою особистого ключа кваліфікованого електронного підпису (КЕП). Також в пунктах 2.5.2 та 2.5.3 детально розписано зазначені два види автентифікацій. Отже в наданому у складі тендерної пропозиції експертному висновку підтверджено наявність рівня НИ-3, адже підтверджено наявність щонайменше двох типів захищених механізмів автентифікацій. Разом з тим, 25.11.2024 Замовником було оприлюднено повідомлення про усунення невідповідностей у складі тендерної пропозиції, де було зазначено – «Учаснику ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ НАУКОВО-ВИРОБНИЧЕ ПІДПРИЄМСТВО "ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ" необхідно завантажити: Виправленні діючі Експертні висновки (на рішення та/або на його складові, які будуть використовуватися Замовником згідно технічних вимог), зареєстрованих в Адміністрації Державної служби спеціального зв’язку та захисту інформації України щодо відповідності вимогам нормативних документів системи технічного захисту інформації в Україні в обсязі функціонального профілю захищеності, які містять відсутні в наданому сертифікаті обсяги функціонального профілю захищеності, не гірше ніж «КВ-1 (конфіденційність при обміні рівень 1), ЦВ-1 (цілісність при обміні рівень 1), НИ-3 (ідентифікація і автентифікація рівень 3)». На усунення зазначених Замовником «невідповідностей» нами було завантажено: - експертний висновок від 18.07.2019 №1001, в пункті 2.3.3.1 якого зазначено – Модуль реалізує механізми автентифікації користувачів: логіном/паролем КП IT-Enterprise; доменним обліковим записом Active Directory; обліковим записом служби каталогів LDAP; за допомогою особистого ключа ЕП. Також в пункті в пункті 2.3.3.5 експертного висновку зазначено – «Автентифікація за допомогою особистого ключа ЕП. Цей тип автентифікації здійснюється шляхом накладання користувачем ЕП на контрольний файл та подальша перевірка підпису на стороні сервера застосувань. Якщо валідність підпису підтверджено, КП IT-Enterprise виконує вхід в систему від імені облікового запису, з яким асоційовано відповідний сертифікат відкритого ключа користувача»; - лист від 26.11.2024 (файл «1. Щодо відповідності профілям захищеності КВ-1, ЦВ-1, НИ-3.pdf»), в якому, зокрема, зазначено – «Експертний висновок, зареєстрований в Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 18 липня 2019 року за № 1001, дійсного до 18 липня 2022 року, дію якого пролонговано до кінця дії воєнного стану в Україні згідно листа Адміністрації Державної служби спеціального зв’язку та захисту інформації України Департамент захисту інформації від 30 серпня 2022 року за № 1130/ВС1 включає профілі захищеності та їх складові не гірше ніж «КВ-1 (конфіденційність при обміні рівень 1), ЦВ-1 (цілісність при обміні рівень 1), НИ-3 (ідентифікація і автентифікація рівень 3)». Таким чином, згідно наданого експертного висновку від 18.07.2019 №1001 передбачено наявність щонайменше двох типів захищених механізмів автентифікацій, а саме - логіном/паролем КП IT-Enterprise та за допомогою особистого ключа ЕП, що підтверджує наявність профілю захищеності «НИ-3». Наголошуємо, що нами повністю виконано вимоги додатку 4 до тендерної документації та вимоги додатку 1 до тендерної документації, адже надані нами документи у складі тендерної пропозиції та документи надані на усунення зазначених Замовником невідповідностей у повному обсязі підтверджують наявність профілю захищеності «НИ-3». Також на підтвердження того, що наданий у складі тендерної пропозиції та на усунення невідповідностей експертний висновок підтверджує наявність профілю захищеності «НИ-3» ми додаємо до цієї скарги лист від АТ «Інститут інформаційних технологій» від 26.11.2024, в якому, зокрема зазначено: Окремо хочемо наголосити, що у складі тендерної пропозиції переможця ТОВ "ІНТЕЛЕКТ-СЕРВІС" надано експертний висновок від 08.10.2020 №1173, в пункті 7.3.8 якого зазначається, що для реалізації функціональних послуг безпеки серед іншого, використовують: - пароль користувача; - сертифікат відкритого ключа. Таким чином, у експертному висновку переможця наведений перелік типів захищених механізмів автентифікацій, що підтверджує наявність критерію НИ-3. Звертаємо увагу Комісії на те, що зазначені механізми автентифікації є аналогічними переліку механізмів, який підтверджує експертний висновок, що наданий нами у складі тендерної пропозиції, однак, чомусь Замовник відхилив нашу тендерну пропозицію. Отже нашим підприємством було у повному обсязі виконано вимоги тендерної документації та надано документи, що відповідають умовам тендерної документації. Таким чином, відхилення нашої тендерної пропозиції з наведеної вище підстави є неправомірним та таким що підлягає скасуванню. Просимо зобов’язати Замовника скасувати рішення про відхилення нашої тендерної пропозиції. Відхиливши нашу тендерну пропозицію Замовник порушив вимоги пункту 44 Особливостей, а також законі права та інтереси Скаржника. За цих умов прийняте Замовником у Протоколі рішення про невідповідність пропозиції Учасника вимогам тендерної документації, прийнято з порушенням вимог Закону «Про публічні закупівлі» та Особливостей, що як наслідок є дискримінацією Учасника, яка полягає у протиправній дискваліфікації його пропозиції. Всі наявні докази вищенаведеним обставинам додаються до даної скарги. На підставі вищевказаного, керуючись ст.18 Закону України «Про публічні закупівлі», Постановою КМУ № 1178 від 12.10.2022, - ПРОСИМО: 1. Прийняти скаргу до розгляду. 2.Прийняти рішення про наявність порушення з боку ДП "АМПУ" у закупівлі № UA-2024-11-08-010737-a. 3. Зобов’язати боку ДП "АМПУ" скасувати рішення про відхилення пропозиції ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ НАУКОВО-ВИРОБНИЧЕ ПІДПРИЄМСТВО "ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ" у закупівлі № UA-2024-11-08-010737-a.