Вимога
Відхилено
UA-2023-11-22-017681-a.b1
Щодо усунення безпідставних вимог
Відповідно до пункту 4.3 Розділу 4. Вимоги до ЗВІД Додатку 2 до Тендерної Документації доступ до глобальної мережі Інтернет повинен здійснюватися через ЗВІД, який повинен являти собою сукупність програмно-технічних засобів та організаційних заходів для забезпечення доступу органів державної влади до мережі Інтернет із захистом інформаційних ресурсів відповідно до вимог законодавства України з функціональним профілем захищеності, який обов’язково має включати наступні функціональні профілі: {КА-2, КВ-1, ЦА-1, ЦВ-1,ЦО-1,ДР-1,ДЗ-1,ДВ-1, НР-2, НИ-2, НЦ-1, НК-1, НО-1, НТ-1, НВ-1} або не нижче за рівнем, та рівнем гарантії оцінки коректності Г2 або вищим. Для забезпечення необхідного рівня захисту відкритої і технологічної інформації при її зберіганні, обробці, створенні та передачі ЗВІД повинен мати створену Комплексну систему захисту інформації (КСЗІ). Учасник не може погодитись із вищенаведеною вимогою у зв’язку із тим, що дана вимога порушує права Учасника, звужує коло учасників закупівлі та порушує правила конкурентної боротьби, що сприяє корупції. Вимогами нормативних документів з Технічного Захисту Інформації в Україні не передбачено обов’язкової реалізації в ЗВІД функціональних профілів (профільні послуги безпеки) КВ-1 та ЦВ-1, які пов’язані із використанням криптографічних засобів, які пройшли відповідну експертизу на території України та мають відповідний експертний висновок, для шифрування даних, обмін якими здійснюється із сторонніми системами, або між компонентами ЗВІД. Крім того реалізація функціональних профілів КВ-1 та ЦВ-1 не є обов’язковою для визнання відповідності архітектури КЗЗ КСЗІ рівню гарантій Г-2, отже, їх обов’язковість протирічить власній логіці Замовника. Оскільки криптографічний захист інформації, що реалізується функціональними профілями КВ-1 та ЦВ-1, не є обов’язковим в КСЗІ ЗВІД, їх наявність або відсутність не впливає на атестацію системи КСЗІ ЗВІД на відповідність вимогами нормативних документів з Технічного Захисту Інформації в Україні. Отже, будь яка система КСЗІ ЗВІД, яка має дійсний атестат відповідності, зареєстрований в адміністрації ДССЗІ, має бути визнана відповідною для цілей даної закупівлі. Також слід нагадати Замовнику, що чинними в Україні законодавчими та нормативно-правовими актами у сфері електронних комунікацій, зокрема Закону України «Про електронні комунікації» та Постанови Кабінету Міністрів України від 11.04.2012 №295 «Про затвердження Правил надання та отримання телекомунікаційних послуг» не передбачено вимог до операторів та провайдерів щодо реалізації криптографічного захисту або його окремих функціональних профілів під час надання послуг за кодом ДК 021:2015 –72410000-7 «Послуги провайдерів», які є предметом даної закупівлі. Водночас із цим наявність в Тендерній документації Замовника вимоги щодо обов’язкової реалізації функціональних профілів захищеності КВ-1 та ЦВ-1 суттєво звужує коло учасників закупівлі та порушує правила конкурентної боротьби, що сприяє корупції. Відповідно до частини 4 статті 22 Закону України «Про публічні закупівлі» тендерна документація не повинна містити вимог, що обмежують конкуренцію та призводять до дискримінації учасників. У зв’язку з вищенаведеним, відповідно до частини 1 статті 24 Закону України "Про публічні закупівлі", вимагаємо внести зміни до Тендерної документації закупівлі, усунувши зазначені порушення. У випадку відмови в задоволені даної законної вимоги Учасник буде змушений звертатись до Антимонопольного комітету України за відновленням його порушених прав.
Шановний учаснику!
Ретельно опрацювавши інформацію, яка міститься у зверненні, повідомляємо про наступне.
Функціональні профілі, вказані у пункті 4.3 Розділу 4. Вимоги до ЗВІД Додатку 2 до тендерної документації на закупівлю послуг з надання захищеного доступу до мережі Інтернет для потреб Вищого антикорупційного суду визначені відповідно до НД ТЗІ 2.5-004-99 (далі – НД ТЗІ), як критерії оцінки та визначення вимог з захисту інформації від несанкціонованого доступу, оброблюваної у захищеному вузлі інтернет доступу (далі -ЗВІД).
Відповідно до НД ТЗІ профіль КВ-1 забезпечує мінімальну конфіденційність при обміні і дозволяє забезпечити захист об'єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, під час їх експорту/імпорту через незахищене середовище.
Відповідно до НД ТЗІ профіль ЦВ-1 забезпечує мінімальну цілісність при обміні і дозволяє забезпечити захист об'єктів від несанкціонованої модифікації інформації, що міститься в них, під час їх експорту/імпорту через незахищене середовище.
Зазначаємо, що рівні послуг вищезазначених профілів КВ та ЦВ, які встановив Замовник у вимогах до ЗВІД, мають перший (1) рівень, тобто є мінімально можливими.
Вимога реалізації в ЗВІД таких профілів є необхідною з огляду на наступне. Замовник, як орган судової влади, використовує мережу Інтернет для передачі та отримання інформації, зокрема обміну інформацією з іншими органами державної та судової влади та обміну інформацією між співробітниками суду. З метою недопущення несанкціонованих дій щодо такої інформації, зокрема її витоку та/або порушення її цілісності, Замовник вважає за потрібне встановити вимогу щодо наявності у постачальника послуг з захищеного доступу до мережі Інтернет ЗВІД, який забезпечує хоча б мінімальний захист від таких дій, а саме забезпечує захист об'єктів від несанкціонованого ознайомлення з інформацією та від несанкціонованої модифікації, що міститься в них, тобто ЗВІД, який має профілі КВ-1 та ЦВ-1.
Окремо звертаємо увагу, що окрім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки НД ТЗІ визначає критерії гарантій, що дозволяють оцінити коректність реалізації послуг. При цьому прямий зв’язок між профілями та критеріями гарантій у НД ТЗІ відсутній. За таких умов встановлення вимоги щодо наявності у ЗВІД профілів КВ-1 та ЦВ-1 жодним чином не впливає на вимоги, які висуваються до його рівня гарантії.
Підсумовуючи вищенаведене, а також акцентуючи увагу, що рівні послуг вищезазначених профілів КВ-1 та ЦВ-1, які висуває замовник у вимогах до ЗВІД, є мінімально можливими, Замовник вважає, що підстави для задоволення звернення Товариства з обмеженою відповідальністю «УКРТЕЛЕ-СЕРВІС» відсутні.
