Послуги зі створення комплексної системи захисту інформації та проходження державної експертизи щодо отримання атестату відповідності КСЗІ на вебпортал НАДС «Портал управління знаннями»

1. У Вашій відповіді наведене наступне: «Пункт 8 Розділу III Тендерної документації передбачає можливість залучення субпідрядника/ співвиконавця у випадку закупівлі робіт чи послуг». Але вимога цього пункту може застосовуватись тільки до робіт, пов’язаних зі створення (модернізації) КСЗІ, так як у противному разі це порушення п. 5.7. НД ТЗІ 2.6-001-11: «….. Дотримання принципу незалежності означає, що Організаторами експертизи (Експертами) не можуть бути організації (особи), для яких може бути документально підтверджено причетність до будь-яких етапів робіт зі створення ОЕ, у тому числі надання консультаційних послуг, які стосуються виконання окремих етапів робіт зі створення ОЕ, обґрунтування та вибору певних проектних рішень». Тобто з Вашої відповіді свідчить, що між Виконавцем робіт та Організатором експертизи (Експертами) буде окремий Договір на проведення експертизи і при цьому Ви бачите незалежність експерта від Виконавця? 2. Порядок проведення експертизи передбачає прямий Договір між Замовником (Власником КСЗІ) та Організатором експертизи (ОЕ). Виникає питання: Виконавець буде повертати кошти на рахунок Замовника на користь ОЕ? Більш того Організатора експертизи визначає не Виконавець, а Експертна Рада Адміністрації Держспецзв’язку України після розгляду Заяви Замовника на проведення експертизи. Пункти 11 розділу II Положення від 16.05.2007 № 93 зі змінами вимагає: - Основним документом, що регламентує відносини між Замовником і Організатором, є укладений між ними договір на проведення експертизи. Висновок: Замовник повинний провести тендер на визначення ОЕ, або не проводити за умови виконання умови спрощеної закупівлі до 50000грн. Загальний висновок: 1. Тендерна документація передбачає зацікавленість Організатора Експертизи у позитивному висновку експертизі, так як без цього Замовник відповідно до тендерної документації не підпише акт виконаних робіт Виконавцю, при цьому незалежність Організаторів експертизи відсутня взагалі, тому є передумова корупційної схеми. 2. Тендер щодо надання послуг з створення (модернізації) КСЗІ та проведення державної експертизи повинний бути скасований, та організований в спосіб, який не суперечить вимогам чинного законодавства України у сфері ТЗІ, а саме по двом лотам: - послуги зі створення (модернізації) КСЗІ; - проведення державної експертизи КСЗІ. 3. У разі непорозуміння, вимушені звертатись до відповідних структур в галузі антикорупційної діяльності (Постійна діюча адміністративна колегія Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель, Комітет Верховної Ради України з питань антикорупційної політики, Адміністрація Державної служби спеціального зв'язку та захисту інформації України).

У результаті ґрунтовного аналізу тендерної документації та законодавства України у сфері технічного захисту інформації (далі – ТЗІ) співробітниками Державного підприємства «Одеський науково-дослідний інститут зв’язку» (далі – Учасник), виникли наступні питання стосовно порушення вимог чинного законодавства України у сфері ТЗІ: 1. НД ТЗІ 2.6-001-11 Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, пункт 5.7 визначає наступну вимогу: З метою забезпечення максимальної достовірності та повноти результатів при організації та проведенні експертизи мають бути дотримані такі основні принципи її проведення: - незалежність Організаторів експертизи та Експертів. Організатори експертизи та Експерти мають бути незалежні у своїй діяльності та невідповідальні за створення (розроблення) ОЕ. Незалежність є підставою для неупередженості при проведенні експертизи та об'єктивності при формулюванні висновків за результатами експертизи. Дотримання принципу незалежності означає, що Організаторами експертизи (Експертами) не можуть бути організації (особи), для яких може бути документально підтверджено причетність до будь-яких етапів робіт зі створення ОЕ, у тому числі надання консультаційних послуг, які стосуються виконання окремих етапів робіт зі створення ОЕ, обґрунтування та вибору певних проектних рішень. 2. Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93 зі змінами (далі – Положення), визначає: - У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доопрацювання. - Строк доопрацювання об’єкта експертизи визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором. 3. Закон України "Про наукову і науково-технічну експертизу", що є основою для проведення експертних робіт в галузі ТЗІ, визначає наступне: Стаття 4 Суб’єкти наукової і науково-технічної експертизи Не дозволяється поєднання в одній особі функцій автора розробки чи іншим чином заінтересованої особи та її експерта. Стаття 35 Правопорушення у сфері наукової і науково-технічної експертизи залучення до проведення наукової і науково-технічної експертизи науково-дослідних робіт і науково-технічних розробок посадових осіб та фахівців, які є їх авторами або безпосередньо заінтересованими особами. Проаналізувавши умови державної закупівлі Замовника та інформацію, наведену в тендерній документації, можна зробити висновок, що від Організатора експертизи вимагається провести модернізацію, змінити технічне завдання, провести етап впровадження, попередні випробування, дослідну експлуатацію, а потім в самого себе прийняти роботи і самому собі для експертизи представити усі активи КСЗІ для перевірки, тобто провести експертизу своєї праці. Вважаємо, що таким чином порушуються основні принципи незалежності Організаторів експертизи. Тобто Організатор не має право розробляти ТЗ (модернізувати його або вносити зміни особисто або організовувати роботи щодо внесення змін до ТЗ), так як він втрачає неупередженість та не може сам себе перевіряти. У протилежному разі виникає передумова порушення чинного законодавства з питань підробки результатів експертизи, так як є пряма зацікавленість в позитивному висновку Організатора експертизи, який брав участь у побудові КСЗІ. Крім того, в пункті 6.5.8.3 НД ТЗІ 3.7-003-2005 передбачається, що виявлені під час державної експертизи недоліки усуваються до її завершення, порядок усунення такий самий, як і для попередніх випробувань. Якщо в силу якихось причин усунути недоліки в ході експертизи неможливо, це оформлюється актом, до якого вноситься перелік необхідних доробок та рекомендації щодо їх виконання. Після завершення передбачених актом робіт проводиться повторна експертиза. Але в тендерній документації Замовника є пряме посилання, що Організатор експертизи повинний надати позитивний експертний Висновок. Не зрозуміло, як Організатор експертизи повинен діяти у разі значних невідповідностей у КСЗІ Замовника, які потребують в межах виконання п.6.5.8.3 усунення визначених недоліків із подальшим проведенням повторної експертизи на договірних засадах. У разі визначення факту порушення чинного законодавства прошу Вашого рішення щодо скасування тендеру на ресурсі https://zakupki.prom.ua/gov/tenders з метою проведення тендерів в спосіб, який не суперечить вимогам чинного законодавства України у сфері ТЗІ, а саме по двом лотам: 1. Послуги щодо створення (модернізації) КСЗІ. 2. Проведення експертизи КСЗІ.