Електронний ключ «Алмаз»

І: Вимога п.1.1. Додатку 2: Захищені носії особистих ключів повинні представляти апаратні засоби*, які реалізують українські та міжнародні стандарти в галузі криптографічного захисту інформації, включаючи засіб кваліфікованого електронного підпису та/або печатки Вимога п.2.5. Додатку 2: 2.5. Мають бути апаратно реалізовані* криптографічні алгоритми – ДСТУ 4145-2002, ГОСТ 34.311-95, ДСТУ ГОСТ 28147:2009 та протокол автономного узгодження ключів в групі точок еліптичної кривої типу Діффі-Геллмана (KANIDH), визначений пунктом 8.2 ДСТУ ISO/IEC 15946-3:2006 (повинно бути підтверджено чинним експертним висновком в галузі криптографічного захисту інформації). Коментар: *Відповідно до Закону України «Про електронну ідентифікацію та електронні довірчі послуги» статті 1 п.1 частини 18 – засіб електронного підпису чи печатки - апаратно-програмний пристрій чи програмне забезпечення, що використовуються для створення електронного підпису чи печатки. Тобто, вимагання апаратного засобу та тільки апаратної реалізації криптографічних алгоритмів суперечить вимогам Закону України «Про електронну ідентифікацію та електронні довірчі послуги», оскільки згідно Закону засоби, що використовуються для створення електронного підпису чи печатки не можуть бути виключно апаратними Згідно законодавства предмет закупівлі електронні ключі (токени) можуть бути програмним, апаратно-програмних та апаратних засобом, що призначений для криптографічного захисту інформації. (Наказ Адміністрації державної служби спеціального зв’язку та захисту інформації України №141 від 20.07.2007 (ПОЛОЖЕННЯ про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації) п. 4 Загальних положень). ОТЖЕ: вимагання Замовником тільки АПАРАТНОЇ реалізації алгоритмів обмежує подання пропозицій іншими Учасниками, що є порушенням Закону «Про публічні закупівлі», а саме: - Стаття 5. Принципи здійснення публічних закупівель та недискримінація учасників 1. Закупівлі здійснюються за такими принципами: 4) недискримінація учасників та рівне ставлення до них; 4. Замовники не мають права встановлювати жодних дискримінаційних вимог до учасників. - Стаття 22. Тендерна документація абз.3 п.2: інформація про необхідні технічні, якісні та кількісні характеристики предмета закупівлі, у тому числі відповідну технічну специфікацію (у разі потреби - плани, креслення, малюнки чи опис предмета закупівлі). Технічні, якісні характеристики предмета закупівлі та технічні специфікації до предмета закупівлі повинні визначатися замовником з урахуванням вимог, визначених частиною четвертою статті 5 цього Закону - Замовники не мають права встановлювати жодних дискримінаційних вимог до учасників. Виходячи з вищевикладеного, з метою дотримання Законів України «Про публічні закупівлі» та Закону України «Про електронні довірчі послуги» просимо Вас внести зміни в Тендерну документацію закупівлі UA-2024-02-08-008522-a, а саме: - з п.1.1. Додатку 2 до Тендерної документації вимогу «апаратні засоби» замінити на «програмно-апаратний засіб». - в п.2.5. Додатку 2 трактування «апаратно реалізовані криптографічні алгоритми» замінити на «програмно-апаратну реалізацію» ІІ: Вимога п.2.5. Додатку 2: 2.5. Мають бути апаратно реалізовані криптографічні алгоритми – ДСТУ 4145-2002, ГОСТ 34.311-95, ДСТУ ГОСТ 28147:2009 та протокол автономного узгодження ключів в групі точок еліптичної кривої типу Діффі-Геллмана (KANIDH), визначений пунктом 8.2 ДСТУ ISO/IEC 15946-3:2006 (повинно бути підтверджено чинним експертним висновком в галузі криптографічного захисту інформації)*. Коментар: *стандарт ISO/IEC 15946-3:2006 є недіючим на даний момент та застарілим (http://csm.kiev.ua/nd/nd.php?z=15946-3%3A2006&st=0&b=1) та присутній в експертному висновку тільки одного виробника з чотирьох існуючих на ринку України Діючий та оновлений стандарт - ДСТУ ISO/IEC 11770-3:2015 і є повною заміною попередньому, згідно Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 18.12.2012 N 739 (Зареєстровано в Міністерстві юстиції України 14 січня 2013 р. за N 108/22640) ВИМОГИ ДО ФОРМАТІВ КРИПТОГРАФІЧНИХ ПОВІДОМЛЕНЬ {У тексті Вимог до форматів криптографічних повідомлень (далі – Вимоги) слова та цифри “ДСТУ ГОСТ 28147-2009” замінено словами та цифрами “ДСТУ ГОСТ 28147:2009”; абревіатури та цифри “ДСТУ ISO/IEC 11770-3:2002” замінено абревіатурами та цифрами “ДСТУ ISO/IEC 11770-3:2015”; абревіатури та цифри “ДСТУ ISO/IEC 15946-3:2006” замінено абревіатурами та цифрами “ДСТУ ISO/IEC 11770-3:2015” згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 712 від21.12.2017} https://zakon.rada.gov.ua/laws/show/z0108-13#Text Виходячи з вищевикладеного, просимо Вас внести зміни в Тендерну документацію закупівлі UA-2024-02-08-008522-a, а саме: - Замінити вимогу стандарту 15946-3:2006 на ДСТУ ISO/IEC 11770-3:2015 ІІІ: У інших вимогах Додатку два Замовником вимагається надати наступні документи: - Копію сертифікату ISO 45001:2017 «Система управління охороною здоров’я та безпекою праці. Вимоги та настанови щодо застосування» виданого Учаснику, та чинного на кінцеву дату подання тендерних пропозицій. - Копію сертифікату ДСТУ ISO / IEC 27001:2023 (або ISO / IEC 27001:2022), дійсного на час подання тендерної пропозиції на запропоновану продукцію та виданого на ім’я учасника або виробника органом сертифікації (або органом з оцінки відповідності), вимогам «Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги» виданого Учаснику, та чинного на кінцеву дату подання тендерних пропозицій. - Копію сертифікату ДСТУ ISO 45001:2019 (ISO 45001:2018, IDT) дійсного на час подання тендерної пропозиції на запропоновану продукцію та виданого на ім’я учасника або виробника органом сертифікації (або органом з оцінки відповідності), вимогам «Системи управління охороною здоров’я та безпеки праці. Вимоги та настанови щодо застосування» виданого Учаснику, та чинного на кінцеву дату подання тендерних пропозицій. - Копію сертифікату ДСТУ ISO 28000:2008 (ISO 28000:2007, IDT)» дійсного на час подання тендерної пропозиції на запропоновану продукцію та виданого на ім’я учасника або виробника органом сертифікації (або органом з оцінки відповідності), вимогам «Сиcтеми управління безпекою ланцюга постачання. Вимоги виданого Учаснику, та чинного на кінцеву дату подання тендерних пропозицій. Коментар: Звертаємо Вашу увагу на те, що згідно чинного законодавства України сертифікація ISO не є обов'язковою на території України. Підтвердженням відповідності засобів криптографічного захисту інформації, якими є електронні ключі «Алмаз» або еквіваленти, є наявність діючого/діючих позитивних висновків Державної служби спеціального зв'язку та захисту інформації України за результатами державної експертизи в сфері криптографічного захисту інформації. Виходячи з вищевикладеного, просимо Вас внести зміни в Тендерну документацію закупівлі, а саме: - видалити вимогу надати наступних документів: «копії сертифікатів ISO 45001:2017, ДСТУ ISO / IEC 27001:2023 (або ISO / IEC 27001:2022), ДСТУ ISO 45001:2019 (ISO 45001:2018, IDT), СТУ ISO 28000:2008 (ISO 28000:2007, IDT) IV: У Додатку 2 (ТЕХНІЧНА СПЕЦИФІКАЦІЯ Інформація про необхідні технічні, якісні та кількісні характеристики предмета закупівлі - технічні вимоги до предмета закупівлі) до Тендерної документації закупівлі UA-2024-02-08-008522-a в Загальних вимогах до предмету закупівлі зазначається назва ДК 021:2015 - 32580000-2 - Інформаційне обладнання (Електронний ключ «Алмаз») без зазначення виразу «або еквівалент». Звертаємо увагу Замовника, що відповідно до статті 23 Закону України «Про публічні закупівлі» (далі – Закон) визначено, що у випадку необхідності посилання в тендерній документації на конкретні марку чи виробника або на конкретний процес, що характеризує продукт чи послугу певного суб’єкта господарювання, чи на торгові марки, патенти, типи або конкретне місце походження чи спосіб виробництва замовники повинні обґрунтувати таке посилання та зазначати вираз «або еквівалент». Кабінетом Міністрів України була прийнята постанова від 12.10.2022 № 1178 «Про затвердження особливостей здійснення публічних закупівель товарів, робіт і послуг для замовників, передбачених Законом України “Про публічні закупівлі”, на період дії правового режиму воєнного стану в Україні та протягом 90 днів з дня його припинення або скасування» (далі – Особливості), в якій визначено, що тендерна документація формується замовником відповідно до вимог статті 22 Закону з урахуванням цих Особливостей. Відповідно до цього просимо Замовника на виконання Закону України «Про публічні закупівлі» застосувати до предмету закупівлі вираз «або еквівалент».