0 800 330 331
Увійти /
  • Відкриті торги
  • Безлотова
  • КЕП

Послуги зі створення комплексної системи захисту інформації та проходження державної експертизи щодо отримання атестату відповідності КСЗІ на вебпортал НАДС «Портал управління знаннями»

Торги не відбулися

687 998.00 UAH з ПДВ
мін. крок: 1% або 6 879.98 UAH
Період уточнення: 14.02.2022 15:25 - 20.02.2022 00:00
Відповідь надана

Звернення до Замовника з проханням надати роз’яснення щодо виявлених порушень законодавства у сфері технічного захисту інформації

Номер: 4f38afe771d841a7a6b9fa198a983ba5
Пов'язаний елемент: Закупівля
Дата опублікування: 17.02.2022 12:18
Опис: У результаті ґрунтовного аналізу тендерної документації та законодавства України у сфері технічного захисту інформації (далі – ТЗІ) співробітниками Державного підприємства «Одеський науково-дослідний інститут зв’язку» (далі – Учасник), виникли наступні питання стосовно порушення вимог чинного законодавства України у сфері ТЗІ: 1. НД ТЗІ 2.6-001-11 Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, пункт 5.7 визначає наступну вимогу: З метою забезпечення максимальної достовірності та повноти результатів при організації та проведенні експертизи мають бути дотримані такі основні принципи її проведення: - незалежність Організаторів експертизи та Експертів. Організатори експертизи та Експерти мають бути незалежні у своїй діяльності та невідповідальні за створення (розроблення) ОЕ. Незалежність є підставою для неупередженості при проведенні експертизи та об'єктивності при формулюванні висновків за результатами експертизи. Дотримання принципу незалежності означає, що Організаторами експертизи (Експертами) не можуть бути організації (особи), для яких може бути документально підтверджено причетність до будь-яких етапів робіт зі створення ОЕ, у тому числі надання консультаційних послуг, які стосуються виконання окремих етапів робіт зі створення ОЕ, обґрунтування та вибору певних проектних рішень. 2. Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93 зі змінами (далі – Положення), визначає: - У разі виявлення невідповідності об’єкта експертизи вимогам нормативних документів з ТЗІ Організатор може запропонувати Замовнику виконати доопрацювання. - Строк доопрацювання об’єкта експертизи визначається спільним протоколом або додатковою угодою до договору між Замовником та Організатором. 3. Закон України "Про наукову і науково-технічну експертизу", що є основою для проведення експертних робіт в галузі ТЗІ, визначає наступне: Стаття 4 Суб’єкти наукової і науково-технічної експертизи Не дозволяється поєднання в одній особі функцій автора розробки чи іншим чином заінтересованої особи та її експерта. Стаття 35 Правопорушення у сфері наукової і науково-технічної експертизи залучення до проведення наукової і науково-технічної експертизи науково-дослідних робіт і науково-технічних розробок посадових осіб та фахівців, які є їх авторами або безпосередньо заінтересованими особами. Проаналізувавши умови державної закупівлі Замовника та інформацію, наведену в тендерній документації, можна зробити висновок, що від Організатора експертизи вимагається провести модернізацію, змінити технічне завдання, провести етап впровадження, попередні випробування, дослідну експлуатацію, а потім в самого себе прийняти роботи і самому собі для експертизи представити усі активи КСЗІ для перевірки, тобто провести експертизу своєї праці. Вважаємо, що таким чином порушуються основні принципи незалежності Організаторів експертизи. Тобто Організатор не має право розробляти ТЗ (модернізувати його або вносити зміни особисто або організовувати роботи щодо внесення змін до ТЗ), так як він втрачає неупередженість та не може сам себе перевіряти. У протилежному разі виникає передумова порушення чинного законодавства з питань підробки результатів експертизи, так як є пряма зацікавленість в позитивному висновку Організатора експертизи, який брав участь у побудові КСЗІ. Крім того, в пункті 6.5.8.3 НД ТЗІ 3.7-003-2005 передбачається, що виявлені під час державної експертизи недоліки усуваються до її завершення, порядок усунення такий самий, як і для попередніх випробувань. Якщо в силу якихось причин усунути недоліки в ході експертизи неможливо, це оформлюється актом, до якого вноситься перелік необхідних доробок та рекомендації щодо їх виконання. Після завершення передбачених актом робіт проводиться повторна експертиза. Але в тендерній документації Замовника є пряме посилання, що Організатор експертизи повинний надати позитивний експертний Висновок. Не зрозуміло, як Організатор експертизи повинен діяти у разі значних невідповідностей у КСЗІ Замовника, які потребують в межах виконання п.6.5.8.3 усунення визначених недоліків із подальшим проведенням повторної експертизи на договірних засадах. У разі визначення факту порушення чинного законодавства прошу Вашого рішення щодо скасування тендеру на ресурсі https://zakupki.prom.ua/gov/tenders з метою проведення тендерів в спосіб, який не суперечить вимогам чинного законодавства України у сфері ТЗІ, а саме по двом лотам: 1. Послуги щодо створення (модернізації) КСЗІ. 2. Проведення експертизи КСЗІ. З повагою, Михайло МІШИН Директор Державного підприємства «Одеський науково-дослідний інститут зв’язку» Тлф. 050-395-34-16
Відповідь: У відповідь на Ваше питання повідомляємо, що незалежність при проведенні державної експертизи щодо отримання атестату відповідності КСЗІ може бути досягнута шляхом субпідряду на проведення етапу робіт «Організація та супроводження державної експертизи». Пунктом 8 Розділу III Тендерної документації передбачена можливість залучення субпідрядника/ співвиконавця у випадку закупівлі робіт чи послуг. Виконавець при проведенні робіт повинен забезпечити умову «незалежності», що передбачена «Положенням про державну експертизу в сфері технічного захисту інформації», затвердженим Наказом Адміністрації Державної служби спеціального зв`язку та захисту інформації України від 16.05.2007 року № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087, НД ТЗІ 2.6-001-11 та інших нормативних документів у галузі технічного захисту інформації.
Дата відповіді: 18.02.2022 17:39