Послуги із створення комплексної системи захисту інформації для системи електронної взаємодії структурних підрозділів Мінекономрозвитку -

Якщо в процесі обстеження виявиться необхідність закупівлі додаткових засобів захисту, то чиїм коштом це має бути зроблено?

1. У зв'язку з дуже стислими термінами щодо надання послуги зі створення комплексної системи захисту інформації для Системи електронної взаємодії структурних підрозділів Мінекономрозвитку, а також залежності швидкості та якості виконання робіт від наявності проектної та експлуатаційної документації на Систему першим пунктом Додатку №2 до проекту Договору (далі - календарного плану) пропонується визначити: Надання Замовником комплекту проектної, експлуатаційної та розпорядчої документації на Систему електронної взаємодії структурних підрозділів Мінекономрозвитку з визначенням терміну надання вказаної документації. Крім того, в пп. 6.3 проекту Договору (Додаток 4 до тендерної документації) необхідно додати підпункт такого змісту: Надати комплект проектної, експлуатаційної та розпорядчої документації на Систему електронної взаємодії структурних підрозділів Мінекономрозвитку.

Враховуючи той факт, що в системі обробляється лише відкрита інформація (в розділі 1 технічних вимог ДКТ вказано, що: «ІТС є державним інформаційним ресурсом, в якому планується обробка відкритих даних») просимо обґрунтувати необхідність категоріювання приміщень Системи.

3. В п.1 календарного плану зазначено що Виконавець надає документ: «Перелік інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту». Згідно пп.6.1.1.2 НД ТЗІ 3.7-005-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі» зазначений документ повинен бути в наявності в Мінекономрозвитку для обґрунтування необхідності створення КСЗІ та, відповідно для обґрунтування проведення тендеру на створення КСЗІ Системи. Враховуючи зазначене, пропонуємо видалити підпункт 1) пункту 1 Календарного плану: Перелік інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту.

4. В Додатку №1 до проекту Договору Технічні вимоги на створення комплексної системи захисту інформації системи електронної взаємодії структурних підрозділів Мінекономрозвитку не описано яким чином потрапляє інформація в Систему (вводиться вручну, на флешці, електронною поштою і т.інш.), крім того просимо надати інформацію чи передбачається передача інформації з ІТС в зовнішні системи (в які саме зовнішні системи і яким чином)?

В експертних висновках на КЗЗ СЕД АСКОД зазначено, що продукти можуть використовуватись виключно в АС класу 2, в той же час Система електронної взаємодії структурних підрозділів Мінекономрозвитку згідно Технічних вимог ДКТ визначена як АС класу 3. Яким чином передбачено використання програмного продукту СЕД АСКОД для захисту інформації розподілених системах АС класу 3?

Прошу надати роз'яснення щодо можливості участі в торгах ФОП, співробітники якого працюють на умовах трудового договору без надання трудових книжок? Які документи необхідно надати для підтвердження у випадку наявної можливості такої участі?

Прошу надати розьяснення щодо можливості надання копій атестатів відповідності та перших листів експертних висновків робіт в яких компанія/ФОП приймала участь (співвиконавець робіт), але виконавцем робіт було визначено іншу організацуію? У разі такої можливості - які документи необхідно надати для підтвердження?

Прошу надати роз'яснення до Вашої відповіді щодо додаткового постачання засобів захисту, які мають бути закуплені за кошти Виконавця. Прошу внести роз'ясненя в тедерну документацію щодо необхідності закупівлі додаткових засобів захисту за рахунок Виконавця робіт. Крім того, прошу уточнити, яким чином Виконавець зможе здійснити постачання продукції (засобів захисту) в рамках надання послуг за КВЕД: 62.01.1 Послуги щодо проектування та розробляння у сфері інформаційних технологій, у разі необхідності постачання программно-апаратних засобів захисту?

НД ТЗІ 1.6-005-2013 "Захист інформації на об’єктах інформаційної діяльності. Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці", на який Ви даєте посилиння не розповсюджується на Систему електронної взаємодії структурних підрозділів Мінекономрозвитку з огляду на те що в Системі не передбачається обробка інформації з обмеженим доступом. З огляду на стислі терміни виконання робіт, вважаємо за доцільне вилучити вимоги щодо проведення категоріювання приміщень Системи.

У відповідності до статті 4 Закону України "Про наукову і науково-технічну експертизу" та п.5.7 НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах" Виконавець робіт з побудови КСЗІ ІТС не може виконувати роботи з проведення її державної експертизи, з огляду на зазначене, а також з метою дотримання принципів незалежності та неупередженості дій експертів Організатора експертизи (виключення елементів корупції) пропонуємо пп.5.7 Переліку послуг Додатку 2 до проекту Договору - Експертний висновок щодо відповідності КСЗІ вимогам ТЗ на створення КСЗІ та НД ТЗІ, вилучити з календарного плану та замінити на: Супроводження робіт, що будуть здійснюватись Організатором державної експертизи в сфері технічного захисту інформації КСЗІ ІТС, до моменту отримання Атестату відповідності на КСЗІ ІТС, з відповідним терміном виконання до кінця 2016 року.

Стосовно «Переліку інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту» Ваша відповідь ґрунтується на рекомендованому складі проектної, експлуатаційної та нормативно-розпорядчої документації визначеному в НД ТЗІ 2.6-001-11 "Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах", в той же час п.6.1.1 "Обґрунтування необхідності створення КСЗІ" НД ТЗІ 3.7-003-05 "Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі" чітко визначається:
- визначення наявності у складі інформації, яка підлягає автоматизованій обробці, таких її видів, що потребують обмеження доступу до неї або забезпечення цілісності чи доступності відповідно до вимог нормативно-правових актів;
Що є вихідними даними для обґрунтування необхідності створення КСЗІ.
З огляду на зазначене, перелік інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту, повинен бути визначений Замовником на етапі обґрунтування необхідності створення КСЗІ ІТС і не входить до кола завдань компанії-розробника КСЗІ ІТС, а лише може бути уточнений після проведення Обстеження середовища функціонування ІТС, результатом якого є: Акт обстеження середовищ функціонування ІТС. Вважаємо за доцільне видалити підпункт 1) пункту 1 Календарного плану: Перелік інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту.

Згідно Вашої відповіді, стосовно надання копій трудових книжок співробітників Учасника, прошу надати роз'яснення з вказанням пунктів нормативно-правових актів стосовно необхідності пред'явлення трудових книжок співробітників Учасника, у разі якщо вони працюють за трудовими угодами?

Прошу надати роз'яснення щодо пункту 6 розділу ІІІ тендерної документації стосовно надання копії дійсної ліцензії на надання послуг у галузі технічного захисту інформації. Враховуючи той факт, що у відповідності до підпункту 8 пункту 1 статті 7 Закону України «Про ліцензування видів господарської діяльності» від 02.03.2015р. №222-VIII ліцензуванню підлягає вид господарської діяльності, а саме: «діяльність у сфері телекомунікацій з урахуванням особливостей, визначених Законом України "Про телекомунікації", надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, за переліком, що визначається Кабінетом Міністрів України» необхідно проходження процедури ліцензування. В той же час відсутні відповідний перелік послуг, що повинен бути визначений постановою Кабінету Міністрів України, а також ліцензійні умови, виконання яких підтверджує кваліфікаційні, організаційні, технологічні та інші вимоги для провадження господарської діяльності у галузі технічного та криптографічного захисту інформації, які регламентуються Законом України «Про ліцензування видів господарської діяльності». Таким чином отримання ліцензій неможливо, а ліцензії, що були видани раніше відповідають вимогам Закону України «Про ліцензування певних видів господарської діяльності», що втратив чинність. Вважаємо за доцільне виключити пункт 6 розділу ІІІ тендерної документації.

Згідно п.3.7 "ПОЛОЖЕННЯ про державну експертизу в сфері технічного захисту інформації", затвердженого наказом Адміністрації Держспецзв'язку від 16.05.2007 №93 Організатора експертизи визначає експертна рада Адміністрації Держспецзв'язку. З огляду на зазначене Виконавець робіт з побудови КСЗІ Системи не може впливати на цей процес. Тому вважаємо за доцільне вилучити з календарного плану та замінити на: Супроводження робіт, що будуть здійснюватись Організатором державної експертизи в сфері технічного захисту інформації КСЗІ ІТС, до моменту отримання Атестату відповідності на КСЗІ ІТС, з відповідним терміном виконання до кінця 2016 року. А також відкорегувати п. 6.2.1 проекту Договору шляхом вилучення фрази: "за умови наявності в них ліцензій на здійснення відповідних видів робіт з технічного захисту інформації", з огляду на відсутність ліцензійних умов у відповідності до яких повинні видаватись дані ліцензії.

ВІдповідно до до пп. 13 п. 2.2.4 наказу Міністерства Фінансів України від 12.03.2012 №333 до пасивного обладнання відноситься: монтажні шафи, монтажні короби, кабелеводи, кабелі, з'єднувачі, розетки, кріпленн, комутаційні панелі тощо, до даного переліку не входять засоби захисту, які однозначно відносяться до активного обладнання, з огляду на те, що виконують обчислювалні функції. З огляду на вищевикладене, засоби захисту не входять до переліку обладнання, що може бути надано в рамках надання послуг за КВЕД: 62.01.1 Послуги щодо проектування та розробляння у сфері інформаційних технологій. Прошу надати роз'яснення з цього приводу.

З огляду на Вашу відповідь, стосовно передачі переліку інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту, Виконавцю робіт пропонуємо: підпункт 1) пункту 1 Календарного плану: "Перелік інформації, що підлягає автоматизованому обробленню в ІТС та потребує захисту" зробити підпунктом Акту обстеження середовищ функціонування ІТС з поміткою - у разі потреби. З огляду на те що цей документ не є обов'язковим і може з'явитись, як Ви і зазначали, виключно після проведення обстеження середовища функціонування ІТС.