Програмних продуктів та послуг з технічного захисту інформації

Вольський Михайло Федорович,

ДСТСЗІ СБ України, конт. тел. 483-97-30

У підпункті 2.6 " Положення про порядок створення та головні функції тендерних комітетів щодо організації та проведення процедур закупівель товарів, робіт і послуг за державні кошти", затвердженого наказом Міністерства економіки України від 26.12.2000 №280 та зареєстрованого в Міністерстві юстиції України 16.01.01 за №20/5211, встановлено, що у разі здійснення закупівлі засобів електронно-обчислювальної техніки, у тому числі телекомунікаційного обладнання, і програмних продуктів тендерний комітет уключає в тендерну документацію вимоги щодо захисту інформації, передбачені законодавством, а також залучає до роботи комітету представників Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України.

Міністерством економіки України підготовлено проект наказу " Про внесення змін до деяких наказів Міністерства економіки України і Міністерства економіки України та з питань європейської інтеграції України", відповідно до якого вносяться відповідні зміни до підпункту 2.6 зазначеного Положення.

Підпункт 2.6 в новій редакції встановлює наступну правову норму: " У разі здійснення закупівлі засобів електронно-обчислювальної техніки, у тому числі телекомунікаційного обладнання, послуг у сфері технічного захисту інформації і програмних продуктів тендерний комітет включає в тендерну документацію вимоги щодо захисту інформації, передбачені законодавством, а також залучає до роботи комітету, починаючи з етапу підготовки тендерної документації, представників Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України, які погоджують тендерну документацію в частині захисту інформації ".

Зі змістом зазначеного проекту наказу можна ознайомитися на сайті Мінекономіки.

Необхідно звернути увагу на те, що представники Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби безпеки України залучаються до роботи тендерного комітету на етапі підготовки тендерної документації. Відповідно до норм Закону України " Про захист інформації в інформаційно-телекомунікаційних системах”, який набирає чинності з 1 січня 2006 року, власник інформації встановлює вимоги із захисту інформації, а власник АС забезпечує захист інформації в АС.

Закупівлі засобів електронно-обчислювальної техніки, послуг у сфері технічного захисту інформації і програмних продуктів повинна передувати розробка проектного рішення зі створення та впровадження АС з реалізацією певної інформаційної технології.

З метою якісної та своєчасної підготовки тендерної документації необхідно запрошення до участі в роботі тендерного комітету направляти до Департаменту спеціальних телекомунікаційних систем і захисту інформації своєчасно разом з проектом тендерної документації.

У запрошенні надавати наступну інформацію:

- мета закупівлі (створення або модернізація АС);

- правовий статус інформації, яка буде оброблятися (обробляється) в АС (відкрита інформація, що є власністю держави, персональні дані, конфіденційна, яка є власністю держави, інформація, що становить державну таємницю, тощо);

- хто є власником інформації;

- хто є розпорядником інформації;

- хто є власником АС;

- властивості інформації, які підлягають захисту (цілісність, доступність чи конфіденційність);

- терміни проведення робіт із захисту інформації;

- порядок залучення організацій – виконавців робіт зі створення комплексної системи захисту інформації (проведення окремого тендеру, за договором).

До тендерної документації в залежності від предмету закупівлі, мети закупівлі та правового статусу інформації включаються наступні технічні та кваліфікаційні вимоги із захисту інформації:

1. У разі закупівлі засобів електронно-обчислювальної техніки загального використання, зі штатними механізмами захисту від несанкціонованого доступу (комутатори, міжмережеві екрані, автоматичні телефонні станції тощо), а також захищених від витоку технічними каналами:

- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;

- засоби електронно-обчислювальної техніки повинні мати сертифікат відповідності або експертний висновок ДСТСЗІ СБ України.

2. У разі закупівлі системного програмного забезпечення (операційних систем, офісних програмних продуктів тощо), прикладного та антивірусного програмного забезпечення:

- повинне використовуватися ліцензійне програмне забезпечення, яке має сертифікат відповідності;

- програмне забезпечення, у тому числі операційні системи, які мають механізми захисту від несанкціонованого доступу, та антивірусне програмне забезпечення повинні мати експертний висновок ДСТСЗІ СБ України;

- під час вибору програмного забезпечення необхідно надавати перевагу програмному забезпеченню вітчизняного виробництва.

3. У разі закупівлі засобів технічного захисту інформації від несанкціонованого доступу, засобів криптографічного захисту інформації:

- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;

- засоби захисту інформації повинні мати сертифікат відповідності або експертний висновок ДСТСЗІ СБ України.

4. У разі закупівлі послуг у сфері технічного захисту інформації (послуг із створення комплексної системи захисту інформації, ремонту засобів захисту інформації тощо):

- учасники торгів повинні мати відповідну ліцензію ДСТСЗІ СБ України на право провадження господарчої діяльності у сфері ТЗІ;

- учасники торгів повинні підтвердити наявність ліцензійних умов провадження послуг, які закупаються, актом перевірки ДСТСЗІ СБ України ліцензійних умов;

- учасники торгів повинні мати спеціальний дозвіл СБ України на право провадження діяльності, пов'язаної з державною таємницею (у разі проведення таких робіт);

- послуги доступу до мережі Інтернет повинні надаватися через захищений вузол (вузли) доступу оператора, які мають видані ДСТСЗІ СБ України відповідні атестати відповідності комплексної системи захисту інформації вимогам нормативних документів України у сфері технічного захисту інформації.

Зазначений перелік не є вичерпним. У кожному конкретному випадку та у відповідності до вимог нормативних документів України в сфері захисту інформації, які діють на цей час, вимоги цього переліку повинні викладатися більш детально.

Характерними недоліками при підготовці тендерної документації є наступні:

- направлення до ДСТСЗІ СБ України запрошення на участь його представників в роботі тендерного комітету (на процедуру відкриття тендерних пропозицій учасників торгів) після затвердження тендерної документації;

- направлення до ДСТСЗІ СБ України тендерної документації без пояснень стосовно мети закупівлі, правового статусу інформації, яка буде оброблятися (обробляється) в АС, хто є власником (розпорядником) інформації та АС, які властивості інформації підлягають захисту, терміни проведення робіт із захисту інформації, порядок залучення організацій – виконавців робіт із створення комплексної системи захисту інформації;

- при складанні специфікації не враховується наявність Переліку обладнання та програмного забезпечення, які мають сертифікат відповідності або експертний висновок ДСТСЗІ СБ України (з переліком програмного забезпечення, засобів електронно-обчислювальної техніки, засобів захисту інформації, які мають сертифікати відповідності або експертні висновки ДСТСЗІ СБ України, можна ознайомитися на сайті Департаменту);

- не надаються переваги програмному забезпеченню вітчизняного виробництва;

- в тендерній документації не вказується конкретний вид ліцензії ДСТСЗІ СБ України (ліцензії на право провадження діяльності у сфері ТЗІ та/або КЗІ, на розробку або на послуги, на " таємно" або " ДСК"), необхідної для виконання робіт;

- не встановлюється вимога підтвердження наявності ліцензійних умов для проведення робіт та послуг, які є предметом закупівлі (акт перевірки наявності ліцензійних умов);

- не встановлюється вимога щодо наявності в учасника торгів спеціального дозволу СБ України на право провадження діяльності, пов'язаної з державною таємницею (у разі проведення таких робіт).