• Главная
• Решения
• 2012
• Февраль
• 20
• Решение Челябинского УФАС России от 20.02.2012 г № Б/Н

Решение Челябинского УФАС России от 20.02.2012 г № Б/Н

Главное управление материальных 
ресурсов Челябинской области

454000, Челябинская обл, 
г. Челябинск, Ленина, 59

Министерство здравоохранения 
Челябинской области

454000, Челябинская обл,
г. Челябинск, Кирова, 165

Навальный Алексей Анатольевич		   
109240, г. Москва, 
ул. Николоямская, д. 26 стр. 1

ООО «РТС-тендер»

127006, г. Москва, 
ул. Долгоруковская, д. 38, стр. 1

Комиссия по контролю в сфере размещения заказов Управления Федеральной антимонопольной службы по Челябинской области (далее – Комиссия), в составе:

Председателя Комиссии:	Сапрыкиной Н.В.	-	заместителя руководителя Челябинского УФАС России;
Членов Комиссии:	Султановой Э.М.	-	ведущего специалиста-эксперта отдела контроля государственного и муниципального заказов Челябинского УФАС России,
	Елкиной А.И.	-	специалиста-эксперта отдела контроля государственного и муниципального заказов Челябинского УФАС России

рассмотрев жалобу <...>, в присутствии:
- <...> — представителя Министерства здравоохранения Челябинской области по доверенности;
- <...> — представителя Министерства здравоохранения Челябинской области по доверенности;
- <...> — представителя Министерства информационных технологий и связи по доверенности;
- <...> - представителя Главного управления материальных ресурсов Челябинской области по доверенности;
- <...> - представителя Главного управления материальных ресурсов Челябинской области по доверенности;
- <...>- представителя Главного управления материальных ресурсов Челябинской области по доверенности.
- <...> — начальника отдела государственных закупок Главного управления материальных ресурсов Челябинской области.
- <...> — начальника отдела технической защиты информации информационно-технического управления Администрации Губернатора Челябинской области.
- <...> - слушатель, личность удостоверена на основании паспорта.
Представитель заявителя на заседание комиссии не явился. Уведомлен надлежащим образом.
Установила:
В Управление Федеральной антимонопольной службы по Челябинской области поступила жалоба <...> (далее - Заявитель) на действия заказчика при проведении открытого аукциона в электронной форме на поставку компьютерного, серверного оборудования и офисной техники в медицинские учреждения Челябинской области в рамках программы «Модернизации здравоохранения Челябинской области на 2011-2012 годы» по разделу внедрение современных информационных систем здравоохранения Челябинской области, извещение № 0169200000311005891 (далее - аукцион).
Заказчик — Министерство здравоохранения Челябинской области.
Максимальная (начальная) цена контракта — 116 762 860,00 рублей.
В соответствии со статьей 41.5 Федерального закона от 21 июля 2005 года №94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (далее - Закон о размещении заказов) извещение о проведении открытого аукциона в электронной форме размещено на официальном сайте в сети «Интернет» 30.12.2011 года.
Дата и время окончания срока подачи заявок на участие в аукционе – 20.01.2012 в 10 часов 00 минут. Контракт по результатам Аукциона не заключен.
В своей жалобе Заявитель указал следующее. В техническом задании установлены требования к автоматизированному рабочему месту медицинского работника (АРМ МР), а именно установлены требования к встроенному неизвлекаемому СЗИ от НСД — модулю доверенной загрузки (МДЗ) АРМ МР. Данный МДЗ должен обладать характеристиками, перечисленными в техническом задании.
На официальном сайте 23.01.2012 опубликовано разъяснение документации, в котором указано, что на сегодняшний день неизвлекаемые СЗИ от НСД производятся следующими компаниями:
- НПО «Эшелон» (МДЗ-Эшелон);
- ЗАО «Аладдин Р.Д.» (Aladdin TSM);
- ООО «АльтЭль» (HyperBIOS,З-Доверие).
МДЗ «Эшелон» не удовлетворяет требованиям, так как не имеет встроенного в BIOS сторожевого таймера и не имеет сертификата соответствия требованиям РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Программный комплекс «Встраиваемый комплекс безопасности Aladdin TSM не удовлетворяет требованиям, предусмотренным в аукционной документации, так как не имеет сертификата соответствия требованиям РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
СЗИ от НСД «З-Доверие» не удовлетворяет приведенным требованиям, так как не имеет встроенного в BIOS сторожевого таймера и не реализует защиту от перезаписи кода BIOS из энергонезависимой памяти.
МДЗ на базе материнской памяти Kraftway соответствует всем требованиям аукционной документации.
Таким образом, требованиям, предъявляемым к МДЗ, удовлетворяет модуль доверенной загрузки одного конкретного производителя — ЗАО «Крафтвэй корпорэйшн ПЛС».
Представители Министерства здравоохранения Челябинской области представили письменные пояснения, которые подержали на заседании комиссии и пояснили следующее.
На сегодняшний день существует два вида модуля доверенной загрузки: плата с набором микросхем, которая вставляется в компьютер (аппаратный) и программный комплекс который непосредственно находится в BIOS. Модуль доверенной загрузки не является средством защиты. В документации в пункте 6.1.11.3 (Требования к Автоматизированному рабочему месту медицинского работника (АРМ МР)) установлено, что системный блок АРМ МР должен быть выполнен в едином конструктиве с монитором для уменьшения площади размещения оборудования на рабочем столе. АРМ МР Тип 1 должно быть оборудовано набором устройств, в том числе наличие не активированного встроенного не извлекаемого СЗИ от НСД – модуль доверенной загрузки (МДЗ) сертифицированный ФСТЭК.
Данное требование относится к системному блоку.
Встроенный в BIOS сторожевой таймер является стандартной функцией южных мостов чипсетов (функция любого стационарного компьютера, функция по умолчанию). Функция сторожевого таймера присутствует во всех современных чипсетах, то есть может быть реализована на любой плате любого производителя на базе процессоров и чипсетов AMD.
Программная и аппаратная части Сервер ЛПУ и АРМ МР должны обеспечивать выполнение требований по защите персональных данных в соответствии с ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Способы, которыми будет достигаться выполнение поименованных в техническом задании функций МДЗ, заказчиком не ограничены, как и не указано на то, что модуль должен иметь сертификат ФСТЭК на соответствие всем перечисленным в документации руководящим документам.
МДЗ Эшелон имеет необходимый сертификат соответствия ФСТЭК на построение ИСПДн (ФСТЭК России № 1872 от 10 июля 2009 года), что соответствует техническому заданию.
МДЗ Алладин TSM имеет необходимый сертификат соответствия ФСТЭК на построение ИСПДн (ФСТЭК России № 2542 от 30 декабря 2011 года), что соответствует техническому заданию.
Защита от модификации BIOS описана на сайте производителя BIOS в описании ALTELL HYPERBIOS АПМДЗ, который является неотъемлемой частью СЗИ НСД «З-ДОВЕРИЕ». Цитата: «невозможно прервать загрузку BIOS и произвести изменения в его конфигурации» http://www.altell.ru/products/hyperbios_apmdz.html
Защита BIOS “в том числе и методами восстановления образа BIOS из энергонезависимой памяти” реализуется, например, при использовании ALTELL HYPERBIOS АПМДЗ и любой материнской платы компании GIGABYTE с технологией DUAL BIOS (http://www.gigabyte.ru/global/ru/pages/mb_081226_dualbios/tech_081226_dualbios.htm) или материнской платы компании ASUS с технологией CrashFree BIOS (http://rus.asus.ru/products/mb/crashfreebios2.shtml).
Представитель заказчика указал, что требования к МДЗ сформированы с учетом модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных ЛПУ.
Представители Министерства информационных технологий и связи Челябинской области и Администрации Губернатора Челябинской области представили письменные пояснения и поддержали доводы Заказчика.
Помимо этого представитель Министерства информационных технологий и связи Челябинской области пояснил следующее.
Согласно пункта 1 статьи 18.1 Закона о персональных данных», оператор информационной системы персональных данных (далее — Оператор ИСПДн) самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных указанным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относится издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Согласно п. 1.4. Приказа ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» выбор и реализация методов и способов защиты информации в информационной системе осуществляется на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20.
Требования наличия в составе автоматизированного рабочего места медицинского работника не активированного встроенного неизвлекаемого СЗИ от НСД — модуля доверенной загрузки (МДЗ), сертифицированного ФСТЭК, должно определяться в следующих разработанных и утвержденных Оператором документах: Модели угроз ИСПДн, Акте классификации ИСПДн и Требованиях по обеспечению безопасности персональных данных в ИСПДн. Данные документы в соответствии с Указом Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», как правило, являются документами с грифом «ДСП». В базовой модели угроз безопасности все категории нарушителей, введенные ФСТЭК для ИСПДн, могут реализовать угрозу НСД через недоверенную загрузку. Однако целесообразность использования модуля доверенной загрузки в целях исключения угрозы НСД через недоверенную загрузку определяется классом ИСПДн и другими документами Оператора ИСПДн.
Заслушав пояснения представителей Заказчика, уполномоченного органа, Министерства информационных технологий и связи Челябинской области и Администрации Губернатора Челябинской области, изучив представленные документы на основании статьи 17 Федерального закона от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (далее - Закон о размещении заказов), Комиссия пришла к следующим выводам.
В соответствии с частью 1 статьи 41.6, частью 2 статьи 34 Закона о размещении заказов документация об аукционе должна содержать требования, установленные заказчиком, уполномоченным органом, к качеству, техническим характеристикам товара, работ, услуг, требования к их безопасности, требования к функциональным характеристикам (потребительским свойствам) товара, к размерам, упаковке, отгрузке товара, требования к результатам работ и иные показатели, связанные с определением соответствия поставляемого товара, выполняемых работ, оказываемых услуг потребностям заказчика.
В соответствии с частью 3.1 статьи 34 Закона о размещении заказов документация об аукционе не может содержать требования к товару, информации, работам, услугам, если такие требования влекут за собой ограничение количества участников размещения заказа.
В техническом задании (пункт 6.1.11.3) установлено, что МДЗ должен соответствовать:
• требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля;
• требованиям Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58, - для применения в ИСПДн до 1 класса включительно;
• требованиям руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», Гостехкомиссия России, 1992г., для применения в АС до класса 1Г включительно;
• требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” (Гостехкомиссия России, 1992) – по 4 классу.
Сведения о том, что указанные требования установлены заказчиком безосновательно, Заявителем не представлено. Из содержания документации следует, что оборудование приобретается в целях обработки информации о персональных данных, требующих соответствующую защиту.
Из содержания документации не следует, что МДЗ должно иметь сертификат ФСТЭК на соответствие всем указанным в документации об аукционе руководящим документам, в том числе на РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
В техническом задании указано, что защита кода МДЗ должна осуществляться программно-аппаратными средствами материнской платы и должна обеспечивать следующие функции:
-защита от перезаписи кода BIOS, в том числе и методами восстановления образа BIOS из энергонезависимой памяти;
-защита от перезаписи настроек BIOS;
-встроенный в BIOS сторожевой таймер.
В техническом задании не ограничены способы достижения указанных функций для защиты кода МДЗ, как и не указано на то, что данные функции следует обеспечить непосредственно МДЗ, без применения иных программных средств.
Заявитель и его представитель на заседание комиссии не явились, возражений по доводам заказчика не представили.
Согласно доводам жалобы специалистами в области информационных технологий был проведен анализ отечественного рынка неизвлекаемых СЗИ от НСД (МДЗ). Однако на заседание комиссии не представлено данное заключение специалистов, а также документы, подтверждающие доводы, изложенные в жалобе (письма, сертификаты, каталоги, переписку с производителями, сведения об адресах сайтов, на которых указаны сведения о данные товары, распечатки с сайтов, иную информацию).
Тогда как Челябинским УФАС России в уведомлении о времени и месте рассмотрения жалобы от 15 февраля 2012 года (исх. № 1252/09 от 15.02.2012) у Заявителя истребовались указанные документы.
Заявителем была направлена жалоба, которая подлежит рассмотрению контролирующим органом в срок не позднее 5 рабочих дней со дня ее поступления, в связи с чем заявителю в соответствии с частью 2 статьи 59 Закона о размещении заказов, надлежало представить документы, подтверждающие обоснованность доводов жалобы.
На основании изложенного и руководствуясь статьей 17 и 60 Закона о размещении заказов, Комиссия,
Решила:
1.Признать доводы жалобы <...> необоснованными, в виду непредставления доказательств, подтверждающих доводы жалобы.
Настоящее решение может быть обжаловано в судебном порядке в течение трех месяцев со дня его принятия.
Председатель Комиссии
Н.В.Сапрыкина
Члены Комиссии
Э.М.Султанова
А.И.Елкина
Елкина А.И.
тел. (351) 265-93-78

• Главная
• Решения
• 2012
• Февраль
• 20
• Решение Челябинского УФАС России от 20.02.2012 г № Б/Н