Частиною 2 статті 41 Закону України „Про закупівлю товарів, робіт та послуг за державні кошти” (далі – Закон) передбачено обов’язкову відповідність інформаційних систем визначеним вимогам, серед яких до компетенції ДСТСЗІ належать: підтвердження відповідності встановленим законодавством вимогам до захисту державної інформації, а також окремі питання щодо можливості здійснення електронних державних закупівель.
Стосовно питання підтвердження відповідності встановленим законодавством вимогам до захисту державної інформації
Стосовно питання підтвердження відповідності встановленим законодавством вимогам до захисту державної інформації
У відповідності з вимогами чинного законодавства у сфері захисту державних інформаційних ресурсів у мережах передачі даних, власник (розпорядник) інформаційної системи повинен забезпечити захист державної інформації, яка обробляється (зберігається, передається) цією системою. Нормативно-правовими актами та нормативними документами передбачено низку обов’язкових вимог до захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах. До цих документів передусім належать:
- закони України „Про інформацію”, „Про телекомунікації”, „Про захист інформації в автоматизованих системах”;
- укази Президента України № 1120/2000 від 06.10.2000 „Питання Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України”, № 891/2001 від 24.09.01 „Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних”;
- постанова Кабінету Міністрів України № 522 від 12.04.02 „Про затвердження Порядку підключення до глобальних мереж передачі даних”;
- наказ Держкомзв’язку № 122 від 17.06.02 (зареєстрований в Мін’юсті за № 559/6847, 04.07.02) „Про затвердження Порядку складання та ведення переліку підприємств (операторів), які надають послуги з доступу до глобальних мереж передачі даних органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям, які одержують, обробляють, поширюють і зберігають інформацію, що є об’єктом державної власності та охороняється згідно із законодавством”;
- наказ ДСТСЗІ № 76 від 24.12.01 (зареєстрований в Мін’юсті за № 27/6315, 11.01.02) „Про затвердження порядку захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах”;
- нормативний документ системи технічного захисту інформації (НД ТЗІ) 2.5-010-03 „Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу”.
При цьому, згідно із встановленим порядком захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (наказ ДСТСЗІ № 76 від 24.12.01), оброблення державних інформаційних ресурсів в інформаційних системах, у тому числі їх передавання з використанням мереж передачі даних, дозволяється тільки після впровадження комплексної системи захисту інформації цих інформаційних систем, що підтверджується атестатом відповідності, виданим Департаментом за результатами проведення державної експертизи об’єкта інформаційної діяльності.
На сьогодні ДСТСЗІ не видав жодного Атестата відповідності комплексної системи захисту інформації автоматизованої системи, що забезпечує функціонування web-сторінки, зокрема згідно з НД ТЗІ 2.5-010-03. Таким чином інформаційні системи в мережі Інтернет, які відповідають вимогам частини 2 статті 41 Закону в повному обсязі, відсутні.
На цей час здійснюються заходи щодо створення комплексних систем захисту інформації інформаційних систем, зазначених в Офіційних роз’ясненнях Мінекономіки від 18.01.05 за № 55-36/63, зокрема: інформаційної системи в мережі Інтернет „Портал „Державні закупівлі України” (www.zakupivli.com, ТОВ „Європейське консалтингове агентство”), веб-порталу „Система „Електронні державні закупівлі України” (www.e-tenders.kiev.ua, ТОВ „Компанія „Технології комунікацій”) та інформаційної системи для сайту Державного підприємства „Редакція інформаційно-аналітичного бюлетеня "Вісник державних закупівель” (www.tender.com.ua).
Стосовно питань щодо можливості здійснення електронних державних закупівель
Електронні державні закупівлі у визначенні Закону – це здійснення замовником встановлених процедур закупівель за допомогою інформаційної системи в мережі Інтернет з використанням електронного документообігу та електронного цифрового підпису.
Якщо при традиційному паперовому документообігу зобов’язання, які взяли на себе сторони, відомості, що ними надаються, у тому числі тендерна інформація, тендерні пропозиції, договори й т.п., підтверджуються документами на паперовому носії, підписаними уповноваженими посадовими особами відповідних державних органів або суб’єктів господарської діяльності, то юридично значимий електронний обмін даними передбачає поняття „електронний документ”, при цьому можливість забезпечити аутентичність та цілісність електронного документа, а також його причетність до певного суб’єкта надає технологія електронного цифрового підпису (ЕЦП). Тобто, крім цілей здійснення захисту інформації, ЕЦП несе також правове навантаження. Будучи аналогом традиційного підпису й печатки, ЕЦП, за певних правових норм, дозволяє забезпечувати юридично значимий електронний документообіг і, таким чином, надає можливість технічної реалізації правових відносин, адекватних традиційному паперовому документообігу.
Стосовно питань щодо можливості здійснення електронних державних закупівель
Електронні державні закупівлі у визначенні Закону – це здійснення замовником встановлених процедур закупівель за допомогою інформаційної системи в мережі Інтернет з використанням електронного документообігу та електронного цифрового підпису.
Якщо при традиційному паперовому документообігу зобов’язання, які взяли на себе сторони, відомості, що ними надаються, у тому числі тендерна інформація, тендерні пропозиції, договори й т.п., підтверджуються документами на паперовому носії, підписаними уповноваженими посадовими особами відповідних державних органів або суб’єктів господарської діяльності, то юридично значимий електронний обмін даними передбачає поняття „електронний документ”, при цьому можливість забезпечити аутентичність та цілісність електронного документа, а також його причетність до певного суб’єкта надає технологія електронного цифрового підпису (ЕЦП). Тобто, крім цілей здійснення захисту інформації, ЕЦП несе також правове навантаження. Будучи аналогом традиційного підпису й печатки, ЕЦП, за певних правових норм, дозволяє забезпечувати юридично значимий електронний документообіг і, таким чином, надає можливість технічної реалізації правових відносин, адекватних традиційному паперовому документообігу.
З метою повноцінної реалізації правовідносин у сфері електронного документообігу, введено в дію Закони України „Про електронний цифровий підпис” і „Про електронні документи та електронний документообіг”, а також ряд підзаконних нормативно-правових актів, які регламентують питання організації застосування ЕЦП. Таким чином можливо констатувати, що на сьогодні в Україні визначено організаційно-правові основи використання електронних документів та електронних підписів, надано правовий статус ЕЦП (тобто визначені умови, при дотриманні яких ЕЦП в електронному документі визнається рівнозначним власноручному підпису на паперовому документі), регламентовано порядок застосування ЕЦП юридичними й фізичними особами, а також закладено організаційно-правові основи діяльності з надання послуг у сфері електронного цифрового підпису. При цьому, поряд із законодавчими та нормативно-правовими актами, також розроблено низку нормативних документів технічного характеру.
Проте на сьогодні існує також і ряд питань, які потребують подальшого розвитку, в тому числі з метою забезпечення додержання процедур державних закупівель у режимі електронного документообігу. До таких питань, насамперед, належать питання практичної реалізації визначеної законодавством інфраструктури ЕЦП, створення інформаційних систем, які дозволять забезпечити технології ЕЦП при здійсненні процедур державних закупівель шляхом електронних державних закупівель (зокрема технології подання та розкриття тендерних пропозицій і т.п.) тощо. При цьому з метою додержання норм законодавства у сфері державних закупівель, на наш погляд, також мають бути розроблені підзаконні акти, які визначать порядок застосування електронних державних закупівель при проведенні процедур у рамках Закону, організаційно-технічні засади та вимоги до здійснення електронних державних закупівель тощо.
Найбільш важливим чинником широкого застосування технологій ЕЦП, зокрема при здійсненні процедур електронних державних (і недержавних) закупівель, на наш погляд, має стати усвідомлення переваг цих технологій (включаючи оперативність та економічну доцільність) усіма учасниками господарської діяльності та готовність до такого роду юридично значимих відносин між ними.
ДСТСЗІ СБ України