Решение №04-02/3654 Решение по жалобу общества с ограниченной ответственностью «... от 27 апреля 2016 г.
Текст документа
Сохранить как PDF|
Управление Федеральной антимонопольной службы по республике Коми |
||
|
РЕШЕНИЕ |
||
|
22 апреля 2016 года |
|
№ 04-02/3654 |
|
г. Сыктывкар
|
||
Комиссия Управления Федеральной антимонопольной службы по Республике Коми по контролю в сфере закупок в составе: <……>. – <……>, председателя Комиссии; <……> – <……> члена Комиссии; <……> - <……>, члена Комиссии (далее - Комиссия Коми УФАС России), рассмотрев жалобу общества с ограниченной ответственностью «Абсолют-Информ» (далее – ООО «Абсолют-Информ») исх. от 14.04.2016 № 2657 (вх. от 15.04.2016 № 1110э) на действия заказчика - муниципального бюджетного учреждения «Городской информационно-коммуникационный центр» (далее – МБУ «Городской ИКЦ») при осуществлении закупки путем проведения электронного аукциона «Оказание услуг по обследованию учреждений МО ГО «Сыктывкар» в сфере информационной безопасности», извещение № 0107300000216000086 (далее - электронный аукцион),
при участии:
- <……> – представителя МБУ «Городской ИКЦ» по доверенности от 16.06.2015;
- <……> – представителя Администрации муниципального образования городского округа «Сыктывкар» (далее – Администрация МО ГО «Сыктывкар») по доверенности от 17.12.2015.
УСТАНОВИЛА:
1. ООО «Абсолют-информ», Администрация МО ГО «Сыктывкар», закрытое акционерное общество «Сбербанк - Автоматизированная система торгов» (далее - ЗАО «Сбербанк - АСТ») надлежащим образом о времени и месте рассмотрения жалобы извещены.
ЗАО «Сбербанк - АСТ» исх. от 21.04.2016 (вх. от 21.04.2016 № 1200эл) заявлено о рассмотрении жалобы в отсутствие своего представителя.
ООО «Абсолют-информ» исх. от 20.04.2016 № 2671 (вх. 20.04.2016 № 1187э) заявлено ходатайство о рассмотрения дела в отсутствии заявителя.
С учетом законодательно установленных сроков рассмотрения жалобы отсутствие представителей ООО «Абсолют-информ», ЗАО «Сбербанк - АСТ» не препятствует рассмотрению жалобы по существу.
2. ООО «Абсолют-информ» обжалуются положения документации об электронном аукционе в части установления требований к участникам закупки, которые по мнению заявителя не предусматривается действующим законодательством - Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (далее - Закон о контрактной системе), Федеральным законом от 26.07.2006 № 135-ФЗ «О защите конкуренции».
Администрация МО ГО «Сыктывкар», в отзыве на жалобу исх. От 21.04.2016 (вх. от 21.04.2016 № 2013) заявлены возражения относительно позиции заявителя.
3. Заказчиком закупки путем проведения электронного аукциона явилось МБУ «Городской ИНЦ», уполномоченным органом Администрация МО ГО «Сыктывкар».
Объект закупки - оказание услуг по обследованию учреждений МО ГО Сыктывкар в сфере информационной безопасности.
Начальная (максимальная) цена договора составила 300 000,00 рублей.
Источником финансирования закупки явилась субсидия на муниципальное задание.
Извещение о проведении электронного аукциона № 0107300000216000086, документация электронного аукциона размещены на официальном сайте Единой информационной системы в сфере закупок 13.04.2016.
4. Согласно части 1 статьи 59 Закона о контрактной системе под аукционом в электронной форме (электронным аукционом) понимается аукцион, при котором информация о закупке сообщается заказчиком неограниченному кругу лиц путем размещения в единой информационной системе извещения о проведении такого аукциона и документации о нем, к участникам закупки предъявляются единые требования и дополнительные требования, проведение такого аукциона обеспечивается на электронной площадке ее оператором.
Согласно пункту 1 части 1 статьи 64 Закона о контрактной системе документация об электронном аукционе наряду с информацией, указанной в извещении о проведении такого аукциона, должна содержать, наряду с прочей информацией, наименование и описание объекта закупки и условия контракта в соответствии со статьей 33 настоящего Федерального закона, в том числе обоснование начальной (максимальной) цены контракта.
По пунктам 1, 3 части 1, части 2 статьи 33 Закона о контрактной системе заказчик при описании в документации о закупке объекта закупки должен руководствоваться, в том числе следующими правилами:
- описание объекта закупки должно носить объективный характер. В описании объекта закупки указываются функциональные, технические и качественные характеристики, эксплуатационные характеристики объекта закупки (при необходимости). В описание объекта закупки не должны включаться требования или указания в отношении товарных знаков, знаков обслуживания, фирменных наименований, патентов, полезных моделей, промышленных образцов, наименование места происхождения товара или наименование производителя, а также требования к товарам, информации, работам, услугам при условии, что такие требования влекут за собой ограничение количества участников закупки, за исключением случаев, если не имеется другого способа, обеспечивающего более точное и четкое описание характеристик объекта закупки. Документация о закупке может содержать указание на товарные знаки в случае, если при выполнении работ, оказании услуг предполагается использовать товары, поставки которых не являются предметом контракта. При этом обязательным условием является включение в описание объекта закупки слов «или эквивалент», за исключением случаев несовместимости товаров, на которых размещаются другие товарные знаки, и необходимости обеспечения взаимодействия таких товаров с товарами, используемыми заказчиком, а также случаев закупок запасных частей и расходных материалов к машинам и оборудованию, используемым заказчиком, в соответствии с технической документацией на указанные машины и оборудование
- описание объекта закупки может включать в себя спецификации, планы, чертежи, эскизы, фотографии, результаты работы, тестирования, требования, в том числе в отношении проведения испытаний, методов испытаний, упаковки в соответствии с требованиями Гражданского кодекса Российской Федерации, маркировки, этикеток, подтверждения соответствия, процессов и методов производства в соответствии с требованиями технических регламентов, стандартов, технических условий, а также в отношении условных обозначений и терминологии;
Документация о закупке в соответствии с требованиями, указанными в части 1 настоящей статьи, должна содержать показатели, позволяющие определить соответствие закупаемых товара, работы, услуги установленным заказчиком требованиям. При этом указываются максимальные и (или) минимальные значения таких показателей, а также значения показателей, которые не могут изменяться.
Раздел III «Наименование и описание объекта закупки (Техническое задание)» документации об электронном аукционе (далее - Техническое задание) содержит описание объекта закупки: услуга представляет собой комплекс мероприятий, направленных на обеспечение исполнения Заказчиком требований Федерального закона №152-ФЗ «О персональных данных» и иных нормативно-правовых актов, принятых во исполнение федерального законодательства.
Согласно пункту 2 Технического задания определен состав оказываемых услуг:
2.1. Обследование информационной инфраструктуры и системы документооборота заказчика на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обследование проводится на территории заказчика и включает в себя:
2.1.1. Анализ размещения рабочих мест и определение границ контролируемой зоны.
2.1.2. Анализ размещения линий связи и коммуникаций обследуемых учреждений.
2.1.3. Анализ состояния охраны и пропускного режима.
2.1.4. Анализ функционирования охранной и пожарной сигнализации.
2.1.5. Изучение технологического процесса обработки и хранения ПДн.
2.1.6.Выявление ИСПДн, а также анализ эксплуатационных и технических характеристик ИСПДн, и применяемых в них мер и СЗИ.
2.1.7. Анализ распределения ответственности должностных лиц за выполнение требований по обеспечению защиты информации и уровня их подготовки.
2.1.8. Анализ существующей организационно-распорядительной и методической документации.
2.1.9. Анализ организационно-распорядительной документации по эксплуатации СКЗИ. необходимых для защиты информационных систем, сопряженных в том числе с телекоммуникационными системами.
2.1.10. Анализ актуальности угроз безопасности персональных данных.
2.1.11. Анализ договорных обязанностей заказчика, касающихся предоставления персональных данных или поручения их обработки контрагентам.
2.2. Проведение контроля лицензионности программного обеспечения, эксплуатируемого заказчиком, в том числе:
2.2.1. Подготовку предложений по оптимизации эксплуатируемого программного обеспечения.
2.2.2. Контроль программного обеспечения, используемого на автоматизированных рабочих местах (АРМ) в учреждениях, участвующих в обработке ПДн.
2.3 Составление отчета о предварительном обследовании, который включает в себя:
2.3.1. Информацию, необходимую для определения типа информационных систем, типа актуальных угроз безопасности ПДн, уровня защищенности ПДн.
2.3.2. Технологическое описание процесса обработки ПДн.
2.3.3. Описание ИИ-инфраструктуры, задействованной для обработки ПДн.
2.3.4. Описание режима обработки ПДн.
2.3.5. Описание кадрового состава различных подразделений, участвующих в обработке информации в ИСПДн.
2.3.6. Перечень функций подразделений, участвующих в обработке информации в ИСПДн.
2.3.7. Описание информационных потоков ПДн.
2.3.8. Определение лиц, участвующих в обработке ПДн.
2.4. Разработка (актуализация) локальной нормативной базы:
2.4.1. Акт предварительного обследования Объекта заказчика.
2.4.2. Разработка и отправка уведомления об обработке персональных данных в РКН (при необходимости).
2.4.3. Матрица доступа ИСПДн.
2.4.4. Приказ об обеспечении необходимых уровней защищенности персональных данных при их обработке в информационных системах персональных данных, с приложениями:
- акт оценки возможного вреда субъектам персональных данных;
-акт установления уровней защищенности.
2.4.5. Модель угроз на ИСПДн Заказчика;
2.4.6. Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с приложениями:
- перечень персональных данных;
-перечень защищаемых ресурсов;
- правила обработки персональных данных граждан, с приложениями:
-согласие на обработку персональных данных;
- обязательство о неразглашении персональных данных;
- инструкция пользователя по работе с персональными данными;
- инструкция об организации учета, хранения и выдачи машинных носителей;
- регламент резервного копирования и восстановления данных;
-порядок доступа сотрудников в помещения, предназначенные для обработки персональных данных;
- список лиц, имеющих право самостоятельного доступа в помещения, предназначенные для обработки персональных данных;
- правила проведения внутреннего контроля;
- правила рассмотрения запросов субъектов персональных данных;
- перечень информационных систем персональных данных;
- правила работы с обезличенными персональными данными;
- политика обработки персональных данных;
- перечень мест хранения, и лиц допущенных к обработке персональных данных на бумажных носителях.
2.4.7.Приказ об организации ведения журналов, с приложениями:
- Журнал учета машинных носителей, содержащих персональные данные;
-Журнал учета обращений субъектов персональных данных по вопросам обработки персональных данных;
-Журнал учета персональных идентификаторов;
-Журнал учета хранилищ и ключей от них.
2.4.8. Приказ о назначении ответственного лица за обработку персональных данных, с приложениями:
- инструкция ответственного лица за организацию обработки персональных данных.
2.4.9. Приказ об ознакомлении сотрудников с порядком работы с персональными данными и приложениями:
- список лиц, допущенных к обработке персональных данных в информационных системах персональных данных;
- перечень организационно-распорядительных документов по работе с персональными данными для ознакомления;
- виды ответственности за разглашение персональных данных;
- обязательство о неразглашении персональных данных;
- список лиц, допущенных к обработке персональных данных без средств автоматизации.
2.4.10. Приказ об учете сейфов, металлических шкафов и ключей от них.
2.4.11. Приказ о внесении изменений в типовые формы документов:
- форма раздела должностной инструкции сотрудника, имеющего доступ к персональным данным;
- форма раздела договора с юридическими лицами.
2.4.12. План внутренних проверок режима защиты персональных данных ИСПДн.
2.4.13. Перечень запрещенного программного обеспечения.
2.5 Разработка (актуализация) локальной нормативной базы должна включать в себя:
2.5.1.Разработку и (или) актуализацию локальных нормативных актов, регламентирующих процессы обработки и защиты персональных данных.
2.5.2. Разработку и (или) актуализацию технической документации на ИСПДн заказчика.
2.5.3. Разработку и (или) актуализацию типовых форм для организации законной обработки персональных данных (согласия на обработку персональных данных, заявления о неразглашении конфиденциальной информации и т.д.).
2.5.4. Разработку и (или) актуализацию типовых форм журналов учета системы защиты персональных данных.
2.5.5. Разработку модели угроз безопасности персональных данных в соответствии с методическими документами ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
2.5.6. Определение исходного уровня защищенности информационных систем персональных данных и возможные способы снижения УЗ.
2.5.7. Расчет показателя защищенности.
2.5.8. Построение модели нарушителя.
2.5.9. Определение вероятности реализации угроз.
2.5.10. Определение актуальности и опасности угроз.
2.5.11. Разработку частного технического задания на создание системы защиты персональных данных (технические меры) в соответствии с действующими стандартами на автоматизированные системы, включая требования к системе защиты персональных данных, способам обработки и защиты персональных данных в ИСПДн заказчика.
2.5.12.Разработку оптимального эскизного проекта системы защиты персональных данных (технические меры), для обследуемых учреждений, в соответствии с действующими стандартами на автоматизированные системы, включая состав и конфигурацию предлагаемых к использованию средств защиты информации, оценочную стоимость их приобретения и работ по их внедрению.
2.6. Организационные мероприятия по обеспечению безопасности персональных данных путём проведения обучения сотрудников обследуемых учреждений правилам обработки (в том числе защиты) ПДн:
2.6.1. Обучение должно проходить в течение срока оказания услуг в рамках исполнения настоящего Контракта.
2.6.2. Формат обучения: 3 (три)курса лекций.
2.6.3.Каждый курс состоит из 5 (пяти) занятий по 1 (одному) академическому часу в течение 1 (одной) недели.
2.6.4. Периодичность курсов:1 (один) курс в месяц.
2.6.5. Обучение проводится на территории Заказчика.
2.6.6.По окончании курса лекций проводится тестирование слушателей с предоставлением результатов тестирования Заказчику.
2.6.7. В начале проведения курса слушателям предоставляется необходимый раздаточный материал за счет исполнителя в объеме 50 (пятидесяти) комплектов на курс.
2.7. Технические мероприятия по обеспечению безопасности персональных данных, при их обработке в ИСПДн, включая:
2.7.1. Выработка рекомендаций по настройке общесистемного и прикладного программного обеспечения ИСПДн в соответствии с требованиями по безопасности информации.
2.7.2 Выработка рекомендаций по сетевой безопасности в соответствии с требованиями по безопасности информации.
2.8. Контрольные мероприятия по обеспечению безопасности персональных данных, включая:
2.8.1. Контроль соблюдения работниками заказчика установленного порядка обработки и защиты персональных данных (в рамках мероприятий, предусмотренных п. 2.6).
2.8.2. Проверку знаний работников заказчика по вопросам защиты персональных данных (в рамках мероприятий, предусмотренных п. 2.6).
2.8.3.Контроль знания правил ведения журналов учета системы защиты персональных данных (в рамках мероприятий, предусмотренных п. 2.6).
2.8.4. Выработку рекомендаций по планированию мероприятий по обеспечению безопасности персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных.
2.8.5.Подготовку или актуализацию уведомления об обработке (о намерении осуществлять обработку) персональных данных (информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных) в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).
Заявитель не согласен с пунктами 2.6 - 2.6.7 Технического задания, так как услуги, указанные в этих пунктах функционально и технически не связаны с предметом контракта.
На основании части 2 статьи 3 ФЗ-152 оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с частью 1 статьи 18.1 ФЗ-152 оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
В силу пункта 3 части 1 статьи 33 Закона о контрактной системе описание объекта закупки может включать в себя спецификации, планы, чертежи, эскизы, фотографии, результаты работы, тестирования, требования, в том числе в отношении проведения испытаний, методов испытаний, упаковки в соответствии с требованиями Гражданского кодекса Российской Федерации, маркировки, этикеток, подтверждения соответствия, процессов и методов производства в соответствии с требованиями технических регламентов, стандартов, технических условий, а также в отношении условных обозначений и терминологии.
Исходя из того, что требуется оказание комплекса услуг, направленных на исполнение требований ФЗ-152, которым в соответствии с пунктом 6 частью 1 статьи 18.1 ФЗ-152 может быть отнесено обучение работников, описание объекта закупки носит объективный характер.
В материалах дела отсутствуют, а заявителем не предоставлено доказательств того, что действия заказчика в виде установления пунктов 2.6 - 2.6.7 в технической документации ограничивают количество участников электронного аукциона.
В отзыве Администрация МО ГО «Сыктывкар» исх. от 21.04.2016 (вх. от 21.04.2016 № 2013) предоставляет сведения, в связи с которыми на 21.04.2016 на участие в электронном аукционе уже подано 3 заявки.
Комиссия Коми УФАС России не усматривает, что положения документации об электронном аукционе противоречит пункту части 3 статье 33 Закона о контрактной системе, в том числе ограничивают количество участников осуществления закупки.
Таким образом, у Комиссии Коми УФАС России отсутствуют основания полагать, что действие заказчика – МБУ «Городской ИКЦ» в части установления дополнительных требований в Техническом задании противоречит части 3 статье 33 Закона о контрактной системе, в том числе ограничивает количество участников осуществления закупки.
С учетом всех вышеизложенных обстоятельств, руководствуясь частью 8 статьи 106 Закона о контрактной системе, Комиссия Коми УФАС России
РЕШИЛА:
1. Признать жалобу ООО «Абсолют-информ» в части требований, основанных на нормах Закона о контрактной системе, необоснованной.
2. Решить вопрос об обеспечении рассмотрения жалобы в части требований, основанных на нормах антимонопольного законодательства, в порядке статьи 44 Федерального закона от 26.07.2006 № 135-ФЗ «О защите конкуренции».
Решение может быть обжаловано в судебном порядке в течение трех месяцев со дня его принятия.
|
Председатель Комиссии |
|
<……> |
Члены комиссии <……>
<……>