Решение №2656/03 Решение по результатам рассмотрения жалобы участника размеще... от 10 июня 2014 г.
Текст документа
Сохранить как PDFисх. № 2656/03 от 09.08.2012
РЕШЕНИЕ
по результатам рассмотрения жалобы
о нарушении законодательства Российской Федерации о размещении заказов
6 августа 2012 года Великий Новгород
Комиссия по контролю в сфере размещения заказов путём проведения конкурса, аукциона, а также запроса котировок цен на товары, работы, услуги Управления Федеральной антимонопольной службы по Новгородской области (далее – Новгородское УФАС России, Управление) в составе:
<> – председатель Комиссии, заместитель руководителя – начальник отдела Управления;
<> – член Комиссии, главный специалист-эксперт Управления;
<> – член Комиссии, специалист-эксперт Управления,
в присутствии представителей:
- государственного заказчика – Комитета по охране здоровья населения области –<>, <>;
- уполномоченного органа – Комитета по управлению государственным имуществом области – <>;
- участника размещения заказа – Закрытого акционерного общества «Централизованный региональный технический сервис» – <>, <>
рассмотрев жалобу участника размещения заказа – Закрытого акционерного общества «Централизованный региональный технический сервис» (адрес места нахождения: 121087, г. Москва, ул. Барклая, д. 6, стр. 3; почтовый адрес: 117246, г. Москва, Научный проезд, д. 19; далее – ЗАО «ЦРТ Сервис») – на действия государственного заказчика – Комитета по охране здоровья населения области – при размещении государственного заказа путем проведения открытого аукциона в электронной форме на право заключения государственного контракта на выполнение работ по проведению обследования государственных информационных систем персональных данных в учреждениях здравоохранения области, разработке модели угроз безопасности персональных данных, подготовке пакета документов для обеспечения организационных и технических мероприятий по защите персональных данных и по проектированию системы защиты персональных данных в государственных информационных системах персональных данных учреждений здравоохранения области, извещение № 0150200000612001087 о проведении которого было размещено на официальном сайте Российской Федерации для размещения информации о размещении заказов в сети «Интернет» по адресу: www.zakupki.gov.ru 09.07.2012, и проведя внеплановую проверку размещения данного заказа,
УСТАНОВИЛА:
30 июля 2012 года в Новгородское УФАС России поступила жалоба участника размещения заказа – ЗАО «ЦРТ Сервис» – на действия государственного заказчика – Комитета по охране здоровья населения области – при размещении государственного заказа путем проведения открытого аукциона в электронной форме на право заключения государственного контракта на выполнение работ по проведению обследования государственных информационных систем персональных данных в учреждениях здравоохранения области, разработке модели угроз безопасности персональных данных, подготовке пакета документов для обеспечения организационных и технических мероприятий по защите персональных данных и по проектированию системы защиты персональных данных в государственных информационных системах персональных данных учреждений здравоохранения области (далее – Жалоба).
Жалоба подана в соответствии с Федеральным законом от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд» (с изм. и доп., далее – Закон о размещении заказов) и с соблюдением требований, предусмотренных статьями 57 - 58 данного закона.
Из Жалобы следует, что часть работ по обследованию, выполнение которых является необходимым в соответствии с техническим заданием документации об аукционе, а именно выборочный поиск электронных устройств съема информации (закладочных устройств), возможно внедренных в помещения или технические средства, с целью уточнения угроз безопасности и минимизации затрат, включена в предмет размещения заказа (контракта) неправомерно, требование о выполнении этих работ является избыточным и не основано на нормах действующих нормативных правовых актов в сфере защиты персональных данных.
Соответственно установленное государственным заказчиком в документации об открытом аукционе в электронной форме требование об обязательном наличии у участников размещения заказа лицензии Федеральной службы безопасности Российской Федерации (далее – ФСБ России) на осуществление деятельности по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах, является незаконным и ограничивает количество участников размещения заказа.
При разработке документации об аукционе государственный заказчик должен был руководствоваться обязательным для него нормативным правовым актом – Методическими рекомендациями по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации 23.12.2009 и согласованными начальником 2 управления Федеральной службы технического и экспортного контроля (далее – ФСТЭК России) 22.12.2009 (далее – Методические рекомендации).
Указанные Методические рекомендации специально предназначены для операторов персональных данных учреждений здравоохранения, устанавливают порядок определения угроз, разработки систем защиты персональных данных и составления модели угроз безопасности.
В пункте 7.4 Методических рекомендаций приведен перечень возможных угроз безопасности персональных данных в учреждениях здравоохранения, в соответствии с которым технический канал утечки информации, обусловленный внедрением устройств негласного съема информации, для учреждений здравоохранения не актуален.
Полный перечень мер и способов защиты персональных данных (за исключением обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросов применения криптографических методов и способов защиты информации) утвержден приказом ФСТЭК России от 05.02.2010 № 58 и не предусматривает технических мероприятий по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в защищаемые помещения или технические средства, что также исключает правомерность принятого государственным заказчиком решения о выполнении таких работ в рамках исполнения контракта, заключаемого по итогам рассматриваемого аукциона, и свидетельствует о необоснованности предъявления к участникам размещения заказа требования о наличии соответствующей лицензии ФСБ России.
На основании вышеизложенного податель Жалобы просит выдать государственному заказчику предписание о внесении изменений в документацию об открытом аукционе в электронной форме, совершить иные действия направленные на устранение допущенных нарушений вплоть до аннулирования торгов.
На рассмотрении Жалобы представители ЗАО «ЦРТ Сервис» поддержали ее доводы и требования в полном объеме, а также обратили внимание на то, что в документации об аукционе отсутствует конкретный перечень работ по поиску и выявлению электронных устройств съема информации (закладочных устройств), предназначенных для негласного получения информации, не определены объем, места выполнения и требования к результатам данных работ.
Государственный заказчик – Комитет по охране здоровья населения области – считает доводы Жалобы необоснованными по причинам, изложенным в возражениях на нее (исх. № 4838 от 03.08.2012).
Так, Методические рекомендации не являются документом, обязательным для исполнения. Указанный акт, являющийся актом правоприменения, разъясняет положения действующего законодательства.
Более того, подпункт 1.1 пункта 7.4 Методических рекомендаций выделяет такую угрозу для информационных систем персональных данных, как угроза утечки акустической информации. Как раз в рамках данной угрозы технический канал утечки информации, обусловленный внедрением устройств негласного съема информации, является для заказчика актуальным.
Основным руководящим документом, которым в данном случае должен был руководствоваться заказчик и который определяет порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации, является приказ Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К).
Так, согласно пункту 2.1 СТР-К они являются основным руководящим документом в области защиты конфиденциальной информации на территории Российской Федерации для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
В соответствии с пунктом 2.9 СТР-К при ведении переговоров и использовании технических средств обработки и передачи информации возможны различные каналы утечки информации, в том числе, радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации «закладок», модулированные информативным сигналом.
В данном случае потребностью заказчика является разработка модели угроз, где необходимо оценить актуальность и такого канала утечки информации, как электронные устройства, предназначенные для получения информации в помещениях и технических средствах (закладочные устройства).
На рассмотрении Жалобы представители государственного заказчика – Комитета по охране здоровья населения области – поддержали доводы возражений на Жалобу в полном объеме, а также устно пояснили, что более подробные требования к работам по поиску закладочных устройств указать в документации об аукционе не представляется возможным, поскольку необходимый объем, конкретные места выполнения таких работ (помещения и технические средства заказчика) должны быть определены непосредственно при обследовании государственных информационных систем персональных данных в учреждениях здравоохранения области. При проведении обследования исполнитель должен определить, в каких помещениях и технических средствах заказчика возможна утечка информации путем использования закладочных устройств и, соответственно, принять решение о необходимости осуществления их поиска.
Представитель уполномоченного органа – Комитета по управлению государственным имуществом области – поддержал доводы заказчика, изложенные в возражениях на Жалобу, и устно пояснил, что на участие в рассматриваемом аукционе в электронной форме уже поступило 4 заявки, что опровергает доводы Жалобы об ограничении количества участников размещения заказа.
В связи с поступлением Жалобы на основании части 5 статьи 17 Закона о размещении заказов Новгородским УФАС России проведена внеплановая проверка размещения рассматриваемого государственного заказа путём проведения открытого аукциона в электронной форме.
В результате рассмотрения Жалобы и проведения внеплановой проверки размещения заказа установлено следующее.
В соответствии с частью 5 статьи 41.6 Закона о размещении заказов документация об открытом аукционе в электронной форме наряду с предусмотренными частями 3 и 4 настоящей статьи сведениями должна содержать требования к участникам размещения заказа, установленные в соответствии со статьей 11 настоящего Федерального закона.
Согласно части 1 статьи 11 Закона о размещении заказов при размещении заказа путем проведения торгов устанавливаются обязательные требования к участникам размещения заказа, в том числе о соответствии участников размещения заказа требованиям, устанавливаемым в соответствии с законодательством Российской Федерации к лицам, осуществляющим поставки товаров, выполнение работ, оказание услуг, являющихся предметом торгов.
Пунктом 7.4.2 раздела 7 документации по проведению рассматриваемого открытого аукциона в электронной форме установлено, в частности, следующее требование к участникам размещения заказа:
- наличие лицензии ФСБ России на осуществление деятельности по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах.
Приложением № 1 к документации об аукционе является Техническое задание, которое разработано с целью определения необходимых требований для проведения обследования и проектирования информационных систем персональных данных в учреждениях здравоохранения области во исполнение Положения об обеспечении безопасности данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17.11.2007 № 781.
Указанное Техническое задание содержит основные задачи обследования и перечень работ, входящих в предмет открытого аукциона. В перечень таких работ входит, в том числе, «выборочный поиск электронных устройств съема информации (закладочных устройств), возможно внедренных в помещения или технические средства с целью уточнения угроз безопасности и минимизации затрат».
Согласно пункту 3 части 1 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), относится к видам деятельности, подлежащим обязательному лицензированию.
Согласно пункту 2 Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденного Постановлением Правительства Российской Федерации от 16.04.2012 № 314, электронное устройство, предназначенное для негласного получения информации – это специально изготовленное изделие, содержащее электронные компоненты, скрытно внедряемое (закладываемое или вносимое) в места возможного съема защищаемой акустической речевой, визуальной или обрабатываемой информации (в том числе в ограждения помещений, их конструкции, оборудование, предметы интерьера, а также в салоны транспортных средств, в технические средства и системы обработки информации).
В соответствии с пунктом 4 части 1 статьи 79 Федерального закона от 21.11.2011 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах.
Согласно пункту 1 Указа Президента Российской Федерации № 188 от 06.03.1997 «Об утверждении перечня сведений конфиденциального характера» сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, относятся к сведениям конфиденциального характера.
Нормативно-методическим документом, устанавливающим порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации, является СТР-К.
Согласно пункту 1.10 СТР-К закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Пунктом 3.7 СТР-К определяются стадии создания системы защиты информации, в том числе предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания средств защиты информации и техническое (частное техническое) задание на ее создание.
Пункт 3.8 СТР-К определяет перечень мероприятий на предпроектной стадии. Так, на предпроектной стадии по обследованию объекта информатизации определяются (уточняются), в том числе, угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования.
Согласно пункту 3.26 СТР-К при необходимости, по решению руководителя организации, могут быть проведены работы по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в защищаемые помещения или технические средства, осуществляемые организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России.
В данном случае в потребности государственного заказчика – Комитета по охране здоровья населения области – на предпроектной стадии создания системы защиты информации входит разработка модели угроз, где необходимо оценить актуальность, в том числе, вышеупомянутого канала утечки информации, а так же по итогам проверки – определение ряда организационных и технических мероприятий по защите от данного канала утечки информации.
С учетом изложенного выполнение работ по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в помещения или технические средства, направлено на обеспечение необходимого заказчику и соответствующего законодательству уровня безопасности информационных систем.
При этом подателем Жалобы не представлены какие-либо доказательства того, что положения СТР-К в данном случае не могли и не должны были учитываться заказчиком при разработке документации об аукционе и определении своих потребностей по обеспечению технической защиты конфиденциальной информации.
Кроме того, нельзя признать обоснованными и доводы Жалобы о нарушении заказчиком требований подлежащего в данном случае применению специального нормативного правового акта, каковым, по мнению ЗАО «ЦРТ Сервис», являются Методические рекомендации.
В соответствии частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
В соответствии с пунктом 1 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации, утвержденных постановлением Правительства Российской Федерации от 13.08.1997 № 1009 (далее – Правила), нормативные правовые акты федеральных органов исполнительной власти издаются на основе и во исполнение федеральных конституционных законов, федеральных законов, указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, а также по инициативе федеральных органов исполнительной власти в пределах их компетенции.
При этом установлены следующие требования к порядку подготовки, оформления, принятия и регистрации нормативных правовых актов:
- нормативные правовые акты издаются федеральными органами исполнительной власти в виде постановлений, приказов, распоряжений, правил, инструкций и положений. Структурные подразделения и территориальные органы федеральных органов исполнительной власти не вправе издавать нормативные правовые акты (пункт 2 Правил);
- нормативные правовые акты подписываются (утверждаются) руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности.
Подписанный (утвержденный) нормативный правовой акт должен иметь, в частности, следующие реквизиты: наименование вида акта и его название, дата подписания (утверждения) акта и его номер (пункт 9 Правил);
- нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций, имеющие межведомственный характер, независимо от срока их действия, в том числе акты, содержащие сведения, составляющие государственную тайну, или сведения конфиденциального характера подлежат государственной регистрации (пункт 10 Правил).
Методические рекомендации, на положения которых ссылается податель Жалобы, не отвечают требованиям к виду нормативного правового акта федерального органа исполнительной власти (не являются и не утверждены постановлением, приказом, распоряжением, правилами, инструкциями или положением), не имеют номера, не подписаны руководителем федерального органа исполнительной власти или лицом, исполняющим его обязанности. Сведения о государственной регистрации данного документа также отсутствуют.
Таким образом, Методические рекомендации не могут считаться нормативным правовым актом, принятым во исполнение части 5 статьи 19 Закона о персональных данных, в связи с чем их положения в части определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах, не являлись обязательными для применения государственным заказчиком – Комитетом по охране здоровья населения области – при разработке документации об аукционе.
Учитывая вышеизложенное, установление заказчиком требования о наличии у участников размещения заказа лицензии ФСБ России на осуществление деятельности по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах, входящей в предмет торгов, является правомерным и не противоречит требованиям действующего законодательства.
При проведении внеплановой проверки размещения заказа путем проведения рассматриваемого открытого аукциона в электронной форме нарушений законодательства о размещении заказов не усматривается.
Руководствуясь статей 11, частью 5 статьи 17, статьей 41.6 Закона о размещении заказов, Административным регламентом, утвержденным приказом ФАС России от 14.11.2007 № 379, Комиссия
РЕШИЛА:
Признать жалобу участника размещения заказа – Закрытого акционерного общества «Централизованный региональный технический сервис» (адрес места нахождения: 121087, г. Москва, ул. Барклая, д. 6, стр. 3; почтовый адрес: 117246, г. Москва, Научный проезд, д. 19) – на действия государственного заказчика – Комитета по охране здоровья населения области – при размещении государственного заказа путем проведения открытого аукциона в электронной форме на право заключения государственного контракта на выполнение работ по проведению обследования государственных информационных систем персональных данных в учреждениях здравоохранения области, разработке модели угроз безопасности персональных данных, подготовке пакета документов для обеспечения организационных и технических мероприятий по защите персональных данных и по проектированию системы защиты персональных данных в государственных информационных системах персональных данных учреждений здравоохранения области, извещение № 0150200000612001087 о проведении которого было размещено на официальном сайте Российской Федерации для размещения информации о размещении заказов в сети «Интернет» по адресу: www.zakupki.gov.ru 09.07.2012, необоснованной.
Председатель Комиссии <>
Члены Комиссии <> <>
Настоящее решение может быть обжаловано в судебном порядке в течение трёх месяцев со дня его принятия.