Арбитражный суд Калининградской области
Стороны дела — юридические лица
| Роль | Наименование | ИНН |
|---|---|---|
| Ответчик | Управление Федеральной антимонопольной службы по Калининградской области | 3905011090 |
Извлечено автоматически из текста акта; показаны только стороны с ИНН юридического лица, прошедшим контрольную сумму. Физические лица не отображаются (152-ФЗ). Наименование со ссылкой ведёт на судебный профиль стороны.
Текст решения
Арбитражный суд Калининградской области
Рокоссовского ул., д. 2, г. Калининград, 236040
E-mail: info@kaliningrad.arbitr.ru
http://www.kaliningrad.arbitr.ru
РЕШЕНИЕ
г. Калининград Дело № А21-3284/2024
“12” ноября 2024 года
«05» ноября 2024 года оглашена резолютивная часть решения
«12» ноября 2024 года изготовлен полный текст решения
Арбитражный суд Калининградской области в составе:
Судьи Ершовой Ю.А.,
при ведении протокола судебного заседания секретарем Дурневой В.А.,
рассмотрев 28 октября и 5 ноября в судебном заседании дело по заявлению
индивидуального предпринимателя Попова Алексея Николаевича
(ОГРНИП 318392600042151, ИНН 390407832336)
к Управлению Федеральной антимонопольной службы по Калининградской
области (ОГРН 1023901001552, ИНН 3905011090)
- о признании недействительным решения от 14.03.2024 № 039/06/33-147/2024,
- об обязании вынести предписание в адрес ГКУЗ «Медицинский информационно-
аналитический центр Калининградской области,
- об аннулировании результатов определения поставщика, оформленных
протоколом проведения итогов определения поставщика № 0335200007524000009
от 06.03.2024,
- о продлении срока подачи заявок по закупке № 0335200007524000009 (ИЗК
242390605527639060100100170012620242),
третье лицо: Государственное казенное учреждение здравоохранения
«Медицинский информационно-аналитический центр Калининградской области»,
при участии:
от заявителя: Попов А.Н. лично по паспорту, Попова Е.А. по доверенности от
28.11.2022,
от УФАС по Калининградской области: Прусаков М.В. по доверенности от
13.02.2024,
от третьего лица: Макаров В.Ф. по доверенности от 01.04.2024, Быковских Л.А. по
доверенности от 01.04.2024,
установил: индивидуальный предприниматель Попов Алексей Николаевич
(далее – Предприниматель, Заявитель) обратился в Арбитражный суд
Калининградской области с заявлением к Управлению Федеральной
антимонопольной службы по Калининградской области (далее – Управление,
УФАС)
- о признании недействительным решения от 14.03.2024 № 039/06/33-147/2024,
- об обязании вынести предписание в адрес ГКУЗ «Медицинский информационно-
аналитический центр Калининградской области»: о внесении изменений в
документацию о закупке № 0335200007524000009 в части п. 1 Описания объекта
закупки на поставку автоматизированных рабочих мест, изложив требования к СЗИ
в следующей редакции: «СЗИ, реализуют следующие меры: ИАФ.1; ИАФ.3-
ИАФ.5; УПД.1; УПД.2; УПД.4-УПД.6; УПД.9-УПД.11; УПД.17; РСБ.1; РСБ.3-
РСБ.5; РСБ.7»,
- об аннулировании результатов определения поставщика, оформленных
протоколом проведения итогов определения поставщика № 0335200007524000009
от 06.03.2024,
- о продлении срока подачи заявок по закупке № 0335200007524000009 (ИЗК
242390605527639060100100170012620242).
В ходе рассмотрения спора в связи с поступившей от третьего лица
информацией о заключении по итогам закупки контракта на поставку товара,
которая выполнена поставщиком и оплачена Учреждением, заявлением от
13.09.2024 Заявитель отказался от требований к Управлению об обязании вынести
предписание в адрес ГКУЗ «Медицинский информационно-аналитический центр
Калининградской области»: о внесении изменений в документацию о закупке №
0335200007524000009 в части п. 1 Описания объекта закупки на поставку
автоматизированных рабочих мест, изложив требования к СЗИ в следующей
редакции: «СЗИ, реализуют следующие меры: ИАФ.1; ИАФ.3-ИАФ.5; УПД.1;
УПД.2; УПД.4-УПД.6; УПД.9-УПД.11; УПД.17; РСБ.1; РСБ.3- РСБ.5; РСБ.7»; - об
аннулировании результатов определения поставщика, оформленных протоколом
проведения итогов определения поставщика № 0335200007524000009 от
06.03.2024; о продлении срока подачи заявок по закупке № 0335200007524000009
(ИЗК 242390605527639060100100170012620242).
Отказ от заявления в указанной части принят судом, производство по делу в
этой части подлежит прекращению в силу ст. 150 Арбитражного процессуального
кодекса Российской Федерации (далее – АПК РФ).
В остальной части Заявитель поддержал свои требования в полном объеме.
Управление требования не признало по изложенным в отзыве и письменных
пояснениях основаниям.
Третье лицо поддержало позицию Управления.
Заслушав пояснения сторон и третьего лица, исследовав материалы дела и дав
им оценку в соответствии со статьей 71 АПК РФ, суд пришел к следующему.
Как следует из материалов дела, 26.02.2024 Государственным казенным
учреждением здравоохранения «Медицинский информационно-аналитический
центр Калининградской области» (далее – Учреждение) как Заказчиком на
официальном сайте единой информационной системы в сфере закупок (далее –
официальный сайт, ЕИС) размещено извещение об осуществлении закупки №
0335200007524000009 «На поставку автоматизированных рабочих мест» путем
проведения запроса котировок.
В пункте 1 технического задания, размещенного в составе извещения
об осуществлении закупки указано, в том числе следующее: «СЗИ, реализуют
следующие меры: ИАФ.1 – ИАФ.5; УПД.1 – УПД.6; УПД.9 – УПД.11; УПД.13 –
УПД.17; ОПС.1 – ОПС.3; РСБ.1 – РСБ.8; ЗНИ.1 – ЗНИ.3; ЗНИ.5; ЗНИ.8; АВЗ.1;
АВЗ.1 усиление 6, АВЗ.1 усиление 8; АВЗ.2».
Как полагает, Заявитель установленные меры защиты информации,
а именно: ИАФ.2, УПД.3, УПД.13, УПД.14, УПД.15 ,УПД.16, ОПС.1, ОПС.2,
ОПС.3, ЗНИ.1, ЗНИ.2, ЗНИ.3, ЗНИ.5, ЗНИ.8, РСБ.2, РСБ.6, РСБ.8, АВЗ.1 (усиление
6 и 8), АВЗ.2 являются избыточными, также Заявитель указывает, что
программный комплекс «Электронный замок «ВИТЯЗЬ», версии 2.2. является
единственным средством защиты информации (далее – СЗИ), сертифицированным
ФСТЭК России по профилю средств доверенной загрузки, подходящим под
требования меры АВЗ.1 усиления 6 и 8, АВЗ.2 Технического задания. Меры АВЗ.1
(усиление 6 и 8) и РСБ.8 могут быть включены только в уточняющий
адаптированный базовый набор мер и требуют обоснования утвержденной
оператором Единой государственной информационной системы
в сфере здравоохранения и согласованной с ФСТЭК России, и ФСБ России модели
угроз. Такая модель угроз у Заказчика отсутствует.
04.03.204 Предприниматель обратился в Управление с жалобой от 01.03.2024
на действия Заказчика при проведении запроса (извещение №
0335200007524000009).
Управлением проведена внеплановая проверка в соответствии с частью 15
статьи 99 Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в
сфере закупок товаров, работ, услуг для обеспечения государственных
и муниципальных нужд» (далее – Закон о контрактной системе).
По итогам проведения проверки и рассмотрения жалобы Предпринимателя
Управлением принято решение от 14.03.2024 № 039/06/33-147/2024 (далее –
Решение), которым указанная жалоба признана необоснованной.
Заявитель полагает, что оспариваемое Решение УФАС принято в нарушение
положений действующего законодательства, а выводы комиссии УФАС нарушают
законные интересы Заявителя, что послужило основанием для обращения в
арбитражный суд с настоящим заявлением.
Управление полагает действия Заказчика закупки обоснованными, не
противоречащими положениям законодательства о контрактной системе.
В соответствии с частью 1 статьи 198 АПК РФ граждане, организации и иные
лица вправе обратиться в арбитражный суд с заявлением о признании
недействительными ненормативных правовых актов, незаконными решений и
действий (бездействия) органов, осуществляющих публичные полномочия,
должностных лиц, если полагают, что оспариваемый ненормативный правовой акт,
решение и действие (бездействие) не соответствуют закону или иному
нормативному правовому акту и нарушают их права и законные интересы в сфере
предпринимательской и иной экономической деятельности, незаконно возлагают
на них какие-либо обязанности, создают иные препятствия для осуществления
предпринимательской и иной экономической деятельности.
В соответствии с частью 4 статьи 200 АПК РФ при рассмотрении дел об
оспаривании ненормативных правовых актов органов, осуществляющих
публичные полномочия, арбитражный суд в судебном заседании осуществляет
проверку оспариваемого акта или его отдельных положений и устанавливает их
соответствие закону или иному нормативному правовому акту, устанавливает
наличие полномочий у органа, принявшего оспариваемый акт, а также
устанавливает, нарушает ли оспариваемый акт права и законные интересы
заявителя в сфере предпринимательской и иной экономической деятельности.
Таким образом, для признания ненормативного акта недействительным,
решения и действия (бездействия) незаконными необходимо наличие
одновременно двух условий: несоответствие их закону или иному нормативному
правовому акту и нарушение прав и законных интересов заявителя в сфере
предпринимательской или иной экономической деятельности.
Отношения, направленные на обеспечение государственных и
муниципальных нужд в целях повышения эффективности, результативности
осуществления закупок товаров, работ, услуг, обеспечения гласности и
прозрачности осуществления таких закупок, предотвращения коррупции и других
злоупотреблений в сфере таких закупок, регламентируются Законом о контрактной
системе.
В соответствии с частью 2 статьи 8 Закона о контрактной системе запрещается
совершение заказчиками, специализированными организациями, их должностными
лицами, комиссиями по осуществлению закупок, членами таких комиссий,
участниками закупок, операторами электронных площадок, операторами
специализированных электронных площадок любых действий, которые
противоречат требованиям Закона о контрактной системе, в том числе приводят к
ограничению конкуренции, в частности к необоснованному ограничению числа
участников закупок.
Согласно пункту 1 части 1, части 2 статьи 33 Закона о контрактной системе в
описании объекта закупки указываются функциональные, технические и
качественные характеристики, эксплуатационные характеристики объекта закупки
(при необходимости). В описание объекта закупки не должны включаться
требования или указания в отношении товарных знаков, знаков обслуживания,
фирменных наименований, патентов, полезных моделей, промышленных образцов,
наименование страны происхождения товара, требования к товарам, информации,
работам, услугам при условии, что такие требования или указания влекут за собой
ограничение количества участников закупки, содержать показатели, позволяющие
определить соответствие закупаемых товара, работы, услуги установленным
заказчиком требованиям.
При этом указываются максимальные и (или) минимальные значения таких
показателей, а также значения показателей, которые не могут изменяться.
В силу пункта 1 части 2 статьи 42 Закона о контрактной системе извещение
об осуществлении закупки, если иное не предусмотрено настоящим Федеральным
законом, должно содержать электронный документ, отражающий описание объекта
закупки в соответствии со статьей 33 Закона о контрактной системе.
Заказчик является оператором государственной информационной системы
Калининградской области в сфере здравоохранения (далее – ИС).
В соответствии с пунктом 4 статьи 16 Федерального закона от 27.07.2006 №
149-ФЗ «Об информации, информационных технологиях и о защите информации»
обладатель информации, оператор ИС в случаях, установленных
законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации
и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа
к информации;
3) предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
4) недопущение воздействия на технические средства обработки
информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа
к ней;
6) постоянный контроль за обеспечением уровня защищенности
информации;
7) нахождение на территории Российской Федерации баз данных
информации, с использованием которых осуществляются сбор, запись,
систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение персональных данных граждан Российской Федерации.
В силу положений пункта 20 Требований о защите информации,
не составляющей государственную тайну, содержащейся в государственных
информационных системах, утвержденных приказом ФСТЭК России
от 11.02.2013 № 17 (далее – Требования № 17), организационные и технические
меры защиты информации, реализуемые в ИС в рамках ее системы защиты
информации, в зависимости от угроз безопасности информации, используемых
информационных технологий и структурно-функциональных характеристик ИС
должны обеспечивать:
1) идентификацию и аутентификацию субъектов доступа и объектов
доступа;
2) управление доступом субъектов доступа к объектам доступа;
3) ограничение программной среды;
4) защиту машинных носителей информации;
5) регистрацию событий безопасности;
6) антивирусную защиту;
7) обнаружение (предотвращение) вторжений;
8) контроль (анализ) защищенности информации;
9) целостность ИС и информации;
10) доступность информации;
11) защиту среды виртуализации;
12) защиту технических средств;
13) защиту ИС, ее средств, систем связи и передачи данных.
ИС, оператором которой является Заказчик, относится к значимым объектам
критической информационной инфраструктуры в соответствии
с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической
информационной инфраструктуры Российской Федерации», а ее оператор,
соответственно – субъектом критической информационной инфраструктуры,
что также налагает обязательства по обеспечению максимального уровня защиты
информации, оперируемой с использованием ИС.
Заказчик, при этом, несет ответственность за сохранность содержащихся
в ИС персональных данных.
Как верно указано в оспариваемом Решении
и подтверждается материалами дела, в соответствии с аттестатом соответствия от
21.12.2021 № 2384.00008.2021, выданным обществом с ограниченной
ответственностью «БАЛТ-информ» (далее – Аттестат соответствия) ИС,
оператором которой является Заказчик, соответствует следующим требованиям по
защите информации:
«класс защищенности К1, 2 уровень защищенности персональных данных, 3
категория значимости, оператор ИС – МИАЦ, соответствует Требованиям
№ 17, Составу и содержанию организационных
и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных,
утвержденным приказом ФСТЭК России от 18.02.2013 № 21, Требованиям
по обеспечению безопасности значимых объектов критической информационной
инфраструктуры Российской Федерации, утвержденным приказом ФСТЭК России
от 25.12.2017 № 239».
В соответствии с пунктом 21 Требований № 17 выбор мер защиты
информации для их реализации в ИС в рамках ее системы защиты информации
включает:
- определение базового набора мер защиты информации
для установленного класса защищенности ИС в соответствии с базовыми наборами
мер защиты информации, приведенными в приложении № 2
к Требованиям № 17;
- адаптацию базового набора мер защиты информации применительно
к структурно-функциональным характеристикам ИС, информационным
технологиям, особенностям функционирования информационной системы
(в том числе предусматривающую исключение из базового набора мер защиты
информации мер, непосредственно связанных с информационными технологиями,
не используемыми в информационной системе, или структурно-функциональными
характеристиками, не свойственными ИС);
- уточнение адаптированного базового набора мер защиты информации
с учетом не выбранных ранее мер защиты информации, приведенных
в приложении № 2 к Требованиям № 17, в результате чего определяются меры
защиты информации, обеспечивающие блокирование (нейтрализацию)
всех угроз безопасности информации, включенных в модель угроз безопасности
информации;
- дополнение уточненного адаптированного базового набора мер защиты
информации мерами, обеспечивающими выполнение требований о защите
информации, установленными иными нормативными правовыми актами
в области защиты информации, в том числе в области защиты персональных
данных.
Для выбора мер защиты информации для соответствующего класса
защищенности информационной системы применяются методические документы,
разработанные и утвержденные ФСТЭК России в соответствии
с подпунктом 4 пункта 8 Положения о ФСТЭК России, утвержденного Указом
Президента Российской Федерации от 16.08.2004 № 1085.
В силу пункта 22 Требований № 17 в ИС соответствующего класса
защищенности в рамках ее системы защиты информации должны быть
реализованы меры защиты информации, выбранные в соответствии с пунктом 21
Требований № 17 и обеспечивающие блокирование (нейтрализацию) всех угроз
безопасности информации.
На основании вышеуказанных положений Указа Президента Российской
Федерации от 16.08.2004 № 1085 11.02.2014 ФСТЭК России утвержден
«Методический документ. Меры защиты информации в государственных
информационных системах» (далее – Методический документ), который
детализирует организационные и технические меры защиты информации
(далее – меры защиты информации), принимаемые в государственных ИС
в соответствии с Требованиями № 17, а также определяет содержание мер защиты
информации и правила их реализации.
Методический документ предназначен в том числе, для операторов ИС,
к числу которых относится Заказчик.
Методический документ применяется для выбора и реализации
в соответствии с пунктом 21 Требований № 17, мер защиты информации
в информационных системах, направленных на обеспечение:
- конфиденциальности информации (исключение неправомерного доступа,
копирования,
- предоставления или распространения информации);
- целостности информации (исключение неправомерного уничтожения
или модифицирования информации);
- доступности информации (исключение неправомерного блокирования
информации).
Согласно абзацу 2 пункта 2 Методического документа выбор мер защиты
информации осуществляется исходя из класса защищенности ИС, определяющего
требуемый уровень защищенности содержащейся
в ней информации, и угроз безопасности информации, включенных в модель угроз
безопасности информационной системы, а также с учетом
структурно-функциональных характеристик ИС, к которым относятся структура и
состав информационной системы, физические, логические, функциональные
и технологические взаимосвязи между сегментами ИС, взаимосвязи с иными
информационными системами и информационно-телекоммуникационными сетями,
режимы обработки информации в информационной системе
и в ее отдельных сегментах, а также иные характеристики информационной
системы, применяемые информационные технологии и особенности
ее функционирования.
В соответствии с абзацами 2, 3 подпункта «а» пункта 2.3 Методического
документа определение базового набора мер защиты информации основывается на
классе защищенности ИС, установленном в соответствии с пунктом 2.1
Методического документа.
В соответствии с Требованиями № 17, и приложением № 2
к Методическому документу в качестве начального выбирается один из четырех
базовых наборов мер защиты информации, соответствующий установленному
классу защищенности информационной системы. Меры защиты информации,
обозначенные знаком «+» в приложении № 2, включены в базовый набор
мер защиты информации для соответствующего класса защищенности
информационной системы.
Меры защиты информации, не обозначенные знаком «+», к базовому набору
мер не относятся, и могут применяться при последующих действиях
по адаптации, уточнению, дополнению мер защиты информации, а также
разработке компенсирующих мер защиты информации.
Базовый набор мер защиты информации, выбранный в соответствии
с классом защищенности информационной системы, подлежит адаптации
применительно к структурно-функциональным характеристикам
и особенностям функционирования информационной системы, уточнению
в зависимости от угроз безопасности информации и при необходимости
дополнению мерами защиты информации, включенными в иные нормативные
правовые акты, нормативные и методические документы по защите информации.
В пункте 41 «Основной части извещения» перечислен перечень документов
(электронных документов), содержащихся в извещении, в том числе «Описание
объекта закупки (техническое задание)» (далее — Техническое задание).
В Техническом задании спорной закупки установлено, что
«Автоматизированное рабочее место», помимо прочего, должно содержать СЗИ,
которые реализуют следующие меры защиты: ИАФ.1 – ИАФ.5; УПД.1 – УПД.6;
УПД.9 – УПД.11; УПД.13 – УПД.17; ОПС.1 – ОПС.3; РСБ.1 – РСБ.8; ЗНИ.1 –
ЗНИ.3; ЗНИ.5; ЗНИ.8; АВЗ.1; АВЗ.1 усиление 6, АВЗ.1 усиление 8; АВЗ.2.
Техническим заданием предусмотрено, что СЗИ имеют
сертификат ФСТЭК России.
Комиссией Управления обоснованно установлено, что в соответствии с
Приложением № 2 к Требованиям № 17 к классу защищенности информационной
системы К1, которому согласно Аттестату соответствия № 2384.00008.2021 от
21.12.2021 соответствует ИС Заказчика, применяются следующие базовые меры
защиты информации, выбранные Заказчиком: ИАФ.1 - ИАФ.5; УПД.1 - УПД.6;
УПД.9 - УПД.11; УПД.13 – УПД.17; ОПС.1 – ОПС.3; РСБ.1 - РСБ.7; ЗНИ.1; ЗНИ.2;
ЗНИ.5; ЗНИ.8; АВЗ.1; АВЗ.2.
Таким образом, в Техническом задании Заказчиком помимо базовых мер
защиты информации были установлены такие меры защиты информации как:
РСБ.8; ЗНИ.3; АВЗ.1 (усиление 6 и 8).
Согласно абзацам 2, 3 подпункта «в» пункта 2.3 Методического документа
уточнение адаптированного базового набора мер защиты информации проводится с
учетом результатов оценки возможности адаптированного базового набора мер
защиты информации адекватно блокировать (нейтрализовать) все угрозы
безопасности информации, включенные в модель угроз безопасности информации,
или снизить вероятность их реализации исходя из условий функционирования
информационной системы.
Исходными данными при уточнении адаптированного базового набора мер
защиты информации являются перечень угроз безопасности информации и их
характеристики (потенциал, оснащенность, мотивация), включенные в модель
угроз безопасности информации.
Таким образом, следует признать обоснованным довод Заявителя о том, что
адаптацию и уточнение базового набора мер защиты Заказчику следовало
обосновать моделью угроз.
В соответствии с абзацами 6, 7, 8, 10 подпункта «в» пункта 2.3 Методического
документа уточненный адаптированный базовый набор мер защиты информации
подлежит реализации в информационной системе в соответствии с разделом 3
настоящего методического документа.
В подразделах «требования к реализации меры защиты информации» для
каждой меры, приведенной в разделе 3 настоящего методического документа,
указано требование к тому, каким образом и в каком объеме должна быть
реализована каждая мера защиты информации. Требования к реализации мер
защиты информации являются минимальными требованиями, выполнение которых
должно быть обеспечено в информационной системе соответствующего класса
защищенности, в случае если эта мера выбрана для реализации в качестве
уточненной адаптированной базовой меры защиты информации.
В зависимости от класса защищенности информационной системы
минимальные требования к реализации уточненной адаптированной базовой меры
защиты информации подлежат усилению для повышения уровня защищенности
информации. Все возможные усиления мер защиты информации приведены в
подразделах «требования к усилению меры защиты информации», приведенных в
разделе 3 настоящего методического документа для каждой меры защиты
информации. Усиления мер защиты информации применяются дополнительно к
требованиям по реализации мер защиты информации, приведенным в подразделах
«требования к реализации меры защиты информации».
Усиления мер защиты информации, приведенные в подразделе «требования к
усилению меры защиты информации» и не включенные в таблицу с содержанием
базовой меры защиты информации в подразделе «содержание базовой меры
защиты информации», применяется по решению обладателя информации,
заказчика и (или) оператора для повышения уровня защищенности информации,
содержащейся в информационной системе, или при адаптации, уточнении,
дополнении мер защиты информации, а также при разработке компенсирующих
мер защиты информации.
Согласно подпункту «г» пункта 2.3 Методического документа дополнение
уточненного адаптированного базового набора мер защиты информации
осуществляется с целью выполнения требований о защите информации,
установленных иными нормативными правовыми актами в области защиты
информации, в том числе в области защиты персональных данных.
Дополнение уточненного адаптированного базового набора мер защиты
информации может потребоваться, в том числе в случае:
а) если федеральным законом, указом Президента Российской Федерации,
постановлением Правительства Российской Федерации, нормативными актами
органа государственной власти, органа местного самоуправления или организации,
определяющими порядок создания и эксплуатации информационной системы,
устанавливаются дополнительные требования к защите информации, выполнение
которых не предусмотрено Требованиями № 17.
В соответствии с пунктом 4 статьи 16 Федерального закона от 27.07.2006г. №
149 ФЗ «Об информации, информационных технологиях и о защите информации»
обладатель информации, оператор информационной системы в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к
информации;
3) предупреждение возможности неблагоприятных последствий
нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа
к ней;
6) постоянный контроль за обеспечением уровня защищенности
информации;
7) нахождение на территории Российской Федерации баз данных
информации, с использованием которых осуществляются сбор, запись,
систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение персональных данных граждан Российской Федерации.
Согласно пояснениям Заказчика АРМ, являющееся предметом закупки,
приобретается в рамках развития цифрового контура здравоохранения Российской
Федерации на территории Калининградской области, с целью подключения
медицинских работников к ИС и оказания медицинской помощи. В соответствии с
требованиями действующего законодательства Оператор ИС самостоятельно
определяет состав мер информационной безопасности (как организационных, так и
технических) с учетом законодательства Российской Федерации в области защиты
информации, достаточный для противодействия угрозам безопасности. Меры
защиты информации, указанные к реализации на закупаемом АРМ, были выбраны
с учетом актуальных угроз информационной безопасности и мер не ниже
установленных согласно Аттестату соответствия № 2384.00008.2021 от 21.12.2021.
Необходимость установления указанных требований, подтвержденная
Оператором информационной системы, основывалась, в том числе, на информации
о новых угрозах и уязвимостях в Банке данных, размещенном на официальном
сайте ФСТЭК России. При формировании НМЦК Заказчиком проводился запрос
цен, по результатам которого поступили предложения от различных поставщиков,
предложивших оборудование, соответствующее требованиям Технического
задания и удовлетворяющих потребности Заказчика, не менее двух различных
производителей (в том числе в отношении средств защиты информации).
Как пояснило Учреждение, Заказчик как оператор, несущий персональную
ответственность за обеспечение информационной безопасности и защиту данных
в государственной ИС, в ходе доработки подсистемы защиты информации, учел
как базовые меры в отношении государственной информационной системы класса
защищенности К1, так и дополнительные меры с учетом актуальных угроз.
Вместе с тем, актуальной модели угроз безопасности информации в смысле,
придаваемом Методическим документом и постановлением Правительства
Российской Федерации от 06.07.2015 № 676 «О требованиях к порядку создания,
развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации
государственных информационных систем и дальнейшего хранения содержащейся
в их базах данных информации», у Заказчика на момент размещения извещения о
закупке не имелось, что им и не оспаривается.
Изложенное дает основания полагать, что отсутствие у Учреждения
актуальной модели угроз не позволяло ему указать в Техническом задании
избыточные меры СЗИ, такие как: РСБ.8; ЗНИ.3; АВЗ.1 (усиление 6 и 8).
Кроме этого, согласно разделу 3 Методического документа «Содержание мер
защиты информации в информационной системе» такие меры СЗИ как ИАФ.2;
УПД.3; УПД.14 - УПД.16; ОПС.1-ОПС.3; ЗНИ.1; ЗНИ.2; ЗНИ.3; ЗНИ.5; ЗНИ.8;
РСБ.2; РСБ.8 реализуются организационно-распорядительной документацией, то
есть, самим Заказчиком (оператором) путем настройки информационной системы.
Мера защиты РСБ.6 достигается посредством применения внутренних системных
часов информационной системы (то есть использованием оборудования точного
времени).
Поскольку указанные меры СЗИ реализуются оператором соответствующей
информационной системы самостоятельно, то включение таких мер в Техническое
задание Заказчиком суд признает также необоснованным.
Согласно материалам дела при формировании закупки Заказчиком
использовались коммерческие предложения от следующих субъектов:
1) ООО «Центр защиты информации» (от 09.02.2024 № 151), согласно
которому к поставке предложено (АРМ, тип 1, страна происхождения: Россия,
реестровая запись № 3279\1\2023 в составе: ПЭВМ ICL BasicRay модели В102 G2R:
i3-12100/8GB/256GB SSD M.2/Монитор 23,8» /ИБП 600 ВА/К/М.
Предустановленное ПО: Numa BIOS, Альт Рабочая станция 10.1
Предустановленные СЗИ: ViPNet SafeBoot, Dallas Lock Linux, Kaspersky Endpoint
Security) т. 2, л.д. 56;
2) АО «Крафтвэй корпорэйшн ПЛС» (от 09.02.2024 № ДП/0902), согласно
которому к поставке предложено (АРМ Крафтвэй IC210 КРПЕ.466216.050
Персональная ЭВМ Крафтвэй IC210 КРПЕ.466216.119) т. 2, л.д. 59;
3) ООО «Комплексные инновационные технологии» (от 12.02.2024 № 6),
согласно которому к поставке предложено (АРМ Крафтвэй IC210 КРПЕ.466216.050
Персональная ЭВМ Крафтвэй IC210 КРПЕ.466216.119) т. 2, л.д. 60.
Как видно, к поставке были предложены АРМ разных производителей.
В целях подтверждения соответствия АРМов с указанными в коммерческих
предложениях характеристиками судом были направлены запросы
производителям: АО «Крафтвэй корпорэйшн ПЛС» и АО «ИнфоТеКС» с
информацией о перечне мер защиты, выполняемых «Электронным замком
«Витязь» версия 2.0 и ПМДЗ ViPNet SafeBoot в соответствии с Требованиями №
17.
В ходе анализа имеющихся в материалах дела коммерческих предложений и
ответов производителей по запросу суда судом установлено: согласно
коммерческому предложению ООО «Центр защиты информации» к поставке
предлагается АРМ с предустановленным СЗИ: ViPNet SafeBoot, Dallas Lock Linux,
Kaspersky Endpoint Security, однако, в своем ответе производитель ViPNet SafeBoot
АО «ИнфоТеКС» сообщает, что данное СЗИ выполняет следующие меры защиты:
ИАФ.1; ИАФ.3; ИАФ.4; ИАФ.5; УПД.1; УПД.4; УПД.6; УПД.17; РСБ.1; РСБ.3 -
РСБ.5; РСБ.7; ОЦЛ.1.
То есть из мер, описанных в Техническом задании, выполняется только 13 из
39.
Согласно ответу ООО «Конфидент» по запросу Предпринимателя от
30.07.2024 № 30/07 относительно функционала производимого им СЗИ Dallas Lock
Linux, данное СЗИ выполняет следующие меры защиты: ИАФ.1; ИАФ.2; ИАФ.3;
ИАФ.4; ИАФ.5; ИАФ.6; УПД.1; УПД. 2; УПД.4; УПД.5; УПД.6; УПД.9 - УПД.11;
ЗНИ.1; ЗНИ.5; ЗНИ.8; РСБ.1 - РСБ.7.
То есть из мер, описанных в Техническом задании, выполняется только 24 из
39.
Анализ коммерческих предложений АО «Крафтвэй корпорэйшн ПЛС» и ООО
«Комплексные инновационные технологии» также показал, что предлагаемые к
поставке в составе персональной ЭВМ Крафтвэй IC210 КРПЕ.466216.119 СЗИ: ПК
ЭЗ «Витязь», в составе которого находятся модуль антивируса Kaspersky for UEFI,
СЗИ НСД Dallas Lock Linux, антивирус Dr.Web ни отдельно, ни совместно не
выполняют все 39 мер защиты, указанных в Техническом задании.
Кроме того, СЗИ ИАФ.2; УПД.3; УПД.13 - УПД.16; ОСП.1 – ОПС.3; ЗНИ.1;
ЗНИ.2; ЗНИ.3; ЗНИ.5; ЗНИ.8; РСБ.2, РСБ.6; РСБ.8 не сертифицированы ФСТЭК
России по соответствующему профилю СДЗ (средства доверенной загрузки).
Согласно Государственному реестру сертифицированных средств защиты
информации по состоянию на 07.03.2024 (www.reestr.fstec.ru/reg3) единственным
СЗИ, сертифицированным ФСТЭК России по профилю СДЗ, выполняющим меры
АВЗ.1 усиления 6 и 8, АВЗ,2 являлся программный комплекс «Электронный замок
«Витязь», версия 2.2 ввиду встроенного в него модуля безопасности Kaspersky
Anti-Virus for UEFI.
Из всего вышесказанного следует, что коммерческие предложения,
поступившие Заказчику по рассматриваемой закупке, предлагали к поставке товар,
не соответствующий характеристикам, указанным Заказчиками в Техническом
задании.
В свою очередь, в п.1 Технического задания требования к характеристикам
товара (в части СЗИ), подлежащего поставке в рамках исполнения контракта,
свидетельствуют о соответствии характеристикам СЗИ одного товара одного
производителя АО «Крафтвэй корпорэйшн ПЛС» - ПК ЭЗ «Витязь».
Между тем, включение в извещение об осуществлении закупки требований к
закупаемому товару, которые свидетельствуют о его конкретном производителе,
является нарушением положений статьи 33 Закона о контрактной системе.
Из положений п. 2 Обзора судебной практики применения законодательства
Российской Федерации о контрактной системе в сфере закупок товаров, работ,
услуг для обеспечения государственных и муниципальных нужд, утв.
Президиумом Верховного Суда РФ 28.06.2017, следует, что включение заказчиком
в аукционную документацию требований к закупаемому товару, которые
свидетельствуют о его конкретном производителе не допускается в отсутствие
специфики использования такого товара.
Однако, Техническое задание не содержит сведений о такой специфике, не
подтверждена специфика и актуальной, согласованной ФСТЭК России моделью
угроз Заказчика.
Учитывая то, что в материалах дела отсутствуют документы и сведения,
позволяющие прийти к выводу об обоснованности установления в Техническом
задании вышеуказанных избыточных требований к мерам защиты, реализуемым
СЗИ, а также то, что часть из характеристик СЗИ по реализации мер антивирусной
защиты (АВ3.1 усиление 6 и АВ3.1 усиление 8) соответствует СЗИ двух и более
производителей, суд приходит к выводу, что действия Учреждения при
формировании Технического задания в данной части нарушают требования пункта
1 части 1 статьи 33 Закона о контрактной системе.
В таком случае заявленные в деле требования Предпринимателя являются
обоснованными и подлежат удовлетворению.
Суд отмечает, что спорная закупка проводилась в форме запроса котировок,
что исключает проведение аукциона с правом направления заказчику запроса с
пояснениями относительно содержания технического задания.
Таким образом, Предприниматель был лишен возможности получить от
Учреждения пояснения по предъявленным к товару требованиям и, ознакомившись
с Техническим заданием, не смог принять участия в закупке по приведенным выше
мотивам, а действия Заказчика по некорректному формированию Технического
задания привели к нарушению прав Предпринимателя.
Руководствуясь статьями 110, 167-171, 201 АПК РФ, арбитражный суд
Р Е Ш И Л:
Принять отказ ИП Попова А.Н. от заявления к УФАС по Калининградской
области в части обязания вынести в адрес ГКУЗ «Медицинский информационно-
аналитический центр Калининградской области» предписание: о внесении
изменений в документацию о закупке № 0335200007524000009 в части п. 1
Описания объекта закупки на поставку автоматизированных рабочих мест,
изложив требования к СЗИ в следующей редакции: «СЗИ, реализуют следующие
меры: ИАФ.1; ИАФ.3-ИАФ.5; УПД.1; УПД.2; УПД.4-УПД.6; УПД.9-УПД.11;
УПД.17; РСБ.1; РСБ.3- РСБ.5; РСБ.7»; об аннулировании результатов определения
поставщика, оформленных Протоколом проведения итогов определения
поставщика № 0335200007524000009 от 06.03.2024;о продлении срока подачи
заявок по закупке № 0335200007524000009 (ИЗК
242390605527639060100100170012620242) и прекратить производство по делу в
указанной части.
Признать незаконным решение УФАС по Калининградской области от
14.03.2024 № 039/06/33-147/2024.
Взыскать с УФАС по Калининградской области в пользу ИП Попова А.Н. 300
рублей в счет уплаченной государственной пошлины.
Решение может быть обжаловано в течение месяца с даты его принятия в
Тринадцатый арбитражный апелляционный суд.
Судья Ю.А. Ершова
Электронная подпись действительна.
Данные ЭП: Удостоверяющий центр Казначейство России
Дата 16.09.2024 10:38:40
Кому выдана Ершова Юлия Александровна
Это одно дело. Как такие споры решаются в целом — доля исходов, суммы, регионы:
Статистика по категории «Оспаривание актов и решений ФАС» →- ·Справка о практике (DOCX) — та же цифра с провенансом как документ для приобщения к материалам.
- ·Вопрос по своей ситуации — ответ по опубликованным актам, каждый тезис со ссылкой на первоисточник.
- ·Контроль смещения практики — сигнал, когда доля исходов по вашей категории или делу меняется.
Цифры и переход к первоисточнику на этой странице — открыты и бесплатны. Платный слой — только рабочие инструменты выше.