Верхнее

Фальшивый накладной нос

Обойти запрет на закупку ПО из реестра? Легко!

UPD. 26.10.2016 После общения с представителями SearchInform написал уточняющий пост «Почему я не считаю КИБ Серчинформ иностранным?«, далее по тексту также представлены дополнительные комментарии.

На прошлой неделе судом была подтверждена правомерность отказа Минкомсвязи России во включении продуктов ESET в реестр отечественного ПО. Казалось бы — вот она забота об отечественном производителе не на словах, а на деле. Но, во-первых, сам отказ был исключительно по формальным признакам, а во-вторых, прошу простить мой французский, но вся эта возня с реестром больше смахивает на профанацию.

Формально, ещё с 01 января 2016 года действует ограничение на закупку иностранного ПО (постановление № 1236 от 16 ноября 2015 года «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд«), согласно которому иностранное ПО разрешается закупать только если его аналогов нет в реестре отечественного ПО.

На практике же госучреждение, желающее купить что-то конкретное и очень даже иностранное, покупает это без проблем. Приведу в доказательство своих слов один из самых ярких примеров такого поведения за последнее время.

Фонд Социального Страхования (ФСС) в августе проводил закупку в форме электронного аукциона «Поставка программного обеспечения для защиты информации«. В состав конкурсной документации был включён в том числе весьма любопытный документ: «Обоснование невозможности соблюдения запрета на допуск программного обеспечения, происходящего из иностранного государства, для целей осуществления закупки для обеспечения государственных нужд».

Чем он любопытнен? Суть вот в чём: закупать в ФСС решили «Средство обеспечения ИБ«, а именно — «Систему предотвращения утечек информации (Data Leak Prevention)«. Так вот, из существовавшей на тот момент версии реестра заказчиком была сделана выборка всех средств обеспечения ИБ (170 штук на тот момент) и для каждого из них в таблице была указана причина, по которой оно не подходит заказчику. Для большинства средств было вполне обосновано отмечено: «Не осуществляет предотвращения утечек информации«. Действительно, из DLP решений в реестре тогда значились только два продукта:

  • InfoWatch Traffic Monitor Standard Solution
  • InfoWatch Traffic Monitor Enterprise Edition

Вот с какой одинаковой формулировкой заказчик оба их отклонил:

Не соответствует установленным Заказчиком требованиям к эксплуатационным характеристикам программного обеспечения, планируемого к закупке:

поддержка контроля разговоров сотрудников как внутри офиса, так и за его пределам;
поддержка контроля событий на мониторах;
поддержка контроля данных, вводимых с клавиатуры;
поддержка контроля активности пользователей в запускаемых ими приложениях;
поддержка контроля данных событий журналов Active Directory;
помещение перехваченных документов в базу данных под управлением СУБД Microsoft SQL Server.

Таким образом, от того, что продукты InfoWatch были на тот момент единственными решениями класса DLP в реестре, производитель не только не получил преференцию (казалось бы, любой госорган должен был бы покупать только их), но и наоборот — фактически сразу, ещё в конкурсной документации заказчик конкретно указал, что InfoWatch точно не подходит.

Впрочем, те требования, которые заказчик указал в Техническом задании вообще были написаны под конкретного производителя. В поступившем запросе на разъяснение один из потенциальных участников так явно и указал:

Из Технического задания ясно, что по функционалу подходит единственная система иностранного происхождения разработчика Searchinform (характеристики которого описаны на сайте http://searchinform.ru/products/kib/), без возможности рассмотрения иного программного средства отечественного происхождения, похожего по функционалу, но не обеспечивающим дополнительные функции, не относящиеся к ДЛП, таким как описаны в требованиях к модулю контроля событий журнала Active Directory.

Автор этого запроса попытался воззвать к совести заказчика:

  1. Поддержка контроля данных событий журналов Active Directory не относится к группе DLP-решений, подразумевая под собой иной программный продукт, реализуемый в SIEM системах.
  2. В решении InfoWatch отсутствует помещение перехваченных документов в базу данных под управлением СУБД Microsoft SQL Server. Однако в программном решении осуществлена функция помещения перехваченных документов в бесплатную базу данных под управлением СУБД Postgres Pro, входящая в Единый реестр российских программ для ЭВМ и баз данных, в отличие от Microsoft SQL Server.
  3. В виду того, что Фонд социального страхования Российской Федерации является оператором ФГИС (Федеральная государственная информационная система) — ЕИИС «Соцстрах», в которой так же обрабатываются персональные данные […] просим разъяснить почему к приобретаемому программному обеспечению для защиты информации, которое в свою очередь будет функционировать в рамках ФГИС не предъявлены требования к сертификации, которая является обязательной для ФГИС и информационных систем обрабатывающих персональные данные.

На случай, если вы не прошли по ссылке и не скачали ответ на разъяснение целиком, приведу ответ Руководителя Департамента информационных технологий и защиты информации ФСС А.Н.Кошкина на вышеозвученные претензии:

  1. На уровне российского законодательства нормативно не закреплено исчерпывающего перечня характеристик DLP-решений и/или запретов на наличие в таких решениях функций поддержки контроля данных событий журналов Active Directory
    Техническое задание составлено исходя из существующих задач защиты информации, требования, предъявляемые к предмету закупки, являются ключевыми в плане выбора системы и в целом определяют целесообразность закупки.Чем обеспечено полное соответствие закупки принципу добросовестной ценовой и неценовой конкуренции, установленному ст. 8 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».
  1. Техническое задание составлено исходя из существующих задач защиты информации, требования, предъявляемые к предмету закупки, являются ключевыми в плане выбора системы и в целом определяют целесообразность закупки.
    Приобретение Систем управления базами данных не является предметом настоящей закупки.
  1. Обязательной сертификации ФСТЭК подлежат средства защиты информации, обеспечивающие безопасность персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
    Из положений технического задания не следует, что функционал закупаемого программного обеспечения будет направлен на обеспечение защиты персональных данных или осуществления контроля сотрудников на предмет несанкционированного распространения ими персональных данных.
    Описание объекта закупки полностью соответствует требованиям Закона о контрактной системе, поскольку Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяет порядок применения мер для защиты персональных данных, а не устанавливает требования к наличию или отсутствию сертификатов ФСТЭК для средств защиты информации.

Таким образом, из изложенного выше можно сделать вывод о том, что заказчик указал в конкурсной документации требования к конкретному программному продукту иностранного происхождения, явно указал, что в реестре отечественного ПО нет ничего для него подходящего, и в обоснование своей позиции сослался на то, что это всё соответствует его существующим задачам защиты информации.

UPD. 26.10.2016 Тут я вслед за автором запроса на разъяснение назвал SearchInform продуктом иностранного происхождения. Сейчас уже не вспомню, по какой причине мне всегда казалось, что его родина — Беларусь, поэтому даже не стал этот факт проверять. Спасибо представителям SearchInform, которые связались со мной и пояснили, что «КИБ Серчинформ» – российская система и то, что КИБ Серчинформ на данный момент не включен в Реестр отечественного ПО не говорит о том, что продукт – иностранный.

Аукцион благополучно состоялся, участие в нём приняли три участника и предложивший наименьшую цену победил:

  • ООО «СЕРЧИНФОРМ» — 11 788 135,25 руб .
  • ООО «ПОИСКОВЫЕ ТЕХНОЛОГИИ» — 11 847 973,50 руб.
  • ООО «ИНФОСТАНДАРТ» — 11 907 811,75 руб.

Впрочем, история на этом не закончилась. Компания ИТС Софт-Проекты подала жалобу в ФАС с просьбой провести проверку по факту грубого нарушения законодательства и отменить закупку:

  • техническое задание намерено составлено так, чтобы сделать невозможным закупку российского ПО;
  • обоснование невозможности закупки российского ПО является противозаконным и неосновательным;
  • указанные действия имеют под собой цель создание условий для заключения контракта с продавцом решений компании SearchInform. 

Комиссия ФАС усмотрела же лишь два формальных нарушения со стороны заказчика, о чём в своём решении и указала:

Признать жалобу ООО «ИТС Софт-проекты» обоснованной в части неустановления Заказчиком в документации об Аукционе надлежащей инструкции по заполнению первой части заявки на участие в Аукционе, а также обязательного условия об уменьшении суммы, подлежащей уплате физическому лицу, на размер налоговых платежей, связанных с оплатой контракта в проекте контракта документации об Аукционе.

Указание в техническом задании требований только под конкретное ПО и приведённое ФСС обоснование отказа от покупки решения InfoWatch признали законным, так как заказчик самостоятельно определяет свои потребности и никакого ограничения конкуренции усмотрено не было — ведь к аукциону было допущено три участника и они соревновались между собой.

В итоге, в вынесенном предписании ФАС только попросила устранить формальные нарушения:

заказчику при заключении контракта по результатам проведения Аукциона включить в проект государственного контракта обязательное условие об уменьшении суммы, подлежащей уплате физическому лицу, на размер налоговых платежей, связанных с оплатой контракта.

Вот такая поучительная история: заказчик купил иностранное ПО, которое его устраивает, несмотря на все существующие запреты и реестры, да ещё и обосновал свою правоту перед комиссией ФАС.

UPD. 26.10.2016 Тут я ошибся: «КИБ Серчинформ» – российская система и то, что КИБ Серчинформ на данный момент не включен в Реестр отечественного ПО не говорит о том, что продукт – иностранный.

В принципе, можно было бы даже принять сторону заказчика и понять его — может, ему действительно никак не подходят другие решения, но смущает меня один единственный момент — от аукциона за версту пахнет… странностью. Все три участника предложили цены с минимальными снижениями от начальной максимальной цены контракта (НМЦК). Более того, предложенные снижения составляют ровно 0,5%, 1% и 1,5%. Совпадение? Не думаю…

Мне стало интересно и я поискал на Госзакупках другие конкурсы с участием этих трёх юрлиц. Навскидку за период 2012-2016 нашёл более 20 закупок, в которых они участвовали и в которых снижения также минимальные (за исключением буквально двух случаев) и очень близкие друг другу (всегда без исключений). Вместе все эти юрлица приняли участие только в одном вышеупомянутом конкурсе, во всех остальных состав был иным. Всего круг участников всех найденных мной конкурсов включил в себя 6 компаний:

  • ООО «СЕРЧИНФОРМ», ИНН 7704306397
  • ООО «ПОИСКОВЫЕ ТЕХНОЛОГИИ», ИНН 7841456820
  • ООО «ИНФОСТАНДАРТ», ИНН 6658455470
  • ООО «НОВЫЕ ПОИСКОВЫЕ ТЕХНОЛОГИИ», ИНН 7718562626
  • ООО «ИБ-Эксперт», ИНН 1655272173
  • ООО «Экостройпрод», ИНН 7743807326

Особенно забавно, конечно, выглядят 18 конкурсов, в которых вместе участвовали ООО «ПОИСКОВЫЕ ТЕХНОЛОГИИ» и ООО «НОВЫЕ ПОИСКОВЫЕ ТЕХНОЛОГИИ» с очень близкими предложениями.

Общая сумма всех найденных мной конкурсов составила почти 60 млн.руб (наверняка, нашёл я далеко не всё). Свёл их в единую таблицу:

Во всех приведённых в таблице конкурсах других участков не было — видимо, никто, прочитав ТЗ, просто не захотел тратить своё время на заведомо бесперспективную работу. Дальнейшего более глубокого анализа не проводил — для моего собственного понимания картина со всеми этими конкурсами предельно ясная. Не удивлюсь, если все эти юрлица окажутся связанными между собой, и даже аффилированным.

UPD. 26.10.2016 Дабы расставить все акценты окончательно: я ни в коей мере не утверждаю, что эти юрлица аффилированы (признаки аффилированности или участия в группе лиц установлены Законом РСФСР от 22.03.1991 N 948-1 «О конкуренции и ограничении монополистической деятельности на товарных рынках» и Федеральным законом от 26.07.2006 № 135-ФЗ «О защите конкуренции»), более того, после общения с юристами SearchInform, я полностью уверен, что никакой аффилированности точности нет. Подробнее

В завершение ещё раз обращу внимание — госзаказчик при желании может купить всё, что угодно. Так было и так будет, пока буква закона преобладает над его духом.

, , , , ,