Решение Управления Федеральной антимонопольной службы по Приморскому краю от 23.10.2018 N 834/04-2018

Комиссия Управления Федеральной антимонопольной службы по Приморскому краю по контролю торгов (далее - Комиссия Приморского УФАС России) в составе:

рассмотрев жалобу ООО "Пасифик Компьютер Груп"

в присутствии:

от Заявителя: Рытов З.В. - представитель по доверенности;

от Заказчика: Каневский Н.В., Овсянников О.П., Злобин И.А. - представители по доверенности,

от уполномоченного органа: Волкова Е.В. - директор департамента, Болтаева Е.Ю. - представитель по доверенности,

УСТАНОВИЛА:

В Приморское УФАС России поступила жалоба ООО "Пасифик Компьютер Груп" на действия Заказчика - Департамента здравоохранения Приморского края при проведении электронного аукциона на внедрение медицинских информационных систем в медицинских организациях государственной системы здравоохранения, оказывающих первичную медико-санитарную помощь (извещение N 0120200004718000606) (далее - аукцион).

По мнению заявителя, заказчик допустил нарушение норм Федерального закона от 05 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее Закон N 44-ФЗ), так как:

- описание объекта закупки не соответствует требованиям Закона N 44-ФЗ;

- нарушил порядок разъяснения положений документации об аукционе.

Заслушав пояснения сторон присутствующих на рассмотрении жалобу, рассмотрев материалы дела, сопоставив их с фактическими документами, и проведя внеплановую проверку, Комиссия Приморского УФАС России установила следующее.

В соответствии с пунктом 1 части 1 статьи 64 Закона N 44-ФЗ документация об аукционе должна содержать наименование и описание объекта закупки и условия контракта в соответствии со статьей 33 Закона N 44-ФЗ, в том числе обоснование начальной (максимальной) цены контракта.

Пунктом 2 части 1 статьи 33 Закона N 44-ФЗ установлено требование об использовании при составлении описания объекта закупки показателей, требований, условных обозначений и терминологии, касающихся технических характеристик, функциональных характеристик (потребительских свойств) товара, работы, услуги и качественных характеристик объекта закупки, которые предусмотрены техническими регламентами, принятыми в соответствии с законодательством Российской Федерации о техническом регулировании, документами, разрабатываемыми и применяемыми в национальной системе стандартизации, принятыми в соответствии с законодательством Российской Федерации о стандартизации, иных требований, связанных с определением соответствия поставляемого товара, выполняемой работы, оказываемой услуги потребностям заказчика.

В соответствии с частью 2 статьи 33 Закона N 44-ФЗ установлено, что документация о закупке в соответствии с требованиями, указанными в части 1 настоящей статьи, должна содержать показатели, позволяющие определить соответствие закупаемых товара, работы, услуги установленным заказчиком требованиям. При этом указываются максимальные и (или) минимальные значения таких показателей, а также значения показателей, которые не могут изменяться.

Комиссия Приморского УФАС России установила, что описание объекта закупки не соответствует требованиям Закона N 44-ФЗ по следующим основаниям.

Согласно Извещению о проведении аукциона объектом закупки являются услуги по установке программного обеспечения, код позиции 62.09.20.120.

Согласно техническому заданию документации об аукционе результаты услуг передаются Заказчику в порядке, определенном ТЗ и Государственным контрактом".

Приложение 1 к Техническому заданию. "Перечень медицинских организаций Приморского края, в которых должны оказываться услуги по настоящему ТЗ". Данное Приложение 1 содержит перечень 16 медицинских организаций.

Техническое задание, п.4.1.12. Требования к патентной чистоте. "В результате исполнения государственного контракта по настоящему Техническому заданию, Исполнитель предоставляет Заказчику неисключительное право на использование Системы на весь срок действия исключительных прав, на неограниченное количество рабочих мест и неограниченное количество медицинских организаций".

Согласно Техническому заданию в указанных 16 медицинских организациях, а также для дальнейшего использования ими программ для ЭВМ, необходима покупка соответствующих прав (лицензий). В техническом задании содержится требование предоставления Исполнителем лицензии, в объеме, превышающем необходимое для выполнения работ количество медицинских организаций, а именно - на неограниченное количество медицинских организаций, что противоречит п.1.5 Технического задания и Приложению 1 Технического задания.

В аукционной документации вообще отсутствуют сведения о порядке передачи прав на программы для ЭВМ, включая необходимые документы, подтверждающие передачу прав, при том, что в Извещении объект закупки классифицирован Заказчиком исключительно как "Услуги по установке программного обеспечения, код 62.09.20.120".

При том, что документацией подразумевается оказание услуг, в ряде позиций ТЗ отмечаются работы, связанные не с внедрением, а непосредственной работой с кодом и компетенциями разработки.

План - график оказания услуг: раздел 3 стр. 54- 56

Работы:

- Требования к составу и содержанию услуг, оказываемых Исполнителем по пунктам 1 и 4 плана-графика оказания услуг, стр. 57-58

- Работы по внедрению (2 этап). Стр. 58 - 59

3.1.7Л. Состав и содержание оказываемых услуг. Стр. 62-63

3.1.9. Сопровождение внедрения. Стр. 64 - 65

3.2 Требования к защите информации. Стр. 65 - 66

8. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие (стр. 89)

Разработка:

- П. 8 Приложения N2;

Стр. 114 Исполнителем должны быть разработаны следующие дополнительные функции Системы;

Стр. 115 Исполнителем должны быть разработаны сервисы интеграции, обеспечивающие взаимодействие в соответствии со спецификацией на обмен в электронном виде данными о факте и параметрах временной нетрудоспособности гражданина между Системой и АИС ЭЛН ФСС;

- Приложение N3 Стр. 202 Для обеспечения интеграции Системы с ГИСЗИ ЛЛО ПК, должен быть разработан следующий набор сервисов;

- Приложение N3 Стр. 262 Разработка функциональности для получения в АПК ЦАМИ сформированного в ЦМИС направления на проведение исследований с необходимым набором данных о направляющей организации, принимающей организации, желаемой дате проведения исследования, данных, идентифицирующих пациента, данных, идентифицирующих услугу, в рамках которой требуется провести исследование (код услуги по справочнику НМУ).

Тем самым заказчиком не определены конкретные показатели позволяющие определить соответствие закупаемых товара, работы, услуги установленным заказчиком требованиям.

Пунктом 1.6 Технического задания документации об Аукционе установлен перечень документов, на основании которых должно проводиться внедрение ЦМИС.

В используемых документах предусмотрена "Концепция создания единой государственной информационной системы в сфере здравоохранения..." и Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной структуры Российской Федерации" (далее Закон N 187-ФЗ) о безопасности КИИ. Так же упомянут комплект нормативной базы по ПД, но без требований ФСТЭК.

В том числе указано, что исполнитель обязуется оказать услуги по внедрению медицинских информационных систем в медицинских организациях государственной системы здравоохранения".

Т.е. внедрение информационной системы, функционирующей в сфере здравоохранения, Департамент здравоохранения Приморского края, как заказчик системы является субъектом КИИ, в соответствии с п. 3 ст. 9 Закон N 187-ФЗ обязан соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (приказы ФСТЭК N 235 и 239).

В соответствии с приказом ФСТЭК N 239 обеспечение безопасности значимых объектов является составной частью работ по созданию (модернизации), эксплуатации и вывода из эксплуатации значимых объектов. Меры по обеспечению безопасности значимых объектов принимаются на всех стадиях (этапах) их жизненного цикла, в том числе на этапе проектирования.

Данные меры и требования аукционной документацией не предусмотрены.

Отсылка на Концепцию подразумевает реализацию следующего положения "Защита персональных данных граждан в Системе обеспечивается в соответствии с требованиями законодательства Российской Федерации за счет ведения перечня информационных ресурсов Системы и сведений об уровне их конфиденциальности, ведения единого каталога пользователей, их ролей и категорий, использования инфраструктуры открытых ключей электронной цифровой подписи и шифрования данных...".

Инфраструктура регионального ЦОД, как и каналы связи между ЦОД и ЛПУ защищена СКЗИ. Проведение любых интеграционных работ Исполнителем обязательно повлечет необходимость создания и (или) модификации параметров криптосредств (правил маршрутизации, фильтрацию пакетов, новых узлов сети и пр.). При этом, в документации нигде не отражены подобные действия.

П. 4.1.12 Технического задания документации об Аукционе, установлено требование "Все проектные и технические решения использованные при развитии Системы должны отвечать требованиям действующего законодательства Российской Федерации".

При этом, не учтены этапы проектирования подсистемы информационной безопасности в части соответствия этапов создания ИС в защищенном исполнении согласно требований ГОСТ 51583-2014 и ГОСТ 34.601-90 "Автоматизированные системы. Стадии создания".

Заказчик не отражает того факта, что создаваемая система является ГИС (хотя в списке нормативной базы приведены федеральные законы), нет ссылок на соответствующую нормативную базу - ПП-676.

Для ИСПДн актуален приказ ФБС России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности", в соответствии с требованиями которого для любого уровня защищенности ПДн прописано использовать СКЗИ как минимум КС 1 то есть установлены обязательные требования по сертификации используемых СКЗИ. Данный аспект не отражен в рассматриваемом техническом задании.

По ТЗ идет интеграция с РИИСЗ ПК (которая судя по списку сокращений = РЕГИСЗ). В эскизном проекте по подключению к внешним системам для РЕГИСЗ есть такая мера:

Решение по реализации меры УПД.16. У. 16

Перед началом взаимодействия с ИС "РЕГИСЗ ПК" внешней информационной системы у оператора (обладателя, владельца) внешней информационной системы запрашиваются документы, подтверждающие выполнение во внешней информационной системе предъявленных к ней требований о защите информации.

Таким документами могут быть: аттестат соответствия требованиям по безопасности информации или комплект проектно-технической документации.

В случае предоставления в качестве подтверждения выполнения требований о защите информации комплекта проектно-технической документации, в этот комплект должны входить:

- акт классификации информационной системы;

- модель угроз безопасности информации;

- проектная документация на систему защиты информации;

- приказ о назначении лиц, ответственных за защиту информации;

- копии сертификатов соответствия средств защиты информации;

- акты установки средств защиты информации;

акт ввода в эксплуатацию системы защиты информации

Пункт 3.2 Технического задания документации об Аукционе "Доступ к компонентам ЦМИС, приведенным в п. 1-10 Приложения 2 настоящего технического задания, посредством Web-браузера (тонкий клиент) должен осуществляться с помощью SSL сертификатов и защищенного протокола HTTPS.

Использование SSL (Secure Sockets Layer) криптографического протокола должно обеспечивать безопасную передачу данных по открытым каналам связи.

Использование протокола SSL должно создать защищенное соединение между клиентом и сервером ЦМИС. Все данные ЦМИС должны передаваться от сервера ЦМИС к клиенту (и наоборот) по протоколу HTTPS и "упаковываться" в криптографический протокол SSL, тем самым обеспечивая защиту и конфиденциальность передаваемых данных".

SSL не ГОСТовый алгоритм, без сертификации.

В Приложение 6 "ТРЕБОВАНИЯ К ОКАЗАНИЮ УСЛУГ ПО СОПРОВОЖДЕНИЮ ВНЕДРЕНИЯ" описаны работы, в рамках которых производится "техническая и консультативная поддержка пользователей", то есть этапы последующего сопровождения.

Согласно требований ГОСТ 34.601-90 этап "СОПРОВОЖДЕНИЕ АС" носит порядковый номер 8 и является заключительной стадией внедрения системы, которой предшествует раздел "7. Ввод в действие", одним из этапов которого является "Проведение приёмочных испытаний" (этап 7.8), в ходе которого проводят:

а) испытания на соответствие техническому заданию в соответствии с программой и методикой приёмочных испытаний;

б) анализ результатов испытания АС и устранение недостатков, выявленных при испытаниях;

в) оформление акта о приёмке АС в постоянную эксплуатацию.

Указанные выше процессы не отражены в техническом задании документации об аукционе.

Пунктом 4.1 Технического задания документации об установлено, что должно быть обеспечено на клиентском персональном компьютере (терминале, ноутбуке, тонком клиенте), подключенном к защищенной сети передачи данных системы здравоохранения. При функционировании ЦМИС не допускается использование компонентов или сервисов, для которых требуется непосредственное предоставление доступа в сеть Интернет с автоматизированного рабочего места медицинского персонала.

В рассматриваемом ТЗ отсутствуют не только проектные решения по ИБ, но и описания используемых на клиентских АРМ и серверных мощностях типов средств защиты (антивирус, СКЗИ, МЭ, СЗИ НСД и пр.), а также параметров их настройки.

В описательной части ТЗ к обеспечению интеграции с уже развернутыми системами наиболее детализовано и подробно изложены требования к двум интеграционным компонентам, разработки АО "Барс-Групп":

- 2. Компонента интеграции с системой ГИСЗИ ЛЛО ПК (стр. 202);

- 13. Компонента "Интеграция с информационной системой Мониторинг беременных Приморского края" (далее ИС "МБ ПКна") (стр. 312).

Следовательно, заказчик допустил нарушение пункта 1 части 1 статьи 64 Закона N 44-ФЗ, т. к. документация об аукционе содержит описание объекта закупки не в соответствии с требованиями статьи 33 Закона N 44-ФЗ.

Ответственность за вышеуказанные нарушения Закона N 44-ФЗ предусмотрены частью 4.2 статьи 7.30 Кодекса Российской Федерации об административных правонарушениях.

Доводы заявителя о нарушении заказчиком порядка разъяснения положений документации об аукционе, не подтвердились.

На основании вышеизложенного, руководствуясь ст. ст. 99, 106 Закона N 44-ФЗ, Комиссия Приморского УФАС России,

РЕШИЛА:

1. Признать жалобу ООО "Пасифик Компьютер Груп" на действия Заказчика - Департамента здравоохранения Приморского края при проведении электронного аукциона на внедрение медицинских информационных систем в медицинских организациях государственной системы здравоохранения, оказывающих первичную медико-санитарную помощь (извещение N 0120200004718000606) обоснованной в части нарушения пункта 1 части 1 статьи 64 Закона N 44-ФЗ.

2. Признать, что заказчик допустил нарушение:

- пункта 1 части 1 статьи 64 Закона N 44-ФЗ, т.к. описание объекта закупки не соответствует статьи 33 Закона N 44-ФЗ.

3. Выдать заказчику и оператору электронной площадки обязательное для исполнения предписание об устранении нарушений Закона N 44-ФЗ, допущенных при проведении открытого аукциона.

4. Передать материалы дела ответственному должностному лицу для возбуждения административного производства.

Решение, принятое по результатам рассмотрения жалобы по существу, может быть обжаловано в судебном порядке в течение трех месяцев с даты его принятия.