Вимогами пункту 20
...
Вимоги щодо захисту інформації в електронній торговій системі визначає адміністратор з урахуванням вимог законодавства у сфері захисту інформації.
Підключення електронного майданчика до електронної торгової системи здійснюється адміністратором після виконання вимог, визначених у документації на комплексну систему захисту інформації електронної торгової системи.
Оператор може створювати комплексну систему захисту інформації своєї інформаційно-телекомунікаційної системи самостійно за умови погодження технічного завдання на її створення з адміністратором та Держспецзв’язку і самостійного отримання атестата відповідності комплексної системи захисту інформації за результатами державної експертизи у сфері технічного захисту інформації.
Засоби криптографічного захисту інформації, у тому числі засоби електронного цифрового підпису, що використовуються в роботі авторизованого електронного майданчика, повинні мати чинні експертні висновки або сертифікати відповідності за результатами державної експертизи у сфері криптографічного захисту інформації.
Оператор авторизованого електронного майданчика повинен надавати звіт щодо інформаційної безпеки за формою, установленою адміністратором, у визначені строки або у разі виникнення інцидентів, пов’язаних з інформаційною безпекою.
Вимогами пункту 8 Порядку організації та проведення аукціонів з продажу майна боржників у справах про банкрутство (неплатоспроможність) затвердженого постановою Кабінету Міністрів України від 2 жовтня 2019 р. № 865
У системі повинна бути створена комплексна система захисту інформації з підтвердженою відповідністю або забезпечений інший спосіб захисту інформації відповідно до вимог Закону України “Про захист інформації в інформаційно-комунікаційних системах”.
Вимоги щодо захисту інформації в системі визначає адміністратор з урахуванням вимог законодавства у сфері захисту інформації.
Умовами Договору про використання Електронної торгової системи Prozorro.Продажі ЦБД2 встановлено:
5.1. Адміністратор має право припинити доступ Оператора до ЕТС, що здійснюється шляхом анулювання наданого Оператору продуктивного ключа за Договором про використання електронної торгової системи для організації проведення електронних аукціонів з продажу об’єктів малої приватизації від ____________________р. № _________, у випадку настання наступних умов:
5.1.1. вчинення дій Оператором, що перешкоджають функціонуванню ЕТС та/або створюють умови для неможливості її функціонування та потребують негайного реагування з боку Адміністратора;
5.1.2. порушення вимог щодо цілісності даних (зокрема, непередання до центральної бази даних ЕТС або неприйняття від центральної бази даних ЕТС документів (їх оновлення) чи окремих файлів протягом однієї години), не забезпечення своєчасної передачі статусів на всіх етапах аукціону (в т.ч. викупу) в ЦБД (включно три та більше разів);
5.1.3. не здійснення перевірки та/або здійснення неповної перевірки відповідності ідентифікаційної інформації, наданої Користувачем, що має намір прийняти участь в електронному аукціоні (невірна ідентифікація Користувача) під час його реєстрації, що призвело до відміни аукціону, визнання аукціону таким, що не відбувся або істотно вплинуло на аукціон та його результати (включно три та більше разів);
5.1.4. постійних (більше двох випадків на місяць або більше п'яти випадків на три місяці) технічних збоїв з вини Оператора у процесі проведення електронних аукціонів, доступ до яких було надано через електронний майданчик, що унеможливлює проведення електронних аукціонів через електронний майданчик;
5.1.5. технічного втручання в дані або підміни даних в ЕТС через електронний майданчик, що стало наслідком не забезпечення захисту від несанкціонованого доступу і ненавмисного знищення та/або спотворення даних, що містяться в ЕТС;
5.1.6. невиконання умов Договору між Оператором та Адміністратором, в тому числі правил та принципів, визначених Додатком №2 до цього Договору, незабезпечення реагування на вимоги Адміністратора щодо Технічних вимог ЕТС, передбачені п.4.3.24 та 4.6 Договору чи порушення строків внесення на банківський рахунок Адміністратора плати, передбаченої розділом 6 цього Договору, на 20 і більше днів сумарно за останні шість місяців;
5.1.7. недоступності сервісу, що спричинило відсутність можливості в Користувачів/Учасників майданчика мати доступ до ЕТС через електронний майданчик, здійснювати будь-які дії і процедури протягом однієї години в робочий час (включно три та більше разів);
5.1.8. три або більше випадки порушення Оператором будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів;
5.1.9. порушення вимог щодо поводження з інформацією (відомостями) технологічного характеру, інформацією, що не підлягає розголошенню, передбаченою Регламентом ЕТС та іншими нормативно-правовими актами, що регламентують проведення електронних аукціонів (більше трьох разів), розкриття конфіденційної інформації, що визнана такою Сторонами згідно з Регламентом ЕТС та умовами цього Договору, зокрема, дій особи, що спрямовані на передачу інформації (відомостей) третій особі без отримання попередньої згоди щодо вчинення таких дій у Адміністратора.
5.1.10. одного порушення оператором електронного майданчика положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів щодо отримання/повернення/перерахування гарантійного внеску, сплаченого учасником аукціону, крім випадків не суттєвих розбіжностей у сумі відповідного порушення.
5.1.11. в інших випадках, передбачених нормативно-правовими актами.
5.2. Рішення про припинення доступу Оператора до ЕТС у випадку настання умов, передбачених підпунктами 5.1.2 - 5.1.11 пункту 5.1 цього Договору, приймається Адміністратором на підставі рекомендації комісії, створеної наказом ДП “Прозорро.Продажі.” від 14.06.2018 р. № 2 “Про затвердження Положення про Комісію з відбору, підключення операторів електронних майданчиків та розгляду скарг (звернень) щодо проведення електронних аукціонів в електронній торговій системі Prozorro.Продажі ЦБД” (далі - Комісія) або на підставі рекомендації комісії відповідно до Порядку , в тому числі, в разі порушень Оператором умов цього Договору. Адміністратор інформує Оператора про прийняття такого рішення засобами електронного зв'язку протягом 3 робочих днів з дати його прийняття. Дата припинення доступу Оператора до ЕТС встановлюється Адміністратором з урахуванням часу, необхідного для здійснення таким Оператором дій для завершення електронних аукціонів.
5.3. У випадку наявності обставин, що перешкоджають функціонуванню ЕТС та/або створюють умови для неможливості її функціонування, передбачених підпунктом 5.1.1 пункту 5.1 цього Договору, або іншим чином становлять загрозу для роботи ЕТС та потребують негайного реагування з боку Адміністратора, Адміністратор має право припинити доступ Оператора до ЕТС без його попереднього інформування про прийняття такого рішення та без рекомендації Комісії, передбаченої вимогами пункту 5.2. цього Договору.
В той же час, вимогами Договору встановлено також: 4.3.24. Забезпечити належну роботу технічних працівників (розробників) електронного майданчика та реагування на технічні вимоги Адміністратора, а саме:
4.3.24.1. Забезпечити прийняття участі своїх представників не менше, ніж у третині зустрічей, в тому числі в форматі онлайн, з приводу технічних питань функціонування ЕТС, проведення яких оголошено шляхом публікації повідомлення в публічному каналі “#dev_api” комунікаційного сервісу “Slack” не пізніше ніж за два робочі дні до дати проведення такої зустрічі.
4.3.24.2. Привести електронний майданчик у відповідність до оновлених у порядку п.4.6.2. Договору Технічних вимог протягом 3 (трьох) робочих днів, усунути порушення будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів протягом 1 (одного) робочого дня, з моменту відправлення такого повідомлення, з приводу порушення будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів, у відповідному приватному каналі Оператора комунікаційного сервісу “Slack”.
4.3.24.3. За запитом технічного спеціаліста відділу інформаційних технологій та телекомунікацій Адміністратора, у відповідному приватному каналі Оператора комунікаційного сервісу “Slack”, надавати актуальний статус з приводу усунення невідповідностей або порушень будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів кожен 1 (один) робочий день до моменту усунення виявленої невідповідності та/або порушення.
З огляду на вищезазначене можливо розглянути такі варіанти припинення доступу оператора за невиконання умов КСЗІ:
Припинення доступу згідно вимог пункту 5.1.6. за невиконання умов Договору між Оператором та Адміністратором, в тому числі правил та принципів, визначених Додатком №2 до цього Договору, незабезпечення реагування на вимоги Адміністратора щодо Технічних вимог ЕТС, передбачені п.4.3.24 та 4.6 Договору чи порушення строків внесення на банківський рахунок Адміністратора плати, передбаченої розділом 6 цього Договору, на 20 і більше днів сумарно за останні шість місяців;
З урахуванням вимог: 4.3.24.2. Привести електронний майданчик у відповідність до оновлених у порядку п.4.6.2. Договору Технічних вимог протягом 3 (трьох) робочих днів, усунути порушення будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів протягом 1 (одного) робочого дня, з моменту відправлення такого повідомлення, з приводу порушення будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів, у відповідному приватному каналі Оператора комунікаційного сервісу “Slack”.
Додаткова дія- визначення КСЗІ у Технічних вимогах - Григорій Легенченко
Припинення через комісію.
За порушення пункту 5.1.8. три або більше випадки порушення Оператором будь-якого із положень та вимог Регламенту ЕТС та(або) інших нормативно-правових актів - тобто після 3 фіксацій відсутності КСЗІ.
Додаткова дія- наказ про запуск КСЗІ.
Припинення через комісію.
Визначення у пункту 5.1. Договору окремого положення щодо невиконання вимог КСЗІ, як підставу для припинення доступу.
Додаткова дія- ДУ про припинення через КСЗІ - не робимо
Припинення через комісію або без неї - через Комісію, але треба домовитись з Комісією
Крім того, існує необхідність зробити наказ про запуск КСЗІ на виконання другого абзацу пункту 20 постанови 433 у якому закріпити дату початку вимог Адміністратора та наступні дедлайни:
з 01.01.2024 року для всі КСЗІ
для акредитованих на 31.12.2023 року право принести затверджене тех.завдання та сертифікат протягом 6 місяців
для акредитованих з 31.06.2023 року по 31.12.2023 року - перехідний період на 6 місяців без ксзі
після 01.01.2024 року - акредитація тільки після ксзі, відповідні зміни внести в положення про тестування
на підставі та виконання цього наказу наказ про зміни в порядок про тестування з вимогою про ксзі
затвердити форму звіту
ЗА результатами зучтрічі:
внести зміни в Тех вимоги ЕТС з можливістю надання спочатку ТЗ а потім КСЗІ.
в тестування внести КСЗІ
Текстовка для технічних вимог,
Вимогами пункту 20 Порядку відбору операторів електронних майданчиків для організації проведення електронних аукціонів з продажу об’єктів малої та великої приватизації, авторизації електронних майданчиків затвердженого постановою Кабінету Міністрів України від 10 травня 2018 р. № 433 20. В електронній торговій системі повинна бути створена комплексна система захисту інформації з підтвердженою відповідністю згідно з вимогами законодавства у сфері захисту інформації.
Вимоги щодо захисту інформації в електронній торговій системі визначає Адміністратор з урахуванням вимог законодавства у сфері захисту інформації, а саме:
- оператори електронних майданчиків, які
...
- мають укладений Договір про використання Електронної торгової системи Prozorro.Продажі ЦБД2 та
...
- мають діючий доступ (продуктивний ключ) до електронної торгової системи “Prozorro.Продажі” ЦБД2 для організації проведення електронних аукціонів у ЕТС
...
- та надали підтвердження наявності у такого оператора Атестату відповідності КСЗІ Держспецзв'язку та/або
...
- погоджений Держспецзв'язком
...
- Експертний висновок на створення КСЗІ відповідного оператора електронного майданчика у строк (термін) до
...
- 01 травня 2024 року, в будь якому разі зобовʼязані надати підтвердження наявності у такого оператора Атестату відповідності КСЗІ Держспецзв'язку
...
- у строк (термін)
...
- до 01 травня 2025 року;
- оператори
...
- електронних майданчиків, які мають намір укласти Договір про використання Електронної торгової системи Prozorro.Продажі ЦБД2 та отримати доступ до електронної торгової системи “Prozorro.Продажі” ЦБД2 для організації проведення електронних аукціонів у ЕТС мають надати Адміністратору підтвердження наявності у такого оператора Атестату відповідності КСЗІ Держспецзв'язку у порядку встановленого вимогами Положення про порядок проходження тестування електронних майданчиків на відповідність вимогам Електронної торгової системи “ProZorro.Продажі” ЦБД2.