Захист інформації та безпека закупівель в АОЗ ДОТ

Агенція оборонних закупівель ДОТ Міністерства оборони працює з великим обсягом чутливої інформації – від комерційних пропозицій постачальників до даних щодо оборонних контрактів, логістики та забезпечення Сил оборони України.

Саме тому питання захисту інформації є одним із ключових елементів закупівельної системи АОЗ.

Який стандарт інформаційної безпеки запроваджено в АОЗ

У АОЗ ДОТ діє сертифікована система управління інформаційною безпекою (СУІБ) відповідно до стандарту ДСТУ ISO/IEC 27001:2023, яка поширюється на процеси тилового забезпечення.

Це міжнародний стандарт, який визначає вимоги до системи управління інформаційною безпекою. Він також передбачає комплексний підхід до інформаційної безпеки, охоплюючи людей, політики та технології.

Відповідність стандарту означає запровадження та дотримання найкращих практик управління інформаційною безпекою, зокрема:

• оперативне реагування на ризики та загрози;
• регулярне оновлення програмного забезпечення та політики у сфері інформаційної безпеки;
• забезпечення підготовки працівників, процесів і технологій до протидії кібер- та інформаційним загрозам;
• впровадження механізмів захисту інформації, в тому числі про постачальників і виробників.

Наразі триває робота з розширення сфери дії СУІБ на процеси летального забезпечення.

Як забезпечено захист інформації під час закупівель

У разі укладання прямих договорів інформація про такі закупівлі не оприлюднюється у відкритому доступі відповідно до вимог законодавства в умовах правового режиму воєнного стану.

Спрощені закупівлі

Під час спрощених закупівель, відповідно до постанови Кабінета Міністрів України № 1275, пропозиції подаються через електронну систему закупівель (ЕСЗ), яка автоматично обмежує доступ до даних учасників до моменту розкриття пропозицій.

До завершення подання заявок інформація про учасників, виробників, документи та зміст пропозицій недоступна для інших учасників і третіх осіб.

Учасники також можуть приховувати у документах чутливу інформацію – адреси виробництва, складів, маршрутів постачання чи місць доставки. А окремі документи – позначати як конфіденційні в ЕСЗ.

У разі виявлення безпекових ризиків АОЗ ДОТ може ініціювати додаткове обмеження доступу до таких документів через адміністратора системи.

Закупівлі через рамкову угоду

Під час закупівель через рамкову угоду ЕСЗ також забезпечує розмежування доступу до інформації між етапами кваліфікації, відбору та проведення відборів серед учасників рамкової угоди. 

Усі документи та дані, які подають учасники, використовуються лише для проведення закупівлі та не розголошуються, крім випадків, передбачених законом.

Захист інформації про постачальників, виробників і учасників закупівель комплексно забезпечує адміністратор ЕСЗ. Для цього застосовуються технічні та організаційні заходи безпеки і враховуються вимоги українського законодавства щодо захисту інформації та персональних даних.

Такий підхід дозволяє забезпечити баланс між прозорістю закупівель та захистом чутливої інформації, яка може впливати на безпеку оборонного сектору та постачальників.

Як забезпечено захист інформації в DOT-Chain Defence

Окремий рівень захисту використовується для цифрових закупівельних систем, зокрема DOT-Chain Defence.

Маркетплейс має комплексну систему захисту інформації, яка пройшла оцінювання відповідності міжнародним стандартам на основі профілів безпеки NIST RMF.

NIST RMF є одним з найпрестижніших міжнародних стандартів у сфері кібербезпеки. Розроблений Національним інститутом стандартів і технологій США стандарт широко застосовують у сфері державного та оборонного управління.

Це дозволяє забезпечити захищену взаємодію між державою, виробниками та постачальниками під час роботи із закупівлями для потреб оборони.

Агенція оборонних закупівель ДОТ два роки поспіль брала участь у заході Bug Bash під час форумів із кібербезпеки. Це поширена міжнародна практика, коли до перевірки ІТ-систем залучають зовнішніх фахівців, щоб протестувати їх на можливі вразливості та оцінити захист системи з різних сторін.

Результати таких тестувань допомагають посилювати безпеку та вдосконалювати систему. За підсумками перевірок інформаційно-комунікаційна система DOT-Chain підтвердила належний рівень кіберзахисту.

Такий багаторівневий підхід дозволяє забезпечувати безпечне проведення закупівель для Сил оборони України та захищати чутливу інформацію на всіх етапах взаємодії з постачальниками.

Раніше Міністерство оборони детально пояснювало, що таке Агенція оборонних закупівель ДОТ та як вона забезпечує військо.