21/04/2015

«Гражданские» закупки ИБ-решений проводят и органы государственной власти, и государственные корпорации. Насколько эффективны действующие механизмы закупок, каковы резервы повышения их эффективности? Что может быть сделано для решения этой задачи как государственными органами, так и участниками рынка решений информационной безопасности? Для ответа на эти вопросы нужно проанализировать существующие проблемы и возможные пути их решения.


НАСКОЛЬКО ЭФФЕКТИВНЫ ИБ-ЗАКУПКИ?

Значительная часть закупок ИБ-решений для «гражданских» государственных нужд осуществляется на открытом рынке. Сразу поясним, что речь идёт не о «закрытых» сферах — государственной тайне, оборонно-промышленном комплексе или обеспечении национальной безопасности. Но рынок «гражданской» ИБ, имеющей дело как с открытой, так и конфиденциальной информацией, достаточно большой и важный. Он регулируется такими ведомствами, как ФСБ России, ФСТЭК России, Минкомсвязи РФ и Роскомнадзором, а также рядом других.

К законам, определяющим порядок закупок, в том числе ИБ-решений, относятся:
  • для государственных органов — Федеральный закон № 44-ФЗ от 5 апреля 2013 года «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
  • для государственных корпораций — Федеральный закон от 18 июля 2011 года № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц».
Способами закупок являются:
  • закупка у единственного поставщика,
  • запрос котировок,
  • запрос предложений,
  • открытый конкурс,
  • электронный аукцион.
Вопрос, насколько эффективны сами эти механизмы и в какой степени их достоинства используются, заслуживает тщательного рассмотрения. От ответа на него зависит и результативность расходования государственного бюджета, и то, насколько надёжно обеспечивается ИБ государственных оганов.

РАЗМЕРЫ ГОСУДАРСТВЕННЫХ РАСХОДОВ НА ИБ

В открытом доступе есть результаты недавних исследований рынка государственных закупок ИБ-решений, в том числе проведённого компанией «Код безопасности». Исследования посвящены размерам затрат на закупку ИБ-решений и анализу результативности проведённых торгов.

Сбор данных осуществлялся из открытых источников — в разделе официального сайта Минкомсвязи РФ, посвящённом расходам государственных органов на закупки товаров, работ, услуг в сфере информационно-коммуникационных технологий в 2014–2016 годах и сайта государственных закупок http://zakupki.gov.ru.

В качестве критерия отбора контрактов на приобретение товаров и услуг в сфере ИБ были использованы следующие коды:
  • ОКПД 75.24.11.330 «Услуги по обеспечению безопасности средств связи и информации»;
  • ОКДП 7492070 «Услуги по защите информации в компьютерных и технических средствах прочих от копирования и несанкционированного доступа».
По данным Минкомсвязи России, расходы государственных органов на информатизацию в 2013 году превысили 100 млрд рублей. Около 53% этой суммы приходится на 7 крупнейших по размеру IT-бюджета ведомств: ПФР, МВД России, ФНС России, Федеральное казначейство России, ФТС России, Центризбирком и на саму Минкомсвязь России. На 2014–2015 годы было запланировано незначительное снижение государственных расходов на информатизацию — около 5% в год.

Больше всего в 2013 году об информационной безопасности позаботилось МВД России: сумма затрат министерства на эти закупки превысила 700 млн рублей, или 29% от общего объема затрат на IT-технологии. Федеральная налоговая служба затратила на информационную безопасность 429 млн рублей (5,4%), а Федеральная таможенная служба — 236 млн рублей (4,23% общего бюджета IT-закупок).

Общий объем бюджета IT-закупок госведомств – «лидеров» в этом секторе государственного заказа в 2013 году превысил 50% общей суммы, выделенной на информатизацию госорганов. Проведя опрос экспертов ведущих интеграторов, аналитики «Кода Безопасности» сделали вывод: совокупная доля затрат на ИБ государственных ведомств в 2013 году составила 4,8% от IT-бюджета. В денежном выражении это получается почти 5 млрд рублей.

Затраты российских государственных органов в 2013 году на ИБ составляют меньшую долю в их IT-бюджетах, чем за рубежом. Но эта диспропорция, заключают эксперты, будет выравниваться, учитывая усиление требований российских государственных регуляторов в этой области, а также создание электронного правительства — расширение предоставления государственных услуг в электронном виде. Скажутся и работы по информатизации здравоохранения, внедрению универсальной электронной карты и иные.

ДОЛЯ НЕЭФФЕКТИВНЫХ ЗАКУПОК

Эффективность закупок будем оценивать не с точки зрения экономии первоначально выделенных на закупку средств — снижения стартовой цены электронных аукционов. Выбранный критерий оценки можно, скорее, назвать абсолютным — отслеживались случаи, когда контракт не был выполнен по вине поставщика. Из 2 902 контрактов в 2012–2014 годах было прекращено исполнение 35, в том числе как минимум 7 — из-за ненадлежащего выполнения поставщиками условий контракта, с прямым указанием виновника.

Данные закупок ИБ-решений государственными органами можно дополнить сведениями об аналогичных закупках, которые проводят государственные корпорации. Эти сведения менее полны, чем информация о государственных закупках. Её обязательно следует публиковать на общероссийском официальном сайте http://zakupki.gov.ru, тогда как ФЗ-223 не обязывает разглашать сведения о контрактах государственных корпораций. Кроме того, по коммерческим торгам на большинстве торговых площадок публикуются сведения только о самих закупках, но не о контрактах. Косвенным источником информации могут служить доступные сведения о несостоявшихся закупках государственными корпорациями ИБ-решений. В 2013 году из 160 лотов на общую сумму 449,9 млн рублей 9 закупок на сумму 41,7 млн рублей были отменены по инициативе заказчика, по разным причинам.

Каков вред от неэффективных закупок ИБ-решений для нужд государственных органов и государственных корпораций, в особенности тех, контракт по которым не был выполнен? Ущерб можно представить и в натуральных показателях, и в денежном выражении.

В натуральных показателях — это инциденты ИБ, связанные с нарушением поставщиками условий выполнения контрактов. Это могут быть и техногенные катастрофы, связанные со сбоями работы автоматизированных систем управления производственными процессами (АСУТП). И утечки данных, как персональных, так и сведений, составляющих коммерческую, служебную и даже государственную тайну. И инциденты, несущие репутационный ущерб, как, например, «взлом» доступа к электронным сервисам высокопоставленных государственных служащих. Естественно, ущерб от подобных инцидентов часто может быть выражен в стоимостном эквиваленте. Особенно когда инцидент сопровождается падением на биржах котировок акций государственных корпораций.

Напрямую в денежных показателях ущерб можно подсчитать, проанализировав данные о неисполнении контрактов в ИБ-отрасли. Достаточно сопоставить общие суммы закупок ИБ-решений и долю невыполненных контрактов — их количество и общую стоимость.

ДЕМПИНГ И РЕЙДЕРСТВО НА ТОРГАХ

Известна главная причина того, почему порой буксуют государственные закупки ИБ-решений. Это злоупотребление формальными процедурами, которые призваны повысить открытость и прозрачность торгов, увеличить конкуренцию, чтобы помочь снизить стартовую цену.

Однако в торгах принимают участие и недобросовестные поставщики, которые формально обладают правом участвовать в них (располагая лицензиями, сертификатами, соответствуя предъявляемым требованиям), но заведомо не располагают ресурсами, чтобы выполнить контракт в соответствии с его условиями. Тем не менее, они участвуют в конкурсных процедурах и даже, зачастую, выигрывают торги. Как правило, путём откровенного «тендерного демпинга» — занижения цены, порой ниже разумного предела. Их расчёт — на «перепродажу» контракта субподрядчику после заключения контракта, с выгодной для себя разницей.

Это — откровенные игроки, которым время от времени удаётся задуманное, иначе бы они вымерли как класс. Но зачастую они «заигрываются» — условия контракта не выполняются. Нарушаются существенные условия контракта, включая сроки. И если бы терпели убытки только недобросовестные исполнители, это было бы их делом. Но страдает ИБ государственной организации, возрастают риски, потому что в заданные сроки не поставлено нужное оборудование и программное обеспечение, не проведены запланированные работы. Время и силы тратятся на арбитражные суды, формулировку претензий, расторжение контракта и другие процедуры.

Достаточно эффективных мер противодействия такому негативному явлению пока не выработано. Даже если с недобросовестного исполнителя удерживается сумма обеспечения контракта, работы всё равно остаются невыполненными в нужные сроки, отчего страдает ИБ государственной организации, возрастают риски. Несостоявшийся исполнитель вносится в «чёрный список» — реестр недобросовестных поставщиков, но уже постфактум. Потом те же самые люди вновь появляются на рынке, но уже как другое юридическое лицо, и продолжают свои неприглядные дела.

В чём причина того, что действующий механизм закупок работает не всегда? Дело в том, что открытый рынок ИБ-решений «болеет» теми же болезнями, что и другие рынки, на которых осуществляются государственные закупки. Среди общих распространённых «хворей» — и откровенный демпинг, и «тендерное рейдерство» со стороны недобросовестных участников торгов, которые злоупотребляют открытостью конкурсных процедур. Чем, в итоге, наносят ущерб государственным интересам — и бюджетным средствам, и безопасности информационных ресурсов.

Существующие средства противодействия недобросовестным участникам отнимают много времени и сил, и, главное, действуют уже после того, как выполнение контракта фактически сорвано. Государственные органы далеко не всесильны, и ограничены действующей законодательной и нормативно-правовой базой. Изменение её — процесс, отягощённый инерцией, и за время, пока удаётся заделать одну лазейку для недобросовестных участников рынка, они успевают отыскать новую.

НОВЫЕ ФУНКЦИИ САМОРЕГУЛИРОВАНИЯ

Представляется, что положение не безнадёжно: у государственных органов есть возможность для повышения  эффективности закупок ИБ-решений. Заключается она в использовании такого быстро реагирующего ресурса, как механизмы саморегулирования. 

То, что потенциал СРО  пока не задействован в отрасли информационной безопасности, имеет некоторые плюсы.  Ещё можно дополнить привычные функции, которые уже используются в других сферах, дополнительными, в том числе специфическими для ИБ. Причём некоммерческие партнёрства, объединяющие лидеров отрасли, способны начать выполнение этих функций уже сейчас, оказывая существенную помощь государственным органам в подготовке и проведении закупок ИБ-решений.

Можно выделить 5 новых функций саморегулирования, способных применяться в ИБ-отрасли:
  • финансово-техническая экспертиза закупаемых ИБ-решений;
  • анализ рынка ИБ-решений и его участников;
  • информирование и обучение государственных служащих эффективным закупкам ИБ-решений;
  • создание «фильтра» для недобросовестных участников рынка;
  • оказание помощи участникам рынка в получении разрешительной документации.
Рассмотрим эти функции более подробно. Первая функция — проведение технической и финансово-экономической экспертизы, своего рода «аудит» закупаемых ИБ-решений. Главный вопрос, который ставится перед экспертами, насколько закупаемое решение необходимо и в каком диапазоне должна быть цена на него. Исходя из функционала, востребованного государственным органом, анализируются существующие на рынке решения, изучается их техническая эффективность, проводится сравнение с аналогами, определяются затраты на его разработку, изготовление, поставку, обслуживание и т. п. Одним из результатов может являться рекомендуемая стартовая цена торгов.

Вторая функция — анализ рынка ИБ-решений и его участников. Это мониторинг рынка, сбор статистики, её анализ и отслеживание тенденций, анализ эффективности государственных и корпоративных закупок ИБ-решений за определённый период. Такая работа возможна при тесном взаимодействии с заказчиками, организовавшими и проводившими конкурс. Итоговая аналитика будет заблаговременно способствовать повышению эффективности закупок, ещё на этапе формирования государственного заказа.

Третья функция — это информационно-обучающая. Некоммерческое партнёрство как саморегулируемая организация (НП СРО ИБ) может осуществлять периодические рассылки по подразделениям государственных органов информационно-аналитических сводок, рассказывающих о новинках рынка ИБ-решений, их сравнительных достоинствах и недостатках, в том числе ценовых, применительно к государственным нуждам. Также возможно проведение обучающих мероприятий для государственных служащих, ответственных за проведение закупок ИБ-решений.

Четвёртая функция — служить одновременно гарантом качества поставок и «фильтром» поставщиков ИБ-решений для государственных нужд, включая корпоративные. Объединившиеся участники рынка, приняв на себя эту функцию, несли бы ответственность за членов своего партнёрства. Выплаты по обоснованным претензиям заказчиков из компенсационного фонда вытекают из полноценного статуса СРО. Но, кроме того, НП СРО ИБ может выдавать своим членам некий аналог «допуска к работам», которым в строительстве заменили лицензирование.

И, наконец, пятая функция — НП СРО ИБ может быть полезно оказанием консалтинговых услуг. Как своим членам, в первую очередь, так и другим участникам рынка, помогая существенно ускорить темпы получения разрешительной документации, в частности — сертификации и т. п. Сроки, которые способны растягиваться на месяцы и даже годы, могут быть сокращены до 2–3 месяцев.


Перечень этих функций саморегулирования, которые могут быть задействованы НП СРО в отрасли ИБ, обрисовалась в ходе общения с представителями отрасли. Разумеется, настоящие размышления носят характер предварительных. Думается, что нарисованная «гармония» должна быть проверена «алгеброй» —экспертными оценками практиков и заключениями опытных юристов, специализирующихся на ИБ и хорошо знакомых с проблематикой государственных закупок ИБ-решений. Даже отрицательные вердикты по некоторым из поднятых вопросов помогут найти эффективные пути использования преимуществ механизмов СРО в ИБ-отрасли.



BIS-КОММЕНТАРИИ

В. А. ПЯРИН, 
председатель Правления НП «АБИСС»:


− Внедрение механизмов саморегулирования в ИБ-отрасли, по моему мнению, может быть эффективным только при выполнении следующих условий:
  1. Поддержка регуляторами идеи о целесообразности начала формирования механизмов саморегулирования как дополнительной составляющей механизмов регулирования отрасли ИБ;
  2. Определение государственными регуляторами в ИБ-отрасли сфер, где могут эффективно применяться механизмы саморегулирования;
  3. Активное участие государственных регуляторов ИБ-отрасли в совместной с ведущими участниками рынка ИБ работе по формированию механизмов саморегулирования;
  4. Нормативно-правовое и законодательное закреплении прав и обязанностей саморегулируемых организаций ИБ-отрасли.

А. Г. САБАНОВ, 
заместитель генерального директора ЗАО «Аладдин Р.Д.»:


− Вопросы, поднятые в статье, имеют большое значение для заказчиков, разработчиков и исполнителей — компаний-интеграторов. Сферы регулирования ИБ давно разделены, но явно не охватывают всех аспектов развития рынка. В то же время складывается впечатление, что в саморегулировании в отрасли заинтересованы все, кроме регуляторов, и если они не поддержат использование этих механизмов, то всё останется как есть.

В экономике в целом механизмы саморегулирования уже широко применяются: вслед за строителями и другими отраслями внедрять его решили и кредитно-финансовые организации. 

В настоящий момент в Государственной Думе РФ готовятся к работе над законопроектом «О саморегулируемых организациях в сфере финансовых рынков», подготовленным Банком России.

А. Е. БРАЖНИКОВ, 
председатель НП «Союз защитников информации»:


− В строительной отрасли членство в СРО является фактически аналогом лицензирования деятельности и помогло повысить эффективность государственных закупок. Из  пяти предлагаемых новых функций «СРО ИБ» не все напрямую связаны с механизмами саморегулирования. В обязательном порядке СРО несёт ответственность за деятельность своих членов и компенсирует ущерб заказчикам при необходимости. СРО может оказывать и информационно-консультационные услуги.

Но проведение «аудита эффективности» закупок, скорее всего, выходит за рамки полномочий и сферы интересов СРО. Для такой деятельности нужно использовать механизмы общественного контроля — как, например, инициативы ОНФ «За честные закупки»). Чтобы такой механизм был запущен, необходимо создание экспертного совета по закупкам в сфере ИБ, который мог бы заниматься мониторингом, анализом и контролем этого рынка.