У службовій записці заступника генерального директора з технічних питань ДП «ДІЯ» Юрія Козлова від 12.08.2021 № СЗ-89/10-05 зазначено наступне.
З метою забезпечення повноцінного та безперебійного функціонування інформаційних систем, технічним адміністратором яких призначено ДП «ДІЯ», зокрема, інтегрованої системи електронної ідентифікації, що функціонує відповідно до Положення про інтегровану систему електронної ідентифікації, затверджену постановою Кабінету Міністрів України від 19 червня 2019 р. № 546, та Єдиного державного веб-порталу електронних послуг (Портал Дія) та його складових, визначених постановою Кабінету Міністрів України від 4 грудня 2019 р. № 1137 «Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг», а також з урахуванням вимог постанови Кабінету Міністрів України від 2 вересня 2020 р. № 785 «Про реалізацію експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису», виникла потреба у модернізації вище зазначених інформаційних систем в частині створення їх резервних програмно-технічних комплексів, а також створення тесових середовищ зазначених систем, складовими частинами яких є засоби криптографічного захисту інформації (апаратно-програмні пристрої) типу «Гряда-301» (високопродуктивний пристрій), «Гряда-301» та «Бар’єр-301».
Вирішення згаданого питання вбачається можливим за таких умов:
1. Наявність у апаратно-програмного пристрою експертного висновку за результатами державної експертизи у сферах криптографічного та технічного захисту інформації, у тому числі як засобу кваліфікованого електронного підпису;
2. Висока швидкість формування електронного підпису (не менше 6000 формувань/сек) та спільного секрету (не менше 750 формувань/сек) для кваліфікованого надавача електронних довірчих послуг «Дія» та не менше 1560 формувань/сек для інтегрованої системи електронної ідентифікації.
3. Автентифікація клієнтів захисту при підключенні до сервера, встановлення захищеного TCP-з'єднання з клієнтом в разі успішної автентифікації, встановлення відкритого TCP-з'єднання з сервером, прийом та розшифрування даних TCP-з'єднання від клієнта та передачі їх на сервер, прийом та шифрування даних TCP-з'єднання від сервера та передачі їх клієнту.
4. Підтримка кластерної архітектури, у тому числі, у територіально розподілених мережах.
5. Технічна сумісність з програмно-технічним комплексом кваліфікованого надавача електронних довірчих послуг «Дія» та інтегрованої системи електронної ідентифікації.
Згідно частини третьої статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
На етапі введення в експлуатацію програмно-технічного комплексу ІТС кваліфікованого надавача електронних довірчих послуг «Дія» (далі – Надавач) та інтегрованої системи електронної ідентифікації (далі – ІСЕІ) були чинними експертні висновки за результатами експертиз з галузях криптографічного захисту інформації (КЗІ) та технічного захисту інформації (ТЗІ), якими підтверджено коректність реалізації функцій КЗІ з урахуванням (направленого шифрування та електронного підпису) передбачених проектною документацією на системи визначеними засобам КЗІ.
Варто зазначити, що склад програмно-технічних комплексів Надавача та ІСЕІ у частині апаратних та програмних засобів передбачає засоби криптографічного захисту інформації (апаратно-програмні пристрої) типу «Гряда-301» (високопродуктивний пристрій), «Гряда 301» та «Бар’єр 301», що зафіксовано в експлуатаційній документації на комплексні системи захисту інформації в ІТС Надавача (Атестат відповідності № 22618 від 25.02.2021) та ІТС ІСЕІ (Атестат відповідності від 18.12.2018 №18213). Відтак, модернізація систем передбачає повну технологічну сумісність із раніше прийнятими технологічними рішеннями.
Відповідно до вимог законодавства щодо здійснення криптографічного захисту інформації в державі, розробка засобів КЗІ здійснюється відповідно до вимог нормативно-правових актів і національних стандартів у сфері КЗІ, а також державних стандартів розроблення та поставлення продукції на виробництво.
При цьому кожний засіб КЗІ створюється з чітко визначеною метою (гриф обмеження доступу до інформації, яка захищається, реалізація тих чи інших криптографічних алгоритмів та криптографічних протоколів, функціональне призначення тощо). Як правило, засоби КЗІ різних виробників не призначені для спільного (зустрічного) застосування, за винятком засобів КЗІ, що створюються за єдиними вимогами для використання в національній інфраструктурі відкритих ключів.
На теперішній час до таких вимог належать:
1) Постанова Кабінету Міністрів України від 07.11.2018 № 992 "Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг";
2) Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 № 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації";
3) Наказ Міністерства цифрової трансформації України та Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30.09.2020 № 140/614, зареєстрований в Міністерстві юстиції України 22 жовтня 2020 р. за № 1039/35322 «Про встановлення вимог до технічних засобів, процесів їх створення, використання та функціонування у складі інформаційно-телекомунікаційних систем під час надання кваліфікованих електронних довірчих послуг»;
4) Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 27.10.2020 № 687 "Про затвердження переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації", Зареєстровано в Міністерстві юстиції України 21 грудня 2020 р. за № 1272/35555.
Варто зазначити, що до єдиних вимог в контексті розробки апаратно-програмних модулів для забезпечення генерації та зберігання особистих ключів можна віднести лише Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 20.07.2007 № 141 "Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації", який визначає єдині засади стосовно такої розробки та не висуває вимог щодо сумісності таких засобів, обов’язкових алгоритмів, протоколів та форматів.
У зв’язку з цим, було проведено порівняльний аналіз інформації про апаратно-програмні засоби КЗІ, які мають експертні висновки за результатами державної експертизи у галузі КЗІ, які представлено на офіційному веб-ресурсі Адміністрації Держспецзв’язку.
В ході аналізу будо визначено, що окрім обладнання, яке натепер входить до складу ІТС Надавача та ІСЕІ виробництва ПрАТ «Інститут інформаційних технологій» (далі – АТ «ІІТ») типу «Гряда-301» (високопродуктивний пристрій), «Гряда-301» та шлюз захисту «Бар’єр-301», потенційними аналогами за цільовим та функціональним призначенням можуть розглядатись апаратно-програмні засоби КЗІ виробництва ТОВ «Автор» типу CryptoLine 3x8.
Проведено аналіз технічної документації та опису апаратно-програмних засобів КЗІ виробництва АТ «ІІТ» та ТОВ «Автор», найбільш близьких за призначенням та функціональними можливостями, наведених на офіційних сайтах виробників.
За результатами аналізу інформації, встановлено, що зазначені засоби КЗІ розроблені відповідно до різних технічних завдань та технічних умов:
- для Криптомодуля мережевого “Гряда-301”: технічне завдання ЄААД.469535.049 ТЗ, ТУ У 30.0-22723472-003:2008;
- для шлюзу захисту «Бар’єр-301»: технічне завдання ЄААД.469535.095, ТУ У 26.2-22723472-010:2020;
- для Модуля безпеки “CryptoLine 358”: технічне завдання АЧСА.467759.009, ТУ У 30.0-32248356-005:2006.
Функції генерації ключових даних та їх використання реалізовані за різними методиками, які проходять окреме погодження із Адміністрацією Держспецзв`язку під час розробки апаратно-програмних засобів КЗІ:
- для Криптомодуля мережевого “Гряда-301”: Методика генерації ключових даних, погоджена з Адміністрацією Держспецзв’язку (ЄААД.468244.020 Д1.05).
- для Модуля безпеки “CryptoLine 358”: Методика вироблення сеансового ключа, автентифікації, генерування випадкових послідовностей та контролю засобів криптографічного захисту інформації, погоджена з Адміністрацією Держспецзв’язку (АЧСА.460709.001).
У Таблиці 1 наведено дані щодо призначення та функціональних можливостей апаратно-програмних засобів КЗІ, які потенційно можуть використовуватись для модернізації програмно-технічного комплексу ІТС Надавача для забезпечення генерації та зберігання особистих ключів, забезпечення реалізації онлайн сервісів таких як обробка запитів користувачів на визначення статусу сертифіката (OCSP) та обробки запитів користувачів на формування позначки часу (TSP).

Таблиця 1
(таблиця наведена у файлі "Повідомлення про намір укласти договір ППЗ Гряда-Барьєр.docx")

У Таблиці 2 наведено показники швидкодії роботи ПТК Надавача «ІІТ ЦСК-1» (АТ «ІІТ») та «CryptoKDC» (ТОВ «Автор»), які напряму залежать від швидкодії виконання операцій криптографічних перетворень апаратно-програмними засобами КЗІ, що входять до складу ПТК Надавача.

Таблиця 2
(таблиця наведена у файлі "Повідомлення про намір укласти договір ППЗ Гряда-Барьєр.docx")

модернізації ІТС Надавача в частині нарощування обчислювальної потужності, підвищення рівня захисту інформації.
Також слід зазначити, що експертний висновок за результатами державної експертизи у сфері КЗІ на засоби КЗІ типу CryptoLine 358 (ТОВ «Автор») на дату створення цього документа є нечинним (експертний висновок ДССЗЗІ України № 05/02/02-95 від 15.01.2015).
Шлюз захисту «Бар’єр-301» реалізує наступні криптографічні алгоритми та протоколи:
- шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
- ЕП за ДСТУ 4145-2002 (всі довжини ключів передбачені стандартом);
- гешування за ГОСТ 34.311-95;
- протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (довжина ключа до 571 біту).
- Кількість автентифікацій клієнтів - 100 автентифікацій/c. Швидкість шифрування - 250 Мбіт/с
Слід зазначити, що аналогів на ринку засобу КЗІ Шлюз захисту «Бар’єр-301» немає.
Порівняльний аналіз здійснювався на основі даних, наведених на офіційних сайтах розробників апаратно-програмних комплексів:
Дані щодо апаратно-програмного комплексу Гряда 301 (високопродуктивний пристрій)
https://iit.com.ua/index.php?page=itemdetails&p=3&gtype=1&type=1&id=99
Дані щодо апаратно-програмного комплексу Гряда 301
https://iit.com.ua/index.php?page=itemdetails&p=3&gtype=1&type=1&id=54
Дані щодо апаратно-програмного комплексу Бар’єр 301
https://iit.com.ua/index.php?page=itemdetails&p=3&gtype=1&type=1&id=60
Дані щодо апаратно-програмного комплексу CryptoLine 358
https://avtor.ua/apparatnye-produkty/moduli-bezopasnosti-serii-cryptoline.html

З огляду на зазначене, наявні підстави застосування переговорної процедури закупівлі відповідно до абзацу четвертого пункту 2 частини другої статті 40 Закону України «Про публічні закупівлі», а саме: відсутність конкуренції з технічних причин.
Найменування учасника: ПрАТ «ІНСТИТУТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ» (АТ «ІІТ»).
Документальне підтвердження обставин застосування переговорної процедури закупівлі:
1. Службова записка заступника генерального директора з технічних питань ДП «ДІЯ» Юрія Козлова від 12.08.2021 № СЗ-89/10-05;
2. Атестат відповідності КСЗІ ІСЕІ №18213 від 18.12.2018;
3. Атестат відповідності КСЗІ ІТС КНЕДП №22618 від 25.02.2021;
4. Експертний висновок Адміністрації Держспецзв’язку від 26.12.2017 № 04-3507 на криптомодуль мережний «Гряда-301»;
5. Експертний висновок Адміністрації Держспецзв’язку від 16.04.2020 № 04/03/02-936 на криптомодуль мережний «Гряда-301»;
6. Експертний висновок Адміністрації Держспецзв’язку від 30.06.2020 № 1132 на криптомодуль мережний «Гряда-301»;
7. Експертний висновок Адміністрації Держспецзв’язку від 15.05.2020 № 04/03/02-1191 на шлюз захисту «Бар’єр-301»;
8. Експертний висновок Харківської торгово-промислової палати від 29.01.2021 № 217/21 на криптомодуль мережний «Гряда-301».
9. Експертний висновок на шлюз Харківської Торгово-промислової палати від 01.02.2021 № 217-2/21 на шлюз захисту «Бар’єр-301»;
10. Довідка заступника начальника відділу електронної ідентифікації Департаменту підтримки інтегрованих системи А.Костенка від 30.07.2021 щодо відсутності чинного експертного висновку на апаратно-програмний засіб CryptoLine 358.