«Основная сложность для площадок по госзаказу — интеграция с банками»
До 1 октября 2018 года электронные торговые площадки (ЭТП), предварительно отобранные для размещения госзаказа, должны пройти технический аудит. В интервью "Деньгам" первый заместитель генерального директора ЭТП Российского аукционного дома (РАД) Константин Раев рассказал о возможных сценариях грядущих проверок ЭТП, способах защиты площадок от хакерских атак и о том, почему электронным площадкам сложно интегрироваться с банками, отобранными правительством для спецсчетов по госзаказу.
— Какова "дорожная карта" электронной торговой площадки Российского аукционного дома по приведению в соответствие критериям для ЭТП по 44-му федеральному закону?
— Первый этап "дорожной карты" предварительно отобранные площадки уже прошли, запустив новые электронные процедуры в соответствии с изменениями в 44-ФЗ. Таким образом, сейчас в электронной форме уже проводится открытый конкурс, запрос котировок, запрос предложения и двухэтапный конкурс, а также был и остается электронный аукцион. Сейчас мы проходим совместно с Федеральным казначейством и разработчиками ЕИС проверку функциональности ЭТП РАД по проведению новых электронных процедур и возможностей площадки по внедренной электронной контрактации.
— До 1 октября Минфин и Федеральная антимонопольная служба должны провести собственный аудит предварительно отобранных ЭТП. Как, на ваш взгляд, будет проходить эта процедура?
— В ближайшее время будет сформирована специальная комиссия, которая в определенные сроки проведет аудит площадок. Этот приказ находится на рассмотрении в Минфине, точные сроки начала проверок нам пока неизвестны, но, как вы отметили, общий срок — не позднее 1 октября. Мы к аудиту подготовились, все документы у нас есть. Можно предположить по предыдущему опыту, что возможны два варианта проверок. В первом случае это запрос документов, во втором — либо выездная проверка силами комиссии, либо будет нанята некая организация для аудита центров обработки данных и другой инфраструктуры. Предполагается, что комиссия проверит общее состояние систем информационной безопасности, а также уделит внимание соответствию дата-центров установленным классам защищенности.
В целом, если обобщить мероприятия "дорожной карты", то первым этапом стал запуск новых процедур на площадках, что мы уже выполнили, второй этап — это тестирование работы ЭТП и взаимодействие с ЕИС, третий этап — проверка инфраструктурной части площадок. В отдельный блок можно выделить грядущие процессы интеграции с банками, утвержденными правительством для открытия спецсчетов для госзакупок. Нам нужно будет заключить соглашение с 18 банками, которые попали в перечень.
— Какие сложности вы видите в процессе интеграции ЭТП с банками из утвержденного перечня?
— Первопроходцем в системе взаимодействия ЭТП и банков выступил Сбербанк, который предложил форматы взаимодействия и шаблон соглашения. Сейчас банк занимается реализацией своих инициатив. Основная сложность в процессе состоит в том, что площадкам и банкам необходимо договориться о единых форматах взаимодействия по передаче данных, о едином подходе к соглашениям, в которых будут описаны обязанности и ответственность сторон. Необходим некий типовой договор для того, чтобы банкам не надо было разрабатывать индивидуальную схему интеграции с каждой площадкой, а площадкам подстраивать свои системы под каждый банк в особом порядке. На наш взгляд, наличие единых форматов взаимодействия позволит минимизировать трудозатраты на эти процессы, а также позволит ускорить заключение соглашений с банками.
— Хотелось бы вернуться к критериям отбора площадок. Насколько сложен для исполнения критерий производительности ЭТП на уровне 1 тыс. предложений о цене контракта, подаваемых участниками закупок одномоментно (в секунду), и 10 тыс. закрытых электронных процедур в сутки?
— Если ориентироваться на ежедневную практику закупочного рынка, такие цифры по количеству предложений — это показатель выше среднего уровня. Однако я не могу сказать, что эти цифры заоблачные. Электронные торговые площадки имеют сложившуюся практику по балансировке, распределению нагрузки, чтобы можно было выдержать подобные показатели. Важно понимать, что, к примеру, обработка 1 тыс. предложений о цене контракта не является для ЭТП какой-то невыполнимой задачей. Наша инфраструктура настроена таким образом, чтобы в пиковые периоды, когда одномоментно сваливается 10 тыс. сообщений о процедурах, обработка данных шла не последовательно, а в параллельном режиме. При подобной схеме работы мы можем гарантировать бесперебойную работу площадки для клиентов.
— Как ЭТП РАД сегодня защищается от DDos-атак? Какие механизмы защиты планирует использовать в будущем, учитывая, как совершенствуются навыки хакеров?
— Сейчас мы не фиксируем большого количества атак на наши ресурсы. При этом мы работаем над нашей системой безопасности, в том числе эмулируя DDos-атаки, чтобы быть готовыми к подобного рода вмешательствам в наши системы. Не стоит забывать, что, согласно требованиям к электронным площадкам, ЭТП необходимо иметь минимум два канала связи для того, чтобы в случае атаки на один канал можно было подключить к работе резервный. Наша площадка отвечает данным требованиям, при этом для защиты мы используем программно-аппаратные средства, имеющие сертификаты и аттестаты соответствия и лицензии ФСТЭК и ФСБ, которые позволяют предупреждать внешние проникновения, в том числе DDos-атаки.
— Также в требования к ЭТП включены технические показатели, соблюдение которых должно обеспечить надежность и бесперебойность работы ЭТП, а также безопасность обработки данных. Например, требование по размещению программно-аппаратных комплексов ЭТП в российских центрах обработки данных уровня Tier3 и выше, а также обеспечение защиты информации по второму классу защищенности. Не являются ли эти требования избыточными?
— На мой взгляд, вопрос об избыточности подобного уровня защиты встает перед площадками, которые до утверждения требований им не соответствовали. Тогда у площадки могут появиться сложности, в том числе дополнительные финансовые затраты. Однако мы предусмотренные законом требования уже исполнили и можем подтвердить необходимые уровни защищенности Tier3. Сложностей мы в этом процессе технического усовершенствования систем не видим. Напротив, считаем, что внедрение лучших мировых практик в сфере информационной защиты только положительно отразится на развитии рынка.
— Планируете ли вы расширять кадровый состав ЭТП РАД? Какие компетенции сотрудников ЭТП сегодня востребованы рынком?
— Учитывая специфику развития рынка, в первую очередь будут востребованы юристы, работающие в области 44-ФЗ, бизнес-аналитики для моделирования процессов, происходящих на площадке с учетом требований закона, и квалифицированные разработчики, которые могут поддерживать инфраструктуру ЭТП. И конечно, не стоит забывать про специалистов в области маркетинга и продаж, а также специалистов служб технической поддержки, которые напрямую взаимодействуют с нашими клиентами, демонстрируя возможности ЭТП РАД и оперативно решая любые вопросы, с которыми к нам обращаются пользователи ЭТП РАД. На сегодняшний день это основные кадровые ресурсы, востребованные рынком в целом и ЭТП РАД в частности.
В любом случае для нас определяющими качествами в подборе сотрудников были и остаются готовность постоянно учиться, развивая профессиональные компетенции, и гибкое мышление. Без этих двух качеств невозможно оставаться востребованным и эффективным специалистом на таком динамичном рынке, как электронные закупки. Знания устаревают и требуют обновления даже не по годам, а по месяцам. Гибкое мышление позволяет найти решение для новой отраслевой задачи, с которой сталкивается впервые не только компания, но и рынок в целом. Так что, цитируя классика, нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее.