ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Электроника и Фрикинг (https://forum.antichat.xyz/forumdisplay.php?f=21)
-   -   ФЗ-223 и кибербезопасность: Требования к защите информации в госзакупках (https://forum.antichat.xyz/showthread.php?t=592454)

kotu 12.03.2026 22:01
Привет, читатель - Kotu на связи.

Если ты осмелился участвовать или участвовал в тендерах на поставку IT-решений для госкорпораций или компаний с госучастием, значит понимаешь что это не просто "пришёл, увидел, победил" скорее это "пришел, увидел, отошел, подошел, отошел, вернулся к тому что было". Особенно когда речь заходит о требованиях к информационной безопасности. В 2025 году эти требования стали настолько жёсткими, что без чёткого понимания нормативной базы можно легко увязнуть в "бюрократических джунглях" или, что ещё хуже, вылететь из закупки на стадии допуска.

Сегодня мы разберём, как ФЗ-223 взаимодействует с требованиями кибербезопасности, что обязан знать поставщик, и как заказчику правильно формулировать ИБ-требования в тендерной документации - без лишней воды и с фокусом на практику.
ФЗ-223: Кто такое, что подпадает и с чем едят
Федеральный закон от 18 июля 2011 года № 223-ФЗ регулирует закупки не всех подряд, а вполне конкретного круга организаций. Сюда входят:
  • Госкорпорации вроде Росатома, Роскосмоса, РЖД
  • Компании с госучастием более 50% (Ростех, Газпром и подобные)
  • Естественные монополии (ФСК ЕЭС, Транснефть)
  • Автономные учреждения и государственные унитарные предприятия
Главное отличие от ФЗ-44 - здесь заказчик сам "устанавливает правила" в своём Положении о закупках. Но не думай, что это полная свобода. Во-первых, Положение должно соответствовать закону. Во-вторых, с 2025 года требования к ИБ в закупках IT-решений стали настолько детальными, что без сертификатов ФСТЭК и ФСБ теперь практически никуда.
Ключевой момент: если заказчик по ФЗ-223 работает с персональными данными, является субъектом КИИ или эксплуатирует государственные информационные системы - к нему применяются все соответствующие требования по защите информации. И эти требования автоматически перетекают в тендерную документацию.
Связка ФЗ-223 с другими законами
Чтобы не запутаться в нормативке, нужно понимать, какие законы работают в связке:
ФЗ-187 "О безопасности критической информационной инфраструктуры" - это для субъектов КИИ. Если заказчик относится к одной из 13 отраслей (энергетика, транспорт, финансы, связь, здравоохранение и др.) и владеет значимыми объектами КИИ - на него распространяются требования по переходу на доверенные программно-аппаратные комплексы и запрет на закупку иностранного ПО без согласования.
ФЗ-44 регулирует закупки на бюджетные средства и устанавливает более жёсткие рамки. Но для поставщика разница часто несущественна - требования к ИБ в обоих случаях схожи, особенно когда речь идёт о сертификации.
Постановление Правительства РФ № 1236 - устанавливает Правила формирования и ведения реестра отечественного ПО. С 1 марта 2026 года вступают в силу серьёзные изменения: требование совместимости с минимум двумя доверенными ОС, контроль за происхождением компонентов с открытым кодом, ужесточение требований к правообладателям.
Приказ ФСТЭК России № 117 от 11.04.2025 - новые Требования о защите информации в ГИС и иных ИС государственных органов. Вступает в силу 1 марта 2026 года, но уже сейчас заказчики начинают закладывать эти требования в тендеры.
Сертификация ФСТЭК и ФСБ: когда без неё никуда
Вот тут начинается самое интересное (или даже очень болезненное). Для поставщика наличие сертификатов - это скорее как билет на бой. Без них заявка может быть отклонена ещё на этапе допуска.
Когда требуется сертификация ФСТЭК
Сертификат ФСТЭК обязателен для:
  • Средств защиты информации - антивирусов, межсетевых экранов, DLP-систем, систем обнаружения вторжений, средств криптографической защиты информации
  • Программно-аппаратных комплексов, предназначенных для обеспечения информационной безопасности
  • Операционных систем и СУБД, используемых в ГИС и на объектах КИИ
Согласно приказу ФСТЭК № 117, для ГИС различных классов защищённости применяются сертифицированные СЗИ соответствующих уровней доверия:

Класс защищённости ГИСУровень доверия СЗИКласс защиты СЗИК144К255К366

Важно: сертификат ФСТЭК выдаётся на срок до 5 лет. Но с декабря 2025 года ФСТЭК планирует ввести новые требования (процесс внедрения этих требований уже запущен и находится в активной фазе реализации) - разработчики будут обязаны предоставлять перечни заимствованных компонентов с открытым исходным кодом и образов контейнеров. Эти перечни нужно будет поддерживать в актуальном состоянии и менять в течение 5 дней при любых изменениях.
Процесс сертификации включает несколько этапов. Сначала заявитель подаёт документы в аккредитованную испытательную лабораторию. Лаборатория проводит анализ исходного кода, проверяет наличие недекларированных возможностей, тестирует функциональность средства защиты. После успешного завершения испытаний выдаётся протокол, на основании которого ФСТЭК принимает решение о выдаче сертификата.
Стоимость сертификации зависит от сложности продукта и варьируется от нескольких сотен тысяч до нескольких миллионов рублей. Сроки - от 3 до 6 месяцев. Поэтому планировать сертификацию нужно заранее, особенно если речь идёт о новом продукте или крупном обновлении.
Когда требуется сертификация ФСБ
Сертификаты ФСБ России необходимы для:
  • Средств криптографической защиты информации (СКЗИ) - при работе с гостайной или персональными данными
  • Средств защиты информации, используемых в системах, содержащих сведения, составляющие государственную тайну
  • Технических средств для поиска признаков компьютерных атак (в рамках ГосСОПКА)
Согласно приказу ФСБ России № 553 от 26 декабря 2025 года, субъекты КИИ и организации обязаны устанавливать средства ГосСОПКА для обнаружения, предупреждения и ликвидации последствий компьютерных атак. Установка может производиться самостоятельно или с привлечением аккредитованного центра ГосСОПКА.
После установки средств ГосСОПКА субъект КИИ обязан уведомить НКЦКИ в течение 15 календарных дней с представлением перечня используемых средств. НКЦКИ в течение 30 календарных дней проводит проверку и направляет замечания, если они есть. Устранить замечания нужно также в течение 30 календарных дней.
Для поставщиков это означает, при продаже средств защиты информации субъектам КИИ необходимо обеспечивать совместимость с требованиями ГосСОПКА и предоставлять документацию по интеграции.
Реестр отечественного ПО Минцифры: как попасть и зачем оно тебе
С 1 сентября 2025 года субъекты КИИ обязаны использовать на значимых объектах ПО, включённое в Единый реестр российских программ для ЭВМ и баз данных. Это требование закреплено в ФЗ-187, и оно автоматически переносится в тендерные требования.
Критерии включения в реестр
Для включения ПО в реестр Минцифры необходимо:
1. Подтвердить права на ПО - свидетельство Роспатента, договор отчуждения прав или документы, подтверждающие собственную разработку
2. Обеспечить контроль над правообладателем - не менее 50% голосов должны принадлежать гражданам РФ, российским юрлицам или муниципальным образованиям (с 2025 года критерий "владения" заменён на критерий "контроля")
3. Подтвердить функциональность - предоставить описание, инструкции, доступ к рабочей версии для экспертизы
4. Обеспечить совместимость - с 1 сентября 2026 года для офисного ПО, с 1 января 2027 года для серверного ПО, с 1 июня 2027 года для средств ИБ - минимум с двумя доверенными ОС
Новые требования с 1 марта 2026 года
Постановление Правительства РФ № 1937 от 28 ноября 2025 года вносит существенные изменения:
  • Совместимость с доверенными ОС - обязательное требование для всех классов ПО поэтапно
  • Ограничение выручки внутри группы - для госкомпаний-правообладателей доля выручки от продаж ПО организациям из одной группы лиц не должна превышать 30%
  • Отчётность - срок сдачи ежегодной отчётности сдвинут с 1 апреля на 1 июня
  • Реестр ПО для собственных нужд - с 1 марта 2026 года появляется альтернативный реестр для ПО, разработанного и используемого для собственных нужд
Для ПАК, относящихся к генеративным моделям, установлены специальные требования: наличие собственного ЦОД мощностью не менее 10 МВт на территории РФ, хранение данных не менее 1 эксабайта, решение задач машинного обучения не менее чем на 1000 GPU.
Процедура включения в реестр
Процесс включения ПО в реестр Минцифры занимает от 30 до 60 рабочих дней и включает несколько этапов:
1. Формальная проверка (до 5 рабочих дней) - проверка комплектности документов
2. Экспертиза по существу (до 30 рабочих дней) - анализ функционала, совместимости, соответствия требованиям
3. Решение Минцифры (до 10 рабочих дней) - принятие решения о включении или отказе
Для подачи заявки нужна подтверждённая учётная запись на портале Госуслуг и квалифицированная электронная подпись. Все документы подаются через электронную форму на сайте реестра.
Типичные причины отказа:
  • Неполный пакет документов
  • Отсутствие свидетельства Роспатента или договора отчуждения прав
  • Наличие в технологическом стеке компонентов с ограничениями на использование в РФ
  • Несоответствие критерию контроля над правообладателем
  • Проблемы с проверочным экземпляром ПО
Требования для субъектов КИИ
Если заказчик является субъектом критической информационной инфраструктуры - к нему применяются дополнительные требования ФЗ-187.
Категорирование объектов КИИ
С 1 сентября 2025 года вступили в силу изменения, согласно которым:
  • Субъектами КИИ признаются только юридические лица и государственные органы (ИП исключены)
  • Правительство РФ утверждает перечни типовых отраслевых объектов КИИ и отраслевые особенности категорирования
  • Категория значимости объекта (ЗОКИИ) определяет набор обязательных мер защиты
Для значимых объектов КИИ установлены следующие сроки информирования о компьютерных инцидентах:
  • Не позднее 3 часов - для значимых объектов КИИ
  • Не позднее 24 часов - для объектов КИИ, не отнесённых к значимым
  • Не позднее 48 часов - для представления информации о ходе расследования инцидента на значимых объектах
Переход на доверенные ПАК
Согласно Постановлению Правительства РФ № 1912 от 14 ноября 2023 года, субъекты КИИ обязаны:
  • Сформировать и реализовать план перехода на доверенные ПАК
  • До 1 января 2030 года полностью перейти на доверенные ПАК на значимых объектах
  • С 1 сентября 2024 года не приобретать и не использовать недоверенные ПАК (за исключением отдельных единичных российских изделий)
Жёсткий дедлайн - 1 января 2030 года. До этой даты все значимые объекты КИИ должны работать на доверенных программно-аппаратных комплексах.
С 1 сентября 2025 года субъекты КИИ обязаны обеспечить непрерывное взаимодействие с ГосСОПКА. Согласно приказу ФСБ России № 548 от 25 декабря 2025 года:
  • Подключение осуществляется через НКЦКИ посредством подключения к технической инфраструктуре НКЦКИ
  • Используется личный кабинет ГосСОПКА
  • Обеспечивается круглосуточный обмен данными о выявленных атаках и инцидентах
  • В течение 24 часов с момента получения информации о готовящейся компьютерной атаке необходимо направить в НКЦКИ информацию о проводимых мероприятиях по её предупреждению
Теперь пройдемся по главному - что нужно поставщику, чтобы успешно участвовать в закупках по ФЗ-223.
Чек-лист необходимых документов
1. Сертификаты ФСТЭК на все поставляемые средства защиты информации
2. Сертификаты ФСБ на СКЗИ и средства защиты информации, содержащей гостайну
3. Выписка из реестра Минцифры - для всего поставляемого ПО
4. Лицензия на разработку и производство СЗИ (если применимо)
5. Свидетельство о регистрации ПО в Роспатенте
6. Документы, подтверждающие контроль над правообладателем
7. Отчёт о соответствии требованиям доверенного ПО (с 2026 года)
Как читать требования в ТЗ
Типичные ошибки поставщиков - игнорирование мелких деталей в техническом задании. Обращай внимание на:
  • Класс защищённости ГИС - от него зависит требуемый уровень доверия СЗИ
  • Требования к совместимости - с какими ОС должно работать ПО
  • Требования к интеграции с ГосСОПКА - если заказчик - субъект КИИ
  • Сроки действия сертификатов - они должны покрывать весь срок исполнения контракта
  • Требования к обновлениям - часто заказчик требует бесплатных обновлений в течение определённого периода
Что проверяет заказчик при аудите ИБ
При допуске поставщика заказчик может проверить:
  • Наличие и действительность всех сертификатов
  • Соответствие заявленной функциональности реальной
  • Наличие сервисного центра на территории РФ (для ПАК)
  • Процессы разработки безопасного ПО (если поставщик - разработчик)
  • Наличие политики информационной безопасности
  • Процедуры реагирования на инциденты ИБ
Практические рекомендации по подготовке к тендеру

За 6 месяцев до планируемого участия:
  • Проверьте сроки действия всех сертификатов
  • Убедитесь, что всё ПО включено в реестр Минцифры
  • При необходимости - запустите процесс сертификации новых продуктов
За 3 месяца:
  • Подготовьте шаблоны документов для участия в закупках
  • Обновите политику информационной безопасности компании
  • Проведите внутренний аудит соответствия требованиям
При анализе конкретного тендера:
  • Внимательно изучите Положение о закупках заказчика
  • Проверьте, нет ли в ТЗ противоречий законодательству
  • Оцените реальность выполнения всех требований
  • Подготовьте обоснование, если часть требований невыполнима (с предложением компенсирующих мер)
Типичные ошибки в ИБ-требованиях заказчиков
Не только поставщики допускают ошибки. Заказчики часто формулируют требования так, что потом приходится оспаривать результаты закупки.
Ошибка 1: Противоречие законодательству
Нельзя требовать от поставщика то, что прямо запрещено законом. Например, требование о наличии у поставщика "главного бухгалтера в штате" для IT-компании - это необоснованное ограничение конкуренции.
Ошибка 2: Некорректные ссылки на нормативные акты
Часто встречаются ссылки на устаревшие приказы или неправильные редакции документов. Например, ссылка на приказ ФСТЭК № 17 вместо нового приказа № 117 (вступает в силу 1 марта 2026 года).
Ошибка 3: Невыполнимые требования
Требование сертификата ФСТЭК на продукт, который по своей природе не является средством защиты информации - это прямой путь к отмене закупки.
Ошибка 4: Дискриминация по происхождению ПО
Требование использовать исключительно российское ПО без учёта исключений, предусмотренных законодательством (например, для собственных нужд или при отсутствии российских аналогов), может быть признано ограничивающим конкуренцию.
Как избежать ошибок при формулировании требований

Для заказчиков:
  • Всегда проверяйте актуальность ссылок на нормативные акты
  • Консультируйтесь с юристами, специализирующимися на закупках
  • Используйте типовые формулировки из методических рекомендаций
  • Предусматривайте возможность применения компенсирующих мер
Для поставщиков:
  • При обнаружении некорректных требований - направляйте запрос на разъяснение
  • Если требование ограничивает конкуренцию - можно обжаловать в ФАС
  • Документируйте все переписки с заказчиком
  • При отклонении заявки по сомнительным основаниям - требуйте письменного обоснования
Штрафы и риски

Административная ответственность по ФЗ-223
С 1 марта 2025 года вступили в силу новые штрафы:

НарушениеКого накажутРазмер штрафаНесоблюдение сроков размещения информации в реестрахЗаказчик, банк30 000 - 50 000 ₽Несоблюдение сроков ведения реестра договоровЗаказчик30 000 - 50 000 ₽Нарушение требований к поставщикамЗаказчик (должностное лицо)5 000 - 30 000 ₽Нарушение требований к поставщикамЗаказчик (юрлицо)10 000 - 30 000 ₽Неправильный выбор способа закупкиЗаказчик30 000 - 50 000 ₽Изменение существенных условий контрактаДолжностное лицо10 000 - 50 000 ₽Изменение существенных условий контрактаЮрлицо100 000 - 300 000 ₽Нарушение сроков оплаты контрактаДолжностное лицо5 000 - 30 000 ₽Нарушение сроков оплаты контрактаЮрлицо30 000 - 50 000 ₽

При повторных нарушениях должностное лицо может быть дисквалифицировано на срок от 1 до 2 лет.
Ответственность за нарушения требований ФЗ-187
За нарушения требований закона о КИИ:
  • Штраф для юридических лиц - до 500 000 ₽
  • Штраф для должностных лиц - до 50 000 ₽
  • Причинение вреда КИИ может повлечь уголовную ответственность - лишение свободы до 5 лет со штрафом до 1 000 000 ₽
Оспаривание результатов закупки
ИБ-требования могут быть признаны ограничивающими конкуренцию, если:
  • Они необоснованно дискриминируют иностранных производителей при отсутствии запрета
  • Требуют сертификации продуктов, которые не подпадают под обязательную сертификацию
  • Устанавливают технические требования, которые может выполнить только один поставщик
  • Противоречат действующему законодательству
Чек-лист для проверки ИБ-compliance при закупке
Для заказчиков и поставщиков привожу универсальный чек-лист из 15 пунктов:
1. Определён класс защищённости ГИС/объекта КИИ?
2. Установлены требования к уровню доверия СЗИ?
3. Все требуемые СЗИ имеют действующие сертификаты ФСТЭК?
4. СКЗИ имеют сертификаты ФСБ?
5. Всё ПО включено в реестр Минцифры?
6. ПО совместимо с требуемыми доверенными ОС?
7. Для субъектов КИИ - план перехода на доверенные ПАК утверждён?
8. Обеспечено подключение к ГосСОПКА?
9. Сертификаты действительны на весь срок контракта?
10. Требования к поставщику соответствуют законодательству?
11. Нет дискриминации по происхождению ПО без законных оснований?
12. Требования к опыту работы обоснованы?
13. Требования к штату сотрудников не противоречат закону?
14. Указаны конкретные нормативные акты (с правильными номерами и датами)?
15. Предусмотрены компенсирующие меры при невозможности реализации отдельных требований?

Что ждёт нас в будущем
Нормативное поле продолжает плотнеть. В ближайшие годы ожидается:
  • Ужесточение требований к открытому коду - ФСТЭК уже работает над новыми правилами сертификации, включающими анализ всех заимствованных компонентов
  • Развитие реестра доверенного ПО - отдельный реестр для ПО, соответствующего повышенным требованиям безопасности
  • Расширение требований к ГосСОПКА - увеличение числа организаций, обязанных к подключению
  • Ужесточение ответственности - как административной, так и уголовной
Заключение
ФЗ-223 и кибербезопасность - тема, которая будет только набирать обороты. Для поставщика ключ к успеху - это своевременное получение всех необходимых сертификатов, включение ПО в реестр Минцифры и понимание требований заказчика. Для заказчика - грамотное формулирование ИБ-требований, которые не будут признаны ограничивающими конкуренцию, но обеспечат необходимый уровень защиты.
Главное помнить: требования к ИБ в госзакупках - это не бюрократия ради бюрократии. Это реальная необходимость в условиях постоянно растущих киберугроз. И те компании, которые смогут быстро адаптироваться к новым правилам, получат серьёзное конкурентное преимущество.
На этом у меня всё. Спасибо за внимание, читатель. Мне было приятно для тебя вещать. До новых встреч!

Полезные ссылки:
  • Реестр отечественного ПО Минцифры
  • ФСТЭК России
  • ГосСОПКА / НКЦКИ
  • ФЗ-223
  • Текст ФЗ-187


Время: 21:43