Привет, читатель - Kotu на связи.
Если ты осмелился участвовать или участвовал в тендерах на поставку IT-решений для госкорпораций или компаний с госучастием, значит понимаешь что это не просто "пришёл, увидел, победил" скорее это "пришел, увидел, отошел, подошел, отошел, вернулся к тому что было". Особенно когда речь заходит о требованиях к информационной безопасности. В 2025 году эти требования стали настолько жёсткими, что без чёткого понимания нормативной базы можно легко увязнуть в "бюрократических джунглях" или, что ещё хуже, вылететь из закупки на стадии допуска.
Сегодня мы разберём, как ФЗ-223 взаимодействует с требованиями кибербезопасности, что обязан знать поставщик, и как заказчику правильно формулировать ИБ-требования в тендерной документации - без лишней воды и с фокусом на практику.
ФЗ-223: Кто такое, что подпадает и с чем едят
Федеральный закон от 18 июля 2011 года № 223-ФЗ регулирует закупки не всех подряд, а вполне конкретного круга организаций. Сюда входят:
Ключевой момент: если заказчик по ФЗ-223 работает с персональными данными, является субъектом КИИ или эксплуатирует государственные информационные системы - к нему применяются все соответствующие требования по защите информации. И эти требования автоматически перетекают в тендерную документацию.
Связка ФЗ-223 с другими законами
Чтобы не запутаться в нормативке, нужно понимать, какие законы работают в связке:
ФЗ-187 "О безопасности критической информационной инфраструктуры" - это для субъектов КИИ. Если заказчик относится к одной из 13 отраслей (энергетика, транспорт, финансы, связь, здравоохранение и др.) и владеет значимыми объектами КИИ - на него распространяются требования по переходу на доверенные программно-аппаратные комплексы и запрет на закупку иностранного ПО без согласования.
ФЗ-44 регулирует закупки на бюджетные средства и устанавливает более жёсткие рамки. Но для поставщика разница часто несущественна - требования к ИБ в обоих случаях схожи, особенно когда речь идёт о сертификации.
Постановление Правительства РФ № 1236 - устанавливает Правила формирования и ведения реестра отечественного ПО. С 1 марта 2026 года вступают в силу серьёзные изменения: требование совместимости с минимум двумя доверенными ОС, контроль за происхождением компонентов с открытым кодом, ужесточение требований к правообладателям.
Приказ ФСТЭК России № 117 от 11.04.2025 - новые Требования о защите информации в ГИС и иных ИС государственных органов. Вступает в силу 1 марта 2026 года, но уже сейчас заказчики начинают закладывать эти требования в тендеры.
Сертификация ФСТЭК и ФСБ: когда без неё никуда
Вот тут начинается самое интересное (или даже очень болезненное). Для поставщика наличие сертификатов - это скорее как билет на бой. Без них заявка может быть отклонена ещё на этапе допуска.
Когда требуется сертификация ФСТЭК
Сертификат ФСТЭК обязателен для:
Важно: сертификат ФСТЭК выдаётся на срок до 5 лет. Но с декабря 2025 года ФСТЭК планирует ввести новые требования (процесс внедрения этих требований уже запущен и находится в активной фазе реализации) - разработчики будут обязаны предоставлять перечни заимствованных компонентов с открытым исходным кодом и образов контейнеров. Эти перечни нужно будет поддерживать в актуальном состоянии и менять в течение 5 дней при любых изменениях.
Процесс сертификации включает несколько этапов. Сначала заявитель подаёт документы в аккредитованную испытательную лабораторию. Лаборатория проводит анализ исходного кода, проверяет наличие недекларированных возможностей, тестирует функциональность средства защиты. После успешного завершения испытаний выдаётся протокол, на основании которого ФСТЭК принимает решение о выдаче сертификата.
Стоимость сертификации зависит от сложности продукта и варьируется от нескольких сотен тысяч до нескольких миллионов рублей. Сроки - от 3 до 6 месяцев. Поэтому планировать сертификацию нужно заранее, особенно если речь идёт о новом продукте или крупном обновлении.
Когда требуется сертификация ФСБ
Сертификаты ФСБ России необходимы для:
После установки средств ГосСОПКА субъект КИИ обязан уведомить НКЦКИ в течение 15 календарных дней с представлением перечня используемых средств. НКЦКИ в течение 30 календарных дней проводит проверку и направляет замечания, если они есть. Устранить замечания нужно также в течение 30 календарных дней.
Для поставщиков это означает, при продаже средств защиты информации субъектам КИИ необходимо обеспечивать совместимость с требованиями ГосСОПКА и предоставлять документацию по интеграции.
Реестр отечественного ПО Минцифры: как попасть и зачем оно тебе
С 1 сентября 2025 года субъекты КИИ обязаны использовать на значимых объектах ПО, включённое в Единый реестр российских программ для ЭВМ и баз данных. Это требование закреплено в ФЗ-187, и оно автоматически переносится в тендерные требования.
Критерии включения в реестр
Для включения ПО в реестр Минцифры необходимо:
1. Подтвердить права на ПО - свидетельство Роспатента, договор отчуждения прав или документы, подтверждающие собственную разработку
2. Обеспечить контроль над правообладателем - не менее 50% голосов должны принадлежать гражданам РФ, российским юрлицам или муниципальным образованиям (с 2025 года критерий "владения" заменён на критерий "контроля")
3. Подтвердить функциональность - предоставить описание, инструкции, доступ к рабочей версии для экспертизы
4. Обеспечить совместимость - с 1 сентября 2026 года для офисного ПО, с 1 января 2027 года для серверного ПО, с 1 июня 2027 года для средств ИБ - минимум с двумя доверенными ОС
Новые требования с 1 марта 2026 года
Постановление Правительства РФ № 1937 от 28 ноября 2025 года вносит существенные изменения:
Процедура включения в реестр
Процесс включения ПО в реестр Минцифры занимает от 30 до 60 рабочих дней и включает несколько этапов:
1. Формальная проверка (до 5 рабочих дней) - проверка комплектности документов
2. Экспертиза по существу (до 30 рабочих дней) - анализ функционала, совместимости, соответствия требованиям
3. Решение Минцифры (до 10 рабочих дней) - принятие решения о включении или отказе
Для подачи заявки нужна подтверждённая учётная запись на портале Госуслуг и квалифицированная электронная подпись. Все документы подаются через электронную форму на сайте реестра.
Типичные причины отказа:
Если заказчик является субъектом критической информационной инфраструктуры - к нему применяются дополнительные требования ФЗ-187.
Категорирование объектов КИИ
С 1 сентября 2025 года вступили в силу изменения, согласно которым:
Согласно Постановлению Правительства РФ № 1912 от 14 ноября 2023 года, субъекты КИИ обязаны:
С 1 сентября 2025 года субъекты КИИ обязаны обеспечить непрерывное взаимодействие с ГосСОПКА. Согласно приказу ФСБ России № 548 от 25 декабря 2025 года:
Чек-лист необходимых документов
1. Сертификаты ФСТЭК на все поставляемые средства защиты информации
2. Сертификаты ФСБ на СКЗИ и средства защиты информации, содержащей гостайну
3. Выписка из реестра Минцифры - для всего поставляемого ПО
4. Лицензия на разработку и производство СЗИ (если применимо)
5. Свидетельство о регистрации ПО в Роспатенте
6. Документы, подтверждающие контроль над правообладателем
7. Отчёт о соответствии требованиям доверенного ПО (с 2026 года)
Как читать требования в ТЗ
Типичные ошибки поставщиков - игнорирование мелких деталей в техническом задании. Обращай внимание на:
При допуске поставщика заказчик может проверить:
За 6 месяцев до планируемого участия:
Не только поставщики допускают ошибки. Заказчики часто формулируют требования так, что потом приходится оспаривать результаты закупки.
Ошибка 1: Противоречие законодательству
Нельзя требовать от поставщика то, что прямо запрещено законом. Например, требование о наличии у поставщика "главного бухгалтера в штате" для IT-компании - это необоснованное ограничение конкуренции.
Ошибка 2: Некорректные ссылки на нормативные акты
Часто встречаются ссылки на устаревшие приказы или неправильные редакции документов. Например, ссылка на приказ ФСТЭК № 17 вместо нового приказа № 117 (вступает в силу 1 марта 2026 года).
Ошибка 3: Невыполнимые требования
Требование сертификата ФСТЭК на продукт, который по своей природе не является средством защиты информации - это прямой путь к отмене закупки.
Ошибка 4: Дискриминация по происхождению ПО
Требование использовать исключительно российское ПО без учёта исключений, предусмотренных законодательством (например, для собственных нужд или при отсутствии российских аналогов), может быть признано ограничивающим конкуренцию.
Как избежать ошибок при формулировании требований
Для заказчиков:
Административная ответственность по ФЗ-223
С 1 марта 2025 года вступили в силу новые штрафы:
При повторных нарушениях должностное лицо может быть дисквалифицировано на срок от 1 до 2 лет.
Ответственность за нарушения требований ФЗ-187
За нарушения требований закона о КИИ:
ИБ-требования могут быть признаны ограничивающими конкуренцию, если:
Для заказчиков и поставщиков привожу универсальный чек-лист из 15 пунктов:
1. Определён класс защищённости ГИС/объекта КИИ?
2. Установлены требования к уровню доверия СЗИ?
3. Все требуемые СЗИ имеют действующие сертификаты ФСТЭК?
4. СКЗИ имеют сертификаты ФСБ?
5. Всё ПО включено в реестр Минцифры?
6. ПО совместимо с требуемыми доверенными ОС?
7. Для субъектов КИИ - план перехода на доверенные ПАК утверждён?
8. Обеспечено подключение к ГосСОПКА?
9. Сертификаты действительны на весь срок контракта?
10. Требования к поставщику соответствуют законодательству?
11. Нет дискриминации по происхождению ПО без законных оснований?
12. Требования к опыту работы обоснованы?
13. Требования к штату сотрудников не противоречат закону?
14. Указаны конкретные нормативные акты (с правильными номерами и датами)?
15. Предусмотрены компенсирующие меры при невозможности реализации отдельных требований?
Что ждёт нас в будущем
Нормативное поле продолжает плотнеть. В ближайшие годы ожидается:
ФЗ-223 и кибербезопасность - тема, которая будет только набирать обороты. Для поставщика ключ к успеху - это своевременное получение всех необходимых сертификатов, включение ПО в реестр Минцифры и понимание требований заказчика. Для заказчика - грамотное формулирование ИБ-требований, которые не будут признаны ограничивающими конкуренцию, но обеспечат необходимый уровень защиты.
Главное помнить: требования к ИБ в госзакупках - это не бюрократия ради бюрократии. Это реальная необходимость в условиях постоянно растущих киберугроз. И те компании, которые смогут быстро адаптироваться к новым правилам, получат серьёзное конкурентное преимущество.
На этом у меня всё. Спасибо за внимание, читатель. Мне было приятно для тебя вещать. До новых встреч!
Полезные ссылки:
Если ты осмелился участвовать или участвовал в тендерах на поставку IT-решений для госкорпораций или компаний с госучастием, значит понимаешь что это не просто "пришёл, увидел, победил" скорее это "пришел, увидел, отошел, подошел, отошел, вернулся к тому что было". Особенно когда речь заходит о требованиях к информационной безопасности. В 2025 году эти требования стали настолько жёсткими, что без чёткого понимания нормативной базы можно легко увязнуть в "бюрократических джунглях" или, что ещё хуже, вылететь из закупки на стадии допуска.
Сегодня мы разберём, как ФЗ-223 взаимодействует с требованиями кибербезопасности, что обязан знать поставщик, и как заказчику правильно формулировать ИБ-требования в тендерной документации - без лишней воды и с фокусом на практику.
ФЗ-223: Кто такое, что подпадает и с чем едят
Федеральный закон от 18 июля 2011 года № 223-ФЗ регулирует закупки не всех подряд, а вполне конкретного круга организаций. Сюда входят:
- Госкорпорации вроде Росатома, Роскосмоса, РЖД
- Компании с госучастием более 50% (Ростех, Газпром и подобные)
- Естественные монополии (ФСК ЕЭС, Транснефть)
- Автономные учреждения и государственные унитарные предприятия
Ключевой момент: если заказчик по ФЗ-223 работает с персональными данными, является субъектом КИИ или эксплуатирует государственные информационные системы - к нему применяются все соответствующие требования по защите информации. И эти требования автоматически перетекают в тендерную документацию.
Связка ФЗ-223 с другими законами
Чтобы не запутаться в нормативке, нужно понимать, какие законы работают в связке:
ФЗ-187 "О безопасности критической информационной инфраструктуры" - это для субъектов КИИ. Если заказчик относится к одной из 13 отраслей (энергетика, транспорт, финансы, связь, здравоохранение и др.) и владеет значимыми объектами КИИ - на него распространяются требования по переходу на доверенные программно-аппаратные комплексы и запрет на закупку иностранного ПО без согласования.
ФЗ-44 регулирует закупки на бюджетные средства и устанавливает более жёсткие рамки. Но для поставщика разница часто несущественна - требования к ИБ в обоих случаях схожи, особенно когда речь идёт о сертификации.
Постановление Правительства РФ № 1236 - устанавливает Правила формирования и ведения реестра отечественного ПО. С 1 марта 2026 года вступают в силу серьёзные изменения: требование совместимости с минимум двумя доверенными ОС, контроль за происхождением компонентов с открытым кодом, ужесточение требований к правообладателям.
Приказ ФСТЭК России № 117 от 11.04.2025 - новые Требования о защите информации в ГИС и иных ИС государственных органов. Вступает в силу 1 марта 2026 года, но уже сейчас заказчики начинают закладывать эти требования в тендеры.
Сертификация ФСТЭК и ФСБ: когда без неё никуда
Вот тут начинается самое интересное (или даже очень болезненное). Для поставщика наличие сертификатов - это скорее как билет на бой. Без них заявка может быть отклонена ещё на этапе допуска.
Когда требуется сертификация ФСТЭК
Сертификат ФСТЭК обязателен для:
- Средств защиты информации - антивирусов, межсетевых экранов, DLP-систем, систем обнаружения вторжений, средств криптографической защиты информации
- Программно-аппаратных комплексов, предназначенных для обеспечения информационной безопасности
- Операционных систем и СУБД, используемых в ГИС и на объектах КИИ
| Класс защищённости ГИС | Уровень доверия СЗИ | Класс защиты СЗИ |
|---|---|---|
| К1 | 4 | 4 |
| К2 | 5 | 5 |
| К3 | 6 | 6 |
Процесс сертификации включает несколько этапов. Сначала заявитель подаёт документы в аккредитованную испытательную лабораторию. Лаборатория проводит анализ исходного кода, проверяет наличие недекларированных возможностей, тестирует функциональность средства защиты. После успешного завершения испытаний выдаётся протокол, на основании которого ФСТЭК принимает решение о выдаче сертификата.
Стоимость сертификации зависит от сложности продукта и варьируется от нескольких сотен тысяч до нескольких миллионов рублей. Сроки - от 3 до 6 месяцев. Поэтому планировать сертификацию нужно заранее, особенно если речь идёт о новом продукте или крупном обновлении.
Когда требуется сертификация ФСБ
Сертификаты ФСБ России необходимы для:
- Средств криптографической защиты информации (СКЗИ) - при работе с гостайной или персональными данными
- Средств защиты информации, используемых в системах, содержащих сведения, составляющие государственную тайну
- Технических средств для поиска признаков компьютерных атак (в рамках ГосСОПКА)
После установки средств ГосСОПКА субъект КИИ обязан уведомить НКЦКИ в течение 15 календарных дней с представлением перечня используемых средств. НКЦКИ в течение 30 календарных дней проводит проверку и направляет замечания, если они есть. Устранить замечания нужно также в течение 30 календарных дней.
Для поставщиков это означает, при продаже средств защиты информации субъектам КИИ необходимо обеспечивать совместимость с требованиями ГосСОПКА и предоставлять документацию по интеграции.
Реестр отечественного ПО Минцифры: как попасть и зачем оно тебе
С 1 сентября 2025 года субъекты КИИ обязаны использовать на значимых объектах ПО, включённое в Единый реестр российских программ для ЭВМ и баз данных. Это требование закреплено в ФЗ-187, и оно автоматически переносится в тендерные требования.
Критерии включения в реестр
Для включения ПО в реестр Минцифры необходимо:
1. Подтвердить права на ПО - свидетельство Роспатента, договор отчуждения прав или документы, подтверждающие собственную разработку
2. Обеспечить контроль над правообладателем - не менее 50% голосов должны принадлежать гражданам РФ, российским юрлицам или муниципальным образованиям (с 2025 года критерий "владения" заменён на критерий "контроля")
3. Подтвердить функциональность - предоставить описание, инструкции, доступ к рабочей версии для экспертизы
4. Обеспечить совместимость - с 1 сентября 2026 года для офисного ПО, с 1 января 2027 года для серверного ПО, с 1 июня 2027 года для средств ИБ - минимум с двумя доверенными ОС
Новые требования с 1 марта 2026 года
Постановление Правительства РФ № 1937 от 28 ноября 2025 года вносит существенные изменения:
- Совместимость с доверенными ОС - обязательное требование для всех классов ПО поэтапно
- Ограничение выручки внутри группы - для госкомпаний-правообладателей доля выручки от продаж ПО организациям из одной группы лиц не должна превышать 30%
- Отчётность - срок сдачи ежегодной отчётности сдвинут с 1 апреля на 1 июня
- Реестр ПО для собственных нужд - с 1 марта 2026 года появляется альтернативный реестр для ПО, разработанного и используемого для собственных нужд
Процедура включения в реестр
Процесс включения ПО в реестр Минцифры занимает от 30 до 60 рабочих дней и включает несколько этапов:
1. Формальная проверка (до 5 рабочих дней) - проверка комплектности документов
2. Экспертиза по существу (до 30 рабочих дней) - анализ функционала, совместимости, соответствия требованиям
3. Решение Минцифры (до 10 рабочих дней) - принятие решения о включении или отказе
Для подачи заявки нужна подтверждённая учётная запись на портале Госуслуг и квалифицированная электронная подпись. Все документы подаются через электронную форму на сайте реестра.
Типичные причины отказа:
- Неполный пакет документов
- Отсутствие свидетельства Роспатента или договора отчуждения прав
- Наличие в технологическом стеке компонентов с ограничениями на использование в РФ
- Несоответствие критерию контроля над правообладателем
- Проблемы с проверочным экземпляром ПО
Если заказчик является субъектом критической информационной инфраструктуры - к нему применяются дополнительные требования ФЗ-187.
Категорирование объектов КИИ
С 1 сентября 2025 года вступили в силу изменения, согласно которым:
- Субъектами КИИ признаются только юридические лица и государственные органы (ИП исключены)
- Правительство РФ утверждает перечни типовых отраслевых объектов КИИ и отраслевые особенности категорирования
- Категория значимости объекта (ЗОКИИ) определяет набор обязательных мер защиты
- Не позднее 3 часов - для значимых объектов КИИ
- Не позднее 24 часов - для объектов КИИ, не отнесённых к значимым
- Не позднее 48 часов - для представления информации о ходе расследования инцидента на значимых объектах
Согласно Постановлению Правительства РФ № 1912 от 14 ноября 2023 года, субъекты КИИ обязаны:
- Сформировать и реализовать план перехода на доверенные ПАК
- До 1 января 2030 года полностью перейти на доверенные ПАК на значимых объектах
- С 1 сентября 2024 года не приобретать и не использовать недоверенные ПАК (за исключением отдельных единичных российских изделий)
С 1 сентября 2025 года субъекты КИИ обязаны обеспечить непрерывное взаимодействие с ГосСОПКА. Согласно приказу ФСБ России № 548 от 25 декабря 2025 года:
- Подключение осуществляется через НКЦКИ посредством подключения к технической инфраструктуре НКЦКИ
- Используется личный кабинет ГосСОПКА
- Обеспечивается круглосуточный обмен данными о выявленных атаках и инцидентах
- В течение 24 часов с момента получения информации о готовящейся компьютерной атаке необходимо направить в НКЦКИ информацию о проводимых мероприятиях по её предупреждению
Чек-лист необходимых документов
1. Сертификаты ФСТЭК на все поставляемые средства защиты информации
2. Сертификаты ФСБ на СКЗИ и средства защиты информации, содержащей гостайну
3. Выписка из реестра Минцифры - для всего поставляемого ПО
4. Лицензия на разработку и производство СЗИ (если применимо)
5. Свидетельство о регистрации ПО в Роспатенте
6. Документы, подтверждающие контроль над правообладателем
7. Отчёт о соответствии требованиям доверенного ПО (с 2026 года)
Как читать требования в ТЗ
Типичные ошибки поставщиков - игнорирование мелких деталей в техническом задании. Обращай внимание на:
- Класс защищённости ГИС - от него зависит требуемый уровень доверия СЗИ
- Требования к совместимости - с какими ОС должно работать ПО
- Требования к интеграции с ГосСОПКА - если заказчик - субъект КИИ
- Сроки действия сертификатов - они должны покрывать весь срок исполнения контракта
- Требования к обновлениям - часто заказчик требует бесплатных обновлений в течение определённого периода
При допуске поставщика заказчик может проверить:
- Наличие и действительность всех сертификатов
- Соответствие заявленной функциональности реальной
- Наличие сервисного центра на территории РФ (для ПАК)
- Процессы разработки безопасного ПО (если поставщик - разработчик)
- Наличие политики информационной безопасности
- Процедуры реагирования на инциденты ИБ
За 6 месяцев до планируемого участия:
- Проверьте сроки действия всех сертификатов
- Убедитесь, что всё ПО включено в реестр Минцифры
- При необходимости - запустите процесс сертификации новых продуктов
- Подготовьте шаблоны документов для участия в закупках
- Обновите политику информационной безопасности компании
- Проведите внутренний аудит соответствия требованиям
- Внимательно изучите Положение о закупках заказчика
- Проверьте, нет ли в ТЗ противоречий законодательству
- Оцените реальность выполнения всех требований
- Подготовьте обоснование, если часть требований невыполнима (с предложением компенсирующих мер)
Не только поставщики допускают ошибки. Заказчики часто формулируют требования так, что потом приходится оспаривать результаты закупки.
Ошибка 1: Противоречие законодательству
Нельзя требовать от поставщика то, что прямо запрещено законом. Например, требование о наличии у поставщика "главного бухгалтера в штате" для IT-компании - это необоснованное ограничение конкуренции.
Ошибка 2: Некорректные ссылки на нормативные акты
Часто встречаются ссылки на устаревшие приказы или неправильные редакции документов. Например, ссылка на приказ ФСТЭК № 17 вместо нового приказа № 117 (вступает в силу 1 марта 2026 года).
Ошибка 3: Невыполнимые требования
Требование сертификата ФСТЭК на продукт, который по своей природе не является средством защиты информации - это прямой путь к отмене закупки.
Ошибка 4: Дискриминация по происхождению ПО
Требование использовать исключительно российское ПО без учёта исключений, предусмотренных законодательством (например, для собственных нужд или при отсутствии российских аналогов), может быть признано ограничивающим конкуренцию.
Как избежать ошибок при формулировании требований
Для заказчиков:
- Всегда проверяйте актуальность ссылок на нормативные акты
- Консультируйтесь с юристами, специализирующимися на закупках
- Используйте типовые формулировки из методических рекомендаций
- Предусматривайте возможность применения компенсирующих мер
- При обнаружении некорректных требований - направляйте запрос на разъяснение
- Если требование ограничивает конкуренцию - можно обжаловать в ФАС
- Документируйте все переписки с заказчиком
- При отклонении заявки по сомнительным основаниям - требуйте письменного обоснования
Административная ответственность по ФЗ-223
С 1 марта 2025 года вступили в силу новые штрафы:
| Нарушение | Кого накажут | Размер штрафа |
|---|---|---|
| Несоблюдение сроков размещения информации в реестрах | Заказчик, банк | 30 000 - 50 000 ₽ |
| Несоблюдение сроков ведения реестра договоров | Заказчик | 30 000 - 50 000 ₽ |
| Нарушение требований к поставщикам | Заказчик (должностное лицо) | 5 000 - 30 000 ₽ |
| Нарушение требований к поставщикам | Заказчик (юрлицо) | 10 000 - 30 000 ₽ |
| Неправильный выбор способа закупки | Заказчик | 30 000 - 50 000 ₽ |
| Изменение существенных условий контракта | Должностное лицо | 10 000 - 50 000 ₽ |
| Изменение существенных условий контракта | Юрлицо | 100 000 - 300 000 ₽ |
| Нарушение сроков оплаты контракта | Должностное лицо | 5 000 - 30 000 ₽ |
| Нарушение сроков оплаты контракта | Юрлицо | 30 000 - 50 000 ₽ |
Ответственность за нарушения требований ФЗ-187
За нарушения требований закона о КИИ:
- Штраф для юридических лиц - до 500 000 ₽
- Штраф для должностных лиц - до 50 000 ₽
- Причинение вреда КИИ может повлечь уголовную ответственность - лишение свободы до 5 лет со штрафом до 1 000 000 ₽
ИБ-требования могут быть признаны ограничивающими конкуренцию, если:
- Они необоснованно дискриминируют иностранных производителей при отсутствии запрета
- Требуют сертификации продуктов, которые не подпадают под обязательную сертификацию
- Устанавливают технические требования, которые может выполнить только один поставщик
- Противоречат действующему законодательству
Для заказчиков и поставщиков привожу универсальный чек-лист из 15 пунктов:
1. Определён класс защищённости ГИС/объекта КИИ?
2. Установлены требования к уровню доверия СЗИ?
3. Все требуемые СЗИ имеют действующие сертификаты ФСТЭК?
4. СКЗИ имеют сертификаты ФСБ?
5. Всё ПО включено в реестр Минцифры?
6. ПО совместимо с требуемыми доверенными ОС?
7. Для субъектов КИИ - план перехода на доверенные ПАК утверждён?
8. Обеспечено подключение к ГосСОПКА?
9. Сертификаты действительны на весь срок контракта?
10. Требования к поставщику соответствуют законодательству?
11. Нет дискриминации по происхождению ПО без законных оснований?
12. Требования к опыту работы обоснованы?
13. Требования к штату сотрудников не противоречат закону?
14. Указаны конкретные нормативные акты (с правильными номерами и датами)?
15. Предусмотрены компенсирующие меры при невозможности реализации отдельных требований?
Что ждёт нас в будущем
Нормативное поле продолжает плотнеть. В ближайшие годы ожидается:
- Ужесточение требований к открытому коду - ФСТЭК уже работает над новыми правилами сертификации, включающими анализ всех заимствованных компонентов
- Развитие реестра доверенного ПО - отдельный реестр для ПО, соответствующего повышенным требованиям безопасности
- Расширение требований к ГосСОПКА - увеличение числа организаций, обязанных к подключению
- Ужесточение ответственности - как административной, так и уголовной
ФЗ-223 и кибербезопасность - тема, которая будет только набирать обороты. Для поставщика ключ к успеху - это своевременное получение всех необходимых сертификатов, включение ПО в реестр Минцифры и понимание требований заказчика. Для заказчика - грамотное формулирование ИБ-требований, которые не будут признаны ограничивающими конкуренцию, но обеспечат необходимый уровень защиты.
Главное помнить: требования к ИБ в госзакупках - это не бюрократия ради бюрократии. Это реальная необходимость в условиях постоянно растущих киберугроз. И те компании, которые смогут быстро адаптироваться к новым правилам, получат серьёзное конкурентное преимущество.
На этом у меня всё. Спасибо за внимание, читатель. Мне было приятно для тебя вещать. До новых встреч!
Полезные ссылки:
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
