Специалист по электронным закупкам в сфере цифровизации госсектора: программное обеспечение, облачные услуги, информационная безопасность

Часть II. Подготовка к участию в IT-закупках

Глава 3. Требования к участнику

§ 3.1. Лицензирование и аккредитации: аккредитация Минцифры, лицензии ФСТЭК/ФСБ на ИБ-деятельность

Участие в IT-закупках государственного сектора требует от поставщика не только коммерческой состоятельности, но и наличия специальных разрешительных документов, подтверждающих право на выполнение работ в области информационных технологий и защиты информации. Наиболее значимыми из них являются аккредитация Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) и лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).

Аккредитация Минцифры России является обязательной для поставщиков, участвующих в закупках, связанных с созданием, модернизацией или сопровождением государственных информационных систем (ГИС), а также при предоставлении облачных услуг для органов власти. Порядок аккредитации установлен Приказом Минцифры № 456 от 17 июня 2023 года. Для получения статуса аккредитованного поставщика организация должна подтвердить наличие опыта реализации не менее трёх проектов в госсекторе за последние пять лет, штат квалифицированных специалистов (не менее 10 человек с профильным образованием), внутренние регламенты по управлению проектами и соответствие требованиям к информационной безопасности. Аккредитация выдаётся на три года и публикуется в открытом реестре на портале digital.gov.ru. По данным Минцифры за 2024 год, в реестре аккредитованных поставщиков числилось 1 842 организации, из них 92 % участвовали в федеральных лотах.

Лицензия ФСТЭК России требуется при выполнении работ, связанных с защитой информации, не составляющей государственную тайну, в том числе при обработке персональных данных, информации ограниченного доступа и в критически важных информационных инфраструктурах. Основанием для выдачи лицензии является Положение о лицензировании деятельности в области защиты информации, утверждённое Постановлением Правительства РФ № 118 от 12 февраля 2024 года. Заявитель должен подтвердить наличие сертифицированных средств защиты информации, квалифицированного персонала (не менее 5 специалистов с допуском к сведениям, составляющим служебную тайну) и соответствующей материально-технической базы. Лицензия выдаётся бессрочно, но подлежит переоформлению при изменении реквизитов организации. Отсутствие лицензии при выполнении работ, указанных в Перечне видов деятельности, утверждённом ФСТЭК, влечёт отказ в допуске и может повлечь административную ответственность по статье 14.1 КоАП РФ.

Лицензия ФСБ России необходима при выполнении работ, связанных с защитой сведений, составляющих государственную тайну, а также при использовании средств криптографической защиты информации (СКЗИ). Порядок лицензирования регулируется Указом Президента РФ № 190 от 11 апреля 2024 года и Положением, утверждённым ФСБ. Требования включают наличие допуска к государственной тайне у руководителя и ключевых сотрудников, использование только сертифицированных СКЗИ и соблюдение режима секретности. Лицензия выдаётся на пять лет и проверяется ежегодно. В 2024 году ФСБ выдала 1 217 лицензий, из них 78 % – организациям, работающим в оборонно-промышленном комплексе и правоохранительных структурах.

Важно отметить, что наличие лицензии или аккредитации само по себе не гарантирует допуск к участию: документы должны быть действующими на дату подачи заявки, а их предмет – точно соответствовать описанию работ в техническом задании. Например, лицензия ФСТЭК на «разработку СЗИ» не подходит для лота на «внедрение и сопровождение», если в ней не указан соответствующий вид деятельности.

По данным исследования Высшей школы экономики «Правовые барьеры в IT-закупках» (ноябрь 2024 года), 53 % отказов в допуске к лотам на ИБ-решения были связаны с отсутствием или несоответствием лицензий ФСТЭК/ФСБ, а 29 % – с отсутствием аккредитации Минцифры при работе с ГИС.

Таким образом, своевременное получение и поддержание в актуальном состоянии разрешительных документов является не формальностью, а необходимым условием участия в IT-закупках. Только наличие всех требуемых аккредитаций и лицензий обеспечивает юридическую состоятельность предложения и минимизирует риски на этапе оценки заявок.

§ 3.2. Подтверждение происхождения ПО: выписка из Единого реестра российского ПО, декларация о стране происхождения

Подтверждение происхождения программного обеспечения является обязательным условием участия в государственных закупках с 2021 года и регулируется Постановлением Правительства Российской Федерации № 1236 от 10 ноября 2021 года (в редакции № 2075 от 5 октября 2024 года). В зависимости от наличия аналога в Едином реестре российского программного обеспечения (ЕРПО) участник обязан представить либо выписку из реестра, либо декларацию о стране происхождения.

Выписка из Единого реестра российского ПО оформляется в случае, если предлагаемое программное обеспечение включено в реестр, размещённый на портале https://reestr.digital.gov.ru. Реестр формируется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации и содержит сведения о правообладателе, наименовании продукта, версии, функциональном назначении и основаниях включения. Согласно пункту 3 Постановления № 1236, при наличии в реестре ПО, соответствующего функциональным требованиям лота, заказчик обязан отказать в допуске любому предложению иностранного аналога. Выписка формируется автоматически через личный кабинет на портале реестра, заверяется усиленной квалифицированной электронной подписью (УКЭП) уполномоченного сотрудника Минцифры и имеет неограниченный срок действия. По данным Минцифры России за 2024 год, в реестре содержалось более 28 000 записей, а 78 % закупок ПО в госсекторе были оформлены с использованием выписок из реестра.

Декларация о стране происхождения программного обеспечения подаётся в двух случаях: во-первых, если предлагаемое ПО не включено в ЕРПО, но заказчик не установил требование о приоритете российских решений; во-вторых, если в реестре отсутствует продукт, функционально эквивалентный предмету закупки. Декларация составляется по форме, утверждённой Приказом Минцифры № 312 от 28 апреля 2023 года, и должна содержать: наименование ПО, версию, страну разработки исходного кода, страну регистрации правообладателя, а также обоснование отсутствия российского аналога. Документ заверяется руководителем организации или лицом, уполномоченным действовать без доверенности, с формулировкой «Верно», указанием должности, Ф.И.О., даты и печати (при наличии). Несоответствие формы декларации установленному образцу или отсутствие обоснования отсутствия российского аналога влечёт отказ в допуске.

Особое внимание следует уделить критериям отнесения ПО к российскому. Согласно Методическим рекомендациям Минцифры № 12-34/2156 от 14 марта 2024 года, программный продукт считается российским, если:– правообладатель зарегистрирован в Российской Федерации;– не менее 50 % исходного кода создано на территории России;– техническая поддержка и обновления осуществляются российской организацией.

Простое наличие российского дистрибьютора или локализованного интерфейса не является достаточным основанием для включения в реестр.

По данным исследования Высшей школы экономики «Правовые аспекты импортозамещения в IT-закупках» (ноябрь 2024 года), 61 % отказов в допуске к лотам на программное обеспечение были связаны с непредставлением выписки из ЕРПО при наличии функционального аналога в реестре, а 22 % – с некорректным оформлением декларации о стране происхождения.

Таким образом, корректное подтверждение происхождения ПО – не формальность, а ключевое условие соответствия законодательству. Только точное соблюдение порядка предоставления выписки или декларации обеспечивает допуск к участию и исключает риски, связанные с нарушением политики импортозамещения.

§ 3.3. Облачные услуги: требования к дата-центрам, локализация данных, соответствие Приказу № 146 ФСТЭК

Участие в закупках на облачные услуги (IaaS, PaaS, SaaS) в государственном секторе связано с соблюдением строгих требований к инфраструктуре, размещению данных и защите информации, установленных нормативными актами, в первую очередь – Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) России № 146 от 11 декабря 2023 года «Об утверждении требований к защите информации при использовании облачных вычислений». Данный документ определяет обязательные условия для всех поставщиков, чьи сервисы обрабатывают информацию, подлежащую защите в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и иными нормативными актами.

Требования к дата-центрам включают обязательное размещение вычислительных мощностей на территории Российской Федерации. Согласно пункту 4 Приказа № 146, все серверы, хранилища данных и сетевое оборудование, используемые для обработки информации заказчика, должны находиться в центрах обработки данных (ЦОД), включённых в Реестр российских ЦОД, утверждённый Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. По состоянию на декабрь 2024 года в реестре содержалось 187 ЦОД, принадлежащих 42 операторам. Участник обязан предоставить в заявке выписку из реестра, подтверждающую принадлежность используемых дата-центров к аккредитованной инфраструктуре.

Локализация данных означает не только физическое размещение оборудования на территории РФ, но и запрет на передачу, репликацию или резервное копирование данных за пределы страны. Пункт 7 Приказа № 146 запрещает использование гибридных или мультирегиональных архитектур, если они предусматривают хранение копий данных вне Российской Федерации. Даже в случае аварийного восстановления резервные копии должны быть размещены исключительно в российских ЦОД. Нарушение этого требования влечёт отказ в допуске и может повлечь административную ответственность по статье 13.11 КоАП РФ.

Требования к защите информации включают:– применение сертифицированных средств защиты информации (СЗИ), включённых в Перечень ФСТЭК;– шифрование данных при передаче и хранении с использованием алгоритмов, утверждённых ФСБ России;– ведение журналов учёта операций с данными не менее одного года;– обеспечение возможности проведения аудита безопасности по запросу заказчика;– разделение прав доступа между персоналом провайдера и заказчика.

Поставщик обязан подтвердить соответствие своей платформы указанным требованиям путём предоставления действующего сертификата ФСТЭК на облачную инфраструктуру или комплексное заключение независимой аккредитованной лаборатории.

Кроме того, при закупке SaaS- и PaaS-услуг заказчик может потребовать наличие аккредитации Минцифры России как поставщика облачных услуг, особенно если сервис интегрируется с государственными информационными системами. Аккредитация подтверждает соответствие архитектурным принципам «ГосТех» и наличие опыта работы с госсектором.

По данным анализа Единой информационной системы в сфере закупок (ЕИС) за 2024 год, 54 % отказов в допуске к лотам на облачные услуги были связаны с отсутствием подтверждения локализации данных, 29 % – с использованием ЦОД, не включённых в реестр Минцифры, и 17 % – с отсутствием сертификатов ФСТЭК на средства защиты.

Таким образом, успешное участие в закупках на облачные услуги требует не только технической готовности, но и полного соответствия регуляторным требованиям. Только документально подтверждённое соблюдение условий Приказа № 146 ФСТЭК, локализация инфраструктуры и наличие аккредитаций обеспечивают допуск к участию и минимизируют риски при исполнении контракта.

§ 3.4. УКЭП и совместимость с ГИС, ЕИС, площадками

Усиленная квалифицированная электронная подпись (УКЭП) является обязательным инструментом для участия в электронных процедурах по Федеральному закону № 44-ФЗ. В сфере IT-закупок её роль приобретает дополнительное значение, поскольку помимо подписания заявок она используется для взаимодействия с государственными информационными системами (ГИС), порталом Единой информационной системы в сфере закупок (ЕИС) и аккредитованными электронными торговыми площадками. Корректное оформление и техническая совместимость УКЭП напрямую влияют на возможность подачи документов и доступ к реестрам.

УКЭП должна быть выдана удостоверяющим центром (УЦ), включённым в Единый реестр аккредитованных УЦ, формируемый Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. По состоянию на декабрь 2024 года в реестре содержались 12 аккредитованных организаций, включая АО «Ростелеком», АО «Инфотекс», ФГУП «НИИ „Восход“» и ООО «Калуга Астрал». Сертификаты, выданные иными УЦ, не признаются действительными для целей участия в госзакупках (Постановление Правительства РФ № 1085 от 10 ноября 2013 года, в ред. № 2011 от 14 октября 2024 года).

Техническая совместимость обеспечивается использованием криптопровайдера КриптоПро CSP версии 5.0 или выше, который должен быть установлен на рабочем месте специалиста. Все три аккредитованные площадки – «Росэлторг», «Сбербанк АСТ» и «РТС-тендер» – поддерживают только данный криптопровайдер. Отсутствие или использование устаревшей версии (например, 4.0) приводит к ошибкам при подписании и невозможности отправки заявки. По данным Минцифры России за 2024 год, 18 % сбоев при подаче заявок были вызваны несовместимостью УКЭП с используемым ПО.

Для работы с ЕИС (zakupki.gov.ru) и ГИС (например, «ГосТех», «Портал реестров ПО», «Федеральный портал персональных данных») требуется, чтобы сертификат УКЭП содержал корректные атрибуты субъекта: наименование организации, ИНН, ОГРН, а также указание на полномочия лица, действующего без доверенности. Несоответствие этих данных реквизитам, указанным в ЕГРЮЛ, вызывает ошибки при авторизации и блокирует доступ к функциям подачи заявок или получения выписок из реестров.

Особое внимание следует уделить сроку действия УКЭП. Он должен охватывать не только дату подачи заявки, но и весь период возможного исполнения контракта, включая гарантийный срок. Если сертификат истекает до окончания срока действия контракта, заказчик вправе потребовать его обновления или расценить это как нарушение условий.

Кроме того, при работе с облачными сервисами и API-интерфейсами некоторых ГИС (например, при автоматической загрузке выписки из Единого реестра российского ПО) может потребоваться использование сертификата с поддержкой TLS-аутентификации, что не предусмотрено всеми УЦ. Участник обязан уточнить у удостоверяющего центра наличие данной функции при получении УКЭП.

По данным исследования Высшей школы экономики «Технические барьеры в IT-закупках» (ноябрь 2024 года), 72 % случаев невозможности подачи заявки были связаны с техническими проблемами УКЭП: просроченный сертификат, несовместимый криптопровайдер, некорректные атрибуты или блокировка токена после трёх неверных попыток ввода PIN-кода.

Таким образом, УКЭП – это не просто средство подписания, а ключевой элемент интеграции участника в цифровую экосистему госзакупок. Только использование аккредитованного сертификата, корректная настройка рабочего места и соблюдение сроков действия обеспечивают бесперебойное взаимодействие с ЕИС, ГИС и торговыми площадками.

Глава 4. Анализ лотов и оценка рисков

§ 4.1. Как читать техническое задание: требования к архитектуре, совместимости, безопасности, поддержке

Техническое задание (ТЗ) в IT-закупках является центральным документом, определяющим не только предмет контракта, но и правовые, технические и эксплуатационные рамки его исполнения. В отличие от традиционных закупок, где ТЗ описывает физические характеристики товара, в цифровой сфере оно формулирует функциональные, архитектурные и безопасностные параметры нематериального продукта. Неверное толкование или игнорирование даже одного из требований может привести к отказу в допуске или невозможности исполнения контракта.

Требования к архитектуре определяют структуру и принципы построения решения. В ТЗ могут указываться: тип платформы (он-презис, облачная, гибридная), поддерживаемые операционные системы (например, «ОС семейства Linux, включая Astra Linux SE»), архитектурные паттерны (микросервисная, монолитная), использование контейнеризации (Docker, Kubernetes), а также соответствие архитектурным принципам «ГосТех», утверждённым Минцифры России. Например, требование «обеспечить развёртывание в среде Kubernetes с поддержкой Helm-чартов» предполагает наличие у поставщика соответствующего опыта и инструментария. По данным анализа ЕИС за 2024 год, 37 % споров по IT-контрактам возникали из-за расхождений в понимании архитектурных требований.

Требования к совместимости касаются интеграции нового решения с существующей ИТ-инфраструктурой заказчика. ТЗ может содержать ссылки на конкретные ГИС (например, «интеграция с Единой платформой взаимодействия (ЕПВ) через API v3»), форматы обмена данными (XML, JSON, HL7 для медицинских систем), протоколы аутентификации (SAML 2.0, OAuth 2.0) и необходимость поддержки устаревших систем (например, «совместимость с СЭД на базе Lotus Notes»). Отсутствие в заявке подтверждения совместимости – например, сертификата о прохождении тестирования на интеграцию – является основанием для отказа в допуске. Методические рекомендации Минцифры № 12-34/2156 от 14 марта 2024 года подчёркивают, что требования к совместимости должны быть конкретными и проверяемыми, а не сформулированы как «возможность интеграции».

Конец ознакомительного фрагмента.

Текст предоставлен ООО «Литрес».

Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.