Безопасность в тендерах: требования ИБ или ловушка для конкурентов

Тендеры на государственные и корпоративные закупки — это не только возможность для бизнеса заработать, но и поле битвы за безопасность данных. В условиях растущих киберугроз заказчики стремятся защитить конфиденциальную информацию, однако чрезмерные требования к информационной безопасности (ИБ) в техническом задании (ТЗ) часто отпугивают потенциальных участников, снижая конкуренцию и повышая стоимость контрактов. В этой статье мы разберем, какие меры ИБ действительно необходимы и обоснованны для включения в ТЗ, а какие превращаются в барьеры, мешающие эффективным закупкам. На основе анализа актуальных тендеров 2025–2026 годов и изменений в законодательстве (включая 44-ФЗ и 223-ФЗ) выделим баланс между защитой и открытостью рынка.

Основные требования к ИБ в тендерах: что предписано законом

В России тендеры на ИБ регулируются Федеральными законами № 44-ФЗ и № 223-ФЗ, а также постановлениями правительства, такими как № 1875, вводящими новые правила для IT-закупок с 2026 года. Эти нормы обязывают заказчиков учитывать защиту информации на всех этапах: от разработки ПО до эксплуатации систем. Например, в тендерах на защиту конфиденциальной информации, как в случае с закупкой в Ростове-на-Дону на 2,8 млн рублей, акцент делается на услуги по классификации данных и аттестации систем. Ключевые обязательные требования включают: - Соответствие реестрам российского ПО. С 2026 года ПО должно быть из реестра отечественного или евразийского софта, с указанием баллов за локализацию. Дополнительно вводится понятие "доверенного ПО" с повышенными стандартами безопасности — это касается AI-решений и мобильных приложений. В тендере на маркетинговые исследования АСУ ТП для котельной Ивановской ТЭЦ-2 заказчик требует разработки стандартов ИБ именно с учетом этих реестров. - Аттестация и сертификация. Участники должны предоставлять сертификаты ФСТЭК или ФСБ на средства защиты. В закупке на аттестационные испытания АРМ (автоматизированных рабочих мест) цена составила 249 тыс. рублей, где ТЗ четко прописывает классы защищенности (от 1Г до 6Г по приказу ФСТЭК № 21). - Обеспечение конфиденциальности. Требования к NDA (соглашениям о неразглашении), аудиту доступа и шифрованию данных. В тендерах B2B-Center на обслуживание систем видеонаблюдения и ЭРА-ГЛОНАСС подчеркивается защита транспортной безопасности. Эти пункты обоснованны, поскольку напрямую связаны с рисками утечек. По данным аналитики, в 2025 году 40% инцидентов в госсекторе произошли из-за слабой защиты на этапе закупок. Однако закон не позволяет заказчику навязывать избыточные условия — они должны быть пропорциональны объему контракта и уровню риска.

Полезные и обоснованные требования: как они повышают безопасность без ущерба конкуренции

Не все требования к ИБ — это "перебор". Некоторые из них реально усиливают защиту и привлекают квалифицированных исполнителей. Главное — формулировать их четко, с ссылкой на стандарты (ГОСТ Р ISO/IEC 27001, 15286-2004), и избегать субъективных оценок.

Сертифицированные средства защиты и интеграция

В ТЗ стоит требовать использование сертифицированных продуктов: firewalls от компаний вроде "Код Безопасности" или VipNet для VPN. Пример из тендера X5 Group на стандарты ИБ для распределительного центра: заказчик указал необходимость разработки политик на основе реестра Минцифры, что позволило участвовать 15 компаниям без снижения конкуренции. Практический совет: Укажите минимальный класс защиты (например, 1У для конфиденциальной информации) и совместимость с доверенными ОС вроде Astra Linux. Это не отпугивает, а фильтрует некомпетентных.

Пентестинг и аудит уязвимостей

Требования к тестированию на проникновение (пентест) — золотая середина. В тендере АО СПВБ на анализ уязвимостей инфраструктуры (срок до 6 октября 2025) ТЗ включало OWASP Top 10 и методологии ФСТЭК, цена — рыночная. Такие пункты повышают безопасность без барьеров: исполнители с опытом (например, Positive Technologies) легко соответствуют. Рекомендация: Ограничьте объем — 10–20% от инфраструктуры для пилотных тестов. Добавьте KPI: "Количество выявленных high-risk уязвимостей < 5 на 100 активов". Это стимулирует качество, а не объем работ.

Мониторинг и администратор ИБ

В тендере ИМЗ-2026-001796 на услуги администратора ИБ ТЗ фокусируется на SIEM-системах (например, RuSIEM) и реагировании на инциденты по NIST. Обоснованно для длительных контрактов (год+), где риски накапливаются. Совет для заказчиков: Требуйте отчеты в формате MITRE ATT&CK, но не ежемесячно — ежеквартально, чтобы не перегружать исполнителей. Эти требования полезны, так как снижают риски на 30–50% (по отчетам ФСТЭК), сохраняя пул участников широким — до 10–20 заявок на тендер.

Вредные требования: как они убивают конкуренцию и что делать

Чрезмерные или расплывчатые пункты ТЗ — главная проблема. Они повышают входной барьер, ограничивая участие малым компаниям и повышая цены на 20–40%.

Избыточная локализация и "доверенное ПО"

Постановление № 1875 усиливает требования к локализации, но заказчики часто перегибают: требуют 100% отечественное железо (даже для периферии) или "доверенное ПО" без обоснования. В IT-тендерах 2026 это отсекает 70% поставщиков, как отмечают эксперты FITTIN. Пример: тендер на коммутаторы с балльными порогами по локализации — вместо фокуса на безопасность ввели технику, не связанную с ИБ. Проблема: Малые фирмы не могут инвестировать в производство. Решение: Ограничьтесь реестром Минпромторга для ключевых компонентов (серверы, СЗИ), а для ПО — уровнем "основной реестр".

Субъективные аудиты и персональные сертификаты

Требования вроде "исполнитель должен иметь штатного эксперта ФСТЭК уровня 1" или "полный аудит кода за неделю" — типичный вред. В закупке на тахографы и ГЛОНАСС добавили "полную замену СЗИ", что исключило 80% участников. Анализ: Такие пункты нарушают 44-ФЗ (ч. 1 ст. 31), где запрещены дискриминационные условия. В 2026 году ужесточена ответственность: недостоверные данные — отстранение. Совет: Замените на "опыт аналогичных проектов > 3 лет" с примерами кейсов. Для аудита — внешние сервисы по запросу, не обязательно в ТЗ.

Перегруженные SLA и штрафы

SLA на 99,99% uptime для ИБ-мониторинга без резервирования — нереалистично для тендеров < 5 млн руб. В примере с Ростовским тендером на 3 млн штрафы за простои >1 часа отпугивают. Рекомендация: Используйте градацию: 99,5% для базового мониторинга, с бонусами за перевыполнение. Изменения 44-ФЗ позволяют гибкие контракты с неопределенным объемом — используйте для ИБ.

Практические рекомендации: как составить идеальное ТЗ для тендера

Чтобы ТЗ работало на безопасность и конкуренцию, следуйте шагам: 1. Оцените риски. Проведите классификацию информации (ФЗ-152, 149). Для низких рисков — базовые СЗИ; для высоких — полная аттестация. 2. Стандартизируйте формулировки. Пример ТЗ-шаблона: - Средства защиты: "Сертифицированные по ФСТЭК № 77, класс 3Г". - Тестирование: "Пентест по методологии OSSTMM, отчет в 10 дней". - Мониторинг: "SIEM с алертами по 24/7, интеграция с ГИС". 3. Стимулируйте конкуренцию. Укажите альтернативы (например, "VipNet или эквивалент"), оценку по баллам (опыт — 40%, цена — 30%, ИБ — 30%). 4. Учитывайте 2026 год. Интегрируйте реестры, доверенное ПО. Для AI в тендерах — требования к моделям без иностранных данных. Пример успешного ТЗ: Тендер на пентест АО СПВБ — 12 участников, цена снизилась на 15%. Против: Перегруженный тендер X5 — всего 3 заявки. Дополнительно: Внедрите посттендерный аудит — проверку исполнения ИБ через 3 месяца. Это мотивирует качество. В итоге, грамотное ТЗ — это инструмент, где безопасность служит бизнесу, а не тормозит его. Заказчики, балансируя требования, получают надежных партнеров по разумной цене, а поставщики — равные шансы. В 2026 году, с цифровизацией по 44-ФЗ, фокус сместится на качество исполнения, а не на формальности — и это открывает новые возможности для всех сторон.