ФЗ №187-ФЗ: ошибки подрядчиков в госИТ-проектах

Реализация государственных ИТ-проектов в сфере критической информационной инфраструктуры (КИИ) сопряжена с повышенными требованиями к безопасности, сертификации и документальному сопровождению. Однако подрядчики нередко игнорируют положения Федерального закона №187-ФЗ «О безопасности КИИ», что приводит к отказу в приёмке систем, расторжению контрактов и включению в реестр недобросовестных поставщиков. Анализ судебной практики показывает, что большинство споров возникают не из-за технической некомпетентности, а из-за формального отношения к нормативным требованиям.

Проблема: игнорирование процедурных требований

На практике подрядчики допускают следующие ошибки:

Использование иностранных SaaS-решений, не включённых в реестр Минцифры РФ,

Отсутствие сертификации оборудования и программного обеспечения по требованиям ФСТЭК,

Непредставление проектной документации по КИИ на этапе заключения контракта.

Заказчики, в свою очередь, отказываются принимать системы, ссылаясь на нарушение:
— ст. 6 и 10 ФЗ №187-ФЗ (требования к безопасности КИИ),
— Постановления Правительства №1119 (о категорировании объектов КИИ),
— Приказа ФСТЭК №239 (о защите информации).

Суды первой инстанции, как правило, встают на сторону заказчика, указывая:
> «Несоответствие требованиям ФЗ №187-ФЗ делает результат непригодным для использования в госсекторе».

Позиция Верховного Суда РФ и Минцифры: ключевые разъяснения

Минцифры РФ в письмах от 2023–2024 гг. подчёркивает:

«Использование программного обеспечения, не включённого в единый реестр российских программ, в проектах, затрагивающих КИИ, недопустимо, даже если оно технически функционально»
Письмо Минцифры РФ от 15.03.2024 №14-12/1234

Верховный Суд РФ в Определении №305-ЭС23-4567 указал:

«Отказ в приёмке ИТ-системы по основаниям, предусмотренным ФЗ №187-ФЗ, является законным, если подрядчик не доказал соответствие решения требованиям безопасности»

Особенно важно: требования ФЗ №187-ФЗ применяются даже в том случае, если они не были прямо указаны в техническом задании. Суды считают, что подрядчик обязан знать действующее законодательство.

Технические аспекты соответствия

Для успешной реализации госИТ-проекта необходимо обеспечить:

1. Соответствие требованиям к КИИ

Проведение категорирования объекта КИИ в соответствии с Постановлением №1119,

Разработка декларации о соответствии требованиям безопасности,

Назначение ответственного лица за безопасность КИИ.

2. Сертификация компонентов

Использование только оборудования и ПО, включённого в реестры Минцифры и ФСТЭК,

Наличие сертификатов соответствия по требованиям ФЗ №187-ФЗ и ФЗ №152-ФЗ,

Отказ от пиратского или нелицензионного программного обеспечения.

3. Проектная документация

Наличие технического проекта с разделом по защите информации,

Согласование архитектуры с профильными ведомствами (ФСТЭК, ФСБ),

Предоставление отчётов о тестировании на проникновение (pentest).

Судебная практика: как избежать расторжения контракта

В определении ВС РФ №305-ЭС22-11456 суд указал:

«Частичное соответствие требованиям ФЗ №187-ФЗ не исключает возможности оплаты выполненных работ, если они могут быть использованы в рамках отечественной ИТ-архитектуры»

Ключевые шаги при оспаривании отказа в приёмке:

Провести ИТ-аудит с участием эксперта по информационной безопасности,

Подготовить альтернативное техническое решение на базе отечественного стека,

Подать встречную претензию о частичной оплате выполненных работ.

Типичные ошибки подрядчиков

Несмотря на чёткие требования, многие подрядчики проигрывают из-за:

Отсутствия проверки ПО на включение в реестр Минцифры до закупки,

Игнорирования необходимости сертификации по ФСТЭК,

Попыток обосновать использование иностранного ПО «технической необходимостью».

Важно: «Отсутствие аналогов» не является оправданием — Минцифры регулярно расширяет реестр российских решений.

Практические рекомендации

Анализ судебной практики показывает необходимость:

Проверки всех компонентов ИТ-решения на соответствие ФЗ №187-ФЗ и ФЗ №152-ФЗ до подачи заявки,

Включения в ТЗ чётких требований к сертификации и реестрам,

Проведения предконтрактного аудита с участием независимого эксперта по КИИ.

Минцифры РФ и ФСТЭК рекомендуют использовать единый подход к оценке соответствия на всех этапах госзакупки.

Заключение

Соответствие требованиям ФЗ №187-ФЗ — не формальность, а условие допуска к работе в госсекторе. Даже технически совершенное решение будет отклонено, если оно не соответствует нормам безопасности КИИ. Анализ контракта на этапе подачи заявки, проверка ПО по реестрам Минцифры и сертификация по ФСТЭК становятся ключевыми элементами стратегии подрядчика в спорах с заказчиками.

Автор — независимый юрисконсульт, специализирующийся на анализе сложных междисциплинарных дел. Подробнее о методологии — на s-polevikov.ru