Блог

Сервер с сертификатом ФСТЭК: что это значит и почему важно для госзаказчика

2026-05-29 12:27
ИТ-отдел ведомства открывает тендер на обновление инфраструктуры. В техническом задании - сервер с сертификатом ФСТЭК и обязательная запись в реестре Минцифры. Привычные брендовые платформы под спецификацию не проходят - не по характеристикам, а по документам. Сертификат здесь не маркетинг, а условие допуска к закупке: без него заказчик снимает участника с торгов.

Что такое сертификат ФСТЭК и какие уровни существуют

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) - федеральный орган, отвечающий за техническую защиту информации и контроль оборота продукции с требованиями по безопасности. Сертификация в системе ФСТЭК - подтверждение того, что конкретное изделие соответствует требованиям безопасности по утверждённым методикам. Испытания проводят аккредитованные лаборатории, документ выдаёт ФСТЭК.
Для серверного оборудования и средств защиты применяются две группы требований. Классы защищённости средств вычислительной техники (СВТ) описывают, в системах какого уровня может применяться оборудование с учётом обрабатываемой информации. Требования к средствам защиты информации (СЗИ) - межсетевым экранам, средствам доверенной загрузки, СОВ, задают уровни доверия от шестого, самого массового, до первого.
Сертификат ФСТЭК России - не «знак качества», а разрешение применять конкретное изделие в системах определённого класса. У документа есть номер, дата выдачи, срок действия и привязка к модели с заявленной конфигурацией. Поставщик должен предъявить сертификат именно с нужным показателем, а не ссылаться на «аналогичное изделие».

Когда сертификат обязателен

Когда становится понятно, что такое сертификат ФСТЭК, важно различать, в каких системах он обязателен по закону, а в каких остаётся на усмотрение организации.

Государственные и муниципальные информационные системы

Базовая норма - 152-ФЗ «О персональных данных». Он делит информационные системы персональных данных (ИСПДн) по категориям обрабатываемых данных и уровням защищённости. Государственные информационные системы (ГИС) защищаются по приказу ФСТЭК России № 17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Документ задаёт четыре класса защищённости (К1–К4) и прямо предписывает применять сертифицированные средства защиты и доверенное аппаратное обеспечение в зависимости от значимости обрабатываемой информации.
На практике это означает, что для ГИС объект информатизации проходит аттестацию: проверяется состав оборудования, программного обеспечения, организационные меры. Сервер без действующего сертификата ФСТЭК в этот периметр не попадает - аттестующая организация не подпишет заключение, потому что в составе системы окажется элемент без подтверждённого соответствия.

Объекты критической информационной инфраструктуры (КИИ)

Вторая обязательная норма - 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». К субъектам КИИ относятся организации энергетики, транспорта, связи, банковской сферы, здравоохранения, оборонно-промышленного комплекса, государственного управления. Каждый значимый объект получает категорию значимости - первую, вторую или третью, в зависимости от последствий возможного инцидента.
Для значимых объектов КИИ применение сертифицированных средств защиты и доверенного аппаратного обеспечения предписано 187-ФЗ и приказом ФСТЭК России № 239 от 25.12.2017 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры». Нарушение фиксируется при плановых проверках регулятора и может закончиться признанием объекта несоответствующим требованиям с предписанием на устранение в сжатый срок.
Для коммерческой компании, которая не подпадает под перечисленные категории, сертификат на серверное оборудование не нужен. Но как только речь идёт о госзаказе, периметре КИИ или обработке крупных объёмов персональных данных в государственной системе, требование появляется уже на первой странице технического задания. Цена ошибки измерима: отклонение заявки на этапе рассмотрения вторых частей, повторный выход на торги через 3–6 месяцев, а в худшем случае - переделка проекта уже после поставки и срыв сроков по контракту с риском внесения поставщика в РНП.

Какие серверы и компоненты подлежат сертификации

Объект сертификации - не «бренд» и не «линейка», а конкретная серверная платформа с заявленной конфигурацией. В сертификате фиксируются модель, материнская плата, BMC (контроллер удалённого управления), дисковые контроллеры, иногда блок питания. Замена компонента на несертифицированный аналог формально выводит изделие за рамки документа.
Само по себе наличие отечественного процессора в сервере не делает его «сертифицированным»: документ ФСТЭК выдаётся на готовое изделие в конкретной конфигурации, а не на отдельную её составляющую. Платформы с российскими процессорами проходят сертификацию по тем же правилам, что и любые другие - отдельной «упрощённой» процедуры для них нет, а сами сертификаты выдаются с привязкой к конкретной модели и платам, а не к семейству CPU.
Сертификат на сервер не равен сертификатам на средства защиты. Межсетевые экраны, средства доверенной загрузки, системы криптографической защиты сертифицируются отдельно, по своим требованиям и со своими документами. Их наличие в инфраструктуре не «зачитывается» вместо сертификата на сервер. Сертифицированное серверное оборудование чаще всего поставляется в инфраструктуру ведомств, медицинских и образовательных учреждений, подробные конфигурации под классы защищённости собраны в каталоге серверы для государственных учреждений.

Что важно проверить при закупке

От сертифицируемого объекта переходим к проверке документов на стороне заказчика: до подписания договора пакет должен подтверждаться по открытым реестрам, а не по словам поставщика.

Документы и реестры

  1. Действующий сертификат ФСТЭК России на конкретную модель с указанием номера, даты выдачи, срока действия, заявленных классов защищённости или уровня доверия. Сертификат ФСТЭК России всегда привязан к производителю и модели. Общие формулировки «серверы такого-то вендора сертифицированы» без номера документа не принимаются.
  2. Включение конкретной модели в Единый реестр российской радиоэлектронной продукции, который ведёт Минпромторг России. Проверка ведётся по серийному номеру и реестровой записи, а не по словесным заявлениям поставщика.
  3. Запись в Едином реестре российского ПО, который ведёт Минцифры России, если речь идёт о предустановленной операционной системе или о входящем в комплект программном обеспечении. Для серверов это, как правило, отечественная ОС и средства управления.
Дополнительно стоит проверить соответствие оборудования Постановлению Правительства РФ 719, где описаны правила отнесения промышленной продукции к произведённой в Российской Федерации. С 2022 года для серверного оборудования действует балльная система локализации: модель должна набрать определённое количество баллов по перечню технологических операций, выполненных в РФ. Реестр Минцифры серверы напрямую не выдаёт, её зона ответственности это программное обеспечение. За реестр электроники отвечает Минпромторг, и эти два списка проверяют отдельно.

Типичные ошибки при подборе сертифицированных серверов

От требований по составу документов к ошибкам, которые регулярно встречаются в тендерах и приводят к отклонению заявок.
  1. Путаница между сертификатом ФСТЭК и реестром Минпромторга. Это два разных документа: сертификат подтверждает соответствие требованиям безопасности, реестровая запись - российское происхождение и уровень локализации. Одно не заменяет другое. Для госзаказа, как правило, нужны оба, плюс реестр Минцифры серверы по программной части.
  2. Истёкший срок действия сертификата. У документа есть конкретная дата окончания. Если на момент поставки сертификат закончился или приостановлен, оборудование считается несертифицированным. Проверять срок нужно по актуальной выписке, а не по копии полугодовой давности.
  3. Сертификат только на корпус. Встречается ситуация, когда у поставщика есть документ на «платформу», но материнская плата и BMC внутри от сторонних производителей без отдельного подтверждения. Формально это уже другое изделие, и аттестация объекта информатизации такую конфигурацию не примет.
  4. Подбор «по остаточному принципу». Сертифицированная техника подбирается под обязательные требования, а о реальной нагрузке вспоминают в последнюю очередь. В итоге ведомство получает сервер, который проходит все проверки, но не справляется с задачами 1С, виртуализации или хранилищ. Производительность и ёмкость дисковой подсистемы нужно закладывать одновременно с документами.

Как выбирать поставщика для госзаказа

Сертифицированное серверное оборудование закупается на годы, поэтому поставщик оценивается так же придирчиво, как и сама модель. У него должны быть действующие сертификаты ФСТЭК России на конкретные модели, а не на «линейку в целом», прозрачные ссылки на реестры Минпромторга России и Минцифры России по реестровому номеру, опыт поставок в государственный сектор и готовность сопроводить аттестацию объекта информатизации.
Рабочий индикатор для закупщика: поставщик показывает, как подбирает оборудование под нужный класс защищённости и реестровый статус одновременно, а не предлагает выбирать «из того, что есть в наличии». Развёрнутое описание процесса замены инфраструктуры собрано в материале об импортозамещении серверного оборудования.