Поставщик ОПК и КИИ:
когда одна сделка меняет весь режим информационной безопасности
Большинство руководителей коммерческих предприятий, выигравших тендер на поставку в интересах оборонно-промышленного комплекса, искренне убеждены, что к их компании 187-ФЗ отношения не имеет. Оборонка — это про заводы, ракеты и спецсистемы. Мы просто поставляем комплектующие. Или металл. Или ПО для учёта склада.
Эта уверенность ошибочна. И она дорого обходится при первой же проверке ФСТЭК.
В этой статье разберём: при каких условиях коммерческое предприятие, участвующее в государственном оборонном заказе, становится субъектом КИИ, какие именно активы подпадают под категорирование, включая CRM, ERP и бухгалтерские системы, и какая категория значимости присваивается в зависимости от роли в цепочке ГОЗ.
Эта уверенность ошибочна. И она дорого обходится при первой же проверке ФСТЭК.
В этой статье разберём: при каких условиях коммерческое предприятие, участвующее в государственном оборонном заказе, становится субъектом КИИ, какие именно активы подпадают под категорирование, включая CRM, ERP и бухгалтерские системы, и какая категория значимости присваивается в зависимости от роли в цепочке ГОЗ.
Это самый практически важный вопрос. Компании часто полагают, что объектами КИИ могут быть только промышленные системы управления, серверы с секретными данными или специализированное ПО. На деле перечень значительно шире.
- Объекты критической информационной инфраструктуры — информационные системы (CRM, бухгалтерские системы), информационно-телекоммуникационные сети (локальные сети), автоматизированные системы управления субъектов критической информационной инфраструктуры (АСУ ТП, ЧПУ, МРТ, КТ, ИВЛ и т.д.).
CRM может стать объектом КИИ, если она используется для управления взаимодействием с оборонными заказчиками. Если в CRM хранятся данные о контрактах ГОЗ, техническая переписка с контрагентами из числа предприятий ОПК, история поставок и согласований — эта система обеспечивает критический бизнес-процесс в оборонной сфере. Нарушение её работы влечёт нарушение выполнения ГОЗ. Именно это и является основанием для включения в перечень объектов КИИ.
Практическая проверка: задайте вопрос — если CRM упадёт на месяц, пострадает ли выполнение контракта ГОЗ? Если ответ «да» — система, вероятно, является объектом КИИ.
Практическая проверка: задайте вопрос — если CRM упадёт на месяц, пострадает ли выполнение контракта ГОЗ? Если ответ «да» — система, вероятно, является объектом КИИ.
ERP-система, ведущая учёт материалов, комплектующих и продукции, поставляемой по ГОЗ, попадает в ту же логику. Для оборонной промышленности типовыми объектами КИИ являются системы цифрового проектирования CAD, системы управления цехами, техпроцессами, жизненным циклом изделия, транспортом, лабораторной информацией, инженерными данными об изделии, складом, цепочками поставок, планирования потребности в материалах и иные.
Система управления складом, из которого отгружается продукция по оборонному контракту — это система управления цепочкой поставок в рамках ГОЗ. Она попадает в типовой перечень. Бухгалтерия, учитывающая движение по спецсчёту ГОЗ, тоже является частью критического процесса: срыв платёжного учёта означает срыв финансирования поставки, что напрямую влияет на выполнение государственного оборонного заказа.
Система управления складом, из которого отгружается продукция по оборонному контракту — это система управления цепочкой поставок в рамках ГОЗ. Она попадает в типовой перечень. Бухгалтерия, учитывающая движение по спецсчёту ГОЗ, тоже является частью критического процесса: срыв платёжного учёта означает срыв финансирования поставки, что напрямую влияет на выполнение государственного оборонного заказа.
Если компания не только торгует, но и производит — системы управления технологическими процессами подпадают под категорирование безусловно. ЧПУ-станки, системы управления производственными линиями, системы контроля качества продукции для нужд ОПК, — всё это объекты КИИ по определению.
Информационно-телекоммуникационные сети — это отдельная категория объектов КИИ. Корпоративная LAN, через которую передаётся информация, необходимая для выполнения ГОЗ, является объектом КИИ. Если компания арендует или эксплуатирует собственный ЦОД, на котором размещены критически важные для ГОЗ системы, ЦОД тоже является объектом КИИ.
СЭД, в которой ведётся согласование договоров, технической документации и актов по контрактам ГОЗ, обеспечивает критический процесс. Потеря возможности согласовывать и подписывать документацию означает невозможность выполнения договорных обязательств в рамках оборонного заказа.
Если компания ведёт учёт продаж только по гражданским контрактам, и её системы никак не задействованы в ГОЗ — у неё нет объектов КИИ в оборонной сфере. Однако даже в этом случае нужно проверить другие сферы из 187-ФЗ: если компания одновременно является поставщиком в медицинскую организацию, транспортное предприятие или энергетическую компанию через специализированные системы, то потенциальные объекты КИИ могут появиться по другим основаниям.
Алгоритм: как коммерческому предприятию понять, является ли оно субъектом КИИ
Правильный порядок действий состоит из пяти шагов.
-
Шаг 1. Проверить ОКВЭД и лицензии.
Получить актуальную выписку из ЕГРЮЛ и проверить, есть ли среди кодов деятельность в оборонной, ракетно-космической, металлургической, химической промышленности или любой другой сфере из 187-ФЗ. Проверить наличие лицензий ФСБ, Минпромторга и иных профильных ведомств. -
Шаг 2. Провести инвентаризацию контрактов.
Проверить, есть ли среди контрагентов компании головные исполнители ГОЗ или их прямые подрядчики. Если есть хотя бы один действующий контракт в цепочке ГОЗ — это основание для перехода к следующему шагу. -
Шаг 3. Составить перечень ИС, ИТС и АСУ.
Провести инвентаризацию всех информационных систем, автоматизированных систем управления и корпоративных сетей. Для каждой системы определить, обеспечивает ли она деятельность в сферах из 187-ФЗ. -
Шаг 4. Сопоставить системы с типовым перечнем объектов КИИ.
С февраля 2026 года действует Распоряжение Правительства № 360-р, утвердившее перечень типовых отраслевых объектов КИИ. После изменений 2025 года логика стала более «отраслевой»: категорированию подлежат те объекты, которые попадают в типы из отраслевых перечней. На практике это означает: нужно сначала определить отрасль и регулятора, затем сверить системы с типовыми типами, и только после этого запускать категорирование по тем объектам, которые совпали. -
Шаг 5. При наличии совпадений — инициировать процедуру категорирования.
После утверждения перечня объектов КИИ, подлежащих категорированию, субъект КИИ в течение 5 дней обязан известить об этом ФСТЭК России. С этого момента на проведение процедур категорирования отводится максимум 1 год.
Присвоение категории — не автоматический процесс. Категорированию подлежат объекты критической информационной инфраструктуры, которые обеспечивают управленческие, технологические, производственные, финансово-экономические и иные процессы в рамках выполнения функций или осуществления видов деятельности субъектов КИИ.
Для поставщика ОПК ключевым критерием является показатель «снижение показателей государственного оборонного заказа». Этот показатель входит в группу критериев обороны и безопасности государства, которые, наряду с социальными и экономическими показателями, определяют итоговую категорию.
Согласно обновлённой редакции ПП № 127 (действует с 16 ноября 2025 года), статус участника кооперации ГОЗ напрямую формирует категорию:
Поставщик, соисполнитель, субподрядчик второго и последующих уровней в цепочке ГОЗ получает III категорию значимости — это минимальный уровень, но он уже требует полного соблюдения обязательств по 187-ФЗ.
Исполнитель контракта, заключившего договор непосредственно с головным исполнителем ГОЗ, получает II категорию — средний уровень с более строгими требованиями по защите.
Головной исполнитель ГОЗ или организация, чьи системы напрямую обеспечивают производство военной техники или вооружения, как правило, получает I категорию — наивысший уровень обязательств.
Важно понимать: категория присваивается конкретному объекту КИИ, а не компании в целом. У одной компании может быть несколько объектов КИИ с разными категориями. CRM, работающая с ГОЗ-контрактами, может получить III категорию, а производственная АСУ ТП — I категорию.
Для поставщика ОПК ключевым критерием является показатель «снижение показателей государственного оборонного заказа». Этот показатель входит в группу критериев обороны и безопасности государства, которые, наряду с социальными и экономическими показателями, определяют итоговую категорию.
Согласно обновлённой редакции ПП № 127 (действует с 16 ноября 2025 года), статус участника кооперации ГОЗ напрямую формирует категорию:
Поставщик, соисполнитель, субподрядчик второго и последующих уровней в цепочке ГОЗ получает III категорию значимости — это минимальный уровень, но он уже требует полного соблюдения обязательств по 187-ФЗ.
Исполнитель контракта, заключившего договор непосредственно с головным исполнителем ГОЗ, получает II категорию — средний уровень с более строгими требованиями по защите.
Головной исполнитель ГОЗ или организация, чьи системы напрямую обеспечивают производство военной техники или вооружения, как правило, получает I категорию — наивысший уровень обязательств.
Важно понимать: категория присваивается конкретному объекту КИИ, а не компании в целом. У одной компании может быть несколько объектов КИИ с разными категориями. CRM, работающая с ГОЗ-контрактами, может получить III категорию, а производственная АСУ ТП — I категорию.
Статус субъекта КИИ влечёт обязательства вне зависимости от того, значимые объекты КИИ выявлены или нет.
Все субъекты КИИ независимо от категорий обязаны уведомлять НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о компьютерных инцидентах. Субъект КИИ обязан незамедлительно информировать о компьютерных инцидентах ФСБ России, оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения инцидентов.
Для значимых объектов (I, II или III категория) добавляются требования по защите. Приказ ФСТЭК России № 239 от 25 декабря 2017 года устанавливает комплекс организационных и технических мер. Объём мер зависит от категории: для I категории он максимален, для III — минимален, но обязателен.
Если в процессе категорирования было определено отсутствие необходимости присвоения категории значимости объекту КИИ, результаты категорирования всё равно должны быть направлены в ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые субъект КИИ должен учесть.
Пересмотр категорий обязателен не реже одного раза в пять лет, а также при изменении деятельности компании — например, при заключении нового контракта по ГОЗ или выходе на новый рынок из числа охватываемых 187-ФЗ.
Все субъекты КИИ независимо от категорий обязаны уведомлять НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о компьютерных инцидентах. Субъект КИИ обязан незамедлительно информировать о компьютерных инцидентах ФСБ России, оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения инцидентов.
Для значимых объектов (I, II или III категория) добавляются требования по защите. Приказ ФСТЭК России № 239 от 25 декабря 2017 года устанавливает комплекс организационных и технических мер. Объём мер зависит от категории: для I категории он максимален, для III — минимален, но обязателен.
Если в процессе категорирования было определено отсутствие необходимости присвоения категории значимости объекту КИИ, результаты категорирования всё равно должны быть направлены в ФСТЭК России. Регулятор проверяет представленные материалы и при необходимости направляет замечания, которые субъект КИИ должен учесть.
Пересмотр категорий обязателен не реже одного раза в пять лет, а также при изменении деятельности компании — например, при заключении нового контракта по ГОЗ или выходе на новый рынок из числа охватываемых 187-ФЗ.
Типичные ошибки коммерческих предприятий при работе с ОПК
-
Первая и самая частая ошибка:
убеждённость в том, что 187-ФЗ касается только государственных или крупных оборонных предприятий. Закон распространяется на любое российское юридическое лицо, у которого есть информационные системы в оборонной сфере. -
Вторая ошибка:
неучёт дополнительных ОКВЭД. Компания может иметь торговый основной ОКВЭД и десяток дополнительных кодов, среди которых есть производство электроники или металлических изделий для нужд ОПК. Именно дополнительные ОКВЭД чаще всего и становятся основанием для признания субъектом КИИ. -
Третья ошибка:
игнорирование лицензий. Наличие лицензии на деятельность с гостайной автоматически делает вопрос о принадлежности к субъектам КИИ крайне актуальным. -
Четвёртая ошибка:
самостоятельная оценка «у нас нет объектов КИИ» без формального категорирования. ФСТЭК не принимает устные заверения. Если субъект КИИ не предоставит данные о категорировании, ФСТЭК России вправе потребовать эту информацию. -
Пятая ошибка:
откладывание на потом. Срок категорирования — 1 год с момента направления в ФСТЭК уведомления о сформированном перечне объектов. Нарушение этого срока образует состав административного правонарушения, а при наступлении инцидента — влечёт уголовную ответственность по статье 274.1 УК РФ.
Практический итог: что сделать прямо сейчас
Если ваша компания выполняет или планирует выполнять контракты в интересах оборонного заказчика, алгоритм действий прост:
-
Первое:
получить выписку из ЕГРЮЛ и проверить полный перечень ОКВЭД, включая дополнительные. Проверить наличие лицензий, связанных с оборонной деятельностью. -
Второе: провести инвентаризацию всех ИС, АСУ и корпоративных сетей.
Для каждой системы ответить на вопрос: обеспечивает ли она выполнение контракта ГОЗ или иную деятельность в сферах из 187-ФЗ? -
Третье:
если хотя бы одна система задействована в ГОЗ — привлечь лицензиата ФСТЭК для проведения официального категорирования. Самостоятельная оценка не имеет юридической силы. -
Четвёртое:
направить уведомление в ФСТЭК России о начале процедуры категорирования и завершить её в установленный срок. - Обязательства, которые возникают, не являются катастрофическими — особенно для субъектов с объектами III категории. Но их игнорирование при первой же проверке или инциденте превращается в серьёзную правовую и репутационную проблему.