Приказ Госкорпорации Росатом от 10.07.2023 N 1/1268-П (ред. от 11.10.2024) "Об утверждении отраслевых требований к технологической независимости продукции, планируемой к использованию на объектах критической информационной инфраструктуры Госкорпорации Росатом и ее организаций, в целях их использования при осуществлении закупок"

ГОСУДАРСТВЕННАЯ КОРПОРАЦИЯ ПО АТОМНОЙ ЭНЕРГИИ "РОСАТОМ"

ПРИКАЗ

от 10 июля 2023 г. N 1/1268-П

ОБ УТВЕРЖДЕНИИ ОТРАСЛЕВЫХ ТРЕБОВАНИЙ

К ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ ПРОДУКЦИИ, ПЛАНИРУЕМОЙ

К ИСПОЛЬЗОВАНИЮ НА ОБЪЕКТАХ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ

ИНФРАСТРУКТУРЫ ГОСКОРПОРАЦИИ "РОСАТОМ" И ЕЕ ОРГАНИЗАЦИЙ,

В ЦЕЛЯХ ИХ ИСПОЛЬЗОВАНИЯ ПРИ ОСУЩЕСТВЛЕНИИ ЗАКУПОК

(в ред. Приказа Госкорпорации "Росатом" от 04.10.2023

N 1/1886-П; от 21.03.2024 N 1/519-П; от 11.10.2024

N 1/1909-П)

В целях обеспечения технологической независимости объектов критической информационной инфраструктуры Госкорпорации "Росатом" и ее организаций, в соответствии с пунктами "к", "м" части 1 статьи 3.2 Единого отраслевого стандарта закупок (Положения о закупке) Государственной корпорации по атомной энергии "Росатом", утвержденного решением наблюдательного совета Госкорпорации "Росатом" от 07.02.2012 N 37 (далее - ЕОСЗ), приказываю:

1. Утвердить отраслевые требования к технологической независимости продукции, планируемой к использованию на объектах критической информационной инфраструктуры Госкорпорации "Росатом" и ее организаций (далее - Требования КИИ; ОКИИ), согласно приложению к настоящему приказу.

(п. 1 слова заменены в ред. Приказа Госкорпорации "Росатом" от 21.03.2024 N 1/519-П)

2. Заказчикам с 21.03.2024 в соответствии с пунктом "м" части 1 статьи 3.2 ЕОСЗ до объявления конкурентных закупок и упрощенных закупок продукции, планируемой к использованию на ОКИИ, принимать одно из следующих решений:

об установлении в документации о закупке Требований КИИ и проведении оценки соответствия продукции, планируемой к использованию на ОКИИ, Требованиям КИИ (далее - ОС КИИ) заказчиком самостоятельно в ходе осуществления закупки с применением раздела 4 Единых отраслевых методических указаний по оценке соответствия продукции отраслевым требованиям к технологической независимости продукции, планируемой к использованию на объектах критической информационной инфраструктуры Госкорпорации "Росатом" и ее организаций, утвержденных приказом Госкорпорации "Росатом" от 25.12.2023 N 1/2488-П (далее - ЕОМУ ОКИИ);

об установлении в документации о закупке дополнительного критерия оценки "Наличие положительного заключения отраслевого Центра исследования, тестирования и апробации импортонезависимых решений Госкорпорации "Росатом", либо "наличие сертификата соответствия системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", созданной приказом Госкорпорации "Росатом" от 08.04.2024 N 1/640-П "О создании системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", со значимостью данного критерия не менее 10% от совокупной значимости всех установленных критериев.

(абзац дополнен словами в ред. Приказа Госкорпорации "Росатом" от 11.10.2024 N 1/1909-П)

При установлении критерия оценки "Наличие положительного заключения отраслевого Центра исследования, тестирования и апробации импортонезависимых решений Госкорпорации "Росатом", либо "наличие сертификата соответствия системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", созданной приказом Госкорпорации "Росатом" от 08.04.2024 N 1/640-П "О создании системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", при закупках товаров в соответствии с пунктом 2.5 раздела 2 приложения 10 к ЕОСЗ - значимость критерия "цена договора" устанавливается 90%, критерий "Квалификация участника закупки" не устанавливается.

(абзац дополнен словами в ред. Приказа Госкорпорации "Росатом" от 11.10.2024 N 1/1909-П)

(п. 2 в ред. Приказа Госкорпорации "Росатом" от 21.03.2024 N 1/519-П)

2.1. В случае осуществления закупки способом "прямая закупка у единственного поставщика" организация, определенная единственным поставщиком (если заказчиком не принято решение согласно пункту 2 настоящего приказа), должна до заключения договора обеспечить проведение ОС КИИ у отраслевого Центра исследования, тестирования и апробации импортонезависимых решений Госкорпорации "Росатом", либо получить сертификат соответствия системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", созданной приказом Госкорпорации "Росатом" от 08.04.2024 N 1/640-П "О создании системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ".

(п. 2.1 введен Приказом Госкорпорации "Росатом" от 21.03.2024 N 1/519-П; дополнен словами в ред. Приказа Госкорпорации "Росатом" от 11.10.2024 N 1/1909-П)

2.2. Пункты 2 и 2.1 настоящего приказа не распространяются на закупки, связанные с использованием сведений, составляющих государственную тайну, выполнением государственного оборонного заказа и государственной программы вооружения.

(п. 2.2 введен Приказом Госкорпорации "Росатом" от 21.03.2024 N 1/519-П)

2.3. Установить, что подтверждение соответствия продукции, планируемой к использованию на ОКИИ, Требованиям КИИ, путем получения заключения отраслевого Центра исследования, тестирования и апробации импортонезависимых решений Госкорпорации "Росатом" по итогам проведения ОС КИИ, осуществляется до 01.05.2025. После 01.05.2025 подтверждение соответствия продукции, планируемой к использованию на ОКИИ, Требованиям КИИ осуществляется путем получения сертификата соответствия системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ", созданной приказом Госкорпорации "Росатом" от 08.04.2024 N 1/640-П "О создании системы добровольной сертификации доверенной продукции и процессов "КИИ-СЕРТ".

(п. 2.3 введен Приказом Госкорпорации "Росатом" от 11.10.2024 N 1/1909-П)

2.4. Заключения отраслевого Центра исследования, тестирования и апробации импортонезависимых решений Госкорпорации "Росатом", выданные по итогам проведения ОС КИИ до 01.05.2025, действительны до окончания установленного срока их действия для целей закупок в атомной отрасли наряду с сертификатами соответствия системы добровольной сертификации "КИИ-СЕРТ".

(п. 2.4 введен Приказом Госкорпорации "Росатом" от 11.10.2024 N 1/1909-П)

3. - 4. Утратили силу. - Приказ Госкорпорации "Росатом" от 04.10.2023 N 1/1886-П.

5. Директору по информационной инфраструктуре Абакумову Е.М. разработать и утвердить локальный нормативный акт Госкорпорации "Росатом", определяющий порядок и методику оценки соответствия продукции Требованиям, устанавливаемым в документации о закупке либо на этапе проведения отборочной стадии закупки, либо на этапе после подведения итогов закупки, но до заключения договора, при проведении неконкурентных закупок до принятия решения о заключении договора.

Срок - 10.11.2023.

(п. 5 слова заменены в ред. Приказа Госкорпорации "Росатом" от 21.03.2024 N 1/519-П)

6. исключен. - Приказ Госкорпорации "Росатом" от 21.03.2024 N 1/519-П.

7. Директору Департамента методологии и организации закупок Мельченко И.А., Директору по информационной инфраструктуре Абакумову Е.М. обеспечить размещение настоящего приказа на официальном сайте по закупкам атомной отрасли, находящемся по адресу www.zakupki.rosatom.ru, и на официальном сайте Госкорпорации "Росатом", находящемся по адресу www.rosatom.ru, соответственно.

Срок - 30 рабочих дней с даты издания настоящего приказа.

(п. 7 слова заменены в ред. Приказа Госкорпорации "Росатом" от 21.03.2024 N 1/519-П)

Генеральный директор

А.Е.ЛИХАЧЕВ

Приложение

Утверждены

приказом Госкорпорации "Росатом"

от 10.07.2023 N 1/1268-П

(Приложение в ред. Приказов

Госкорпорации "Росатом"

от 21.03.2024 N 1/519-П,

от 11.10.2024 N 1/1909-П)

ОТРАСЛЕВЫЕ ТРЕБОВАНИЯ

К ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ ПРОДУКЦИИ, ПЛАНИРУЕМОЙ

К ИСПОЛЬЗОВАНИЮ НА ОБЪЕКТАХ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ

ИНФРАСТРУКТУРЫ ГОСКОРПОРАЦИИ "РОСАТОМ" И ЕЕ ОРГАНИЗАЦИЙ

N п/п

Отраслевые требования к технологической независимости продукции, планируемой к использованию на объектах критической информационной инфраструктуры Госкорпорации "Росатом" и ее организаций

Применимость

Радиоэлектронная продукция

Программное обеспечения из единого реестра российского программного обеспечения и баз данных, кроме программного обеспечения, относящегося к разделу "Встроенное ПО"

Информационное, компьютерное и телекоммуникационное оборудование (ИКТ-оборудование), код ОКПД2 <***>

Компоненты автоматизированной системы управления технологическим процессом (АСУ ТП) <**>, код ОКПД2 <***>

Компоненты супер-электронно-вычислительных машин (ЭВМ) и центра обработки данных (ЦОД), код ОКПД2 <***>

Системное, код ОКПД2 <***>

Прикладное, код ОКПД2 <***>

Сервер

Система хранения данных

Автоматизированное рабочее место

Маршрутизатор

Коммутатор

Сервер промышленного исполнения

Автоматизированное рабочее место промышленного исполнения

Программируемый логический контроллер (ПЛК)

Контрольно-измерительный прибор (КИП (измерительный преобразователь)

Маршрутизатор промышленного исполнения

Коммутатор промышленного исполнения

Оборудование системы электропитания

Коммуникационная сеть (interconnect)

Сервер

Коммутатор подсистемы доступа

Операционные системы общего назначения

Средства виртуализации

Средства резервного копирования

Средства управления базами данных

Средства управления технологическими процессами (АСУ ТП, SCADA)

26.20.13.

26.20.14.

26.20.15.

26.20.21.

26.20.11.

26.20.14.

26.20.15.

26.30.11.

26.20.13.

26.20.14.

26.20.15.

26.20.11.

26.20.14.

26.20.15.

26.20.13.

26.20.3.

26.20.30.

26.51.43.

26.51.45.110

26.51.43

26.51.45.110

26.51.7

26.51.70.190

26.30.11.

27.90.1.

26.20.40.110

26.30.11.

30.02.15.

26.30.11.

58.29.11.

62.01.29.

58.29.13.

62.03.12.190

1. Общие требования к разработчику и/или производителю

1.1.

Организация является налоговым резидентом Российской Федерации, в уставном капитале организации суммарная доля прямого и (или) косвенного участия российских организаций без преобладающего иностранного участия, граждан Российской Федерации, постоянно проживающих на территории Российской Федерации и не имеющих двойного гражданства, составляет более 50 процентов, либо организация является унитарным предприятием, федеральным или муниципальным учреждением.

2. Требования к технологической независимости радиоэлектронной продукции, используемой в составе информационного, компьютерного и телекоммуникационного оборудование программно-аппаратных комплексов, компонентов автоматизированных систем управления технологическими процессами

2.1.

Сведения о радиоэлектронной продукции включены в единый реестр российской радиоэлектронной продукции, предусмотренный постановлением Правительства Российской Федерации от 10.07.2019 N 878 "О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16.09.2016 N 925 и признании утратившими силу некоторых актов Правительства Российской Федерации".

2.2.

Радиоэлектронная продукция имеет сертификаты соответствия - для продукции, подлежащей обязательной сертификации согласно законодательству Российской Федерации, или декларации о соответствии - для продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии.

2.3.

Операции сборки и монтажа всех элементов электронной компонентной базы на системную (основную) печатную плату выполнены на территории Российской Федерации.

2.4.

Организация-производитель обладает исключительными правами на конструкторскую и технологическую документацию в объеме, достаточном для проектирования, производства, модернизации и развития соответствующей радиоэлектронной продукции.

2.5.

Организация-производитель имеет в системе автоматизированного проектирования радиоэлектронной аппаратуры проект по разработке схемы электрической принципиальной и топологии системной (основной) печатной платы, а также библиотеку компонентов, соответствующую спецификации на системную (основную) печатную плату <1>.

2.6.

Организацией-производителем осуществляется модификация программного обеспечения самостоятельно либо на основании соответствующего договора со сторонней организацией.

2.7.

В структуре организация-производителя имеется конструкторско-технологическое подразделение, размещенное на территории Российской Федерации <1>

2.8.

Организация-производитель является разработчиком встроенного программного обеспечения, используемого в радиоэлектронной продукции, и (или) обладает исключительными правами на такое программное обеспечение либо правом использования программного обеспечения, предоставленным по договору (в этом случае сведения о программном обеспечении должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных либо в единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, ведение которых осуществляется в соответствии с постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд").

2.9.

Организация-разработчик программного обеспечения, выполняющего инициализацию аппаратуры и запуск операционной системы, соответствует требованию N 1 раздела I и обладает исходными кодами на компоненты встроенного (микрокоды) программного обеспечения.

2.10.

Встроенное программное обеспечение <2> не имеет технической возможности принудительного управления, обновления, мониторинга средствами, расположенными за пределами территории Российской Федерации.

2.11.

Обеспечение гарантийного и постгарантийного обслуживания и обеспечение технической поддержки радиоэлектронной продукции и встроенного программного обеспечения на территории Российской Федерации на срок не менее 5 лет.

2.12.

Системная (основная) печатная плата произведена на территории Российской Федерации.

2.13.

Подтвердить российское происхождение микросхем в составе радиоэлектронной продукции. Указать сведения об отечественных микросхемах в составе радиоэлектронной продукции. Указывается тип, марка, количество, ИС1/ИС2 (номер реестровой записи в соответствии с обозначениями, принятыми постановлением Правительства Российской Федерации от 17.07.2015 N 719 "О подтверждении производства промышленной продукции на территории Российской Федерации").

2.14.

Программное обеспечение разработано в соответствии с требованиями к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) программного обеспечения, в том числе встроенного программного обеспечения, и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы ("ГОСТ Р 56939-2016. Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения. Общие требования").

3. Требования к технологической независимости программного обеспечения

3.1.

Сведения о программном обеспечении включены в единый реестр российских программ для ЭВМ и баз данных или единый реестр евразийских программ для ЭВМ и баз данных, предусмотренные постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" (указывается класс ПО согласно классификатору программ для электронных вычислительных машин и баз данных, утвержденному приказом Минцифры России от 22.09.2020 N 486). Указывается номер реестровой записи.

3.2.

Программное обеспечение совместимо с 2 и более операционными системами, сведения о которых включены в единый реестр российских программ для ЭВМ и баз данных или единый реестр евразийских программ для ЭВМ и баз данных, предусмотренные постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".

3.3. <*>

Технические средства хранения исходного текста и объектного кода программного обеспечения, а также технические средства компиляции исходного текста в объектный код программного обеспечения находятся на территории Российской Федерации.

3.4. <*>

Технические средства, обеспечивающие автоматизированный способ активации, выпуска, распространения, управления лицензионными ключами программного обеспечения находятся на территории Российской Федерации, контролируются российскими организациями либо гражданами Российской Федерации, не аффилированными с зарубежными организациями, финансовыми, технологическими, производственными, правительственными, некоммерческими и прочими.

3.5. <*>

Наличие у правообладателя/производителя прав в объеме, обеспечивающем правообладателю/производителю в течение всего срока (но не менее 5 лет) производства и эксплуатации программного обеспечения без каких-либо ограничений со стороны третьих лиц обладание исходным кодом такого программного обеспечения, а также неограниченное право на его переработку (модернизацию) и дальнейшее распространение на территории Российской Федерации.

3.6. <*>

В составе программного обеспечения отсутствуют проприетарные иностранные компоненты.

3.7. <*>

Программное обеспечение разработано в соответствии с требованиями к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) программного обеспечения и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы ("ГОСТ Р 56939-2016. Национальный стандарт Российской Федерации. Защита информации. Разработка безопасного программного обеспечения). Общие требования".

3.8.

Программное обеспечение совместимо как минимум с одной системой управления базами данных и системой виртуализации, сведения о которых включены в единый реестр российских программ для ЭВМ и баз данных или единый реестр евразийских программ для ЭВМ и баз данных, предусмотренные постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" (если применимо).

Необходимо указать название СУБД и системы виртуализации.

4. Требования к работоспособности и функциональной совместимости продукции

4.1.

Обеспечены наличие и совместимость сертифицированных средств доверенной загрузки (программных или аппаратных) с оборудованием, в состав которого оно установлено.

4.2.

Обеспечен положительный результат испытания (тестирования) Продукции на предмет работоспособности при проверке характеристик (свойств, функций) Продукции.

4.3.

Программное обеспечение совместимо как минимум с одним процессором, сведения о котором включены в единый реестр российской радиоэлектронной продукции, предусмотренный постановлением Правительства Российской Федерации от 10.07.2019 N 878 "О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16.09.2016 N 925 и признании утратившими силу некоторых актов Правительства Российской Федерации" (указывается версия программного обеспечения, название и модель процессора).

5. Дополнительные (рекомендованные) мероприятия для повышения уровня технологической независимости и функциональной устойчивости

5.1.

Заказчик имеет право дополнительно, с привлечением Организации-разработчика и специализированных организаций, осуществить мероприятия по проверке программного обеспечения с использованием программы оценки защищенности ИТ продуктов с помощью привлечения многочисленных исследователей к процессу поиска уязвимостей в этих продуктах. Программа реализуется на платформе, на которой обеспечивается размещение тестируемого продукта, поддержка процесса тестирования, валидация обнаруженных уязвимостей и вознаграждение исследователей.

X - обязательное требование

V - не обязательное требование

--------------------------------

<*> В составе РЭП, требование относится к встроенному ПО.

<**> Компоненты АСУ ТП при сооружении АЭС применяются в части, не противоречащей контракту на сооружение АЭС.

<***> Код ОКПД2 (общероссийский классификатор продукции по видам экономической деятельности) определен ориентирвочным и не является требованием для полного соответствия. Оператор пилотных полигонов вправе определить из нескольких Пилотных полигонов для проведения экспертизы, тестирования Продукции Пилотный полигон, для которого экспертиза, тестирование конкретного вида Продукции является профильным направлением деятельности по кодам ОКПД2, к которым относится конкретный вид продукции.

<1> В случае, если организация-производитель не является разработчиком схемотехнического и топологического решений для системной (основной) печатной платы, то указывается наименование российского юридического лица, соответствующего требованию пункта 1 раздела I настоящего приложения, осуществившего разработку соответствующего пакета конструкторской документации, которое удовлетворяет требованиям пунктов 5 и 8 раздела II настоящего приложения.

<2> К встроенному ПО относится ПО согласно классификатору программ для электронных вычислительных машин и баз данных, утвержденных приказом Минцифры России от 22.09.2020 N 486.