Выбор облачного провайдера для госорганизаций 2026 — это многоуровневый процесс, который требует учёта требований 152-ФЗ, аттестации ФСТЭК, включения в реестр Минцифры и физического размещения данных на территории РФ. По состоянию на середину 2026 года лишь 14 российских облачных платформ полностью соответствуют критериям для размещения государственных информационных систем (ГИС) и объектов критической информационной инфраструктуры (КИИ). Эта статья даёт пошаговый алгоритм и критерии отбора, которые помогут ИТ-руководителю избежать формальных отказов при проверке регуляторами.
Для кого: технические директора государственных учреждений, руководители ИТ-департаментов, проектные менеджеры, отвечающие за миграцию или создание ГИС. После прочтения у вас будет чёткое понимание обязательных и достаточных критериев, а также шаблон для тендерной документации.
Нормативная база: 152-ФЗ, ФСТЭК, КИИ и реестр Минцифры
Государственные информационные системы попадают под действие сразу нескольких регулирующих документов. Ключевой из них — Федеральный закон № 152-ФЗ «О персональных данных», который устанавливает уровни защищённости (УЗ) и требует обязательного использования сертифицированных средств защиты. Для облачных платформ это означает, что провайдер должен иметь действующий аттестат соответствия требованиям безопасности информации, выданный ФСТЭК России.
Объекты КИИ регулируются Федеральным законом № 187-ФЗ, накладывающим дополнительные обязательства: обеспечение безопасности значимых объектов критической информационной инфраструктуры, подключение к ГосСОПКА и выполнение приказов ФСТЭК России № 239 и № 31. Облачная платформа, размещающая ГИС или компоненты КИИ, обязана иметь аттестованный сегмент не ниже 3-го класса защищённости, а для КИИ — чаще 2-й класс.
Отдельное требование — включение в реестр отечественного программного обеспечения Минцифры. С 2025 года правила ужесточились: для государственных закупок облачных услуг предпочтение отдаётся платформам, которые фигурируют в реестре. Однако реестр подтверждает страну происхождения ПО, но не гарантирует выполнение требований ФСТЭК, поэтому проверять нужно оба аспекта.
Ниже — сводка по обязательным требованиям для двух типов размещаемых систем.
| Требование | Для ГИС | Для КИИ | Источник требования |
|---|---|---|---|
| Аттестация ФСТЭК | Обязательна (УЗ-1, 2 или 3) | Обязательна (УЗ-1 или УЗ-2) | Приказы ФСТЭК № 21, 31 |
| Сертифицированные СЗИ | Необходимы | Необходимы | 152-ФЗ, 187-ФЗ |
| Подключение к ГосСОПКА | Не требуется | Обязательно | 187-ФЗ |
| Физическое размещение в РФ | Обязательно | Обязательно | ПП РФ № 1119 |
| Наличие в реестре Минцифры | Рекомендовано | Рекомендовано | 44-ФЗ, 223-ФЗ |
Аттестация и сертификация: что проверить в документах провайдера
На этапе предварительного отбора запрашивайте у провайдера полный пакет подтверждающих документов. Наличие сертификата на сам дата-центр (например, сертификат Uptime Institute) не заменяет аттестат ФСТЭК на облачную инфраструктуру — это грубая, но распространённая ошибка. Аттестат должен быть выдан именно на виртуализационную среду и платформу управления облаком.
Проверьте следующие документы:
- Аттестат соответствия требованиям безопасности информации по профилю для ГИС/КИИ (срок действия, класс защищённости).
- Сертификаты на средства защиты информации (межсетевые экраны, СОВ, СКЗИ) — действующие, с указанием класса.
- Лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.
- Договор с ГосСОПКА (если планируется размещение объектов КИИ).
- Подтверждение прохождения аудита на соответствие стандартам ISO 27001 — полезно, но не заменяет российские сертификаты.
Отдельное внимание — аттестатам на сегмент облака, где будут размещаться ваши данные. Недопустимо, если аттестован только физический уровень, а гипервизор или оркестратор — нет. Регулятор проверяет сквозную цепочку, поэтому в договоре должно быть чётко указано, что именно ваша виртуальная инфраструктура размещается в аттестованном сегменте.
География и дата-центры: почему размещение в РФ критично
Постановление Правительства РФ № 1119 и требования регуляторов обязывают размещать информационные системы государственных органов и объекты КИИ исключительно на территории Российской Федерации. Облачные провайдеры, использующие зарубежные ЦОД или хранящие данные за пределами РФ, автоматически выбывают из конкурса. Проверить фактическое расположение можно через открытые реестры адресов ЦОД, а также запросив у провайдера документы на право собственности или аренды помещений.
При выезде на объект обращайте внимание на:
- Наличие собственного или арендованного ЦОД с указанием точного адреса, подтверждённого договором.
- Физическую безопасность: охрана, СКУД, выделенные стойки для государственных заказчиков.
- Резервирование электропитания и каналов связи — не менее двух независимых вводов.
- Соответствие требованиям по охлаждению и пожаротушению для непрерывной работы.
- Наличие на объекте представителя с допуском к гостайне, если обрабатываются данные соответствующей категории.
Некоторые провайдеры маскируют зарубежное размещение, используя юридические адреса в РФ, но фактическое оборудование находится за границей. Проверка IP-пробега и трассировки поможет выявить такие случаи, но лучше запросить документацию на законных основаниях.
SLA и реальная отказоустойчивость российских облаков
SLA российских провайдеров часто выглядят привлекательно, но детали имеют значение. Базовая доступность 99,9% соответствует примерно 8 часам простоя в год, что неприемлемо для систем КИИ с непрерывным циклом. Для ГИС второго уровня ответственности за простой обычно достаточно 99,95%, но критически важные сервисы требуют 99,99% и выше. Важно не только значение Uptime, но и показатели RPO (точка восстановления) и RTO (время восстановления).
Сравните типичные уровни доступности и сценарии их применения:
| Уровень SLA | Доступность | Максимальное время простоя в год | RPO/RTO | Где применять |
|---|---|---|---|---|
| Базовый | 99,9% | ~8,76 ч | RPO <= 24 ч, RTO <= 8 ч | Некритичные информационные порталы |
| Стандартный | 99,95% | ~4,38 ч | RPO <= 4 ч, RTO <= 2 ч | ГИС с регламентированным временем работы |
| Высоконадёжный | 99,99% | ~52 мин | RPO < 1 ч, RTO < 1 ч | КИИ, системы реального времени, экстренные службы |
Помимо цифр, в договоре должны быть зафиксированы: методика расчёта доступности, исключаемые периоды (техобслуживание с предупреждением), штрафные санкции за нарушение SLA и порядок их расчёта. Для госорганизаций также важно, чтобы провайдер обеспечивал возможность аудита показателей — например, предоставлял детализированные логи доступности за отчётный период.
Интеграция с ГосСОПКА и мониторинг инцидентов
Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) — прямое требование для объектов КИИ. Облачный провайдер должен либо обеспечить собственный узел связи с ГосСОПКА, либо быть готовым передавать данные об инцидентах через сертифицированный сторонний центр. Технически это означает установку в сегменте вашей виртуальной инфраструктуры датчиков, передающих события в центр мониторинга.
Ключевые проверяемые элементы:
- Наличие у провайдера лицензии на деятельность по обнаружению атак (ФСТЭК).
- Использование средств мониторинга из реестра отечественного ПО.
- Регламент реагирования на инциденты: время детекции, оповещения и эскалации.
- Взаимодействие с НКЦКИ: сроки уведомлений и отчётность.
Если ваша организация уже имеет собственный центр ГосСОПКА, обсудите возможность подключения арендованного облачного сегмента к этому центру. Это удешевит услуги, но потребует согласования архитектуры с провайдером.
Экономика: как считать совокупную стоимость владения для облака в госсекторе
Цена облачных ресурсов — лишь верхушка айсберга. При выборе облачного провайдера для госорганизаций 2026 необходимо учитывать дополнительные расходы, которые часто нивелируют выгоду от низкой арендной ставки. К ним относятся: стоимость лицензирования средств защиты информации (СКЗИ, СОВ, межсетевые экраны), затраты на прохождение аттестации сегмента подрядчиком-лицензиатом ФСТЭК, а также расходы на поддержку и администрирование.
Расчёт TCO (Total Cost of Ownership) для облачной инфраструктуры в госсекторе должен включать:
- Стоимость вычислительных ресурсов и хранения по договору аренды.
- Лицензионные отчисления за СЗИ (единовременные и ежегодные).
- Услуги аттестации сегмента — раз в три года или после существенных изменений.
- Резервные каналы связи с шифрованием (ГОСТ VPN) для отказоустойчивости.
- Обучение и сертификация персонала, обслуживающего ИБ.
- Непредвиденные расходы на миграцию и возможный откат (de-risking).
Примерная оценка: аренда облака для среднего ГИС 1С:ERP Управление предприятием с 30 пользователями может стоить от 80 000 рублей в месяц, но с учётом СЗИ и аттестации годовые затраты увеличиваются до 2,5–3 млн рублей. Сравнивайте эту сумму со стоимостью собственного ЦОДа, включая вложения в физическую безопасность и операционные расходы.
Пошаговый чек-лист для тендерного отбора
Соблюдение формальностей на этапе закупки экономит месяцы на уточнениях и снижает риски оспаривания результатов. Ниже — алгоритм, выстроенный на основе практики государственных заказчиков в 2025–2026 годах.
- Определите класс защищённости системы совместно с отделом информационной безопасности.
- Проверьте реестр Минцифры и отфильтруйте провайдеров, чьи платформы в него включены.
- Разошлите запросы коммерческих предложений, требуя подтвердить аттестацию ФСТЭК конкретным документом.
- Проведите документальную проверку каждого кандидата по пунктам из раздела «Аттестация и сертификация».
- Организуйте выезд на площадку минимум к двум финалистам; подготовьте опросный лист по физической безопасности.
- Сравните SLA и финансовые модели (включая штрафы за простой) — используйте единый шаблон таблицы.
- Запланируйте пилотный период на 1–2 месяца с размещением тестового контура и нагрузочным тестированием.
- Включите в договор пункты о возврате данных в машиночитаемом формате и о помощи при миграции в другой ЦОД (exit plan).
На каждом шаге фиксируйте результаты в протоколе, чтобы при необходимости обосновать выбор перед проверяющими органами.
Типичные ошибки при выборе облачного партнёра для госорганизации
Даже опытные команды допускают просчёты, которые впоследствии оборачиваются предписаниями регуляторов или простоями систем. Самые частые из них:
- Выбор провайдера только по цене, игнорируя отсутствие аттестации на уровне виртуализации.
- Заключение договора без чёткого разделения зон ответственности по ИБ (ошибочное предположение, что «облако всё обеспечит»).
- Игнорирование необходимости резервного ЦОДа того же провайдера (георазнесение), что критично для КИИ.
- Отсутствие в штате заказчика аттестованного специалиста по ИБ, способного контролировать выполнение требований на стороне провайдера.
- Недооценка сложностей обратной миграции: через 2-3 года вывести данные из облака «как есть» бывает невозможно без потерь.
Избегайте также слепого следования бренду: известность не гарантирует соответствия вашим конкретным требованиям. Запрашивайте развёрнутый тендерный ответ и сравнивайте его с чек-листом. Материал носит справочный характер и не является налоговой или юридической консультацией; для применения к вашей ситуации согласуйте действия с бухгалтером или юристом.
Комментарии · Вопросы читателей
На вопросы отвечает редакция LeanTech AI-хаба. Хотите свой вопрос — напишите на info@leantech.ai.
А если мы уже пользуемся облаком, не входящим в реестр Минцифры, и у него есть аттестация ФСТЭК — насколько это критично при ближайшей проверке?
Если аттестация действительна и закрывает ваши классы защищённости, прямой запрет на использование платформы вне реестра отсутствует. Однако с 2026 года проверяющие всё чаще обращают внимание на реестр при аудите госзакупок — отдавайте предпочтение включённым в него решениям, чтобы минимизировать риски предписаний.
В чек-листе не хватает пункта про стоимость обратной миграции. Как вы оцениваете риски, если через два года решим уйти от провайдера?
Обратная миграция — слабое место почти всех облачных контрактов. Рекомендую включить в договор требование предоставить телеграмму данных в формате, совместимом с типовой виртуализацией (OVF/OVA), и прописать стоимость этой услуги. Без такого пункта бюджет на «выход» часто оказывается сравним с годовым чеком аренды.
Уточните насчёт лицензии ФСТЭК у провайдера: нужна она именно на деятельность по техзащите или по обнаружению атак? Запутался в требованиях для КИИ.
Для КИИ критичны обе лицензии. Первая — на техзащиту конфиденциальной информации (ТЗКИ) — покрывает установку и настройку СЗИ. Вторая — на деятельность по обнаружению атак — нужна, если провайдер обеспечивает мониторинг и передачу событий в ГосСОПКА. Убедитесь, что в договоре указаны конкретные реквизиты этих лицензий.