DFARS
DFARS (Defense Federal Acquisition Regulation Supplement, «Дополнение к федеральным правилам приобретения продукции для нужд обороны») — это свод нормативных правовых актов США, который дополняет и уточняет Федеральные правила приобретения продукции (FAR) применительно к процедурам закупок Министерства обороны США (DoD). DFARS устанавливает специальные требования к подрядчикам, работающим с Пентагоном, в отношении ценообразования, управления цепочками поставок, защиты информации, кибербезопасности и использования определённых видов продукции, в первую очередь — критически важных для национальной безопасности.
История и нормативная основа
DFARS был разработан и введён в действие в 1984 году одновременно с Федеральными правилами приобретения продукции (FAR). Основной целью создания FAR и дополнений к нему являлась унификация и упорядочивание процедур государственных закупок в США. В отличие от FAR, которые распространяются на все федеральные ведомства, DFARS применяется исключительно к закупкам Министерства обороны и регулирует специфические аспекты, не охваченные FAR.
Основой для DFARS являются акты Конгресса США (например, Закон о национальной обороне — National Defense Authorization Act, NDAA), а также директивы и регламенты самого DoD. DFARS имеет одинаковую юридическую силу с FAR для всех подрядчиков, участвующих в оборонных контрактах. При этом в случае противоречий приоритет отдается FAR.
Структура
DFARS организован аналогично FAR — в виде частей (Parts), разделов (Subparts) и пунктов (Clauses). Каждая часть посвящена определённому этапу или аспекту закупочного цикла. Наиболее значимыми для практикующих подрядчиков являются следующие части:
- Part 204 — Администрирование контрактов и управление информацией (включает требования по кибербезопасности и защите контрактной информации).
- Part 212 — Приобретение коммерческих товаров (уточняет применение FAR к коммерческим продуктам для нужд обороны).
- Part 225 — Ограничения на закупки иностранной продукции (включая Закон «Покупай американское» — Buy American Act и ограничения по странам, в том числе по продукции из России и Китая).
- Part 239 — Информационные технологии и системы (содержит требования к ИТ-безопасности и сертификации).
- Part 252 — Солсбери-клаузулы (стандартные контрактные пункты, обязательные к включению в оборонные контракты). Именно в этой части содержатся ключевые требования по кибербезопасности (252.204-7012) и по отслеживанию происхождения продукции (252.225-7001 и др.).
Ключевые требования DFARS
Кибербезопасность и защита информации
Одним из самых строгих разделов DFARS является требование по защите контрактной информации (Covered Defense Information, CDI) и систем, обрабатывающих такие данные. Стандарт DFARS 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) обязывает подрядчиков:
- внедрять меры защиты, соответствующие стандарту NIST SP 800-171 («Защита контролируемой несекретной информации в негосударственных информационных системах»);
- уведомлять DoD о любых киберинцидентах в течение 72 часов с момента их обнаружения;
- предоставлять DoD доступ к цифровым доказательствам и данным для расследования инцидента;
- проводить ретроспективный анализ и устранять последствия утечек.
С 2021 года требование соответствия NIST SP 800-171 стало обязательным для всех подрядчиков DoD, независимо от суммы контракта. Подрядчики, не обеспечившие соответствие в установленные сроки, рискуют потерей права на заключение новых контрактов.
Требования к цепочке поставок
DFARS* вводит категорию «критически важная система» (Critical System) — любые системы или компоненты, сбой или разрушение которых может существенно повлиять на боеспособность сил США. Для таких систем установлены особые правила:
- обязательная проверка происхождения и целостности компонентов;
- запрет на использование определённых видов продукции из стран, признанных угрозой (включая КНР, РФ, КНДР, Иран);
- необходимость отслеживания поставок вплоть до первичного производителя.
Ограничения по иностранной продукции
В соответствии с разделами DFARS 225.7018, 225.7019 и 225.7020, Министерство обороны США ввело поэтапный запрет на закупку определённых категорий продукции из Китая и России. В частности, с 2020 года запрещена закупка редкоземельных магнитов и некоторых видов стали и титана из Китая, а с 2022 года — закупка и использование в оборонных контрактах продукции из России (включая титановые полуфабрикаты, алюминий, сталь и другие чёрные металлы). Исключения делаются только для продукции, критически необходимой для обороноспособности, и только при отсутствии альтернативных источников.
Применение закона «Покупай американское»
DFARS* ужесточает требования Buy American Act для оборонных контрактов. Так, для большинства закупок изделий, содержащих сталь или железо, требуется, чтобы не менее 95% стоимости компонентов происходило из США. Для строительных материалов — 100% американское происхождение.
Применение DFARS на практике
Подрядчики, желающие заключить контракт с DoD на сумму свыше 30 000 долларов США, обязаны подтвердить ознакомление с требованиями DFARS и включить соответствующие пункты в контракт. При выполнении контракта на военные НИОКР или производство вооружений и военной техники требования DFARS распространяются на все уровни субподрядчиков.
С 2023 года DoD проводит активный аудит соответствия подрядчиков требованиям кибербезопасности DFARS. Подрядчики, не предоставившие в централизованную систему Supplier Performance Risk System (SPRS) отчёт о самооценке или план устранения несоответствий, исключаются из процесса закупок. Также введены штрафные санкции за несоблюдение сроков уведомления о киберинцидентах.
Значение и критика
DFARS играет ключевую роль в обеспечении целостности оборонной промышленности США и предотвращении попадания критически важных технологий и данных к потенциальным противникам. Несмотря на это, документ неоднократно подвергался критике со стороны как промышленников, так и юристов.
- Сложность и объём. Многие компании, особенно малые и средние, жалуются на чрезмерную сложность и запутанность требований DFARS. По оценкам Ассоциации оборонной промышленности США (NDIA), затраты на обеспечение соответствия одному только разделу по кибербезопасности могут достигать 1–2 млн долларов для небольшой фирмы.
- Избыточное регулирование. Критики утверждают, что некоторые требования (например, по необходимости раскрытия структуры собственности поставщиков всех уровней) создают излишние административные барьеры и не всегда оправданы с точки зрения безопасности.
- Зависимость от иностранных поставщиков. Парадоксально, но в условиях строгих ограничений на закупки из Китая и России, США остаются зависимыми от поставок ряда критически важных материалов (например, титана из Японии и Казахстана, некоторых редкоземельных элементов из Австралии). DFARS* предусматривает механизмы исключений, но они сопряжены с длительными бюрократическими процедурами.
См. также
- Федеральные правила приобретения продукции (FAR)
- Министерство обороны США (DoD)
- NIST SP 800-171
- Закон «Покупай американское» (Buy American Act)
- Кибербезопасность в государственных закупках
Примечания
- Defense Federal Acquisition Regulation Supplement (DFARS). — US Government Publishing Office, 2024.
- National Defense Authorization Act for Fiscal Year 2023. — Public Law 117-263.
- NIST Special Publication 800-171. — National Institute of Standards and Technology, 2020.
- DFARS 252.204-7012: Safeguarding Covered Defense Information and Cyber Incident Reporting. — Code of Federal Regulations, Title 48, Chapter 2.
- Ограничения на закупки продукции из России: DFARS 225.7018, 225.7019, 225.7020. — Federal Register, 2022–2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →