Вернуться в блог Вернуться на сайт

Что проверяет ФСТЭК при аттестации контура СМЭВ

Аттестация контура СМЭВ — это комплексная процедура оценки соответствия, а не декларативное подтверждение. ФСТЭК проверяет не наличие формальных документов, а фактическую способность информационной системы обеспечивать защиту данных при обмене с государственными сервисами. С вступлением в силу Приказа №117 с 1 марта 2026 года требования стали более строгими, а ответственность за несоответствие — прямой риск приостановки доступа к ГИС.
Разберем, по каким критериям оценивают систему и какие изменения нужно учесть.

История, с которой всё началось

В апреле 2026 года крупные банки и МФО в штатном режиме отправляли запросы в сервис МВД по проверке действительности паспортов. А в середине дня запросы перестали возвращать ответы. Доступ был отключён массово, без предварительных уведомлений. Причина — отсутствие аттестата соответствия требованиям ФСТЭК.
Кто-то восстановил доступ через несколько недель, предоставив действующий аттестат. Кто-то — через несколько месяцев, экстренно проходя процедуру с нуля. А кто-то потерял возможность выдавать кредиты онлайн на всё это время, уступив долю рынка конкурентам, которые оказались подготовленными.
Этот сценарий — не исключение, а прецедент. Минцифры уже анонсировало аналогичный подход к доступу к Цифровому профилю гражданина и ЕСИА. Вопрос не в том, «начнут ли отключать», а в том, «когда это произойдёт с вами».
Именно поэтому сегодня критически важно понимать, что именно проверяет ФСТЭК при аттестации контура СМЭВ и к чему нужно быть готовым.

1. Границы аттестуемого контура

Первое, с чего начинается проверка, — определение, что именно аттестуется. ФСТЭК требует четко выделить контур СМЭВ — систему-посредника между вашими бизнес-приложениями и госсервисами.
Что проверяют:
  • Аттестуется ли вся ИС целиком или только выделенный шлюз
  • Все ли компоненты, участвующие во взаимодействии с СМЭВ, включены в контур (адаптеры доступа, криптошлюзы, серверы, рабочие станции администраторов)
  • Есть ли физическое или логическое выделение контура из общей инфраструктуры
  • Не используется ли общая программная среда с другими системами, не подлежащими аттестации
Типовая ошибка: аттестованы не все системы, участвующие во взаимодействии. Например, забыли про рабочие места администраторов или резервные узлы в другом ЦОД.

2. Документация — основа всего

ФСТЭК проверяет не только технику, но и процессы, зафиксированные в документах. Приказ №117 и новые методические рекомендации, опубликованые 12 апреля 2026 г., существенно расширили перечень обязательной документации.
Базовый комплект документов, который проверяют :
  • Модель угроз и модель нарушителя (основополагающий документ, определяющий весь бюджет и архитектуру защиты)
  • Техническое задание на создание системы защиты информации (СЗИ)
  • Организационно-распорядительные документы (20–30 регламентов, приказов, инструкций)
Новые документы по Приказу №117:
  • Политика информационной безопасности
  • Регламент управления уязвимостями (с четкими сроками устранения)
  • Регламент мониторинга информационной безопасности
  • Регламент обнаружения и предотвращения вторжений
  • Регламент выявления и реагирования на инциденты ИБ
  • Порядок управления учетными записями и доступами (включая матрицу доступа)
  • Порядок предоставления удаленного доступа
  • Порядок предоставления доступа подрядным организациям
  • Регламент разработки безопасного ПО (если ведется разработка в рамках контура)
Критический момент, который должны учитывать организации при прохождении аттестации, документы должны не просто существовать, а реально работать. Процессы, описанные в них, должны выполняться, и ФСТЭК это проверяет.

3. Модель угроз и модель нарушителя

Это один из самых важных документов, который ФСТЭК изучает под микроскопом. От того, какие угрозы в нем указаны, зависит весь перечень средств защиты и, как следствие, бюджет.
Что проверяют:
  • Учтены ли актуальные угрозы, включая новые из Приказа №117 (атаки на контейнеризацию, веб-технологии, удаленный доступ, DDoS, использование ИИ)
  • Правильно ли определен класс защищенности системы (К1, К3 и т.д.)
  • Соответствует ли модель угроз реальной архитектуре системы
Типовая ошибка: несколько неправильно указанных фраз в модели угроз раздувают перечень угроз, а с ним — требования к защите и бюджет в несколько раз.

4. Средства защиты информации (СЗИ)

ФСТЭК проверяет наличие и корректную настройку сертифицированных средств защиты. Все используемые СЗИ обязательно должны иметь сертификат ФСТЭК или ФСБ
Минимальный набор СЗИ для контура СМЭВ :
Тип СЗИ
Что проверяют
Операционная система
Сертифицированная ОС (Astra Linux Special Edition, РЕД ОС) или СЗИ от НСД на стандартной ОС
Межсетевые экраны
Наличие МЭ на периметре и между сегментами, корректность правил фильтрации
Средства обнаружения вторжений (СОВ)
Наличие и настройка, частота анализа событий
Антивирусная защита
Наличие, регулярность обновления баз
Антивирусная защита
Обязательны как минимум для привилегированных пользователей
Средства криптографической защиты (СКЗИ)
Для подписания запросов и шифрования каналов связи
Контроль защищенности
Сетевые сканеры и средства анализа защищенности
Новые требования Приказа №117 :
  • Усиленная сегментация сети, для высоких классов — микросегментация
  • Защита удаленного доступа с проверкой соответствия устройств политикам безопасности
  • Защита веб-приложений и программных интерфейсов (API)
  • Защита от DDoS-атак
  • Обязательное взаимодействие с ГосСОПКА
Изменения в Приказе №117 демонстрируют, что ФСТЭК последовательно приводит требования в соответствие с реальным ландшафтом угроз. Появление новых категорий атак (целенаправленные действия с использованием социальной инженерии, компрометация цепочек поставок ПО, атаки через доверенных лиц) — не ужесточение ради ужесточения, а прямое следствие того, с чем рынок сталкивается на практике.

5. Организационные меры и персонал

ФСТЭК проверяет не только «железо», но и то, как организована работа с безопасностью в компании.
Что проверяют:
  • Наличие структурного подразделения, ответственного за ИБ
  • Квалификацию сотрудников: руководитель ИБ должен иметь высшее профильное образование или переподготовку (не менее 360 часов)
  • Доля сотрудников ИБ с профильным образованием — не менее 30%
  • Наличие назначенных ответственных за администрирование СЗИ
  • Проведение регулярного обучения пользователей

6. Аттестационные испытания

Финальный этап — непосредственная проверка системы лицензиатом ФСТЭК.
В ходе испытаний проверяется:
  • Соответствие документации реальной конфигурации системы (соответствие «как записано» и «как есть»)
  • Корректность настройки всех СЗИ
  • Отсутствие уязвимостей (проводится анализ защищенности)
  • Работоспособность системы защиты в штатном режиме
  • Правильность разграничения доступа
По итогам оформляются протоколы испытаний и выносится заключение о соответствии. При положительном результате выдается аттестат соответствия.

7. Новое в Приказе №117: регулярная отчетность

С 2026 года аттестация не заканчивается выдачей аттестата. ФСТЭК требует регулярно подтверждать уровень защищенности :
  • Расчет показателя защищенности (КЗИ) — не реже 1 раза в 6 месяцев
  • Оценка уровня зрелости системы защиты (ПЗИ) — не реже 1 раза в 2 года
  • Контроль уровня защищенности — не реже 1 раза в 3 года или после инцидента
  • Отчетность в ФСТЭК — не позднее 5 рабочих дней после расчета или завершения проверки

Типовые ошибки при аттестации, которые выявляет ФСТЭК

По данным экспертов, наиболее частые причины замечаний :
Ошибка
Последствие
Некорректное наименование системы в документах
Несовпадение с тем, что указано при подключении к СМЭВ — отказ в признании аттестата
Неполный контур аттестации
Аттестованы не все системы, участвующие во взаимодействии
Отсутствие выделенного сетевого сегмента
Невозможно подтвердить изоляцию контура
Использование несертифицированного ПО
Автоматический отказ в аттестации
Неучет требований ФСБ (если применимы)
Аттестат недействителен для работы с криптографией

Резюме: к чему готовиться

Аттестация контура СМЭВ по новым правилам — это комплексная проверка, которая охватывает:
  1. Архитектуру — выделенный, изолированный контур
  2. Документы — до 30 регламентов, включая новые по Приказу №117
  3. Технические средства — сертифицированные СЗИ с корректными настройками
  4. Персонал — квалифицированные сотрудники ИБ
  5. Процессы — регулярный мониторинг, управление уязвимостями, реагирование на инциденты
  6. Отчетность — ежеквартальная, ежегодная, по регламенту
ФСТЭК больше не проверяет «наличие галочек», а оценивает реальную способность системы противостоять атакам и защищать данные . Это означает, что формальный подход больше не работает — нужна глубокая проработка и документации, и технической части.
Если вы хотите оценить готовность вашего контура СМЭВ к аттестации по новым требованиям, оставьте заявку. Наши специалисты проведут экспресс-аудит и подготовят дорожную карту с конкретными сроками и бюджетом для вашей компании.
Получите консультацию по аттестации
Не рискуйте остановкой бизнес-процессов. Наши специалисты помогут подобрать оптимальную схему аттестации — от разового прохождения до подписочной модели с арендой оборудования «под ключ».
Получить консультацию