Весной 2025 года банки и МФО начали массово терять доступ к сервису МВД «Проверка действительности паспорта» через СМЭВ. Ведомство ссылалось на часть 8.1 статьи 149‑ФЗ, которая запрещает передачу данных из госсистем в неаттестованные информационные системы, и потребовало подтвердить соответствие наивысшему классу защищённости К1 (УЗ‑1). Сначала требования касались только новых подключений, затем последовали веерные отключения уже работающих систем — бизнес-процессы (проверка паспортов, верификация клиентов) вставали на несколько месяцев.

При этом Минцифры подтвердило, что норма распространяется на все ГИС без исключения. Это значит, что аналогичные требования рано или поздно предъявят ФНС, СФР, Росреестр, Казначейство и другие ведомства, с которыми финансовые организации обмениваются данными ежедневно. Единственный способ избежать внезапного отключения и сохранить непрерывность процессов — пройти аттестацию. Но как это сделать без многомиллионных затрат и многомесячных сроков?

Аттестация — это процедура подтверждения соответствия информационной системы определённому уровню защищённости. Для коммерческих организаций она проводится по 21‑му приказу ФСТЭК России.

Стоимость варьируется в зависимости от требуемого уровня:

Разница обусловлена прежде всего требованием к безотказности на высшем уровне: необходимо полностью продублировать весь комплект оборудования. Процедура включает несколько этапов:

• разработку модели угроз и проектной документации на систему защиты информации, а также организационно-распорядительных документов (около 20–30 регламентов, приказов, инструкций);
• закупку программных и аппаратных средств защиты информации (СЗИ), обязательно сертифицированных ФСТЭК или ФСБ;
• привлечение лицензиатов ФСТЭК для сборки и настройки СЗИ (это лицензируемый вид деятельности, самостоятельное выполнение не допускается);
• проведение аттестационных испытаний (по 77‑му приказу ФСТЭК на это отводится до 4 месяцев) и получение аттестата соответствия;
• ежегодный инспекционный контроль для продления аттестата.

Критически важный момент: аттестуется не программный продукт и не лицензия на ПО, а конкретная информационная система в конкретном окружении конкретной организации. Это означает, что аттестацию нельзя «купить» у вендора — её проходит сам банк применительно к своей инфраструктуре. При каждом существенном изменении системы потребуется переаттестация.

Обычный путь занимает 7–9 месяцев. В условиях, когда ведомства отключают доступ без предупреждения, такой срок критичен.

Ключевой принцип ускорения и удешевления — выделить подсистему, взаимодействующую с госсервисами, в отдельный изолированный контур. Если аттестовывать, например, весь кредитный конвейер, модель угроз и комплект СЗИ окажутся колоссальными по объёму и стоимости. Если же выделить интеграционный шлюз как самостоятельную систему с минимально необходимым функционалом, аттестация становится значительно дешевле и быстрее.

Наша компания разработала новый подход к получению аттестации, которое:

За счёт того, что система заранее известна и типизирована, срок аттестации сокращается до 2–6 месяцев в зависимости от вашей архитектуры (включая поставку оборудования).

Главная инновация для банков и МФО — аренда оборудования вместо его покупки. Подписочная модель позволяет:

Стоимость подписки — от 140 000 рублей в месяц. В неё входит:

При этом банк остаётся законным владельцем оборудования на сроке подписки. Есть и классическая модель in‑house, когда комплекс выкупается полностью и размещается на территории заказчика.

Важное преимущество: аттестат, полученный по уровню К1 (УЗ‑1), покрывает собой и требования более низкого уровня УЗ‑3. Это означает, что одного аттестата на выделенный шлюз достаточно для взаимодействия с любыми госсервисами:

Таким образом, банк или МФО получает универсальное разрешение на всю линейку государственных информационных систем.