Новый регламент ЕСИА — обзор требований
Обзор новых требований безопасности Регламента ЕСИА версии 2.46+ и Методических рекомендаций версии 3.47+
Исследуемые документы
UPD
Для тех, кто уже подключен к ЕСИА, новые требования начнут действовать с конца 2026 года. Для новых подключений уже нужно выполнять все новые требования.
Сводная информация
Общая информация
Регламент 2.46+ и Методические рекомендации 3.47+ вводят 11 новых требований в части безопасности.
Совокупно они делают подключение к ЕСИА существенно сложнее и дороже, чем в прошлых версиях регламента и методических рекомендаций.
Самостоятельная реализация влечет затраты порядка 5,4 млн рублей единовременно и потребует около 1 года на выполнение всех бюрократических процедур. Для участников финансового рынка также устанавливаются требования по соответствию положениям безопасности Банка России. Детализация требований и соответствующих затрат будет приведена ниже.
Совокупно они делают подключение к ЕСИА существенно сложнее и дороже, чем в прошлых версиях регламента и методических рекомендаций.
Самостоятельная реализация влечет затраты порядка 5,4 млн рублей единовременно и потребует около 1 года на выполнение всех бюрократических процедур. Для участников финансового рынка также устанавливаются требования по соответствию положениям безопасности Банка России. Детализация требований и соответствующих затрат будет приведена ниже.
Типы требований нового регламента
- Регламент информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства версии 2.47+ (https://digital.gov.ru/ru/documents/4244/)
- Методические рекомендации по использованию ЕСИА версии 3.48+(https://digital.gov.ru/ru/documents/6186)
Новый регламент ЕСИА и методические рекомендации вводят требования по 4 категориям:
- Требования к используемым средствам СКЗИ;
- Требования к подключаемой информационной системе;
- Требования к реализации взаимодействия с ЕСИА;
- Организационные требования.
Обзор требований нового регламента ЕСИА
Наибольшую сложность создают требования, для выполнения которых необходимо проводить аттестацию своей интеграции и подключаемой системы в ФСБ и ФСТЭК, а также привлекать сертифицированные лаборатории для работы с СКЗИ и выполнения аттестационных процедур.
Из 11 требований 6 наиболее сложных для исполнения строго проверяются при подаче заявки на тестовую и промышленную среду (нужно прикладывать соответствующие документы). Еще одно требование не указано, как подтверждать (соответствие требованиям по ИБ от ЦБ для финансовых организаций). Взаимодействие с ЕСИА должно быть по каналу, защищенному с использованием криптооборудования (как со СМЭВ).
Остальные 4 требования не проверяются при подключении, но Минцифры может инициировать проверку ФСБ на предмет соблюдения этих требований.
Из 11 требований 6 наиболее сложных для исполнения строго проверяются при подаче заявки на тестовую и промышленную среду (нужно прикладывать соответствующие документы). Еще одно требование не указано, как подтверждать (соответствие требованиям по ИБ от ЦБ для финансовых организаций). Взаимодействие с ЕСИА должно быть по каналу, защищенному с использованием криптооборудования (как со СМЭВ).
Остальные 4 требования не проверяются при подключении, но Минцифры может инициировать проверку ФСБ на предмет соблюдения этих требований.
Модули для работы с ЕСИА по новым требованиям
Необходимые меры для подключения к ЕСИА
В Регламенте также говорится о возможности использования «типового технического решения», которое избавит от необходимости проходить две наиболее тяжелые и дорогие процедуры: оценку влияния на СКЗИ и корректность реализации OpenID Connect.
Таким типовым решением является ЕСИА Шлюз. Коннект.
Таким типовым решением является ЕСИА Шлюз. Коннект.
Во втором квартале 2025 года Минцифры планирует выпустить «шлюзовой модуль API Gateway» для взаимодействия с ЕСИА. Из текущего описания не понятен полный функционал и не ясно, где он будет размещаться: в организации или в облаке МЦ.
По текущему описанию можно сказать, что взаимодействие с API Gateway по сложности будет мало отличатся от взаимодействия напрямую с ЕСИА, разве что немного упростится получение данных.
По текущему описанию можно сказать, что взаимодействие с API Gateway по сложности будет мало отличатся от взаимодействия напрямую с ЕСИА, разве что немного упростится получение данных.
- Приобрести и настроить ПАК для работы с СКЗИ. Уровень доверия СЗИ должен быть 5 и выше.
- Купить и настроить криптошлюз, разместить его в аттестованном помещении, а также заключить договор с РТК на настройку и обслуживание защищенного канала.
- Разработать модель угроз, обеспечивающую защищенность ПД в ИС на уровне 3.3 и выше, а также согласовать ее во ФСТЭК и ФСБ.
- Провести аттестацию ИС по требованиям ИБ с привлечением аккредитованной ФСТЭК лаборатории. Предварительно разработать всю документацию по ИС.
- Пройти процедуру оценки влияния среды функционирования на СКЗИ с привлечением аккредитованной ФСБ лаборатории. Самой организации также потребуется получить лицензию ФСБ на работу с СКЗИ.
- Провести проверку корректности реализации OpenID Connect с привлечением аккредитованной ФСБ России лаборатории. Самой организации нужно получить лицензию ФСБ России на разработку средств защиты с использованием криптографии, а также согласовать ТЗ на реализацию решения в Минцифры, либо привлечь соответствующего исполнителя.
- Для финансовых организаций подтвердить выполнение 5 положений ЦБ по ИБ.
Детальное описание требований приведено ниже.
Итого
Общая стоимость самостоятельного подключения к ЕСИА составит разово ~5460 т.р. и 580 т.р. ежегодно. Использование ЕСИА Шлюз. Коннект позволит сэкономить 3,5 млн рублей за счет наличия у решения сертификатов соответствия требованиям регламента, а также за счет входящих в стоимость процедур аттестации ИС клиента. Сроки получения доступа к ЕСИА сократятся с 1 года до 4 месяцев.
По состоянию на январь 2025 года рыночная стоимость программных решений для работы с ЕСИА составляет в среднем около 800 т.р. Однако подавляющее большинство из них не соответствует актуальным требованиям регламента ЕСИА и методических рекомендаций.
Программное решение для работы с ЕСИА
Аттестация для подключения к ЕСИА
- Разработка модели угроз ИС (защищенность уровня У3.3+)
- Согласование модели угроз во ФСЭТК
- Разработка документации на ИС для аттестации по требованиям ИБ
- Аттестация ИС по требованиям ИБ аккредитованной лабораторией
- Услуги лаборатории по оценке влияния на СКЗИ
- Услуги лаборатории по оценке корректности реализации протокола OpenID Connect
Детализация затрат на подключение к ЕСИА
Оборудование и ПО для подключения к ЕСИА
- ПАК для работы с СКЗИ (оборудование и софт)
- Сборка и настройка ПАК лицензированной организацией
- Программное СКЗИ для работы с TLS
- Криптошлюз
- Услуги РТК (настройка и поддержка защищенного канала)
- Межсетевой экран
По состоянию на январь 2025 года рыночная стоимость услуг по аттестации для работы с ЕСИА составит ~4300 т.р.
Запросить детализацию
Запросить детализацию
По состоянию на январь 2025 года рыночная стоимость необходимого комплекта составит разово ~650 т.р., ежегодно: ~184 т.р.
Запросить детализацию
Запросить детализацию
Детальные требования нового регламента ЕСИА
1.1. Для формирования ЭП должно применяться СКЗИ класса КС3
Пункт 9.1 Регламента:
«Критериями принятия решения о корректности выбора СКЗИ, включая средства ЭП, применяемых для организации взаимодействия с ФГИС ЕСИА, являются:
— наличие действующего сертификата ФСБ России у средства ЭП (название в соответствии с эксплуатационной документацией (формуляром) на изделие, номер сертификата, его срок действия и класс СКЗИ указываются заявителем);
— класс средства ЭП не ниже КС3. <…>".
1.2 Канал взаимодействия с тестовой ЕСИА должен быть защищен по протоколу TLS, а с промышленной ЕСИА — с использованием СКЗИ класса КС3
Пункт 9.1 Регламента: «При организации канала связи до тестовой среды ЕСИА должен применяться канал, защищенный с использованием протокола TLS».
Пункт 10.1 Регламента: «Подключение к промышленной среде ЕСИА допускается только с использованием сертифицированных ФСБ России средств защиты канала связи класса не ниже KC3».
Пункт 9.1 Регламента:
«Критериями принятия решения о корректности выбора СКЗИ, включая средства ЭП, применяемых для организации взаимодействия с ФГИС ЕСИА, являются:
— наличие действующего сертификата ФСБ России у средства ЭП (название в соответствии с эксплуатационной документацией (формуляром) на изделие, номер сертификата, его срок действия и класс СКЗИ указываются заявителем);
— класс средства ЭП не ниже КС3. <…>".
1.2 Канал взаимодействия с тестовой ЕСИА должен быть защищен по протоколу TLS, а с промышленной ЕСИА — с использованием СКЗИ класса КС3
Пункт 9.1 Регламента: «При организации канала связи до тестовой среды ЕСИА должен применяться канал, защищенный с использованием протокола TLS».
Пункт 10.1 Регламента: «Подключение к промышленной среде ЕСИА допускается только с использованием сертифицированных ФСБ России средств защиты канала связи класса не ниже KC3».
2.1 Защищенность ИС должна быть уровня У3.3+
Пункт 9.1 Регламента: «При необходимости получения персональных данных уровень защищенности персональных данных подключаемой системы должен быть УЗ.3 и выше».
2.2 Используемые в ИС СЗИ должны быть уровня доверия 5+
Пункт Д1.5 МР: «Все используемые средства защиты информации должны быть сертифицированы ФСТЭК России и соответствовать уровню доверия не ниже 5 или должны быть сертифицированы ФСБ России».
2.3 Канал работы ИС с ЕСИА и с пользователями должен быть защищен с использованием СКЗИ класса КС3
Пункт Д1.6 МР: «Все каналы связи на участке взаимодействия «ЕСИА-ВИС», выходящие за пределы контролируемых зон участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ.
<…>
Серверная часть ВИС должна поддерживать возможность взаимодействия с пользователями по протоколу TLS, реализованному с использованием СКЗИ, сертифицированных ФСБ России по классу не ниже КС3 на стороне ВИС (сервера) и КС1 на стороне пользователя (клиента)".
2.4 ИС должна быть аттестована по требованиям ИБ
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения об оценке эффективности реализованных мер по обеспечению безопасности информации подключаемой информационной системы, осуществленной в порядке, установленном законодательством Российской Федерации, и проведённой с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации".
Пункт 9.1 Регламента: «При необходимости получения персональных данных уровень защищенности персональных данных подключаемой системы должен быть УЗ.3 и выше».
2.2 Используемые в ИС СЗИ должны быть уровня доверия 5+
Пункт Д1.5 МР: «Все используемые средства защиты информации должны быть сертифицированы ФСТЭК России и соответствовать уровню доверия не ниже 5 или должны быть сертифицированы ФСБ России».
2.3 Канал работы ИС с ЕСИА и с пользователями должен быть защищен с использованием СКЗИ класса КС3
Пункт Д1.6 МР: «Все каналы связи на участке взаимодействия «ЕСИА-ВИС», выходящие за пределы контролируемых зон участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ.
<…>
Серверная часть ВИС должна поддерживать возможность взаимодействия с пользователями по протоколу TLS, реализованному с использованием СКЗИ, сертифицированных ФСБ России по классу не ниже КС3 на стороне ВИС (сервера) и КС1 на стороне пользователя (клиента)".
2.4 ИС должна быть аттестована по требованиям ИБ
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения об оценке эффективности реализованных мер по обеспечению безопасности информации подключаемой информационной системы, осуществленной в порядке, установленном законодательством Российской Федерации, и проведённой с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации".
3.1 Реализация интеграции с ЕСИА должна пройти оценку влияния на СКЗИ
Пункт 10.1 Регламента: «В случае выбора заявителем варианта реализации подсистемы идентификации, аутентификации OpenID Connect с использованием собственного технического решения <…> заявитель должен провести процедуру оценки влияния на СКЗИ, применяемое в составе технического решения, согласно требованиям (или положениям) эксплуатационной документации на СКЗИ с привлечением испытательных лабораторий, аккредитованных ФСБ России, в соответствии с требованиями действующего законодательства».
3.2 Реализация OpenID Connect должна быть согласована с Минцифры и проверена на корректность реализации в ФСБ России
Пункт 10.1 Регламента: «Техническое задание на создание такого технического решения в части реализации протокола OpenID Connect при взаимодействии с ЕСИА должно быть согласовано Минцифры России».
Пункт Д1.3 МР: «Реализуемый в собственном техническом решении протокол на базе OpenID Connect 1.0 и OAuth2.0, должен соответствовать описанию и схемам, приведенным в Приложение Б (за исключением разделов, рекомендованных к выводу из эксплуатации). Безопасность реализации протокола должна быть подтверждена в установленном порядке в соответствии с действующими нормативно-правовыми актами».
Пункт 10.1 Регламента: «В случае выбора заявителем варианта реализации подсистемы идентификации, аутентификации OpenID Connect с использованием собственного технического решения <…> заявитель должен провести процедуру оценки влияния на СКЗИ, применяемое в составе технического решения, согласно требованиям (или положениям) эксплуатационной документации на СКЗИ с привлечением испытательных лабораторий, аккредитованных ФСБ России, в соответствии с требованиями действующего законодательства».
3.2 Реализация OpenID Connect должна быть согласована с Минцифры и проверена на корректность реализации в ФСБ России
Пункт 10.1 Регламента: «Техническое задание на создание такого технического решения в части реализации протокола OpenID Connect при взаимодействии с ЕСИА должно быть согласовано Минцифры России».
Пункт Д1.3 МР: «Реализуемый в собственном техническом решении протокол на базе OpenID Connect 1.0 и OAuth2.0, должен соответствовать описанию и схемам, приведенным в Приложение Б (за исключением разделов, рекомендованных к выводу из эксплуатации). Безопасность реализации протокола должна быть подтверждена в установленном порядке в соответствии с действующими нормативно-правовыми актами».
4.1 Кредитные организации должны выполнять требования ЦБ в части защиты информации
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения о выполнении требований к обеспечению защиты информации в соответствии с требованиями нормативных актов Банка России (только для кредитных организаций):
пунктом 9 Положения Банка России от 17.04.2019 № 683-П
пунктом 1.1 Положения Банка России от 04.06.2020 № 719-П
пунктом 1.5 Положения Банка России от 20.04.2021 № 757-П
пунктом 20 Положения Банка России от 25.07.2022 № 802-П
Положение Банка России от 17.08.2023 № 821-П".
4.2 Должен использоваться сертифицированный антивирус
Пункт Д1.3 МР: «В техническом решении должны применяться средства антивирусной защиты прошедшие процедуру оценки соответствия требованиям по информационной безопасности в порядке установленном законодательством Российской Федерации по требованиям ФСТЭК России или ФСБ России с учетом уточнений изложенных в эксплуатационной документации на СКЗИ и СЭП».
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения о выполнении требований к обеспечению защиты информации в соответствии с требованиями нормативных актов Банка России (только для кредитных организаций):
пунктом 9 Положения Банка России от 17.04.2019 № 683-П
пунктом 1.1 Положения Банка России от 04.06.2020 № 719-П
пунктом 1.5 Положения Банка России от 20.04.2021 № 757-П
пунктом 20 Положения Банка России от 25.07.2022 № 802-П
Положение Банка России от 17.08.2023 № 821-П".
4.2 Должен использоваться сертифицированный антивирус
Пункт Д1.3 МР: «В техническом решении должны применяться средства антивирусной защиты прошедшие процедуру оценки соответствия требованиям по информационной безопасности в порядке установленном законодательством Российской Федерации по требованиям ФСТЭК России или ФСБ России с учетом уточнений изложенных в эксплуатационной документации на СКЗИ и СЭП».
5.1 ИС должна размещаться на территории РФ
Пункт Д1.5 МР: «В целях обеспечения информационной безопасности размещение серверных СВТ, осуществляющих взаимодействие с ЕСИА, допустимо только на территории Российской Федерации».
5.2 Минцифры может инициировать проверки ФСБ России
Пункт 10.1 Регламента: «ФСБ России может осуществлять в рамках своих полномочий и по инициативе Минцифры России проверку применения технического решения любым участником взаимодействия с ЕСИА. Проверка может быть осуществлена в части использования со стороны ИС участника технического решения, а также СКЗИ, указанного непосредственно в заявке на подключение к продуктивной среде ЕСИА. Проверка может быть осуществлена не чаще двух раз за один календарный год. В случае выявления подключения к ЕСИА с использованием технического решения и СКЗИ не указанным в заявке на подключение, а также нарушения правил пользования СКЗИ, Минцифры России может принять решение о немедленном отключении участника взаимодействия от продуктивной среды ЕСИА до устранения нарушений».
Пункт Д1.5 МР: «В целях обеспечения информационной безопасности размещение серверных СВТ, осуществляющих взаимодействие с ЕСИА, допустимо только на территории Российской Федерации».
5.2 Минцифры может инициировать проверки ФСБ России
Пункт 10.1 Регламента: «ФСБ России может осуществлять в рамках своих полномочий и по инициативе Минцифры России проверку применения технического решения любым участником взаимодействия с ЕСИА. Проверка может быть осуществлена в части использования со стороны ИС участника технического решения, а также СКЗИ, указанного непосредственно в заявке на подключение к продуктивной среде ЕСИА. Проверка может быть осуществлена не чаще двух раз за один календарный год. В случае выявления подключения к ЕСИА с использованием технического решения и СКЗИ не указанным в заявке на подключение, а также нарушения правил пользования СКЗИ, Минцифры России может принять решение о немедленном отключении участника взаимодействия от продуктивной среды ЕСИА до устранения нарушений».
Оставьте контакт — мы свяжемся с вами и ответим на все вопросы
Узнайте подробности по требованиям нового регламента ЕСИА
Оставьте контакт — мы свяжемся и ответим на все вопросы