Исследуемые документы
UPD
Для тех, кто уже подключен к ЕСИА, новые требования начнут действовать с конца 2026 года. Для новых подключений уже нужно выполнять все новые требования.
Сводная информация
Общая информация
Регламент 2.53+ и Методические рекомендации 3.62+ вводят ряд новых требований в части безопасности.
Совокупно они делают подключение к ЕСИА существенно сложнее и дороже, чем в прошлых версиях регламента и методических рекомендаций.
Самостоятельная реализация влечет затраты порядка 5,4 млн рублей единовременно и потребует примерно 1,5 года на проведение необходимых проверок собственного решения в ФСБ. Для участников финансового рынка также устанавливаются требования по соответствию положениям безопасности Банка России. Детализация требований и соответствующих затрат будет приведена ниже.
Совокупно они делают подключение к ЕСИА существенно сложнее и дороже, чем в прошлых версиях регламента и методических рекомендаций.
Самостоятельная реализация влечет затраты порядка 5,4 млн рублей единовременно и потребует примерно 1,5 года на проведение необходимых проверок собственного решения в ФСБ. Для участников финансового рынка также устанавливаются требования по соответствию положениям безопасности Банка России. Детализация требований и соответствующих затрат будет приведена ниже.
Типы требований нового регламента
- Регламент информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства версии 2.53+
- Методические рекомендации по использованию ЕСИА версии 3.62+
Новый регламент ЕСИА и методические рекомендации вводят требования по 4 категориям:
- Требования к используемым средствам СКЗИ;
- Требования к подключаемой информационной системе;
- Требования к реализации взаимодействия с ЕСИА;
- Организационные требования.
Обзор требований нового регламента ЕСИА
Наибольшую сложность создают требования, для выполнения которых необходимо проводить оценку корректности своего решения и подключаемой системы в ФСБ и ФСТЭК, а также привлекать сертифицированные лаборатории для работы с СКЗИ и выполнения аттестационных процедур.
Наиболее сложные для исполнения требования строго проверяются при подаче заявки на тестовую и промышленную среду (нужно прикладывать соответствующие документы). Взаимодействие с ЕСИА должно быть по каналу, защищенному с использованием криптооборудования (как со СМЭВ).
Некоторые требования не проверяются при подключении, но Минцифры может инициировать проверку ФСБ на предмет соблюдения этих требований.
Наиболее сложные для исполнения требования строго проверяются при подаче заявки на тестовую и промышленную среду (нужно прикладывать соответствующие документы). Взаимодействие с ЕСИА должно быть по каналу, защищенному с использованием криптооборудования (как со СМЭВ).
Некоторые требования не проверяются при подключении, но Минцифры может инициировать проверку ФСБ на предмет соблюдения этих требований.
Модули для работы с ЕСИА по новым требованиям
Типовое решение для ЕСИА
Необходимые меры для подключения к ЕСИА
В Регламенте также говорится о возможности использования «типового технического решения», которое избавит от необходимости проходить две наиболее тяжелые и дорогие процедуры: оценку влияния на СКЗИ и корректность реализации OpenID Connect.
Таким типовым решением является ЕСИА Шлюз. Коннект.
Таким типовым решением является ЕСИА Шлюз. Коннект.
Минцифры планировало к 1 января 2025 года выпустить «шлюзовой модуль API Gateway» для взаимодействия с ЕСИА, однако в марте 2026 года срок выпуска был смещен на 1 июля 2026 года. По текущему описанию можно сказать, что взаимодействие с API Gateway по сложности будет мало отличатся от взаимодействия напрямую с ЕСИА, кроме незначительного упрощения получение данных.
Процесс интеграции с API Gateway потребует значительных ресурсов технического специалиста с опытом работы подобными решениями. Для корректной работы API Gateway необходимо будет подобрать совместимое оборудование и специальное ПО, которые покроют все требования и будут приняты Минцифры.
Ключевой проблемой является необходимость вносить существенные изменения в ИС, в которой предполагается работа с ЕСИА. Необходимо встраивать все вызовы SDK-библиотек, а также настраивать взаимодействие с СКЗИ. При этом затруднено масштабирование интеграции на другие системы -- для каждой новой системы придется производить полный цикл работ по интеграции и настройке.
Процесс интеграции с API Gateway потребует значительных ресурсов технического специалиста с опытом работы подобными решениями. Для корректной работы API Gateway необходимо будет подобрать совместимое оборудование и специальное ПО, которые покроют все требования и будут приняты Минцифры.
Ключевой проблемой является необходимость вносить существенные изменения в ИС, в которой предполагается работа с ЕСИА. Необходимо встраивать все вызовы SDK-библиотек, а также настраивать взаимодействие с СКЗИ. При этом затруднено масштабирование интеграции на другие системы -- для каждой новой системы придется производить полный цикл работ по интеграции и настройке.
- Приобрести и настроить ПАК для работы с СКЗИ. Уровень доверия СЗИ должен быть 5 и выше.
- Купить и настроить криптошлюз, разместить его в аттестованном помещении, а также заключить договор с РТК на настройку и обслуживание защищенного канала.
- Разработать модель угроз, обеспечивающую защищенность ПД в ИС на уровне 3.3 и выше, а также согласовать ее во ФСТЭК и ФСБ.
- Провести аттестацию ИС по требованиям ИБ с уровнем не ниже КС3 с привлечением аккредитованной ФСТЭК лаборатории. Предварительно разработать всю документацию по ИС.
- Пройти процедуру оценки влияния среды функционирования на СКЗИ с привлечением аккредитованной ФСБ лаборатории. Самой организации также потребуется получить лицензию ФСБ на работу с СКЗИ. Либо использовать «типовое решение».
- Провести проверку корректности реализации OpenID Connect с привлечением аккредитованной ФСБ России лаборатории. Самой организации нужно получить лицензию ФСБ России на разработку средств защиты с использованием криптографии. Либо использовать «типовое решение».
Детальное описание требований приведено ниже.
Итого
Общая стоимость самостоятельного подключения к ЕСИА составит разово ~5460 т.р. и 580 т.р. ежегодно. Использование ЕСИА Шлюз. Коннект позволит сэкономить 3,5 млн рублей за счет наличия у решения сертификатов соответствия требованиям регламента, а также за счет входящих в стоимость процедур аттестации ИС клиента. Сроки получения доступа к ЕСИА сократятся с 1 года до 4 месяцев.
По состоянию на январь 2025 года рыночная стоимость программных решений для работы с ЕСИА составляет в среднем около 800 т.р. Однако подавляющее большинство из них не соответствует актуальным требованиям регламента ЕСИА и методических рекомендаций.
Программное решение для работы с ЕСИА
Аттестация для подключения к ЕСИА (по уровню УЗ-3)
- Разработка модели угроз ИС (защищенность уровня У3.3+)
- Согласование модели угроз во ФСЭТК
- Разработка документации на ИС для аттестации по требованиям ИБ
- Аттестация ИС по требованиям ИБ аккредитованной лабораторией
- Услуги лаборатории по оценке влияния на СКЗИ
- Услуги лаборатории по оценке корректности реализации протокола OpenID Connect
Детализация затрат на подключение к ЕСИА
Оборудование и ПО для подключения к ЕСИА
- ПАК для работы с СКЗИ (оборудование и софт)
- Сборка и настройка ПАК лицензированной организацией
- Программное СКЗИ для работы с TLS
- Криптошлюз
- Услуги РТК (настройка и поддержка защищенного канала)
- Межсетевой экран
По состоянию на март 2026 года рыночная стоимость услуг по аттестации для работы с ЕСИА составит от ~2 млн руб. для уровня УЗ-3 (включая необходимое оборудование)
Запросить детализацию
Запросить детализацию
По состоянию на январь 2025 года рыночная стоимость необходимого комплекта составит разово ~650 т.р., ежегодно: ~184 т.р.
Запросить детализацию
Запросить детализацию
Детальные требования нового регламента ЕСИА
1.1. Для формирования ЭП должно применяться СКЗИ класса КС3
Пункт 9.1 Регламента:
«Критериями принятия решения о корректности выбора СКЗИ, включая средства ЭП, применяемых для организации взаимодействия с ФГИС ЕСИА, являются:
— наличие действующего сертификата ФСБ России у средства ЭП (название в соответствии с эксплуатационной документацией (формуляром) на изделие, номер сертификата, его срок действия и класс СКЗИ указываются заявителем);
— класс средства ЭП не ниже КС3. <…>".
1.2 Канал взаимодействия с тестовой ЕСИА должен быть защищен по протоколу TLS, а с промышленной ЕСИА — с использованием СКЗИ класса КС3
Пункт 9.1 Регламента: «При организации канала связи до тестовой среды ЕСИА должен применяться канал, защищенный с использованием протокола TLS».
Пункт 10.1 Регламента: «Подключение к промышленной среде ЕСИА допускается только с использованием сертифицированных ФСБ России средств защиты канала связи класса не ниже KC3».
Пункт 9.1 Регламента:
«Критериями принятия решения о корректности выбора СКЗИ, включая средства ЭП, применяемых для организации взаимодействия с ФГИС ЕСИА, являются:
— наличие действующего сертификата ФСБ России у средства ЭП (название в соответствии с эксплуатационной документацией (формуляром) на изделие, номер сертификата, его срок действия и класс СКЗИ указываются заявителем);
— класс средства ЭП не ниже КС3. <…>".
1.2 Канал взаимодействия с тестовой ЕСИА должен быть защищен по протоколу TLS, а с промышленной ЕСИА — с использованием СКЗИ класса КС3
Пункт 9.1 Регламента: «При организации канала связи до тестовой среды ЕСИА должен применяться канал, защищенный с использованием протокола TLS».
Пункт 10.1 Регламента: «Подключение к промышленной среде ЕСИА допускается только с использованием сертифицированных ФСБ России средств защиты канала связи класса не ниже KC3».
2.1 Защищенность ИС должна быть уровня У3.3+
Пункт 9.1 Регламента: «При необходимости получения персональных данных уровень защищенности персональных данных подключаемой системы должен быть УЗ.3 и выше».
2.2 Используемые в ИС СЗИ должны быть уровня доверия 5+
Пункт Д1.5 МР: «Все используемые средства защиты информации должны быть сертифицированы ФСТЭК России и соответствовать уровню доверия не ниже 5 или должны быть сертифицированы ФСБ России».
2.3 Канал работы ИС с ЕСИА и с пользователями должен быть защищен с использованием СКЗИ класса КС3
Пункт Д1.6 МР: «Все каналы связи на участке взаимодействия «ЕСИА-ВИС», выходящие за пределы контролируемых зон участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ.
<…>
Серверная часть ВИС должна поддерживать возможность взаимодействия с пользователями по протоколу TLS, реализованному с использованием СКЗИ, сертифицированных ФСБ России по классу не ниже КС3 на стороне ВИС (сервера) и КС1 на стороне пользователя (клиента)".
2.4 ИС должна быть аттестована по требованиям ИБ
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения об оценке эффективности реализованных мер по обеспечению безопасности информации подключаемой информационной системы, осуществленной в порядке, установленном законодательством Российской Федерации, и проведённой с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации".
Пункт 9.1 Регламента: «При необходимости получения персональных данных уровень защищенности персональных данных подключаемой системы должен быть УЗ.3 и выше».
2.2 Используемые в ИС СЗИ должны быть уровня доверия 5+
Пункт Д1.5 МР: «Все используемые средства защиты информации должны быть сертифицированы ФСТЭК России и соответствовать уровню доверия не ниже 5 или должны быть сертифицированы ФСБ России».
2.3 Канал работы ИС с ЕСИА и с пользователями должен быть защищен с использованием СКЗИ класса КС3
Пункт Д1.6 МР: «Все каналы связи на участке взаимодействия «ЕСИА-ВИС», выходящие за пределы контролируемых зон участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ.
<…>
Серверная часть ВИС должна поддерживать возможность взаимодействия с пользователями по протоколу TLS, реализованному с использованием СКЗИ, сертифицированных ФСБ России по классу не ниже КС3 на стороне ВИС (сервера) и КС1 на стороне пользователя (клиента)".
2.4 ИС должна быть аттестована по требованиям ИБ
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения об оценке эффективности реализованных мер по обеспечению безопасности информации подключаемой информационной системы, осуществленной в порядке, установленном законодательством Российской Федерации, и проведённой с привлечением организации, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации".
3.1 Реализация интеграции с ЕСИА должна пройти оценку влияния на СКЗИ
Пункт 10.1 Регламента: «В случае выбора заявителем варианта реализации подсистемы идентификации, аутентификации OpenID Connect с использованием собственного технического решения <…> заявитель должен провести процедуру оценки влияния на СКЗИ, применяемое в составе технического решения, согласно требованиям (или положениям) эксплуатационной документации на СКЗИ с привлечением испытательных лабораторий, аккредитованных ФСБ России, в соответствии с требованиями действующего законодательства».
3.2 Реализация OpenID Connect должна быть согласована с Минцифры и проверена на корректность реализации в ФСБ России
Пункт 10.1 Регламента: «Техническое задание на создание такого технического решения в части реализации протокола OpenID Connect при взаимодействии с ЕСИА должно быть согласовано Минцифры России».
Пункт Д1.3 МР: «Реализуемый в собственном техническом решении протокол на базе OpenID Connect 1.0 и OAuth2.0, должен соответствовать описанию и схемам, приведенным в Приложение Б (за исключением разделов, рекомендованных к выводу из эксплуатации). Безопасность реализации протокола должна быть подтверждена в установленном порядке в соответствии с действующими нормативно-правовыми актами».
Пункт 10.1 Регламента: «В случае выбора заявителем варианта реализации подсистемы идентификации, аутентификации OpenID Connect с использованием собственного технического решения <…> заявитель должен провести процедуру оценки влияния на СКЗИ, применяемое в составе технического решения, согласно требованиям (или положениям) эксплуатационной документации на СКЗИ с привлечением испытательных лабораторий, аккредитованных ФСБ России, в соответствии с требованиями действующего законодательства».
3.2 Реализация OpenID Connect должна быть согласована с Минцифры и проверена на корректность реализации в ФСБ России
Пункт 10.1 Регламента: «Техническое задание на создание такого технического решения в части реализации протокола OpenID Connect при взаимодействии с ЕСИА должно быть согласовано Минцифры России».
Пункт Д1.3 МР: «Реализуемый в собственном техническом решении протокол на базе OpenID Connect 1.0 и OAuth2.0, должен соответствовать описанию и схемам, приведенным в Приложение Б (за исключением разделов, рекомендованных к выводу из эксплуатации). Безопасность реализации протокола должна быть подтверждена в установленном порядке в соответствии с действующими нормативно-правовыми актами».
4.1 Кредитные организации должны выполнять требования ЦБ в части защиты информации
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения о выполнении требований к обеспечению защиты информации в соответствии с требованиями нормативных актов Банка России (только для кредитных организаций):
пунктом 9 Положения Банка России от 17.04.2019 № 683-П
пунктом 1.1 Положения Банка России от 04.06.2020 № 719-П
пунктом 1.5 Положения Банка России от 20.04.2021 № 757-П
пунктом 20 Положения Банка России от 25.07.2022 № 802-П
Положение Банка России от 17.08.2023 № 821-П".
4.2 Должен использоваться сертифицированный антивирус
Пункт Д1.3 МР: «В техническом решении должны применяться средства антивирусной защиты прошедшие процедуру оценки соответствия требованиям по информационной безопасности в порядке установленном законодательством Российской Федерации по требованиям ФСТЭК России или ФСБ России с учетом уточнений изложенных в эксплуатационной документации на СКЗИ и СЭП».
Пункт 10.1 Регламента: «Решение о подключении ИС к промышленной среде ЕСИА принимается Минцифры России, в том числе, на основании следующих сведений:
<…>
сведения о выполнении требований к обеспечению защиты информации в соответствии с требованиями нормативных актов Банка России (только для кредитных организаций):
пунктом 9 Положения Банка России от 17.04.2019 № 683-П
пунктом 1.1 Положения Банка России от 04.06.2020 № 719-П
пунктом 1.5 Положения Банка России от 20.04.2021 № 757-П
пунктом 20 Положения Банка России от 25.07.2022 № 802-П
Положение Банка России от 17.08.2023 № 821-П".
4.2 Должен использоваться сертифицированный антивирус
Пункт Д1.3 МР: «В техническом решении должны применяться средства антивирусной защиты прошедшие процедуру оценки соответствия требованиям по информационной безопасности в порядке установленном законодательством Российской Федерации по требованиям ФСТЭК России или ФСБ России с учетом уточнений изложенных в эксплуатационной документации на СКЗИ и СЭП».
5.1 ИС должна размещаться на территории РФ
Пункт Д1.5 МР: «В целях обеспечения информационной безопасности размещение серверных СВТ, осуществляющих взаимодействие с ЕСИА, допустимо только на территории Российской Федерации».
5.2 Минцифры может инициировать проверки ФСБ России
Пункт 10.1 Регламента: «ФСБ России может осуществлять в рамках своих полномочий и по инициативе Минцифры России проверку применения технического решения любым участником взаимодействия с ЕСИА. Проверка может быть осуществлена в части использования со стороны ИС участника технического решения, а также СКЗИ, указанного непосредственно в заявке на подключение к продуктивной среде ЕСИА. Проверка может быть осуществлена не чаще двух раз за один календарный год. В случае выявления подключения к ЕСИА с использованием технического решения и СКЗИ не указанным в заявке на подключение, а также нарушения правил пользования СКЗИ, Минцифры России может принять решение о немедленном отключении участника взаимодействия от продуктивной среды ЕСИА до устранения нарушений».
Пункт Д1.5 МР: «В целях обеспечения информационной безопасности размещение серверных СВТ, осуществляющих взаимодействие с ЕСИА, допустимо только на территории Российской Федерации».
5.2 Минцифры может инициировать проверки ФСБ России
Пункт 10.1 Регламента: «ФСБ России может осуществлять в рамках своих полномочий и по инициативе Минцифры России проверку применения технического решения любым участником взаимодействия с ЕСИА. Проверка может быть осуществлена в части использования со стороны ИС участника технического решения, а также СКЗИ, указанного непосредственно в заявке на подключение к продуктивной среде ЕСИА. Проверка может быть осуществлена не чаще двух раз за один календарный год. В случае выявления подключения к ЕСИА с использованием технического решения и СКЗИ не указанным в заявке на подключение, а также нарушения правил пользования СКЗИ, Минцифры России может принять решение о немедленном отключении участника взаимодействия от продуктивной среды ЕСИА до устранения нарушений».
Оставьте контакт — мы свяжемся с вами и ответим на все вопросы
Мы используем файлы cookie