• О компании
  • |
  • Новости
  • |
  • Аттестация на соответствие требованиям ФСТЭК России к защите информации: «Диасофт» гарантирует безопасное подключение банков к СМЭВ

Аттестация на соответствие требованиям ФСТЭК России к защите информации: «Диасофт» гарантирует безопасное подключение банков к СМЭВ

05.05.2026

Автор: Яна Степаненко, руководитель решения «Взаимодействие с госорганами», компания «Диасофт»

Современные банки постоянно улучшают качество сервиса. Теперь клиент не собирает справки и не стоит в очередях – за него это делают банковские приложения.

Для этого банки взаимодействуют с множеством государственных информационных систем (ГИС) через Систему межведомственного электронного взаимодействия (СМЭВ). В первую очередь это информационные системы ФНС, МВД, СФР и других госорганов России. При этом, в соответствии с Федеральным законом «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации» от 08.08.2024 №216-ФЗ (последняя редакция), банки обязаны выполнять все требования по защите персональных данных, необходимых для предоставления государственных услуг клиентам.

Безусловно, обмен конфиденциальной информацией требует высокого уровня защиты. Для его подтверждения необходима аттестация банковских и государственных информационных систем на соответствие требованиям безопасности.

Что такое аттестация и какими документами она регулируется?

Аттестация объектов информатизации по требованиям ФСТЭК России – это комплексная проверка информационных систем на соответствие установленным нормам защиты информации, не составляющей государственную тайну, но требующей ограниченного доступа. Оценка и определение уровня защиты формируются на основании следующих документов:

  1. Приказ ФСТЭК России №117 от 11 апреля 2025 года (далее – Приказ №117), который с 1 марта 2026 года регулирует требования по защите информации, обрабатываемой в ГИС.

  2. Приказ ФСТЭК России от 18 февраля 2013 г. №21 – устанавливает меры по обеспечению безопасности персональных данных при их обработке в информационных системах.

  3. Руководящий документ от 30 марта 1992 года «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Основные положения Приказа №117 регулируют требования по созданию единого, безопасного и доверенного цифрового пространства для государственного сектора. Он унифицирует подходы к защите данных, снижению рисков утечки информации, безопасному использованию современных технологий в ИТ-инфраструктуре (облака, удаленный доступ, мобильные рабочие места, контейнеризация, микросервисная архитектура, системы подрядчиков). 

Ключевые требования к защите информации

1. Переход к риск-ориентированному подходу. Вместо статичных периодических проверок вводится процесс непрерывного мониторинга и количественной оценки состояния защиты информации. Уровни защищенности формируются исходя из анализа ущерба, угроз и архитектуры системы. 

2. Показатель защищенности (КЗИ). Вводится методика оценки показателя защищенности информации на основе 16-ти критериев, сгруппированных в четыре группы. КЗИ рассчитывается в диапазоне от 0 до 1, при этом порог КЗИ = 1 используется как минимальный базовый уровень. 

3. Регулярная оценка и отчетность:

  • расчет КЗИ – не реже 1 раза в 6 месяцев;

  • оценка уровня зрелости системы защиты информации (ПЗИ) – не реже 1 раза в 2 года;

  • контроль уровня защищенности – не реже 1 раза в 3 года или после инцидента; отчетность в ФСТЭК России – не позднее 5 рабочих дней с даты расчета или завершения проверки. 

4. Расширение сферы действия. Требования распространяются не только на ГИС, но и на все информационные системы государственных органов, учреждений, унитарных предприятий, а также на системы, получающие данные из ГИС. 

5. Организационные и технические меры:

  • разработка политики защиты информации, включающей цели, задачи, принципы защиты, перечень объектов защиты, категории участников и их обязанности; 

  • внедрение системы управления информационной безопасностью (ИБ), включающей планирование, реализацию, оценку и совершенствование мер защиты; 

  • управление уязвимостями с четкими сроками устранения: критические уязвимости – не более 24 часов, высокого уровня – 7 календарных дней, среднего и низкого уровня – в соответствии с внутренними регламентами;

  • мониторинг информационных событий в соответствии с ГОСТ Р 59547-2021, включая сбор, обработку и анализ данных о событиях безопасности;

  • обеспечение защиты при удаленном и беспроводном доступе, использовании мобильных и конечных устройств, взаимодействии с подрядчиками;

  • защита от распределенных атак типа «отказ в обслуживании» (DDoS) и при использовании искусственного интеллекта;

  • обязательное взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

6. Требования к персоналу. Создание структурного подразделения, ответственного за информационную безопасность, руководитель которого должен иметь высшее профильное образование или пройти профессиональную переподготовку в области ИБ (не менее 360-ти часов). Кроме того, не менее 30% сотрудников подразделения должны иметь профильное образование или пройти профессиональную переподготовку.

7. Запреты и ограничения:

  • полный запрет на использование иностранного ПО в информационных системах, подпадающих под действие приказа;

  • запрет на обработку критически важной информации в публичных облачных сервисах. 

8. Безопасная разработка ПО. При самостоятельной разработке необходимо соблюдать ГОСТ Р 6939-2024. 

9. Работа с подрядчиками. Требуется включение в договоры обязательств по обеспечению безопасности информации, фиксация ответственности внешних организаций за соблюдение требований безопасности при взаимодействии с критическими информационными системами. 

10. Расследование инцидентов. При выявлении инцидентов безопасности организация обязана задокументировать события и результаты расследования, принять меры по локализации, нейтрализации и предотвращению повторного возникновения, включить результаты в отчетность и использовать их для корректировки процессов мониторинга и реагирования на инциденты.

Приказ акцентирует внимание на системном подходе к информационной безопасности и подразумевает не только технические меры, но и организационные процессы, управление рисками и непрерывное совершенствование системы защиты. Выполнение требований по защите информации и подтверждение уровня защищенности банковской системы или приложения при взаимодействии с ГИС – сложная и приоритетная задача. Для ее выполнения необходимы глубокое понимание банковского процесса, архитектуры информационной системы, технологических и программных компонентов, компетенции в оценке их защищенности и внедрение дополнительных средств защиты при их недостаточности.

Когда получать аттестат

При существенных изменениях системы или по окончании срока действия старого аттестата организация обязана проводить аттестацию по новым требованиям Приказа №117. Таким образом, действие ранее выданного аттестата сохраняется в прежнем объеме, но по истечении его срока или модернизации системы требуется новая аттестация в соответствии с актуальными нормами.

Вместо периодической аттестации Приказ №117 вводит требование регулярно оценивать состояние защиты информации по двум показателям – КЗИ и ПЗИ.

Этапы аттестации ФСТЭК России для банковских систем

Почему банкам необходима аттестация при работе со СМЭВ?

Взаимодействие банков с сервисами СМЭВ предполагает обработку персональных данных, сведений о финансовых операциях и другой конфиденциальной информации. Только аттестация по приказу ФСТЭК России гарантирует банкам:

1. Соответствие законодательству. Согласно ч. 8.1 ст. 14 Федерального закона от 27.07.2006 №149-ФЗ, передача данных из государственных информационных систем в иные системы возможна только при подтвержденном уровне защиты.

2. Безопасный обмен данными. Аттестация подтверждает, что информационные системы банка защищены от несанкционированного доступа, утечки данных, а также модификации или уничтожения информации.

3. Доступ к сервисам СМЭВ. Для подключения к СМЭВ банк обязан предоставить подтверждение соответствия требованиям информационной безопасности.

4. Выполнение требований регуляторов. Банк России и ФСТЭК России устанавливают строгие нормы защиты информации. Аттестация подтверждает выполнение требований регуляторов, включая стандарты по защите персональных данных (152-ФЗ) и платежной информации (СТО БР ИББС).

5. Репутацию и доверие клиентов. Наличие аттестата ФСТЭК России демонстрирует клиентам и партнерам высокий уровень информационной безопасности банка.

Этапы аттестации ФСТЭК России для банковских систем

1. Подготовительный этап:

  • анализ текущей инфраструктуры и процессов обработки данных;

  • определение класса защищенности информационной системы;

  • разработка модели угроз и модели нарушителя;

  • проектирование архитектуры защиты с учетом требований ФСТЭК России;

  • выбор сертифицированных средств защиты информации (СЗИ);

  • разработка недостающей организационно-распорядительной документации (политики ИБ, регламенты, инструкции).

2. Проектирование системы защиты.

3. Внедрение мер защиты:

  • установка и настройка сертифицированных СЗИ;

  • настройка прав доступа и разграничение полномочий;

  • внедрение систем мониторинга и реагирования на инциденты.

4. Тестирование и оценка эффективности:

  • проведение испытаний на соответствие требованиям ФСТЭК России;

  • аудит уязвимостей и тестирование на проникновение;

  • корректировка мер защиты при выявлении недостатков.

5. Оформление аттестата:

  • подготовка пакета аттестационных документов;

  • подача заявки в орган аттестации;

  • получение аттестата соответствия сроком действия до 3-х лет.

«Взаимодействие с госорганами»: предложение от компании «Диасофт»

«Диасофт», ведущий российский разработчик программного обеспечения для финансового сектора, уполномочен проводить аттестацию объектов информатизации по требованиям ФСТЭК России. Компания предлагает решение «Взаимодействие с госорганами» (Digital Q.G2B) и комплексное сопровождение процесса аттестации для банков, взаимодействующих с сервисами СМЭВ.

Программные продукты в составе Digital Q.G2B предназначены для автоматизации взаимодействия с госорганами. В их числе:

  • «Взаимодействие с МВД. Проверка действительности паспортов РФ» – позволяет проверить действительность паспорта.

  • «Взаимодействие по 311-П через СМЭВ» – обеспечивает обмен сведениями об открытии, закрытии и изменении счетов (№6622-У, №6951-У) как с ФНС, так и с СФР.

  • «Взаимодействие с ФНС (6952-У)» – предназначен для автоматизации документооборота в рамках контрольных мероприятий (запросы, решения, справки) через СМЭВ.

  • «Взаимодействие с ФНС. Запрос информации об открытии счета за пределами РФ» – позволяет автоматизировать обмен данными в соответствии с указанием Банка России в части поддержки реализации ч. 16 ст. 23 Федерального закона от 10.12.2003 №173-ФЗ, которое вступило в силу с 1 марта 2026 года.

  • «Взаимодействие с ФНП. Подтверждение выдачи денежных средств» – обеспечивает исполнение Приказа Министерства юстиции РФ от 15.11.2024 №338.

  • «Взаимодействие с СФР. Сведения о движении средств по счетам» – автоматизирует обмен данными с СФР в соответствии с требованиями постановления Правительства РФ от 29.12.2025 №2207. Продукт обеспечивает взаимодействие кредитной организации с СФР по виду сведений СМЭВ о движении средств по счетам, открытым в кредитных организациях.

«Диасофт» уже 35 лет разрабатывает ИТ-решения для банков. Специалисты компании обладают глубокими знаниями в области информационной безопасности и нормативной базы ФСТЭК России, а также компетенциями в их практическом применении.

Компания предоставляет полный цикл услуг и сопровождает все этапы аттестации – от анализа и подготовки инфраструктуры информационной системы до получения аттестата соответствия. Кредитной организации не нужно привлекать нескольких подрядчиков: процесс становится задачей «Диасофт», а не головной болью заказчика. Успешное прохождение аттестации в кратчайшие сроки при таком подходе гарантировано. Кроме того, «Диасофт» оказывает поддержку после аттестации: эксперты компании консультируют по вопросам поддержания соответствия и помогают адаптироваться к изменениям в законодательстве.

В портфеле компании – готовые компоненты для защиты информации, интегрируемые с банковскими системами (АБС, CRM, ДБО).

Банк получает возможность сократить сроки и затраты на проведение аттестации благодаря использованию типовых решений и минимизировать расходы на внедрение организационных мер и средств защиты информации. Аттестация, как гарантия соответствия требованиям регуляторов, обеспечивает бесперебойный доступ к сервисам СМЭВ и способствует повышению доверия со стороны клиентов и партнеров.

Оставьте заявку

#взаимодействие с госорганами, #Digital Q.G2B, #СМЭВ

Возврат к списку

+7 (495) 780-7575
+7 (495) 789-9339
info@diasoft.ru
pr@diasoft.ru
О компании Пресс-центр Видеоматериалы Работа со СМИ Мероприятия Карьера Партнеры
Банкам Страховым компаниям и НПФ Инвестиционным компаниям Государственным структурам Инвесторам Обязательное раскрытие информации
Цифровая трансформация Платформы развития Поддержка и сопровождение Импортозамещение Услуги