Аттестация ИС и 152-ФЗ — разработка защищённых систем под требования ФСТЭК, от 800 000 ₽ | Codeum

Защищённые системы: аттестация и 152-ФЗ

Модель угроз до кода, контур по ФСТЭК и комплект к аттестации. Защищённые системы, которые проходят проверку с первого захода.

Стоимость
от 800 000 ₽
Срок
12-20 недель
Связаться
Защищённые системы: аттестация и 152-ФЗ

Цели, которые ставим сайту

1 заход
на прохождение аттестации
100%
мер защиты встроено до релиза
12-20 недель
система + комплект к аттестации
Кейс по теме →

Знакомые проблемы?

Система готова, а аттестации нет: безопасность «прикручивали потом», и теперь переделка на месяцы

152-ФЗ трактуют на глаз: уровень защищённости не определён, меры выбраны наугад

Документация по защите — пачка шаблонов из интернета, не бьющихся с реальной системой

Разработчики и безопасники говорят на разных языках: проект застрял между «работает» и «соответствует»

Защищённые системы: аттестация и 152-ФЗ

Что входит в разработку

M01

Классификация без завышения

УЗ ИСПДн и класс ГИС определяются обоснованно: не занизить — риск, завысить — лишние миллионы на меры

M02

Модель угроз

По методикам ФСТЭК: актуальные угрозы, нарушители, векторы — фундамент всех решений по защите

M03

Защита в архитектуре

Сегментация, разграничение доступа, журналирование, СКЗИ: меры живут в системе с рождения

M04

Сертифицированный стек

Средства защиты из реестров там, где требуется: подбор без избыточности

M05

Документы, а не шаблоны

Политики и регламенты описывают вашу систему: аттестационная комиссия сверяет — и сходится

M06

До аттестата

Лицензиаты ФСТЭК на испытания и аттестацию: координируем процесс до положительного заключения

Как проходит проект

Как проходит проект

  1. 1-3 дня

    Бриф и смета

    Погружаемся в задачу, считаем точную стоимость и сроки

  2. 1-2 недели

    Прототип и дизайн

    Структура, макеты и согласование визуала

  3. 2-6 недель

    Разработка

    Спринты с демо каждую неделю — прогресс виден постоянно

  4. 3-5 дней

    Запуск и поддержка

    Тесты, перенос на боевой сервер, гарантия 6 месяцев

Аттестуется не система — аттестуется система вместе с защитой и документами

Частая катастрофа госпроектов: система разработана, работает, принята — а аттестовать её нельзя. Безопасность собирались «прикрутить потом», и «потом» оказалось перепроектированием на месяцы. Аттестация проверяет триаду: архитектуру защиты, реализованные меры и документацию, бьющуюся с реальностью. Мы строим все три слоя с первого дня. В нашем кейсе госзаказчика система прошла аттестацию с первого захода — после предыдущего подрядчика, сдавшего «работающее», но неаттестуемое.

Классификация и модель угроз: фундамент, который экономит миллионы

Всё начинается с обоснованной классификации: уровень защищённости ИСПДн, класс ГИС. Занизить — риск отказа и ответственности. Завысить «на всякий случай» — лишние миллионы на сертифицированные средства. В отзыве руководителя медицинской ИС пересчёт завышенного уровня вдвое сократил бюджет на СЗИ. Модель угроз по методикам ФСТЭК превращает класс в конкретику: актуальные угрозы, типы нарушителей, векторы. Из неё вырастают все решения по защите — обоснованные, а не «на глаз».

Защита в архитектуре: меры живут в системе с рождения

Требования ФСТЭК ложатся в архитектуру, а не приклеиваются поверх. Сегментация сети и контуров. Разграничение доступа по ролям с идентификацией. Журналирование событий безопасности. Криптозащита каналов и хранения там, где предписана. Сертифицированные средства защиты подбираются из реестров без избыточности — под класс, а не «всё лучшее сразу». Разработчики и безопасники у нас говорят на одном языке, потому что это одна команда.

Документация с натуры: комиссия сверяет — и сходится

Главная причина провалов на аттестации — документы, живущие отдельно от системы. Скачанные шаблоны политик, регламенты «в вакууме», настройки, не совпадающие с описанием. Наш комплект пишется с натуры: акт классификации, модель угроз, техпаспорт, политики, ОРД, инструкции ролей — всё бьётся с реальными настройками. В отзыве начальника отдела ИБ комиссия «открывала регламенты, сверяла — и всё сходилось». Это не удача, это метод работы.

Аттестация, сопровождение и границы честности

Аттестационные испытания проводят лицензиаты ФСТЭК — таково требование закона, и мы работаем с ними в отлаженной связке: готовим систему и комплект, сопровождаем испытания, закрываем замечания до положительного заключения. После аттестата жизнь продолжается: поддержание соответствия при изменениях, переаттестация по срокам, мониторинг. Рядом наш гос-стек: сайты и порталы, ГИС, СМЭВ-интеграции — кейсы в тройке ниже. Защищённые системы — работа для команды, где безопасность не услуга, а способ строить.

Кейс по теме

Отзывы клиентов

Отзывы клиентов

Предыдущий подрядчик сдал «работающую» систему, которую нельзя было аттестовать: ни модели угроз, ни журналирования, ни документов. Эти начали с классификации и модели угроз — аттестацию прошли с первого захода, испытания без замечаний.
Мартиниан В.Директор по ИТ госзаказчика
Уровень защищённости нам изначально завысили «на всякий случай» — предыдущие консультанты. Пересчёт с обоснованием сэкономил бюджет на сертифицированных средствах вдвое. Оказалось, обоснованная классификация — это тоже инженерная работа.
Пульхерия Д.Руководитель проекта, медицинская ИС
Впервые документация бьётся с реальной системой. Комиссия открывала регламенты, сверяла с настройками — и всё сходилось. Обычно это самое слабое место: бумага живёт отдельно от железа. Здесь писали с натуры.
Никандр Ш.Начальник отдела ИБ

FAQ

Вопросы про госзаказы

01Сколько стоит защищённая система с аттестацией?

От 800 000 ₽ за разработку с контуром защиты и комплектом документации, 12-20 недель. Аттестационные испытания оплачиваются лицензиату ФСТЭК отдельно. Итог зависит от класса системы и набора мер. Смета после классификации — её делаем в начале бесплатно.

02Вы сами проводите аттестацию?

Аттестацию проводят лицензиаты ФСТЭК — это законодательное требование. Наша зона: построить систему, которая аттестуется, подготовить комплект документов и сопроводить испытания до положительного заключения. С лицензиатами работаем в связке постоянно, процесс отлажен.

03У нас уже есть система — можно донастроить под аттестацию?

Можно, начинаем с аудита разрыва: что есть, что требуется по классу, где дыры. Иногда достаточно донастройки и документов, иногда нужна доработка архитектуры. Честно скажем после аудита. Хуже всего тянуть: «прикрутить потом» дорожает с каждым месяцем эксплуатации.

04152-ФЗ касается только госсистем?

Нет, любой организации с персональными данными: медицина, образование, финансы, e-commerce. Госсектору добавляются требования к ГИС и аттестация. Коммерческим системам аттестат не всегда обязателен, но выстроенный контур 152-ФЗ — защита от проверок Роскомнадзора и утечек.

05Что входит в комплект документации?

Акт классификации, модель угроз, техпаспорт, политики и регламенты защиты, ОРД, описание системы защиты, инструкции ролей. Ключевое — документы пишутся с натуры и бьются с настройками: комиссия сверяет, и расхождение — главная причина отказов.

Обсудим ваш проект?

Бесплатно оценим задачу и предложим решение в течение дня.

Калькулятор стоимости проекта

Что вам нужно разработать?