Защищённые системы: аттестация и 152-ФЗ
Модель угроз до кода, контур по ФСТЭК и комплект к аттестации. Защищённые системы, которые проходят проверку с первого захода.

Цели, которые ставим сайту
- 1 заход
- на прохождение аттестации
- 100%
- мер защиты встроено до релиза
- 12-20 недель
- система + комплект к аттестации
Знакомые проблемы?
Система готова, а аттестации нет: безопасность «прикручивали потом», и теперь переделка на месяцы
152-ФЗ трактуют на глаз: уровень защищённости не определён, меры выбраны наугад
Документация по защите — пачка шаблонов из интернета, не бьющихся с реальной системой
Разработчики и безопасники говорят на разных языках: проект застрял между «работает» и «соответствует»
Защищённые системы: аттестация и 152-ФЗ
Что входит в разработку
Классификация без завышения
УЗ ИСПДн и класс ГИС определяются обоснованно: не занизить — риск, завысить — лишние миллионы на меры
Модель угроз
По методикам ФСТЭК: актуальные угрозы, нарушители, векторы — фундамент всех решений по защите
Защита в архитектуре
Сегментация, разграничение доступа, журналирование, СКЗИ: меры живут в системе с рождения
Сертифицированный стек
Средства защиты из реестров там, где требуется: подбор без избыточности
Документы, а не шаблоны
Политики и регламенты описывают вашу систему: аттестационная комиссия сверяет — и сходится
До аттестата
Лицензиаты ФСТЭК на испытания и аттестацию: координируем процесс до положительного заключения
Как проходит проект
Как проходит проект
- 1-3 дня
Бриф и смета
Погружаемся в задачу, считаем точную стоимость и сроки
- 1-2 недели
Прототип и дизайн
Структура, макеты и согласование визуала
- 2-6 недель
Разработка
Спринты с демо каждую неделю — прогресс виден постоянно
- 3-5 дней
Запуск и поддержка
Тесты, перенос на боевой сервер, гарантия 6 месяцев
Аттестуется не система — аттестуется система вместе с защитой и документами
Частая катастрофа госпроектов: система разработана, работает, принята — а аттестовать её нельзя. Безопасность собирались «прикрутить потом», и «потом» оказалось перепроектированием на месяцы. Аттестация проверяет триаду: архитектуру защиты, реализованные меры и документацию, бьющуюся с реальностью. Мы строим все три слоя с первого дня. В нашем кейсе госзаказчика система прошла аттестацию с первого захода — после предыдущего подрядчика, сдавшего «работающее», но неаттестуемое.
Классификация и модель угроз: фундамент, который экономит миллионы
Всё начинается с обоснованной классификации: уровень защищённости ИСПДн, класс ГИС. Занизить — риск отказа и ответственности. Завысить «на всякий случай» — лишние миллионы на сертифицированные средства. В отзыве руководителя медицинской ИС пересчёт завышенного уровня вдвое сократил бюджет на СЗИ. Модель угроз по методикам ФСТЭК превращает класс в конкретику: актуальные угрозы, типы нарушителей, векторы. Из неё вырастают все решения по защите — обоснованные, а не «на глаз».
Защита в архитектуре: меры живут в системе с рождения
Требования ФСТЭК ложатся в архитектуру, а не приклеиваются поверх. Сегментация сети и контуров. Разграничение доступа по ролям с идентификацией. Журналирование событий безопасности. Криптозащита каналов и хранения там, где предписана. Сертифицированные средства защиты подбираются из реестров без избыточности — под класс, а не «всё лучшее сразу». Разработчики и безопасники у нас говорят на одном языке, потому что это одна команда.
Документация с натуры: комиссия сверяет — и сходится
Главная причина провалов на аттестации — документы, живущие отдельно от системы. Скачанные шаблоны политик, регламенты «в вакууме», настройки, не совпадающие с описанием. Наш комплект пишется с натуры: акт классификации, модель угроз, техпаспорт, политики, ОРД, инструкции ролей — всё бьётся с реальными настройками. В отзыве начальника отдела ИБ комиссия «открывала регламенты, сверяла — и всё сходилось». Это не удача, это метод работы.
Аттестация, сопровождение и границы честности
Аттестационные испытания проводят лицензиаты ФСТЭК — таково требование закона, и мы работаем с ними в отлаженной связке: готовим систему и комплект, сопровождаем испытания, закрываем замечания до положительного заключения. После аттестата жизнь продолжается: поддержание соответствия при изменениях, переаттестация по срокам, мониторинг. Рядом наш гос-стек: сайты и порталы, ГИС, СМЭВ-интеграции — кейсы в тройке ниже. Защищённые системы — работа для команды, где безопасность не услуга, а способ строить.
Кейс по теме
Отзывы клиентов
Отзывы клиентов
Предыдущий подрядчик сдал «работающую» систему, которую нельзя было аттестовать: ни модели угроз, ни журналирования, ни документов. Эти начали с классификации и модели угроз — аттестацию прошли с первого захода, испытания без замечаний.
Уровень защищённости нам изначально завысили «на всякий случай» — предыдущие консультанты. Пересчёт с обоснованием сэкономил бюджет на сертифицированных средствах вдвое. Оказалось, обоснованная классификация — это тоже инженерная работа.
Впервые документация бьётся с реальной системой. Комиссия открывала регламенты, сверяла с настройками — и всё сходилось. Обычно это самое слабое место: бумага живёт отдельно от железа. Здесь писали с натуры.
Смежные решения
Смежные решения
Разработка сайта по 44-ФЗ и 223-ФЗ
Сайты и порталы по госконтрактам. Строгое соответствие ТЗ, требования ФСТЭК и 152-ФЗ, документация по ГОСТ и приёмка без нервов.
Разработка портала для госоргана
Вход через Госуслуги, электронные услуги со статусами и архитектура под пиковый день. Портал, который сдаётся с первого раза.
Интеграция со СМЭВ
Виды сведений, адаптер с разбором отказов и согласования на нас. Межведомственные запросы за минуты вместо писем за недели.
FAQ
Вопросы про госзаказы
01Сколько стоит защищённая система с аттестацией?
От 800 000 ₽ за разработку с контуром защиты и комплектом документации, 12-20 недель. Аттестационные испытания оплачиваются лицензиату ФСТЭК отдельно. Итог зависит от класса системы и набора мер. Смета после классификации — её делаем в начале бесплатно.
02Вы сами проводите аттестацию?
Аттестацию проводят лицензиаты ФСТЭК — это законодательное требование. Наша зона: построить систему, которая аттестуется, подготовить комплект документов и сопроводить испытания до положительного заключения. С лицензиатами работаем в связке постоянно, процесс отлажен.
03У нас уже есть система — можно донастроить под аттестацию?
Можно, начинаем с аудита разрыва: что есть, что требуется по классу, где дыры. Иногда достаточно донастройки и документов, иногда нужна доработка архитектуры. Честно скажем после аудита. Хуже всего тянуть: «прикрутить потом» дорожает с каждым месяцем эксплуатации.
04152-ФЗ касается только госсистем?
Нет, любой организации с персональными данными: медицина, образование, финансы, e-commerce. Госсектору добавляются требования к ГИС и аттестация. Коммерческим системам аттестат не всегда обязателен, но выстроенный контур 152-ФЗ — защита от проверок Роскомнадзора и утечек.
05Что входит в комплект документации?
Акт классификации, модель угроз, техпаспорт, политики и регламенты защиты, ОРД, описание системы защиты, инструкции ролей. Ключевое — документы пишутся с натуры и бьются с настройками: комиссия сверяет, и расхождение — главная причина отказов.
Обсудим ваш проект?
Бесплатно оценим задачу и предложим решение в течение дня.


