Единая система идентификации и аутентификации (ЕСИА) и Система межведомственного электронного взаимодействия (СМЭВ) — представляют собой ключевые инструменты обеспечения цифровизации в органах исполнительной власти Российской Федерации. ЕСИА обеспечивает идентификацию и аутентификацию пользователей, а СМЭВ — обмен данными между государственными и муниципальными органами, а также с организациями, предоставляющими государственные услуги. Подключение к этим системам требует строгого соблюдения требований в области защиты информации с целью защиты данных и обеспечения надёжности взаимодействия.
В конце 2025 года требования к информационной безопасности (ИБ) при подключении к ЕСИА и СМЭВ значительно ужесточились, что в ряде случаев затруднило продолжение электронного документооборота. Эти изменения были направлены на повышение защиты данных и соответствие современным стандартам безопасности, но потребовали от организаций существенной адаптации инфраструктуры и процессов.
Основные нормативные документы:- и (актуальные версии на 25.12.2025 г.).
- «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия».
- «Об организации предоставления государственных и муниципальных услуг».
- , регулирующие использование электронной подписи.
Общие меры обеспечения ИБ для интеграции с ЕСИА и СМЭВ
Существует ряд общих требований, предъявляемых к организациям для подключения к ЕСИА и СМЭВ, таких как:
- Оценка влияния на СКЗИ. При использовании собственного технического решения, которое может повлиять на работу средств криптографической защиты информации (СКЗИ), требуется провести процедуру оценки влияния на СКЗИ с привлечением аккредитованных лабораторий.
- Тестирование в защищённой среде. Перед подключением к промышленной среде проводится тестирование в тестовой среде (например, в «песочнице»).
- Управление доступом. Реализация матриц доступа и контроль полномочий пользователей.
Далее будут представлены отдельные требования для каждой из рассматриваемых систем.
Требования к информационной безопасности для взаимодействия с ЕСИА:
- Использование сертифицированных СКЗИ. Средства криптографической защиты информации должны быть сертифицированы ФСБ по классу не ниже КС3, все СЗИ должны быть сертифицированы ФСТЭК по уровню доверия не ниже 5.
- Информационные системы должны пройти аттестацию по требованиям информационной безопасности, в том числе на соответствие уровню защищённости персональных данных УЗ.3 и выше.
- Подключение и взаимодействие через шлюзовой модуль API Gateway.
- Поддержка OpenID Connect. С 31 декабря 2026 года необходимо реализовать поддержку OpenID Connect с подтверждением соответствия требованиям ФСБ (пройти оценку влияния на СКЗИ).
- Квалифицированная ЭП юридического лица. С 1 июля 2025 года для автоматического создания электронных подписей в ЕСИА требуется квалифицированный сертификат только на юридическое лицо (обезличенная ЭП).
- В техническом решении должны применяться средства антивирусной защиты, прошедшие процедуру оценки соответствия требованиям по информационной безопасности в порядке, установленном законодательством Российской Федерации по требованиям ФСТЭК России или ФСБ России, с учетом уточнений изложенных в эксплуатационной документации на СКЗИ и СЭП.
- Кредитным организациям необходимо выполнять требования к обеспечению защиты информации в соответствии с требованиями следующих нормативных актов Банка России:
Требования к ИБ при подключении к СМЭВ
Для работы со СМЭВ необходимо:
- Обеспечить защищённый канал связи. Каналы связи на участке взаимодействия «ЕСИА-ВИС», выходящие за пределы контролируемых зон участников взаимодействия, должны быть защищены с помощью сертифицированных средств криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ. Получить квалифицированную ЭП. Для аутентификации в СМЭВ требуется усиленная квалифицированная электронная подпись от аккредитованного УЦ.
- Соблюдать требования ФСТЭК и ФСБ. Система должна соответствовать требованиям безопасности, особенно при работе с конфиденциальной информацией.
- Использовать актуальные форматы и протоколы. Например, в СМЭВ 3 обмен осуществляется через SOAP-сообщения с использованием формата XML, каждое из которых содержит обязательную цифровую подпись.
Практические рекомендации по реализации требований
- Использование типовых решений. Например, «Типовое решение ЕСИА» позволяет снизить затраты на разработку собственного ПО и пройти необходимые процедуры оценки.
- Интеграция с сертифицированными решениями. Можно использовать продукты, уже соответствующие требованиям регуляторов (например, ViPNet EDI от «ИнфоТеКС» для работы со СМЭВ и ЕСИА).
- Регулярное обновление ПО и сертификатов. Необходимо следить за изменениями в требованиях и своевременно обновлять используемые технологии и сертификаты.
- Обучение персонала. Подготовка сотрудников, ответственных за настройку и поддержку интеграции, с учётом актуальных требований ИБ.
Заключение
Взаимодействие с ЕСИА и СМЭВ — неотъемлемый элемент современной цифровой инфраструктуры государственного управления в России. Эти системы задают высокие стандарты безопасности и технологического соответствия, превращая интеграцию в серьёзный вызов для организаций.
Изменения в требованиях к ИБ для ЕСИА и СМЭВ в конце 2025 года были направлены на повышение безопасности государственного электронного взаимодействия. Однако их реализация создала значительные трудности для организаций, особенно для тех, чьи информационные системы не соответствовали новым стандартам. Это привело к приостановке электронного документооборота, необходимости срочной модернизации инфраструктуры и увеличению затрат на обеспечение соответствия требованиям. Для минимизации подобных ситуаций в будущем организациям рекомендуется заранее планировать обновление ИТ-систем и активно использовать типовые решения, которые могут упростить процесс адаптации к новым регламентам (например, шлюзовые модули).
