19 | Июля | 2026

ЕСИА ЧЕРЕЗ ГОСТ: ЧТО МЕНЯЕТ СВЯЗКА ROOX И «ИНФОТЕКС ИНТЕРНЕТ ТРАСТ»

Криптозащита
RooX (платформа управления доступом и идентификацией) и «Инфотекс Интернет Траст» (удостоверяющий центр и разработчик СКЗИ) объявили о совместном решении для защищённого подключения к ЕСИА. Связка затрагивает всех, кто строит государственные информационные системы и обязан проходить аттестацию по требованиям ФСТЭК и ФСБ. Разбираем, что именно даёт интеграция, где она снимает архитектурные противоречия и какие вопросы перед внедрением стоит задать заранее.

Главное

RooX UIDM и инфраструктура «Инфотекс Интернет Траст» теперь работают в единой схеме аутентификации при подключении к ЕСИА. Пользователь проходит идентификацию через квалифицированную электронную подпись по ГОСТ, а IAM-платформа управляет сессией и правами доступа. Для ГИС, где требуется аттестация по 17-му приказу ФСТЭК, это закрывает один из самых болезненных архитектурных узлов — стык между управлением доступом и криптографическим подтверждением личности.

Что произошло

RooX — российская платформа класса CIAM/IAM, обеспечивающая управление идентификацией, единый вход и многофакторную аутентификацию. «Инфотекс Интернет Траст» — аккредитованный удостоверяющий центр, работающий на базе российской криптографии (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). Компании объявили о технологическом партнёрстве: их продукты прошли совместное тестирование и подтвердили совместимость при сценарии входа через ЕСИА с использованием квалифицированной электронной подписи.

На практике это означает следующее: пользователь системы, подключённой к ЕСИА, может подтвердить личность с помощью КЭП, выданной «Инфотекс Интернет Траст», а RooX UIDM берёт на себя оркестрацию всего потока аутентификации — от инициации запроса до выдачи токена доступа. Криптографический слой остаётся российским и сертифицированным, управленческий слой — гибким и программируемым.

Почему это важно

Требование использовать отечественную криптографию при работе с ЕСИА закреплено в методических рекомендациях Минцифры и согласуется с приказами ФСБ России, регулирующими применение СКЗИ в государственных системах. Одновременно 17-й приказ ФСТЭК обязывает ГИС проходить аттестацию, и один из неизменных вопросов аттестационной комиссии — как реализована аутентификация пользователей и на каком криптографическом основании она построена.

До сих пор организации нередко решали эту задачу «в лоб»: отдельно настраивали интеграцию с ЕСИА, отдельно внедряли СКЗИ, отдельно выстраивали управление доступом — и получали три несвязанных подсистемы, которые сложно сопровождать и ещё сложнее аттестовывать как единое целое. Совместное решение RooX и «Инфотекс Интернет Траст» предлагает архитектуру, в которой эти три слоя проектировались вместе и проверены на совместимость заранее.

Для закупщиков в госсекторе это имеет прямое значение: оба продукта присутствуют в реестре российского ПО Минцифры, что снимает риски при формировании технического задания по ППРФ 1236 и при обосновании невозможности закупки иностранного аналога. Интеграция между ними — не самостоятельная закупочная позиция, а подтверждённая совместимость двух реестровых продуктов, что упрощает позицию заказчика перед регулятором.

Где схема работает, а где требует уточнений

Связка закрывает типовой сценарий: сотрудник или гражданин входит в ГИС через ЕСИА, используя КЭП. Это покрывает большую часть случаев в региональных и федеральных системах, где ЕСИА выступает провайдером идентификации.

Вместе с тем стоит проверить несколько граничных условий перед тем, как закладывать связку в проектную документацию:

  • Класс защиты системы. Если ГИС относится к классу К1 или система обрабатывает сведения, составляющие государственную тайну, требования к СКЗИ существенно жёстче. Для таких случаев нужна отдельная оценка применимости конкретных сертифицированных компонентов.
  • Объекты КИИ. Для значимых объектов КИИ (187-ФЗ) требования к средствам защиты определяются приказами ФСБ и ФСТЭК в связке — убедитесь, что используемые СКЗИ имеют нужный класс и актуальный сертификат соответствия.
  • Сценарии без КЭП. Если часть пользователей будет входить через ЕСИА по логину/паролю или через биометрию, криптографический слой «Инфотекс Интернет Траст» в этих потоках не задействован — управление доступом остаётся за RooX, но сертификационная картина для аттестации будет иной.
  • Действующий сертификат УЦ. При формировании требований убедитесь, что удостоверяющий центр аккредитован на момент выдачи сертификатов пользователям. Аккредитация по 63-ФЗ периодически продлевается — статус нужно проверять на актуальную дату.

Что делать заказчику

  • Проверить, входит ли ЕСИА в текущую или планируемую архитектуру ГИС. Если система обязана использовать ЕСИА для идентификации граждан или сотрудников, связка RooX + ИИТ закрывает стандартный сценарий без дополнительной интеграционной работы.
  • Запросить у вендоров актуальные сертификаты СКЗИ и документы на аттестацию совместного решения, если таковая проводилась. Это ускорит прохождение собственной аттестации ГИС.
  • Оценить, какие сценарии аутентификации используются в системе помимо КЭП, — и убедиться, что для каждого из них выбран сертифицированный механизм.
  • При подготовке технического задания зафиксировать требование к реестровому ПО (ППРФ 1236) и указать конкретные ОКПД2-коды для IAM-платформы и СКЗИ — это снизит риск переторжки по критерию «аналог из реестра».
  • Если система относится к КИИ или обрабатывает ПДн выше второй категории, проконсультироваться с лицензиатом ФСБ до финализации архитектуры — требования к классу СКЗИ в таких случаях определяются индивидуально.

Связанные продукты

Если в контуре системы требуется не только криптография на уровне аутентификации, но и доверенная загрузка рабочих мест — особенно актуально для АРМ операторов ГИС с классом К1 — стоит рассмотреть аппаратные модули доверенной загрузки. КРИПТОН-ЗАМОК/У (М-526Б) и КРИПТОН-ЗАМОК/Е (М-526Е1) сертифицированы ФСТЭК по классу 1Б и обеспечивают контроль целостности среды до загрузки ОС. В связке с сертифицированными СКЗИ они закрывают требования к доверенной вычислительной среде, которые часто фигурируют в технических заданиях на аттестацию ГИС высоких классов защиты.

Для рабочих мест с форм-фактором Mini PCI-E предусмотрена модификация КРИПТОН-ЗАМОК/mini — подходит для встраиваемых АРМ и компактных рабочих станций.

Источник

Полный текст · Cnews — Новости IT