Представьте: ваша команда два месяца готовила техническое предложение, прошли все согласования, цена устроила заказчика. И тут на финальном этапе выясняется — нужен сертификат ФСТЭК на CRM-систему. Которого у вас, конечно, нет. Контракт уходит конкуренту с «правильной» бумагой, хотя их решение объективно слабее.
Эта история повторяется в госсекторе снова и снова. Одни компании теряют выгодные контракты из-за формальных требований. Другие, наоборот, строят на сертификации конкурентное преимущество и методично забирают тендер за тендером.
Ниже — короткий практичный разбор: что на самом деле стоит за аббревиатурой ФСТЭК, кому сертификация действительно необходима (спойлер: далеко не всем), а кто переплачивает за ненужный «госштамп». И главное — как выбрать защищённую CRM, если работа с государственными заказчиками входит в ваши планы.
Что такое сертификация ФСТЭК простым языком
ФСТЭК России — Федеральная служба по техническому и экспортному контролю. Название звучит сухо и бюрократично, но за ним стоит вполне понятная функция: это государственный орган, который следит за тем, чтобы информация в госструктурах и на критически важных объектах была защищена от утечек и взломов.
Когда говорят «CRM сертифицирована ФСТЭК», это значит, что независимая аккредитованная лаборатория разобрала программу буквально по винтикам: изучила исходный код, проверила механизмы защиты, убедилась, что нет скрытых «закладок» или уязвимостей. Проще говоря — государственный знак качества в области информационной безопасности.
Что конкретно подтверждает сертификат:
- Программа прошла глубокую независимую экспертизу — не поверхностный аудит, а реальный анализ кода
- В ней нет недекларированных возможностей: никаких скрытых функций, бэкдоров или «служебных» входов для разработчиков
- Механизмы защиты (шифрование, контроль доступа, логирование) работают так, как заявлено
- ПО можно легально использовать для работы с информацией ограниченного доступа — той, которую нельзя доверить «просто хорошему» софту
Почему сертифицированных CRM на рынке мало? Всё просто: процесс сертификации занимает от полугода до двух лет и обходится вендору в несколько миллионов рублей. При этом сертификат выдаётся на конкретную версию — выпустили обновление, и нужно проходить проверку заново. Не каждый разработчик готов к таким затратам, особенно если его основная аудитория — коммерческие компании, которым сертификат не нужен.
Кому нужна сертификация ФСТЭК
Здесь начинается самое интересное — и самое важное для принятия решений. Сертификация ФСТЭК обязательна далеко не для всех. Многие компании переплачивают за «госверсии» софта, хотя могли бы спокойно работать с обычными решениями. Ниже — сценарии, где без сертификата действительно не обойтись.
Государственные организации
Если вы министерство, ведомство, госкорпорация или муниципальный орган — вопросов нет, сертифицированное ПО обязательно. Для государственных информационных систем (ГИС) это прямое требование закона. Здесь не обойтись отговорками вроде «мы используем надёжное решение» — нужна именно бумага с печатью.
Работа с гостайной
Оборонная промышленность, спецслужбы, определённые категории госзакупок — если CRM будет обрабатывать сведения, составляющие государственную тайну, сертификат обязателен без вариантов. Причём здесь нужен не просто сертификат, а сертификат определённого класса защиты.
Критическая информационная инфраструктура
Согласно 187-ФЗ, объекты КИИ — энергетика, транспорт, связь, банки, здравоохранение — обязаны использовать сертифицированные средства защиты. Если ваша CRM работает в контуре такого объекта и обрабатывает его данные, готовьтесь к требованиям регулятора.
Подрядчики госсектора
Вот тут много нюансов. Если вы работаете по госконтракту и обрабатываете данные заказчика в своей системе — требование сертификации может быть (а может и не быть) в условиях контракта. Внимательно читайте техническое задание перед участием в тендере.
А вот кому сертификация точно НЕ нужна:
Обычным коммерческим компаниям, которые не работают с госсектором, гостайной или КИИ. Частая ошибка — думать, что сертификат ФСТЭК нужен для соответствия 152-ФЗ о персональных данных. Это не так. Для выполнения требований закона о персданных достаточно реализовать организационные и технические меры защиты — сертификат на софт для этого не требуется.
Если ваши клиенты — обычные компании и физлица, если вы не претендуете на госконтракты и не входите в периметр КИИ — сэкономьте деньги и выбирайте CRM по функциональности, а не по наличию сертификата.
Уровни сертификации и что они означают
Не все сертификаты одинаковы. ФСТЭК классифицирует программное обеспечение по уровням защищённости, и разница между ними — существенная. Понимание этой градации поможет не переплатить за избыточную защиту и не нарваться на проблемы из-за недостаточной.
Логика простая: чем более секретную информацию вы обрабатываете, тем выше должен быть класс защиты. И тем дороже будет стоить сертифицированное решение.
| Класс защиты | Что можно обрабатывать | Типичное применение |
|---|---|---|
| 4 класс | Общедоступная информация | Публичные порталы госорганов, открытые данные. Самый базовый уровень — фактически подтверждение, что софт не содержит явных дыр в безопасности. |
| 3 класс | Конфиденциальная информация | Персональные данные граждан, коммерческая тайна подрядчиков. Большинство CRM для госсектора сертифицированы именно на этот уровень — он покрывает типичные сценарии работы с клиентами. |
| 2 класс | Информация ограниченного доступа | Служебная тайна, документы с грифом ДСП (для служебного пользования). Серьёзный уровень с жёсткими требованиями к аудиту и контролю доступа. |
| 1 класс | Государственная тайна | Секретно, совершенно секретно. Отдельная вселенная с особыми требованиями, выделенными контурами и специальными режимами эксплуатации. |
Помимо класса защиты, в сертификате указывается соответствие дополнительным требованиям. Чаще всего встречаются три категории:
- НДВ (недекларированные возможности): подтверждает, что в коде нет скрытых функций, «закладок» или бэкдоров. Для работы с госданными — критично.
- СВТ (средства вычислительной техники): требования к «железу», на котором будет работать система. Иногда сертификат действителен только при установке на определённое оборудование.
- МЭ (межсетевые экраны): если CRM включает функции фильтрации сетевого трафика, они тоже должны соответствовать требованиям.
На практике для большинства CRM-задач в госсекторе достаточно 3-го класса защиты с проверкой на НДВ. Но точные требования всегда указаны в документации к конкретному тендеру — не угадывайте, читайте ТЗ.
Как проверить наличие сертификата у CRM
«Наша CRM сертифицирована ФСТЭК» — эту фразу можно встретить на сайтах десятков вендоров. Проблема в том, что она не всегда означает то, что вы думаете. Иногда это правда, иногда — лукавство, а иногда — откровенный маркетинговый обман. Вот как отличить одно от другого.
Шаг 1: Проверьте официальный реестр ФСТЭК
На сайте ФСТЭК России есть публичный реестр всех сертифицированных средств защиты информации. Зайдите туда и введите название продукта или компании-разработчика. Если CRM действительно сертифицирована — она там будет.
На что обратить внимание: номер сертификата, срок его действия (сертификаты не бессрочные!), класс защиты и — очень важно — версия ПО, на которую выдан сертификат.
Шаг 2: Запросите у вендора копию сертификата
Любой добросовестный вендор предоставит копию по первому запросу — это документ публичный, скрывать нечего. Сверьте номер с реестром, проверьте даты.
Важный момент: сертификат выдаётся на конкретную версию программы. Если вам предлагают CRM версии 3.5, а сертификат — на версию 2.8, это не одно и то же. Юридически версия 3.5 не сертифицирована.
Шаг 3: Уточните условия поставки
Здесь кроется ещё один подводный камень. У многих вендоров сертифицированная версия — это отдельный продукт, который отличается от коммерческой версии. Иногда — только наличием документации. Иногда — урезанной функциональностью.
Задайте прямой вопрос: «Это та же сборка, что продаётся коммерческим клиентам, или специальная госверсия? Какие функции в ней доступны, а какие — нет?»
Три маркетинговые уловки, на которые не стоит вестись:
«Соответствует требованиям ФСТЭК» — красивая формулировка, которая ничего не значит. Соответствовать требованиям и иметь сертификат — разные вещи. Без бумаги это просто слова.
«В процессе сертификации» — может быть правдой, а может тянуться годами. Процесс долгий, и нет гарантии, что он завершится успешно. Пока нет сертификата в реестре — считайте, что его нет.
«Платформа сертифицирована» — иногда вендор CRM работает на базе сертифицированной платформы (например, 1С), но сама CRM-надстройка проверку не проходила. Уточняйте, на что именно выдан сертификат.
Альтернативы: аттестация vs сертификация
Вот важный момент, который многие упускают: сертификат на ПО — не единственный способ соответствовать требованиям регуляторов. Есть альтернатива — аттестация информационной системы. И для многих сценариев она подходит лучше.
В чём разница? Сертификация — это проверка самой программы, её кода и механизмов защиты. Аттестация — это проверка всей вашей информационной системы целиком: серверов, сети, политик доступа, организационных мер. CRM в этом случае — лишь один из компонентов.
| Параметр | Сертификация ПО | Аттестация системы |
|---|---|---|
| Что проверяется | Само программное обеспечение — код, архитектура, механизмы защиты | Вся информационная система: железо, софт, сеть, процессы, люди |
| Кто проводит | Аккредитованная испытательная лаборатория (их в России немного) | Организация с лицензией ФСТЭК на аттестационную деятельность |
| Стоимость | От 3-5 млн рублей — и это затраты вендора, которые он закладывает в цену лицензий | От 200-500 тысяч рублей — платит конкретный заказчик за свою систему |
| Срок | От 6 месяцев до 2 лет — процесс долгий и непредсказуемый | 1-3 месяца — вполне реалистичный срок для типового проекта |
| Когда подходит | Вендору, который хочет продавать массовый продукт госсектору | Заказчику, которому нужно защитить конкретное внедрение |
Практический вывод: если ваш заказчик требует «защищённую CRM», не спешите искать сертифицированное решение. Уточните, что именно требуется — сертификат на ПО или аттестат на систему. Во втором случае вы можете использовать практически любую CRM, дополнив её необходимыми средствами защиты и пройдя аттестацию. Это быстрее, дешевле и даёт больше гибкости в выборе функциональности.
Обзор сертифицированных CRM на рынке
Выбор сертифицированных CRM-систем на российском рынке, прямо скажем, невелик. Это объяснимо: сертификация — дорогой и долгий процесс, и не все вендоры видят в нём смысл. Но несколько достойных вариантов всё же есть. Разберём их честно, без рекламных преувеличений.
1С:CRM
Самый распространённый вариант для госсектора. Платформа 1С:Предприятие имеет действующий сертификат ФСТЭК, и CRM-решения на её базе автоматически попадают под эту защиту. Огромное преимущество — тысячи специалистов по всей стране, которые умеют с ней работать.
Обратная сторона медали — внедрение 1С редко бывает простым и быстрым. Готовьтесь к настройке под себя и обучению персонала. Интерфейс... ну, он функциональный, но не назовёшь его современным.
Naumen CRM
Российская разработка, которая исторически сильна в телекоме и госсекторе. Имеет действующий сертификат ФСТЭК и солидный опыт внедрений в крупных организациях. Особенно хороша для тех, кому нужен полноценный контакт-центр вместе с CRM.
Из минусов — высокая стоимость владения. Это enterprise-решение со всеми вытекающими: сложное лицензирование, дорогая поддержка, серьёзные требования к инфраструктуре.
ELMA CRM
Изначально это BPM-платформа (управление бизнес-процессами), к которой добавили CRM-функциональность. Есть сертифицированные версии для госсектора. Главный козырь — гибкость: можно настроить практически любой процесс без программирования.
Но эта же гибкость — и слабость: без грамотного проектирования легко получить хаос вместо порядка. ELMA требует вдумчивого подхода к внедрению и понимания, чего вы хотите от системы.
Террасофт (Creatio)
Российская версия известной low-code платформы. Активно движется в сторону госсектора и работает над сертификацией. Интерфейс действительно современный и приятный — редкость для сертифицированных решений.
Важный момент: перед принятием решения обязательно уточните текущий статус сертификата. Информация на сайтах вендоров не всегда актуальна — проверяйте в реестре ФСТЭК.
Почему нельзя полагаться на информацию из статей (включая эту)
Статус сертификации — вещь изменчивая. Сертификаты имеют срок действия, могут быть приостановлены или отозваны. Вендоры выпускают новые версии, на которые старый сертификат не распространяется. Прежде чем принимать решение о покупке, всегда проверяйте актуальную информацию в официальном реестре ФСТЭК. То, что было верно полгода назад, может быть неактуально сегодня.
Что делать, если нужна сертифицированная CRM
Допустим, вы определились: вам действительно нужна сертифицированная CRM, не аттестация системы, а именно сертификат на софт. С чего начать поиск? Вот пошаговый алгоритм, который поможет не потратить месяцы на хождение по кругу.
Алгоритм выбора сертифицированной CRM:
- Определите требуемый класс защиты. Это первый и главный вопрос. Какую информацию будет обрабатывать CRM? Какой класс присвоен вашей ГИС? От ответа зависит весь дальнейший выбор — нет смысла рассматривать CRM 4-го класса, если вам нужен 2-й.
- Сформулируйте бизнес-требования. Какие функции CRM критичны для вашей работы? Воронка продаж? Интеграция с телефонией? Аналитика? Мобильный доступ? Составьте список must-have и nice-to-have — он понадобится для сравнения вариантов.
- Изучите реестр ФСТЭК. Отфильтруйте CRM-системы, сертифицированные под ваш класс защиты. Список будет коротким — это нормально. Проверьте сроки действия сертификатов.
- Запросите документацию у вендоров. Вам нужны: копия сертификата, эксплуатационная документация (она отличается от обычных мануалов), условия технической поддержки для сертифицированных версий.
- Посчитайте полную стоимость владения. Не только лицензии, но и внедрение, обучение, техподдержку, обновления. Сертифицированные версии обычно дороже коммерческих на 20-50%, а обновления выходят реже и стоят отдельных денег.
- Проведите пилотный проект. Прежде чем подписывать контракт, протестируйте систему на реальных данных и процессах. Госзакупки — длинный цикл, и ошибка на этапе выбора обойдётся дорого.
Особенности работы с сертифицированным ПО
Сертифицированная CRM — это не просто «обычная CRM с бумажкой». Это другой режим эксплуатации с определёнными ограничениями, к которым нужно быть готовым. Честно расскажу о плюсах и минусах, чтобы вы понимали, на что подписываетесь.
С чем придётся мириться:
- Медленные обновления. Новую версию нельзя просто накатить — она должна пройти повторную сертификацию. Пока ваши конкуренты получают свежие фичи, вы ждёте.
- Запрет на кастомизацию кода. Любое изменение исходного кода аннулирует сертификат. Настройка — только через штатные механизмы.
- Ограниченные интеграции. Не все сторонние сервисы можно подключить без риска для безопасности.
- Более высокая стоимость. Лицензии, поддержка, обновления — всё дороже, чем у коммерческих версий.
Что получаете взамен:
- Доступ к госконтрактам. Это главный и часто единственный аргумент. Без сертификата — никаких шансов.
- Подтверждённая безопасность. Не просто слова вендора, а заключение независимой лаборатории и гарантия государства.
- Документированные процедуры. Всё прописано: как устанавливать, как настраивать, как эксплуатировать. Для аудитов — находка.
- Специализированная поддержка. Вендор обязан помогать с вопросами безопасности, а не отмахиваться фразой «мы не отвечаем за такое».
Вывод прост: сертификация — это компромисс между гибкостью и возможностью работать с госсектором. Если госконтракты критичны для бизнеса, ограничения — приемлемая цена. Если же госсектор — лишь один из каналов, подумайте, стоит ли игра свеч.
Как мы работаем с требованиями безопасности
Будем честны: на текущий момент наша CRM не имеет сертификата ФСТЭК. Но мы целенаправленно движемся в этом направлении и уже сейчас реализовали ключевые механизмы защиты:
- Все данные хранятся на серверах в России и не покидают территорию РФ — это базовое требование для работы с персональными данными
- Архитектура безопасности уже включает шифрование данных, полный аудит действий пользователей и ролевую модель доступа (RBAC)
- Мы активно работаем над сертификацией — это в нашей дорожной карте на ближайший период
Если вам нужна CRM для работы с госзаказчиками прямо сейчас, мы можем помочь с аттестацией информационной системы — это альтернативный путь, который мы описали выше. Давайте обсудим ваш конкретный случай.
Обсудить наш случайЧек-лист: готовы ли вы к работе с госсектором
Если вы только планируете выход на госзаказчиков — вот практический чек-лист для самопроверки. Пройдитесь по пунктам до того, как подавать заявку на первый тендер, чтобы не столкнуться с неприятными сюрпризами на финишной прямой.
- ☐ Разобраться с требованиями. Проанализируйте 3-5 типичных тендеров в вашей нише. Смотрите техзадания: требуют ли там сертификат ФСТЭК на ПО или достаточно аттестации системы?
- ☐ Определить класс защиты. Какая информация будет обрабатываться? Персональные данные граждан, служебная тайна, что-то ещё? От этого зависит требуемый класс.
- ☐ Составить shortlist CRM. Откройте реестр ФСТЭК и выберите 2-3 сертифицированных варианта, которые подходят по функциональности и классу защиты.
- ☐ Заложить адекватный бюджет. Сертифицированные версии стоят дороже. Добавьте 20-50% к стоимости обычных лицензий + затраты на внедрение под требования безопасности.
- ☐ Найти правильного интегратора. Внедрение сертифицированного ПО — отдельная компетенция. Ищите подрядчика с реальным опытом в госсекторе, а не просто знакомых айтишников.
- ☐ Подготовиться к аттестации. Даже с сертифицированной CRM вам понадобится аттестат на информационную систему. Это отдельный проект со своим бюджетом и сроками.
- ☐ Заложить время. Госсектор работает в своём ритме. Согласования, экспертизы, комиссии — всё это занимает время. Типичный цикл от решения до запуска — от 6 месяцев.
Частые вопросы
Собрал ответы на вопросы, которые чаще всего возникают у тех, кто впервые сталкивается с темой сертификации ФСТЭК.
Итоги по делу
Вокруг сертификации ФСТЭК много мифов. Одни уверены, что она нужна всем, кто работает с персональными данными — это не так. Другие думают, что это формальность, которую можно обойти — тоже мимо, если речь о госсекторе. Вот что важно запомнить:
Сертификация реально нужна для работы с государственными информационными системами, объектами критической инфраструктуры и информацией, составляющей гостайну. Это не прихоть, а требование закона.
Обычному коммерческому бизнесу сертификат ФСТЭК не требуется. Для соблюдения 152-ФЗ о персональных данных достаточно реализовать организационные и технические меры защиты — без специальных сертификатов.
Не верьте маркетингу на слово. «Соответствует требованиям» — это не «сертифицировано». Проверяйте наличие и актуальность сертификата в официальном реестре ФСТЭК.
Есть альтернатива. Аттестация информационной системы во многих случаях решает задачу дешевле и быстрее, чем поиск сертифицированного софта.
Выбор ограничен, но он есть. На рынке есть несколько российских CRM с действующими сертификатами. Функциональность у них разная, цены тоже — выбирайте под свои задачи, а не просто по наличию бумаги.
И последнее: если вы только планируете выход на госсектор, не откладывайте подготовку. Согласования, сертификаты, аттестации — всё это требует времени. Начните разбираться в теме сейчас, чтобы не потерять контракт потом.
Полезные материалы
- Compliance и GDPR в CRM — как хранить данные клиентов законно и безопасно
- RBAC и аудит в CRM — контроль доступа для роста без хаоса
- Архитектура CRM Enterprise — масштабирование для крупных компаний