chore: каркас моно-репо и скрипт первичной подготовки dev-ВМ

Содержимое первого коммита:
- Структура моно-репо: cmd/{lk-gateway,m2m-core,nsd-adapter,lk-emulator,notify}/,
  internal/{m2m,nsdxml,fansystore,notify}/, services/crypto-service/,
  web/admin-ui/, deploy/docker-compose/, migrations/, docs/.
- Заглушки main.go во всех cmd/ — make build проходит из коробки.
- Makefile с целями build/test/lint/fmt/vet/tidy/ci/compose-up/compose-down.
- .golangci.yml, .gitignore, README.md (на русском).
- .claude/settings.json — общие ограничения Claude Code для команды
  (запрет sudo, rm -rf, доступа к /etc/cryptopro, /var/cryptopro).
- README в каждом каталоге — назначение и стадия (M1..M5).
- docs/architecture/overview.md — выжимка из плана проекта.
- docs/fansy-contract/v1/, docs/lk-contract/v1/ — точки сборки контрактов
  с командами Fansy и ЛК клиента.
- deploy/docker-compose/docker-compose.yml — dev-стек (PostgreSQL, MinIO).
- scripts/setup-dev-vm.sh — первичная подготовка dev-ВМ под РЕД ОС 7.x
  и Ubuntu 22.04+ (для компаний без бюджета на лицензии); ставит Go 1.23,
  Liberica JDK 21, Node.js 20 LTS, Podman, podman-compose, Claude Code CLI;
  создаёт пользователя dev, /srv/dev, аудит-history. Идемпотентен.
- scripts/README.md — описание скрипта и ограничений.

Что НЕ коммитим:
- Секреты, ключи, сертификаты — закрыто в .gitignore.
- Локальные настройки Claude Code (settings.local.json) и сессионные
  каталоги (.claude/projects/, .claude/worktrees/, .claude/logs/).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

docs/architecture/overview.md

@@ -0,0 +1,52 @@
+# Архитектура — обзор
+
+Краткая выжимка из плана проекта. Полный план хранится у разработки в
+`/.claude/plans/precious-percolating-axolotl.md` (внешний документ).
+
+## Что строим
+
+Внутренний модуль брокера для M2M-перевода ценных бумаг через НРД
+(сервис MOEX MOST). Сейчас разрабатывается «для себя», но архитектура
+изначально закладывается под тиражирование другим компаниям.
+
+## Состав
+
+- `lk-gateway` — интеграция с ЛК клиента (ESIA Finance API V1).
+- `lk-emulator` — эмулятор ЛК на время, пока реальный ЛК не готов.
+- `m2m-core` — бизнес-логика и FSM сделки.
+- `nsd-adapter` — три транспорта к НРД (ИШ REST — основной, WS ONYX —
+  резерв, ФШ — fallback) и маршрутизация по типам пакетов
+  (`#M2MTR/#M2MTD/#M2MER/SUBBR/SUBER/SUB16/Справки/квитанции ЭДО`).
+- `crypto-service` — Java + КриптоПро JCP, КС1.
+- `notify` — уведомления (e-mail, Yandex Messenger 360, WS-push,
+  webhook), архитектура плагинов.
+- `fansy-store` — принимающая БД для выгрузки от команды Fansy.
+- `admin-ui` — веб-интерфейс администратора и сотрудника депозитария.
+
+## Стек
+
+- Go 1.23, Java 21 (Liberica JDK), React + Vite + TypeScript.
+- PostgreSQL Pro Certified (на проде), MinIO.
+- Развёртывание — одна ВМ, podman-compose.
+- Класс СКЗИ — КС1 (КриптоПро CSP/JCP).
+
+## Ключевые ограничения
+
+- SLA: 5 мин/этап на старте, 2 мин/этап в проде. Регуляторный таймаут
+  отсутствия ответа от Брокера 2 — 10 → 5 мин.
+- Дедлайн прод-релиза — **01.09.2026** (вступление 124-ФЗ + Указания ЦБ).
+- Реестр российского ПО (ПП-1236) — заявка на M5; стек и архитектура
+  соответствуют.
+- Кодировка XML — windows-1251; формат `NSDDateTime` — только МСК-зона.
+
+## Документация интеграций
+
+- `docs/fansy-contract/v1/` — DDL и контракт данных для команды Fansy
+  (мы передаём, ETL делают они).
+- `docs/lk-contract/v1/` — OpenAPI контракта с ЛК клиента.
+
+## Развёртывание
+
+- `deploy/docker-compose/docker-compose.yml` — dev-стек (PostgreSQL +
+  MinIO).
+- `scripts/setup-dev-vm.sh` — подготовка dev-ВМ под РЕД ОС или Ubuntu.

docs/fansy-contract/v1/README.md

@@ -0,0 +1,33 @@
+# docs/fansy-contract/v1 — контракт данных с командой Fansy
+
+ETL Fansy → принимающая БД (`fansy-store`) реализует **другая команда
+разработки**. С нашей стороны:
+
+1. Спроектировать таблицы по требованиям документации НРД к данным M2M.
+2. Передать команде Fansy DDL и контракт данных.
+3. Согласовать тип load (UPSERT в staging), окна обновления, SLA на
+   свежесть данных.
+4. Не давать ETL-роли DDL-прав в принимающей схеме.
+
+Состав каталога (создаём в M1, отправляем в начале M2):
+
+- `ddl/` — `*.sql` миграции PostgreSQL для всех таблиц.
+- `data-dictionary.md` — семантика каждого поля (источник в Fansy,
+  nullable, единицы, примеры).
+- `etl-requirements.md` — требования к процессу выгрузки: тип load,
+  расписание, способ записи, окна простоя, обработка ошибок,
+  конфиденциальность.
+- `examples/` — пример заявки M2M «end-to-end», 5–10 тестовых клиентов
+  и заявок для совместного приёмочного теста.
+
+Минимальный набор таблиц (см. план):
+
+- Депоненты / клиенты.
+- Документы инвестора (`IdentityDocumentCodeEnum`).
+- ИИС-договоры (`IIAContractTypeEnum ∈ {T12, T03}`).
+- Депо-счета и разделы (`AccountId`, `SectionId`, `DeponentCode`).
+- Реквизиты расчётов (ИНН депозитария).
+- Портфели и остатки (Whole / Fractional, `IsolationStatus = SGDN`).
+- Справочник ЦБ (`SecurityCode`, `ISIN`, `Classification`, `Category`).
+- Контрагенты-участники сервиса MOST (Справочник пользователей).
+- Audit / staging-таблицы для каждой основной.

docs/lk-contract/v1/README.md

@@ -0,0 +1,18 @@
+# docs/lk-contract/v1 — контракт с ЛК клиента (ESIA Finance)
+
+ЛК клиента работает на платформе **ESIA Finance**, контракт описан
+в `DOC/API ЛК ЕСИА.pdf` (`/api/v1/back_office/...`, Basic HTTP, JSON,
+UTF-8).
+
+На этапе M1 в `lk-emulator` мы воспроизводим этот контракт для запуска
+сквозного потока. Реальный ЛК подключится по тому же контракту, без
+правок на нашей стороне.
+
+В этом каталоге будут:
+
+- `openapi.yaml` — наш OpenAPI-контракт `lk-gateway`, согласованный
+  с командой ЛК.
+- `examples/` — примеры заявлений и ответов.
+- `changelog.md` — версионирование контракта.
+
+Реализация — задача M1.