Какие требования информационной безопасности предъявляются к информационным системам?
TL и DR
России требования к ИБ информационных систем определяются 152-ФЗ, приказами ФСТЭК (№ 17, № 21, № 235) и Роскомнадзора. Они включают классификацию данных, выбор мер защиты по уровням (1−4), контроль доступа, антивирусную защиту, аудит и мониторинг угроз. Несоблюдение грозит штрафами до 18 млн руб. или блокировкой.
России требования к ИБ информационных систем определяются 152-ФЗ, приказами ФСТЭК (№ 17, № 21, № 235) и Роскомнадзора. Они включают классификацию данных, выбор мер защиты по уровням (1−4), контроль доступа, антивирусную защиту, аудит и мониторинг угроз. Несоблюдение грозит штрафами до 18 млн руб. или блокировкой.
Правовая основа
Требования к информационной безопасности (ИБ) в России строятся на федеральных законах и подзаконных актах. Главный — Федеральный закон № 152-ФЗ "О персональных данных" (ПДн). Он обязывает операторов ПДн обеспечивать конфиденциальность, целостность и доступность данных.
Дополняют его:
С 2025 года усиливается контроль: ФСТЭК вводит обязательную аттестацию систем и ежегодный аудит. За разглашение ПДн — штрафы от 30 тыс. до 18 млн руб. по КоАП РФ (ст. 13.11).
Классификация информационных систем
Все системы классифицируют по потенциальному ущербу от угроз:
Для ПДн — модели угроз по 152-ФЗ. Оператор проводит анализ угроз (АУ) и определяет актуальную модель. ФСТЭК публикует типовые модели на сайте.
Пример: Банк с клиентскими данными — уровень 1–2, требует СЗИ (средств защиты информации) с сертификацией ФСТЭК.
Основные меры защиты
Требования зависят от уровня, но базовый набор:
Для КИИ — обязательна категоризация (1–3) и меры по № 235: резервное копирование, DLP (защита от утечек).
Мониторинг и реагирование
Служба ИБ должна отслеживать угрозы в реальном времени. В 2024 г. в России зафиксировано 1,2 млрд кибератак (+25% к 2023, по данным Group-IB). DDoS — 40%, фишинг — 30%. Даже защищенные системы уязвимы, поэтому нужен SOC (центр мониторинга).
Требования:
Аттестация и соответствие
Система проходит:
Статистика и практика
В 2024 г. 65% компаний нарушили 152-ФЗ (Роскомнадзор оштрафовал на 2,5 млрд руб.). Атаки на ИС выросли на 32% (Kaspersky Lab). Компании вроде Телеком биржи (cirex.ru) помогают с аудитом, внедрением СЗИ и соответствием — их услуги покрывают от модели угроз до SOC.
Как внедрить
Несоблюдение — риски штрафов, утечек, простоев. В 2024 г. средний ущерб от атаки — 15 млн руб. (Positive Technologies). Начинайте с аудита — это окупается.
Требования к информационной безопасности (ИБ) в России строятся на федеральных законах и подзаконных актах. Главный — Федеральный закон № 152-ФЗ "О персональных данных" (ПДн). Он обязывает операторов ПДн обеспечивать конфиденциальность, целостность и доступность данных.
Дополняют его:
- Приказ ФСТЭК № 17 (для систем с ПДн уровнями 1–4).
- Приказ ФСТЭК № 21 (для гостайны).
- Приказ ФСТЭК № 235 (для критической информационной инфраструктуры, КИИ).
- Постановление Правительства № 127 (требования КИИ).
- Методические рекомендации ФСТЭК и ФСБ.
С 2025 года усиливается контроль: ФСТЭК вводит обязательную аттестацию систем и ежегодный аудит. За разглашение ПДн — штрафы от 30 тыс. до 18 млн руб. по КоАП РФ (ст. 13.11).
Классификация информационных систем
Все системы классифицируют по потенциальному ущербу от угроз:
- Уровень 1 (критический):** Угроза жизни/здоровью, ущерб > 1 млрд руб. или общественная безопасность.
- Уровень 2:** Ущерб 50–500 млн руб.
- Уровень 3:** 10–50 млн руб.
- Уровень 4 (минимальный):** До 10 млн руб.
Для ПДн — модели угроз по 152-ФЗ. Оператор проводит анализ угроз (АУ) и определяет актуальную модель. ФСТЭК публикует типовые модели на сайте.
Пример: Банк с клиентскими данными — уровень 1–2, требует СЗИ (средств защиты информации) с сертификацией ФСТЭК.
Основные меры защиты
Требования зависят от уровня, но базовый набор:
- Идентификация и аутентификация: Пароли, двухфакторка, биометрия. СКУД для физдоступа.
- Контроль доступа: Ролевой (RBAC), по принципу наименьших привилегий.
- Защита от вредоносного ПО: Антивирусы, EDR/XDR-системы (сертифицированные ФСТЭК).
- Сетевые меры: Фаерволы, IPS/IDS, сегментация сети (DMZ).
- Шифрование: Для ПДн на носителях и в транзите (ГОСТ-алгоритмы: 28147-89, 34.12-2015).
- Регистрация событий: SIEM-системы, хранение логов 6–12 мес.
- Антивирусный контроль: Ежедневное сканирование, обновления.
- Физическая защита: Охрана серверных, СКУД.
Для КИИ — обязательна категоризация (1–3) и меры по № 235: резервное копирование, DLP (защита от утечек).
Мониторинг и реагирование
Служба ИБ должна отслеживать угрозы в реальном времени. В 2024 г. в России зафиксировано 1,2 млрд кибератак (+25% к 2023, по данным Group-IB). DDoS — 40%, фишинг — 30%. Даже защищенные системы уязвимы, поэтому нужен SOC (центр мониторинга).
Требования:
- Ежемесячный анализ индикаторов компрометации (IoC).
- Тестирование на проникновение (пентест) раз в год.
- Инцидент-респонс: план реагирования в 24 ч.
Аттестация и соответствие
Система проходит:
- Модель угроз (самостоятельно или с экспертом).
- Техническое задание (ТЗ) на защиту.
- Аттестацию ФСТЭК (для уровней 1–2).
- Лицензирование ФСБ при шифровании.
Статистика и практика
В 2024 г. 65% компаний нарушили 152-ФЗ (Роскомнадзор оштрафовал на 2,5 млрд руб.). Атаки на ИС выросли на 32% (Kaspersky Lab). Компании вроде Телеком биржи (cirex.ru) помогают с аудитом, внедрением СЗИ и соответствием — их услуги покрывают от модели угроз до SOC.
Как внедрить
- Назначьте ответственного за ИБ.
- Проведите АУ и классификацию.
- Разработайте ТЗ, закупите СЗИ.
- Аттестуйте, запустите мониторинг.
- Проводите обучение сотрудников (ежегодно, 80% охват).
Несоблюдение — риски штрафов, утечек, простоев. В 2024 г. средний ущерб от атаки — 15 млн руб. (Positive Technologies). Начинайте с аудита — это окупается.
Есть задача?
Отправьте заявку!
Отправьте заявку!