Требования к информационной безопасности в России: законы, меры и доказательства

Сегодня речь идёт не просто о пакете документов, а о реальных инженерных задачах: как спроектировать сеть, контролировать события, какие решения внедрить, и как доказать, что меры защиты работают.

Требования по обеспечению информационной безопасности: документы и регуляторы

Перед тем как перейти к разбору конкретных требований, полезно взглянуть на общую структуру системы информационной безопасности.

В таблице — основные компоненты системы ИБ и их практическое содержание.

Каждый из них выполняет собственную роль, но работает эффективно только в связке с остальными.

Основные законы, определяющие требования к к  информационной безопасности

Российская система ИБ начинается с законов, которые устанавливают базовые требования: защита персональных данных, обеспечение устойчивости объектов КИИ и сохранность информации.

№ 152-ФЗ «О персональных данных» базовый закон, регулирующий обращение с персональными данными. В ст. 19 закрепляет обязанность оператора принимать правовые, организационные и технические защитные меры:

• Требования к защите при обработке в ИСПДн установлены Постановлением Правительства РФ № 1119 от 1 ноября 2012 г.
• Конкретный состав мер по уровням защищённости определён приказом ФСТЭК № 21.

Выбор уровня защищённости определяется типами ПДн, моделями актуальных угроз и иными критериями из ПП-1119. Приказ № 21 назначает меры под выбранный уровень.

№ 187-ФЗ о безопасности КИИ требует категорирования объектов, выделения контуров и постоянного мониторинга. Инженер проектирует сегментацию (DMZ, зоны доверия), ставит средства обнаружения событий ИБ, настраивает корреляцию в SIEM, резервирование критичных сервисов и каналы оповещения:

• Приказ ФСТЭК России № 239 от 25 декабря 2017 г. детализирует принципы защиты и мониторинга для объектов КИИ.

 № 149-ФЗ об информации, ИТ и защите информации задает базовые принципы: конфиденциальность, целостность, доступность. В практической плоскости это матрица доступа, контроль целостности, отказоустойчивость, НТП-синхронизация, план восстановления. Основные требования по информационной безопасности закреплены в части 4 статьи 16 Федерального закона № 149-ФЗ. Именно эта часть детально регламентирует меры, включая предотвращение несанкционированного доступа, сохранение целостности данных и постоянное наблюдение за состоянием защиты.

Каждый закон напрямую переводится в инженерные задачи:

• шифрование там, где данные покидают доверенную зону
• разграничение доступа в АД/PAM
• журналы и их доставка в SIEM
• сегментация и фильтрация на границах
• непрерывный мониторинг и резервирование.

Юридические требования превращаются в чек-лист конфигураций и эксплуатационных действий.

Регуляторы и их зоны ответственности: ФСТЭК, ФСБ, Банк России

В России регулирование информационной безопасности распределено между несколькими ведомствами. Каждое отвечает за свой блок — важно понимать, где проходит граница между зонами ответственности, чтобы не дублировать и не нарушать требования.

ФСТЭК России курирует технические меры, классификацию систем и аттестацию объектов.
Она устанавливает, какие средства защиты информации (СЗИ) допустимо применять, как определять уровень защищённости ИСПДн или класс ГИС, и по каким критериям проводится аттестация. Для инженера это основное руководство при выборе сертифицированных решений и построении архитектуры.

ФСБ России отвечает за криптографическую защиту — сертификацию средств криптозащиты информации (СКЗИ), управление ключами и контроль алгоритмов. Если в контуре есть передача или хранение персональных данных в зашифрованном виде, применяются только СКЗИ из перечня ФСБ, разработанного согласно Положению о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации — Положение ПКЗ-2005, утвержденное Приказом ФСБ РФ от 9 февраля 2005 г. N 66.

Также вопросы использования СКЗИ регламентируются Приказом ФСБ России № 117 от 18.03.2025 г. Инженеру важно учитывать не только факт сертификации, но и режимы работы, порядок хранения ключевого материала и учёт средств шифрования.

Банк России регулирует отраслевые стандарты для финансовых организаций. Он формирует требования по обеспечению безопасности платёжной инфраструктуры и управлению ИБ-рисками. Это регламентируется Положением Банка России № 757-П от 17 апреля 2024 г., которое также ссылается на положения ГОСТ Р 57580. В практике инженера это означает необходимость учитывать положения этого ГОСТа, а также внутренние указания ЦБ и стандарты Национальной платежной системы (НПС).

Совместно эти регуляторы образуют комплекс требований к информационной безопасности. Грамотно выстроенная архитектура должна удовлетворять их одновременно: криптографическая защита — по линии ФСБ, технические меры и сертификация — по ФСТЭК, а для финансовых систем — ещё и по стандартам Банка России.

Документы по информационной безопасности и их связь с технической реализацией

Документы в информационной безопасности — это основа управляемости и доказательная часть защиты. Они задают параметры, по которым инженер строит систему, служат мостом между нормативными требованиями и конкретной инфраструктурой.

Политика информационной безопасности фиксирует принципы доступа, журналирования и резервирования. Эти установки напрямую влияют на параметры доменных политик, списки контроля доступа и правила хранения логов.

Модель угроз определяет, какие объекты надо защищать, какие сценарии атак наиболее вероятны и какие меры компенсируют риски. На её основе выбирают СЗИ, проектируют сетевую сегментацию, формируют правила фильтрации и DLP-контроль.

Пример того, как нормативные требования трансформируются в технические решения, разобран в материале «Система защиты персональных данных»

Регламенты и акты формализуют процессы — управление доступом, реагирование на инциденты, резервное копирование, обновление СКЗИ. Эти документы задают циклы задач и действия администраторов, а в SIEM, EDR и PAM превращаются в конкретные настройки и сценарии автоматизации.

Связь между документом и технической реализацией всегда прямая:

• парольная политика → настройки сложности и сроков действия паролей в Active Directory или LDAP
• требование сегментации → VLAN, VRF, ACL и политики межсетевых экранов
• журналирование → источники логов, маршрутизация и хранение в SIEM.

Документация и конфигурации должны быть синхронизированы. Тогда вы будете контролировать безопасность, а ваши действия можно подтвердить артефактами. Именно это и понимается под выполнением требований по обеспечению информационной безопасности.

Технологии: технические меры и средства защиты информации

Техническая реализация — основа выполнения требований по обеспечению информационной безопасности. Он связывает нормативные предписания с архитектурой и конфигурацией инфраструктуры. Здесь определяются классы защищённости, набор средств защиты и принципы построения сетей и систем.

Классы и уровни защищенности: приказы ФСТЭК № 17 и № 21

Российская классификация информационных систем закреплена в двух ключевых приказах ФСТЭК — № 17 и № 21. Они задают принципы оценки уровня защищённости, перечень обязательных мер и правила их реализации.

• Приказ ФСТЭК России № 17 от 11.02.2013 г. регулирует государственные информационные системы (ГИС) и определяет классы защищённости — от 1-го (высшего) до 4-го (минимального). Классы зависят от значимости информации и масштаба системы.
  • С 01.03.2026 вступает в силу приказ ФСТЭК № 117 (некриптографические требования), а приказ № 17 утрачивает силу. Криптографическая защита для этих систем — по приказу ФСБ № 117.
• Приказ ФСТЭК России № 21 от 18.02.2013 г. распространяется на информационные системы персональных данных (ИСПДн) и устанавливает уровни защищённости — также от 1-го до 4-го. Уровни зависят от категории ПДн и количества субъектов.

Класс или уровень выбирают в зависимости от объёма и важности информации, а также последствий её утраты. От этого зависит набор технических мер.

Для наглядности рассмотрим:

• 1-й уровень защищённости — полный комплекс мер, предусмотренных для соответствующего типа актуальных угроз: сертифицированные СЗИ, межсетевые экраны, антивирусы, разграничение доступа, криптография, сегментация сети, контроль привилегий и постоянный мониторинг. 1-й УЗ требует выполнения ВСЕХ мер, предусмотренных для соответствующего типа актуальных угроз, согласно Приложению к Приказу ФСТЭК № 21.
• 3-й уровень защищённости — базовый набор: антивирус, регистрация событий, резервное копирование, контроль целостности и базовое разграничение доступа.

Инженер выстраивает архитектуру, исходя из уровня защищённости: выбирает сертифицированные продукты, определяет точки сегментации и проектирует взаимодействие между зонами доверия. От правильного выбора уровня зависит не только объём затрат, но и юридическая корректность выполнения требований ФСТЭК.

Требования к средствам защиты информации: СЗИ, СКЗИ и системы управления доступом

Средства защиты информации — это техническая реализация требований регуляторов. Каждое средство решает свою задачу и обязательно должно пройти сертификацию, если система попадает под юрисдикцию ФСТЭК или ФСБ.

Ключевые типы средств:

• СЗИ от НСД — контроль доступа и предотвращение несанкционированного обращения к данным

В новых требованиях ФСТЭК (Приказ № 117 от 11.04.2025) вместо традиционного термина «СЗИ от НСД» используется более широкий — «система управления доступом (СУД)».

Он охватывает не только функции разграничения прав, но и управление учётными записями, мониторинг действий пользователей и аудит привилегий.

• Межсетевые экраны (NGFW) фильтруют трафик, сегментируют сеть и обеспечивают глубокий анализ проходящих данных.
• Антивирусные решения и EDR защищают конечные точки от вирусов и угроз, следят за поведением устройств и сигнализируют о подозрительных действиях.
• DLP-системы предотвращают утечку конфиденциальной информации путём постоянного мониторинга и контроля за движением данных внутри и снаружи периметра предприятия.
• СКЗИ предоставляют шифрование каналов и данных, используют ЭП и управляют ключами. Использование СКЗИ регулируется Приказом ФСБ России № 117, который устанавливает требования к защите информации в ГИС с использованием шифровальных средств.

Процесс сертификации

ФСТЭК контролирует соответствие функциональным и техническим характеристикам средств защиты от несанкционированного доступа и утечек информации.

ФСБ сертифицирует средства криптозащиты в соответствии с Приказом ФСБ России № 117 и Положением ПКЗ-2005.

Главная задача инженеров — подбор совместимых решений, которые удовлетворяют нормативным требованиям и эффективно интегрируются друг с другом.

Аттестационные материалы должны содержать точные названия и версии решений, номера сертификатов и информацию о настройках и режимах работы, без чего невозможно доказать соответствие стандартам ФСТЭК.

Читайте нашу статью о сертификации UserGate.

Требования к архитектуре: сегментация сети, контроль и мониторинг событий

Российские нормативы требуют закладывать безопасность на этапе проектирования информационной системы, её сетевой и сервисной архитектуры. Постфактум внедрение защитных мер часто приводит к увеличению числа уязвимостей и не позволяет полностью выполнить требования регуляторов.

Архитектурные принципы включают:

• Разделение зон доверия. Архитектура строится вокруг разделения внутренней зоны (с высоким уровнем доступа), демилитаризованной зоны (DMZ) и внешней зоны (открытый доступ), каждая из которых оснащается различными механизмами защиты.
• DMZ для внешних сервисов. Внешние сервисы размещаются в изолированной зоне, ограниченной в правах доступа к внутренним ресурсам, снижая вероятность успешной атаки.
• Контроль сетевых границ. Межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), фильтрацию трафика и активное управление всеми переходами между зонами.
• Централизованное событие-журналирование. SIEM получает логи со всех компонентов сети, позволяя контролировать возможные вторжения, ошибки авторизации и нарушения политик безопасности.
• Управление отказоустойчивостью и аварийным восстановлением. Репликация данных, автоматический перенос нагрузки, резервирование серверов и служб.

Инженерный подход к проектированию архитектуры информационной системы должен учитывать следующее:

1. Разграничение областей ответственности.
2. Полноценный контроль за перемещением данных.
3. Документальное оформление всего цикла внедрения защитных мер, включая их верификацию и аудит.

Эти подходы прописаны в Приказе ФСТЭК России № 117 от 11.04.2025, который устанавливает требования к защите информации некриптографическими методами и вступает в силу с 1 марта 2026 года, заменяя прежний Приказ № 17.

Вопросы криптографической защиты (СКЗИ, TLS, управление ключами, режимы) регулирует Приказ ФСБ России № 117 от 18.03.2025.

Правильно спланированная архитектура облегчает работу с инструментами, повышает прозрачность процессов и снижает нагрузку на персонал, занимающийся эксплуатацией и поддержкой инфраструктуры.

Процессы составляют основу третьей линии защиты информационной безопасности. Формализация процессов необходима для постоянной поддержки необходимого уровня безопасности и эффективного управления рисками. Как подчеркивает ФСТЭК России, любая мера должна сопровождаться постоянным контролем и документированием, чтобы соответствовать нормативным требованиям. Об организационных мерах защиты информации подробно рассказали в нашем блоге.

Основные этапы, охватываемые процессами управления безопасностью:

1. Планирование и проектирование. Анализ рисков, разработка планов защиты и выбор оптимальных средств.
2. Мониторинг и контроль. Постоянный контроль состояния защищённых систем, проверка эффективности внедряемых мер.
3. Корректировка и улучшение. Устранение выявленных проблем, адаптация мер безопасности к изменениям угроз и условий эксплуатации.

Организация регулярного контроля и аудита способствует выполнению принципов качества и надежности информационной безопасности. Процесс постоянного улучшения (PDCA) может быть использован для эффективной реализации требований Приказа ФСТЭК России № 117 от 11.04.2025.

Ключевые процессы: контроль, реагирование, восстановление

Процессы информационной безопасности — это повседневная работа инженеров, администраторов и аналитиков, организованная в строгом соответствии с внутренними регламентами и инструкциями. Они необходимы для постоянного контроля состояния защищённости информационных систем (ГИС, ИСПДн) и подтверждения эффективности используемых средств защиты информации.

Согласно Приказу ФСТЭК России № 21, среди ключевых процессов, обеспечивающих защиту персональных данных, выделяются следующие:

• Управление изменениями. Процесс контролирует любые изменения в составе или конфигурации ИС, а также изменениях в режимах обработки персональных данных. Перед внесением изменений проводятся тесты, оценивается влияние на безопасность и производится документация всех изменений — п. 8.15.
• Управление рисками направлено на выявление, регистрацию и расследование любых событий, угрожающих безопасности персональных данных. Инциденты подлежат классификации, определению приоритетов реагирования и последующему документированию всех принятых мер по ликвидации последствий — п. 8.14.
• Управление доступом регулирует полный жизненный цикл учетных записей сотрудников: от назначения прав доступа при приёме на работу до отзыва этих прав при увольнении. Особое внимание уделяется аутентификации, разграничению прав доступа и обязательной проверке актуальной действительности назначенных прав — п. 8.2.
• Реагирование и восстановление гарантирует постоянную готовность ИС к восстановлению после возможных сбоев или инцидентов. Предусматривается регулярное создание резервных копий, планирование аварийного восстановления и быстрое возобновление обработки персональных данных — п. 8.9.

Эти процессы обязательны по Приказу ФСТЭК России № 21, поскольку они обеспечивают постоянный контроль за состоянием защищенности ИСПДн и выполняют роль внутреннего аудита, подтверждая выполнение требований по информационной безопасности.

Документирование выполнения требований и доказательная база

Ни одна мера не считается реализованной, пока не подтверждена актом или журналом. Приказ ФСТЭК России № 21 требует документирования всех мер по защите информации. Дополнительно Приказ ФСТЭК России № 77 регулирует порядок аттестации объектов информатизации.

Типичные формы доказательной базы:

• Акты внедрения и настройки СЗИ. Подтверждают, что средство действительно установлено, сконфигурировано и прошло проверку.
• Отчёты по пентестам и анализу защищённости доказывают, что система прошла испытания на устойчивость.
• Журналы реагирования и расследования инцидентов. Показывают, как фактически работает процесс обнаружения и реагирования.
• Протоколы обновления СКЗИ и сертификатов. Документируют контроль криптографической защиты.
• Журналы аудита, выгрузки SIEM, отчёты корреляции. Подтверждают, что мониторинг выполняется в реальном времени.

Формы доказательной базы зависят от конкретных требований конкретного вида аттестации или сертификата.

Как процессы, технологии и документы влияют на исполнение требований по ИБ

Регулирование строится по принципу: сначала устанавливается общая концепция безопасности, затем реализуется техническая защита, далее поддерживается контроль и регистрация действий:

• Регламентирующие документы устанавливают общие требования и направления.
• Средства защиты информации обеспечивают исполнение этих требований на техническом уровне.
• Организационно-технические процессы поддерживают постоянное функционирование и мониторинг защищённых систем.
• Все элементы вместе формируют целостную концепцию.

Такая структура формирует замкнутую цепочку: от нормативных предписаний → к технической реализации → и обратно к постоянной верификации выполнения установленных требований ИБ. Таким образом обеспечивается прозрачность и управляемость системы информационной безопасности и соответствие правилам и стандартам.

Подобный подход признан обязательным элементом в требованиях инфобезопасности, но он не закреплён в каком-либо нормативном акте, а вытекает из совокупного понимания практики защиты информации.

Главное

Информационная безопасность в России сегодня — результат инженерного проектирования, нормативной ответственности и постоянного контроля.

Нормативная база создаёт основу, но не даёт готовых решений.
Законы определяют цели и обязанности, конкретные действия формулируют подзаконные акты — приказы ФСТЭК и ФСБ. Инженер должен уметь читать эти документы не как юрист, а как техническое задание.

Технические меры напрямую зависят от класса или уровня защищённости.
Приказы ФСТЭК № 21 и № 17 (в будущем — № 117) устанавливают, какие СЗИ, СКЗИ и процессы нужны для конкретной категории системы. Ошибка в классификации приводит не к штрафу, а к реальному риску потери данных.

Документы и конфигурации должны совпадать.
Любой пункт политики ИБ, парольной или сетевой — обязан отражаться в настройках AD, SIEM, DLP или СКЗИ. Без этой связи система теряет управляемость и доказательность.

Процессы обеспечивают жизненный цикл защиты.
Управление изменениями, реагирование на инциденты, резервирование и аудит — механизмы, которые поддерживают требования ФСТЭК и подтверждают их выполнение.

Доказуемость — ключевой критерий зрелости.
Система ИБ считается доказуемой при наличии трёх элементов: документов, технологий и процессов. Именно такая трёхслойная структура закреплена в актах ФСТЭК и ФСБ и рассматривается как практическое подтверждение соответствия требованиям информационной безопасности.

В итоге надёжная защита строится не на количестве актов или сертификатов, а на том, насколько связаны между собой нормативы, инженерные решения и ежедневная эксплуатация. Только такой комплексный подход формирует устойчивую и проверяемую систему информационной безопасности.