8.07. Государственные требования к информационной безопасности

ОБЯЗАТЕЛЬНОРАЗРАБОТЧИКУАНАЛИТИКУТЕСТИРОВЩИКУАРХИТЕКТОРУИНЖЕНЕРУ

Разработчику Аналитику Тестировщику Архитектору Инженеру

Государственные требования к информационной безопасности

Государственные требования к информационной безопасности в Российской Федерации представляют собой систему норм, регулирующих защиту информации от угроз, способных нарушить её конфиденциальность, целостность и доступность. Эти требования распространяются на организации всех форм собственности, обрабатывающие персональные данные, управляющие критически важной инфраструктурой или использующие государственные информационные системы.

Инженер, проектирующий или эксплуатирующий информационную систему, должен уметь:

читать приказы ФСТЭК и ФСБ как технические спецификации;
выбирать сертифицированные средства защиты;
выстраивать архитектуру с учётом уровней защищённости;
документировать все действия и поддерживать доказательную базу.

Основы правового регулирования

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Этот закон устанавливает общие принципы обращения с информацией в Российской Федерации. В части 4 статьи 16 закреплены основные меры по обеспечению информационной безопасности:

предотвращение несанкционированного доступа;
обеспечение целостности информации;
защита от компьютерных атак;
организация непрерывного контроля за состоянием защиты.

Эти положения являются базовыми для всех последующих нормативных актов и применяются ко всем видам информационных систем, включая частные и коммерческие.

Федеральный закон № 152-ФЗ «О персональных данных»

Это ключевой документ, регулирующий обработку персональных данных (ПДн). Он обязывает операторов:

получать согласие субъекта ПДн на их обработку;
хранить данные граждан РФ на территории России;
принимать правовые, организационные и технические меры защиты.

Конкретные требования к технической защите при обработке в информационных системах персональных данных (ИСПДн) определены:

Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;
Приказом ФСТЭК России № 21 от 18 февраля 2013 года.

Эти документы устанавливают уровни защищённости ИСПДн и соответствующие им наборы защитных мер.

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Закон вводит понятие критической информационной инфраструктуры (КИИ) и обязывает владельцев объектов КИИ:

проводить категорирование своих систем;
выделять контуры безопасности;
организовывать постоянный мониторинг событий ИБ;
внедрять средства обнаружения и предотвращения атак.

Детализация требований содержится в Приказе ФСТЭК России № 239 от 25 декабря 2017 года.

Регуляторы информационной безопасности в России

В Российской Федерации регулирование информационной безопасности осуществляется несколькими федеральными органами, каждый из которых отвечает за свой сегмент.

ФСТЭК России

Федеральная служба по техническому и экспортному контролю — главный регулятор в области технической защиты информации. ФСТЭК:

определяет классы и уровни защищённости информационных систем;
утверждает перечень обязательных мер защиты;
сертифицирует средства защиты информации (СЗИ);
устанавливает правила аттестации объектов информатизации.

ФСТЭК выпускает приказы, которые напрямую влияют на проектирование и эксплуатацию ИТ-инфраструктур: № 17 (для ГИС), № 21 (для ИСПДн), № 239 (для КИИ), а также новый Приказ № 117, который с 1 марта 2026 года заменит Приказ № 17 и будет регулировать некриптографические меры защиты.

ФСБ России

Федеральная служба безопасности отвечает за криптографическую защиту информации. ФСБ:

сертифицирует средства криптографической защиты информации (СКЗИ);
утверждает алгоритмы шифрования и электронной подписи;
контролирует использование ключей и режимы работы СКЗИ.

Основные документы:

Положение ПКЗ-2005 (утверждено Приказом ФСБ № 66 от 9 февраля 2005 года);
Приказ ФСБ № 117 от 18 марта 2025 года (новый регламент использования СКЗИ).

Любое шифрование персональных данных или данных КИИ должно использовать только сертифицированные СКЗИ из реестра ФСБ.

Роскомнадзор

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) контролирует соблюдение законодательства в области персональных данных. Он:

проверяет наличие согласий на обработку ПДн;
следит за хранением данных на территории РФ;
налагает административные штрафы за нарушения.

Хотя Роскомнадзор не регулирует технические меры напрямую, он взаимодействует с ФСТЭК при проведении проверок.

Минцифры России

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) участвует в разработке стратегий и концепций в области ИБ, но не является прямым регулятором. Тем не менее, его методические рекомендации часто используются при проектировании государственных информационных систем.

Банк России

Для финансовых организаций действуют дополнительные требования, установленные Банком России:

Положение № 757-П от 17 апреля 2024 года;
ссылки на ГОСТ Р 57580 (стандарт по управлению ИБ-рисками).

Эти документы обязывают банки и другие участники финансового рынка внедрять специализированные меры защиты платёжной инфраструктуры.

Классификация информационных систем

Государственные информационные системы (ГИС)

Регулируются Приказом ФСТЭК № 17 (до 1 марта 2026) и Приказом № 117 (с 1 марта 2026). Устанавливаются четыре класса защищённости:

1-й класс — высший уровень (например, системы Минобороны, ФСБ);
2-й класс — важные системы федерального значения;
3-й класс — региональные и муниципальные системы;
4-й класс — вспомогательные системы без обработки ПДн.

Выбор класса зависит от значимости информации и масштаба системы.

Информационные системы персональных данных (ИСПДн)

Регулируются Приказом ФСТЭК № 21. Устанавливаются четыре уровня защищённости:

1-й уровень — полный комплекс мер: СЗИ, СКЗИ, межсетевые экраны, антивирусы, SIEM, DLP, двухфакторная аутентификация, сегментация сети;
2-й уровень — расширенный набор мер без некоторых криптографических требований;
3-й уровень — базовый набор: антивирус, регистрация событий, резервное копирование, контроль целостности;
4-й уровень — минимальные меры для небольших систем с ограниченным числом субъектов ПДн.

Уровень выбирается на основе:

категории ПДн (особые, специальные, иные);
количества субъектов;
модели актуальных угроз.

Объекты критической информационной инфраструктуры (КИИ)

Подпадают под действие ФЗ-187 и Приказа № 239. Объекты КИИ делятся на:

значимые — подлежат обязательному категорированию и защите;
незначимые — не требуют специальных мер по ФЗ-187.

К значимым относятся системы в сферах:

связи и ИТ;
энергетики;
транспорта;
финансов;
здравоохранения;
оборонной промышленности.

Персональные данные и их защита

Что такое персональные данные

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К таким данным относятся:

ФИО;
дата и место рождения;
адрес проживания;
номер телефона;
электронная почта;
ИНН, СНИЛС, паспортные данные;
биометрические данные (отпечатки пальцев, фото, голос);
данные о местоположении;
сведения о доходах, образовании, семейном положении.

Если по совокупности признаков можно установить личность человека — такие данные считаются персональными.

Обработка персональных данных

Обработка персональных данных — это любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление.

Обработка может происходить как в автоматизированных информационных системах (ИСПДн), так и на бумажных носителях. Однако именно автоматизированная обработка подпадает под строгие требования ФСТЭК и регулируется Приказом № 21.

Оператор обязан обеспечивать конфиденциальность и безопасность персональных данных с момента начала их обработки и до уничтожения.

Уровни защищённости ИСПДн

Уровень защищённости определяется на основе:

категории персональных данных:
- особые (расовая принадлежность, здоровье, религиозные убеждения и т.п.);
- специальные (биометрия, данные о судимости);
- иные (ФИО, телефон, email и пр.);
количества субъектов ПДн;
модели актуальных угроз.

В соответствии с Приказом ФСТЭК № 21 выделяют четыре уровня защищённости:

1-й уровень защищённости

Применяется при обработке особых и специальных ПДн, а также при большом количестве субъектов. Требует полного комплекса мер:

использование сертифицированных СЗИ и СКЗИ;
двухфакторная аутентификация;
сегментация сети;
межсетевые экраны и антивирусы;
централизованное журналирование в SIEM;
DLP-системы;
контроль целостности;
шифрование данных при хранении и передаче.

2-й уровень защищённости

Применяется при обработке иных ПДн в больших объёмах. Включает:

разграничение доступа;
регистрацию событий;
антивирусную защиту;
резервное копирование;
базовое шифрование.

3-й уровень защищённости

Для небольших ИСПДн с ограниченным числом субъектов. Минимальный набор:

антивирус;
регистрация входа в систему;
резервное копирование;
контроль целостности файлов;
базовое разграничение доступа.

4-й уровень защищённости

Применяется при обработке ПДн без использования средств автоматизации или при очень малом числе субъектов. Технические меры минимальны, но организационные требования сохраняются.

Обезличивание и шифрование

Обезличивание персональных данных — это действия, в результате которых ПДн не могут быть связаны с конкретным субъектом без дополнительной информации. После обезличивания данные перестают считаться персональными и могут использоваться свободно (например, для аналитики).

Шифрование — обязательная мера при работе с ПДн 1-го и 2-го уровней. Данные должны шифроваться:

при передаче по открытым каналам (включая корпоративную сеть вне доверенной зоны);
при хранении на мобильных устройствах;
при резервном копировании.

Используются только сертифицированные СКЗИ, включённые в реестр ФСБ. Примеры: ViPNet, КриптоПро, Signal-CSP.

Регламенты обработки ПДн

Внутренние документы организации должны включать:

Политику обработки персональных данных — общие принципы работы с ПДн;
Регламент доступа к ИСПДн — кто, когда и как получает доступ;
Регламент реагирования на инциденты — порядок действий при утечке;
Регламент резервного копирования — частота, методы, места хранения;
Модель угроз — описание возможных атак и компенсирующих мер.

Эти документы служат основой для настройки технических средств и подтверждения соответствия требованиям при проверках.

Критическая информационная инфраструктура (КИИ)

Что такое КИИ

Критическая информационная инфраструктура — это совокупность информационных систем и сетей, которые обеспечивают функционирование жизненно важных сфер деятельности государства и общества. Нарушение их работы может привести к тяжёлым последствиям: экономическим потерям, угрозе жизни граждан, дестабилизации общества.

Объекты КИИ

Объектами КИИ признаются информационные системы, автоматизированные системы и сети связи, используемые в следующих сферах:

энергетика;
ядерная энергетика;
химическая промышленность;
транспорт;
связь и ИТ;
финансовый рынок;
оборонно-промышленный комплекс;
здравоохранение;
коммунальное хозяйство.

Не все системы в этих сферах являются КИИ — только те, что признаны значимыми по результатам категорирования.

Категорирование объектов КИИ

Процедура категорирования проводится оператором самостоятельно или с привлечением специализированной организации. Она включает:

определение значимости объекта;
оценку потенциального ущерба при нарушении функционирования;
присвоение категории (1, 2 или 3 — от наиболее к наименее значимых).

Результат оформляется актом категорирования и направляется в уполномоченный орган (ФСТЭК или ФСБ, в зависимости от сферы деятельности).

Требования к защите объектов КИИ

Основной нормативный документ — Приказ ФСТЭК № 239 от 25 декабря 2017 года. Он устанавливает:

обязательное выделение контуров безопасности;
постоянный мониторинг событий ИБ;
наличие средств обнаружения вторжений (IDS/IPS);
резервирование критичных сервисов;
план восстановления после инцидентов;
каналы экстренного оповещения.

Архитектура должна предусматривать:

сегментацию сети (внутренняя зона, DMZ, внешняя зона);
фильтрацию трафика на границах;
разграничение доступа по принципу минимальных привилегий;
шифрование всех каналов передачи данных.

Реагирование на инциденты информационной безопасности

Что такое инцидент ИБ

Инцидент информационной безопасности — это событие или последовательность событий, нарушающих или угрожающих нарушить конфиденциальность, целостность или доступность информации.

Примеры:

несанкционированный доступ к данным;
утечка персональных данных;
DDoS-атака;
заражение вредоносным ПО;
отказ критически важного сервиса.

Этапы реагирования

Обнаружение
Осуществляется с помощью SIEM, EDR, IDS, журналов аудита. Автоматические правила корреляции помогают выявлять аномалии.
Анализ и классификация
Определяется тип инцидента, его источник, масштаб и потенциальный ущерб.
Сдерживание
Принимаются меры для ограничения распространения: изоляция узлов, блокировка IP, отзыв ключей.
Ликвидация
Устраняется причина инцидента: удаление вредоносного кода, восстановление из резервной копии, закрытие уязвимостей.
Восстановление
Возвращение системы в рабочее состояние с проверкой целостности и безопасности.
Постинцидентный анализ
Формируется отчёт, обновляется модель угроз, корректируются регламенты и настройки защиты.

Документирование инцидентов

Каждый инцидент должен быть зафиксирован в журнале реагирования на инциденты, который включает:

дату и время обнаружения;
описание события;
принятые меры;
лица, участвовавшие в реагировании;
результаты анализа;
рекомендации по предотвращению повторения.

Этот журнал является частью доказательной базы при проверках со стороны регуляторов.

Технические меры защиты информации

Средства защиты информации (СЗИ)

Средства защиты информации — это программные, аппаратные или программно-аппаратные комплексы, предназначенные для предотвращения несанкционированного доступа, обеспечения целостности данных и контроля за их использованием.

В российской практике выделяют два основных типа СЗИ:

СЗИ от несанкционированного доступа (СЗИ от НСД) — контролируют аутентификацию, авторизацию и разграничение доступа. В новых требованиях ФСТЭК (Приказ № 117 от 11 апреля 2025 года) этот термин заменяется на систему управления доступом (СУД), которая охватывает более широкий спектр функций: управление учётными записями, мониторинг действий пользователей, аудит привилегий.
Средства криптографической защиты информации (СКЗИ) — обеспечивают шифрование данных при хранении и передаче, формирование и проверку электронной подписи, генерацию и управление ключами.

Любое средство, применяемое в системах, подпадающих под действие законов № 152-ФЗ или № 187-ФЗ, должно быть сертифицировано соответствующим регулятором:

СЗИ — сертифицируются ФСТЭК;
СКЗИ — сертифицируются ФСБ.

Примеры сертифицированных решений:

ViPNet, КриптоПро, Signal-CSP — СКЗИ;
Secret Net, Аккорд, Dallas Lock — СЗИ от НСД;
UserGate, Kaspersky Security for Internet Gateway — межсетевые экраны с сертификатом ФСТЭК.

Архитектурные принципы построения защищённых систем

Архитектура информационной системы должна закладываться с учётом требований безопасности ещё на этапе проектирования. Основные принципы:

Сегментация сети

Сеть делится на зоны доверия, каждая из которых имеет свой уровень защиты:

Внутренняя зона — содержит критичные данные и сервисы, доступ строго ограничен;
DMZ (демилитаризованная зона) — размещаются внешние сервисы (веб-сайты, почтовые серверы), изолированные от внутренней сети;
Внешняя зона — интернет и ненадёжные сети.

Между зонами устанавливаются межсетевые экраны, IDS/IPS, применяются правила фильтрации трафика.

Централизованное журналирование

Все события безопасности собираются в единую систему — SIEM (Security Information and Event Management). Это позволяет:

коррелировать события с разных источников;
обнаруживать сложные атаки;
формировать отчёты для аудита.

Отказоустойчивость и резервирование

Критически важные сервисы должны иметь:

резервные копии данных;
дублирующие серверы;
автоматическое переключение при отказе.

Это требование особенно актуально для объектов КИИ и ИСПДн 1-го уровня.

Процессы управления безопасностью

Управление доступом

Процесс включает полный жизненный цикл учётных записей:

создание при приёме сотрудника;
назначение прав в соответствии с должностными обязанностями (принцип минимальных привилегий);
периодическая проверка актуальности прав;
отзыв доступа при увольнении или смене должности.

Реализуется через:

Active Directory или LDAP — для централизованной аутентификации;
PAM-системы (Privileged Access Management) — для контроля привилегированных аккаунтов;
матрицы доступа — документальное описание прав каждого пользователя.

Управление изменениями

Любое изменение в конфигурации ИТ-инфраструктуры должно быть:

согласовано;
протестировано;
задокументировано.

Это предотвращает случайное нарушение мер защиты и помогает сохранять соответствие требованиям.

Управление инцидентами

Процесс реагирования на инциденты включает:

обнаружение (через SIEM, EDR, IDS);
анализ и классификация;
сдерживание (изоляция узлов, блокировка трафика);
ликвидация (удаление угрозы, восстановление из резерва);
постинцидентный анализ и обновление модели угроз.

Все действия фиксируются в журнале реагирования на инциденты.

Резервное копирование и восстановление

Требования зависят от уровня защищённости:

1-й уровень: резервные копии создаются ежедневно, хранятся в зашифрованном виде, проверяется возможность восстановления;
3-й уровень: резервирование может быть менее частым, но обязательно.

План аварийного восстановления должен быть протестирован как минимум раз в год.

Доказательная база соответствия

Соответствие требованиям подтверждается не только наличием технических средств, но и документами, которые служат доказательством выполнения мер:

Акты внедрения СЗИ и СКЗИ — с указанием версий, номеров сертификатов, режимов работы;
Журналы событий безопасности — выгрузки из SIEM, систем аудита;
Отчёты о тестировании — пентесты, проверки целостности, нагрузочные испытания;
Регламенты и политики — внутренние документы, утверждённые руководством;
Акт категорирования объекта КИИ — для значимых систем;
Модель угроз — описание возможных атак и компенсирующих мер.

Без этих документов даже правильно настроенная система не считается соответствующей требованиям ФСТЭК или Роскомнадзора.

Государственные требования к информационной безопасности​

Основы правового регулирования​

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»​

Федеральный закон № 152-ФЗ «О персональных данных»​

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»​

Регуляторы информационной безопасности в России​

ФСТЭК России​

ФСБ России​

Роскомнадзор​

Минцифры России​

Банк России​

Классификация информационных систем​

Государственные информационные системы (ГИС)​

Информационные системы персональных данных (ИСПДн)​

Объекты критической информационной инфраструктуры (КИИ)​

Персональные данные и их защита​

Что такое персональные данные​

Обработка персональных данных​

Уровни защищённости ИСПДн​

1-й уровень защищённости​

2-й уровень защищённости​

3-й уровень защищённости​

4-й уровень защищённости​

Обезличивание и шифрование​

Регламенты обработки ПДн​

Критическая информационная инфраструктура (КИИ)​

Что такое КИИ​

Объекты КИИ​

Категорирование объектов КИИ​

Требования к защите объектов КИИ​

Реагирование на инциденты информационной безопасности​

Что такое инцидент ИБ​

Этапы реагирования​

Документирование инцидентов​

Технические меры защиты информации​

Средства защиты информации (СЗИ)​

Архитектурные принципы построения защищённых систем​

Сегментация сети​

Централизованное журналирование​

Отказоустойчивость и резервирование​

Процессы управления безопасностью​

Управление доступом​

Управление изменениями​

Управление инцидентами​

Резервное копирование и восстановление​

Доказательная база соответствия​