В эпоху цифровизации защита информации становится ключевым элементом устойчивости организаций и государств. Современные угрозы, такие как кибератаки и утечки данных, требуют комплексного подхода к обеспечению безопасности. В России ведущую роль играют регуляторы ФСТЭК и ФСБ, чьи требования адаптированы к национальным реалиям, включая государственные информационные системы. Международный стандарт ISO 27001 дополняет их, предоставляя глобальный фреймворк для управления рисками. Эти стандарты эволюционируют: в 2025 году ФСТЭК обновила Приказ №117 от 11 апреля, ФСБ — Приказ №117 от 18 марта, а ISO/IEC 27001 вышла в версии 2022 года. Вместе они формируют многоуровневую систему, где технические меры сочетаются с организационными. Организации, внедряющие такие стандарты, минимизируют уязвимости и повышают доверие партнеров. В этой статье мы разберем ключевые аспекты каждого, опираясь на конкретные документы и требования.
Защита информации охватывает конфиденциальность, целостность и доступность данных. ФСТЭК фокусируется на технических аспектах, ФСБ — на криптографических, а ISO — на системном менеджменте. Их интеграция позволяет создавать гибкие стратегии. Например, в государственных системах обязательны сертифицированные средства, что снижает риски несанкционированного доступа. Общий тренд 2025 года — упрощение классификации систем и акцент на облачные технологии.
Роль ФСТЭК в защите информации
Федеральная служба по техническому и экспортному контролю (ФСТЭК) устанавливает требования к защите информации в государственных и значимых системах. Основной документ — Приказ №17 от 11 февраля 2013 года, обновленный 28 августа 2024 года и дополненный Приказом №117 от 11 апреля 2025 года. Эти изменения адаптируют стандарты к новым угрозам, включая ИИ и удаленный доступ. ФСТЭК классифицирует системы на классы защищенности от 1У1 до 1Г, где 1У1 — наивысший уровень для критической инфраструктуры. Для систем 1 класса требуется полная аттестация, включая анализ уязвимостей по ГОСТ Р 56545-2015.
В Приказе №117 вводятся требования к операторам ГИС: разработка политики защиты, регламентов и ответственности сотрудников. Например, подразделения по сопровождению ИС должны обеспечивать меры по предотвращению НСД (несанкционированного доступа) в объеме, указанном в внутренних документах. Это включает межсетевые экраны и системы обнаружения вторжений. ФСТЭК также публикует сведения о стандартах ТК 362: во II квартале 2025 года принято 12 новых ГОСТов по защите, включая ГОСТ Р 52447-2005 с добавлением классификации СЗИ от НСД. Такие обновления упрощают оценку рисков, делая процесс прозрачным.
Методика оценки критичности уязвимостей от 30 июня 2025 года определяет уровни от низкого до критического на основе потенциального ущерба. Организации обязаны устранять уязвимости в сроки, зависящие от класса: для 1 класса — не позднее 24 часов. ФСТЭК координирует лицензионный контроль: Приказ №163 от 12 мая 2025 года устанавливает последовательность процедур, включая инспекции. Это обеспечивает единый подход к сертификации СЗИ, где классы соответствуют ГОСТ Р ИСО/МЭК 15408.
Компания «Нева-Автоматизация» специализируется на разработке и внедрении комплексных ИТ-решений, направленных на повышение безопасности и эффективности цифровой инфраструктуры предприятий. Организация обеспечивает защиту данных, стабильность бизнес-процессов и бесперебойную работу корпоративных систем. В числе ключевых направлений — внедрение SIEM, SOAR, DLP, NGFW, WAF, PAM, IDM, MFA и других решений для мониторинга, анализа и защиты информации. Также компания https://nevaat.ru/ проводит аудит и тестирование на уязвимости, настраивает резервное копирование и системы мониторинга. «Нева-Автоматизация» активно продвигает отечественные технологии и программное обеспечение, предлагая клиентам современные, надежные и масштабируемые решения в рамках политики импортозамещения.
Требования ФСБ к криптографической защите
Федеральная служба безопасности (ФСБ) специализируется на криптографических средствах защиты (СКЗИ), регулируя их использование в ГИС и системах с ограниченным доступом. Ключевой документ — Приказ №117 от 18 марта 2025 года, заменяющий №524 от 24 октября 2022 года. Он определяет классы СКЗИ: КА (для аутентификации) и КС (для шифрования), где КС1 — высший для государственной тайны. Требования распространяются на ГИС, исключая системы Администрации Президента и Совета Безопасности.
Согласно Приказу, модель угроз ГИС согласовывается с ФСБ в части криптозащиты. Для сегментов с персональными данными класс СКЗИ не ниже КС2, а для КИИ 1 категории — КС1. Организационные меры включают защиту помещений с СКЗИ и оценку влияния сбоев. Например, время восстановления не превышает 8 часов для систем общего пользования по Приказу №416/489 от 31 августа 2010 года. ФСБ требует интеграцию СКЗИ в ИС, с обязательной сертификацией по требованиям ФАПСИ.
Приказ №378 от 10 июля 2014 года детализирует меры для персональных данных: 4 уровня защищенности, где для УЗ-1 обязательны режимы безопасности помещений и актуальные списки доступа. В 2025 году акцент на электронную подпись: Приказ №154 от 20 апреля 2021 года (действует до 2028) устанавливает правила подтверждения ключей. ФСБ также утверждает инструкции по хранению и передаче данных с СКЗИ, как в Инструкции №152 от 13 июня 2001 года. Это обеспечивает защиту от утечек в каналах связи.
Международный стандарт ISO 27001
ISO/IEC 27001:2022 — глобальный стандарт для систем менеджмента информационной безопасности (СМИБ). Он определяет требования к установке, внедрению и улучшению СМИБ, охватывая все аспекты: от рисков до контроля. Стандарт гармонизирован с ISO 9001, что упрощает интеграцию с качеством. По данным ISO Survey 2023, сертифицировано 81 264 организации, включая облачные сервисы вроде Office 365.
Структура стандарта следует Annex SL: 10 глав, включая контекст организации, лидерство и планирование. Приложение A содержит 93 контроля (в версии 2022 сокращено с 114), сгруппированных в 4 темы: организационные (37), люди (8), физические (14) и технологические (34). Например, контроль A.5.1.1 требует политики ИБ, утвержденной руководством. Сертификация включает аудит: внешний орган проверяет соответствие, выдавая сертификат на 3 года с ежегодным надзором.
ISO 27001 фокусируется на рисках: организации идентифицируют угрозы, оценивают и минимизируют их. В 2022 году добавлены меры по кибербезопасности и приватности, включая A.8.1 для удаленной работы. Стандарт применяется к любым размерам: от малого бизнеса до корпораций. В России ГОСТ Р ИСО/МЭК 27001 интегрирует его с ФЗ-152, помогая в защите ПДн. Сертификация повышает конкурентоспособность, подтверждая управление рисками.
Сравнение и интеграция стандартов
ФСТЭК, ФСБ и ISO 27001 дополняют друг друга, но различаются фокусом. Ниже приведен нумерованный список ключевых отличий и точек интеграции.
- Классификация систем и рисков. ФСТЭК делит на 4 класса (1У1–1Г) по потенциальному ущербу, с обязательной аттестацией для ГИС; ФСБ классифицирует СКЗИ на КС1–КС3 по типу данных, требуя согласования моделей угроз; ISO 27001 использует риск-ориентированный подход без жестких классов, с 93 контролями в Annex A для оценки. Интеграция возможна через mapping: меры ФСТЭК (межсетевые экраны) соответствуют A.8.20 ISO, а классы СКЗИ — A.8.24. Это позволяет организациям использовать ISO как основу для национальных требований, добавляя крипто по ФСБ.
- Организационные меры. В ФСТЭК (Приказ №117) обязательны политики и регламенты с ответственностью сотрудников; ФСБ (Приказ №378) акцентирует списки доступа и режимы помещений для 4 уровней УЗ; ISO требует лидерства (глава 5) и осведомленности (A.6). Общее — фокус на людях: все стандарты предписывают обучение, но ФСТЭК добавляет лицензионный контроль (Приказ №163). Интеграция упрощает compliance: СМИБ ISO интегрирует регламенты ФСТЭК, обеспечивая аудит по всем нормам.
Эти стандарты интегрируются в единую систему: ФСТЭК и ФСБ обеспечивают техническую базу для госсектора, ISO — менеджмент для бизнеса. В 2025 году обновления (например, методика ФСТЭК от 30 июня) синхронизированы с ISO 2022 по облакам. Организации выигрывают от гибкости: сертификация ISO упрощает соответствие ФСТЭК.
Заключение
Современные стандарты защиты информации эволюционируют, отражая динамику угроз. ФСТЭК с Приказом №117 обеспечивает техническую стойкость ГИС, ФСБ через крипто (Приказ №117) — конфиденциальность, ISO 27001 — системный подход с 93 контролями. Их комбинация минимизирует риски, повышая resilience. Организации должны начинать с оценки рисков, интегрируя требования в повседневные процессы. В будущем ожидается дальнейшая гармонизация, включая ИИ-защиту. Внедрение этих стандартов — инвестиция в безопасность и репутацию.
Вопросы и ответы
1. Что такое ФСТЭК и какую роль она играет в защите информации?
Федеральная служба по техническому и экспортному контролю (ФСТЭК) — это российский государственный орган, ответственный за регулирование защиты информации в государственных информационных системах (ГИС) и критической информационной инфраструктуре (КИИ). Основная задача ФСТЭК — разработка нормативных актов, таких как Приказ №17 от 11 февраля 2013 года (обновлен в 2024 году) и Приказ №117 от 11 апреля 2025 года, которые устанавливают требования к технической защите данных. Эти документы определяют классы защищенности систем (от 1У1 до 1Г), где 1У1 — наивысший уровень для критических объектов. ФСТЭК также контролирует сертификацию средств защиты информации (СЗИ) от несанкционированного доступа (НСД), включая межсетевые экраны и системы обнаружения вторжений.
ФСТЭК координирует лицензирование организаций, работающих с ГИС, и проводит аттестацию систем. Например, Приказ №163 от 12 мая 2025 года регламентирует порядок инспекций. Новые стандарты, такие как методика оценки уязвимостей от 30 июня 2025 года, позволяют оперативно устранять риски, устанавливая сроки (например, 24 часа для систем 1 класса). Это делает ФСТЭК ключевым игроком в обеспечении кибербезопасности в России, особенно для объектов критической инфраструктуры.
2. Какие основные документы ФСТЭК регулируют защиту информации?
Основными документами ФСТЭК являются Приказ №17 от 11 февраля 2013 года (обновлен в 2024 году) и Приказ №117 от 11 апреля 2025 года. Приказ №17 устанавливает требования к защите ГИС, включая классификацию систем по уровням значимости и мерам защиты от НСД. Приказ №117 дополняет его, вводя требования к операторам ГИС, такие как разработка политики безопасности, регламентов и обучение сотрудников. Эти документы базируются на ГОСТ Р 56545-2015, определяющем порядок анализа уязвимостей.
Также важны стандарты ТК 362, включая ГОСТ Р 52447-2005, который в 2025 году дополнен классификацией СЗИ. Методика оценки критичности уязвимостей от 30 июня 2025 года устанавливает уровни риска и сроки их устранения. Приказ №163 от 12 мая 2025 года регулирует лицензионный контроль, обеспечивая единый подход к сертификации. Эти документы создают комплексную систему для защиты информации в России.
3. Как ФСБ регулирует защиту информации?
Федеральная служба безопасности (ФСБ) регулирует использование криптографических средств защиты информации (СКЗИ) в ГИС и системах с ограниченным доступом. Основной документ — Приказ №117 от 18 марта 2025 года, заменивший Приказ №524 от 2022 года. Он классифицирует СКЗИ на КА (аутентификация) и КС (шифрование), где КС1 применяется для государственной тайны. Требования касаются ГИС, за исключением систем Администрации Президента и Совета Безопасности.
ФСБ также утверждает модели угроз для криптозащиты и требует сертификации СКЗИ по стандартам ФАПСИ. Приказ №378 от 10 июля 2014 года определяет меры для персональных данных (4 уровня защищенности), а Приказ №154 от 20 апреля 2021 года регулирует электронную подпись. Инструкция №152 от 13 июня 2001 года устанавливает правила хранения и передачи данных с СКЗИ, минимизируя риски утечек в каналах связи.
4. Что такое ISO 27001 и как он применяется?
ISO/IEC 27001:2022 — международный стандарт для систем менеджмента информационной безопасности (СМИБ). Он определяет требования к созданию, внедрению и улучшению СМИБ, охватывая риски, организационные процессы и технологии. Стандарт включает 10 глав и Приложение A с 93 контролями, сгруппированными по темам: организационные (37), люди (8), физические (14) и технологические (34). Например, A.5.1.1 требует утвержденной политики ИБ.
Сертификация по ISO 27001 подтверждает управление рисками, повышая доверие партнеров. В России стандарт гармонизирован с ФЗ-152 о персональных данных через ГОСТ Р ИСО/МЭК 27001. По данным ISO Survey 2023, сертифицировано 81 264 организации, включая облачные сервисы. Стандарт подходит для всех типов организаций, а версия 2022 года добавила меры по кибербезопасности и удаленной работе.
5. Чем отличаются требования ФСТЭК и ФСБ?
ФСТЭК фокусируется на технической защите ГИС и КИИ, регулируя СЗИ от НСД, межсетевые экраны и аттестацию систем (Приказ №17, №117). ФСБ сосредоточена на криптографии, регулируя СКЗИ для защиты данных и электронной подписи (Приказ №117 от 2025 года). ФСТЭК классифицирует системы по уровням значимости (1У1–1Г), а ФСБ — по классам СКЗИ (КС1–КС3).
ФСТЭК требует организационных мер, таких как регламенты и обучение, тогда как ФСБ акцентирует защиту помещений и сертификацию ключей. Например, для персональных данных ФСБ устанавливает 4 уровня защищенности (Приказ №378), а ФСТЭК — технические меры для ГИС. Интеграция возможна: СКЗИ ФСБ дополняют СЗИ ФСТЭК, создавая комплексную защиту.
6. Какие классы защищенности существуют в стандартах ФСТЭК?
ФСТЭК классифицирует системы по уровням значимости: 1У1 (наивысший, для критической инфраструктуры), 1У2, 1У3 и 1Г (наименьший). Класс определяется на основе потенциального ущерба от НСД, согласно Приказу №17. Для систем 1У1 требуется полная аттестация, включая анализ уязвимостей по ГОСТ Р 56545-2015 и использование сертифицированных СЗИ.
Требования зависят от класса: для 1У1 обязательны межсетевые экраны, системы обнаружения вторжений и устранение уязвимостей в течение 24 часов. Для 1Г достаточно базовых мер, таких как антивирус. Приказ №117 от 2025 года уточняет процедуры классификации, упрощая их для облачных систем.
7. Какие классы СКЗИ определяет ФСБ?
ФСБ классифицирует средства криптографической защиты на КА (для аутентификации) и КС (для шифрования), согласно Приказу №117 от 18 марта 2025 года. КС делятся на КС1 (для государственной тайны), КС2 (для конфиденциальных данных) и КС3 (для менее критичных систем). Класс зависит от типа данных и уровня доступа.
Для КИИ 1 категории требуется КС1, для персональных данных — не ниже КС2. Сертификация СКЗИ обязательна, включая проверку по стандартам ФАПСИ. Например, Приказ №154 от 2021 года регулирует ключи электронной подписи, а Инструкция №152 — хранение данных.
8. Как ISO 27001 помогает в управлении рисками?
ISO 27001 использует риск-ориентированный подход, требуя идентификации, оценки и минимизации рисков. Глава 6 стандарта предписывает анализ угроз и уязвимостей, разработку плана управления рисками. Приложение A содержит 93 контроля, таких как A.8.1 для удаленной работы и A.6 для обучения сотрудников.
Организации создают СМИБ, интегрируя технические и организационные меры. Например, контроль A.5.1.1 требует политики ИБ, утвержденной руководством. Сертификация подтверждает, что риски управляются системно, что особенно важно для международных компаний. В России ISO гармонизируется с ФЗ-152, упрощая защиту ПДн.
9. Какие новые требования ввел ФСТЭК в 2025 году?
В 2025 году ФСТЭК обновила Приказ №117 от 11 апреля, добавив требования к операторам ГИС: разработка политики ИБ, регламентов и обучение сотрудников. Методика оценки уязвимостей от 30 июня 2025 года определяет уровни риска (низкий–критический) и сроки устранения (24 часа для 1 класса). Приказ №163 от 12 мая регламентирует лицензионный контроль.
Также приняты 12 новых ГОСТов ТК 362, включая дополнения к ГОСТ Р 52447-2005 по классификации СЗИ. Эти изменения упрощают классификацию облачных систем и усиливают защиту от ИИ-угроз и удаленного доступа.
10. Как ФСБ регулирует электронную подпись?
ФСБ регулирует электронную подпись через Приказ №154 от 20 апреля 2021 года (действует до 2028 года), который устанавливает правила создания, подтверждения и хранения ключей. СКЗИ для подписи должны быть сертифицированы, а ключи — защищены от компрометации. Для ГИС требуется класс КС1 или КС2, в зависимости от данных.
Приказ №117 от 2025 года уточняет интеграцию подписи в ГИС, требуя согласования моделей угроз. Инструкция №152 от 2001 года определяет правила передачи подписанных данных, минимизируя риски утечек. Это обеспечивает юридическую значимость и безопасность документов.
11. Какие меры защиты персональных данных требует ФСБ?
ФСБ регулирует защиту персональных данных через Приказ №378 от 10 июля 2014 года, определяющий 4 уровня защищенности (УЗ-1–УЗ-4). УЗ-1 (наивысший) требует режима безопасности помещений, актуальных списков доступа и сертифицированных СКЗИ класса КС1 или КС2. Для УЗ-3 и УЗ-4 достаточно базовых мер, таких как пароли и антивирус.
Приказ №117 от 2025 года обязывает согласовывать модели угроз для ПДн с ФСБ. Время восстановления после сбоев не превышает 8 часов для систем общего пользования (Приказ №416/489). Эти меры обеспечивают конфиденциальность и целостность данных.
12. Как ISO 27001 интегрируется с российскими стандартами?
ISO 27001 гармонизирован с ФЗ-152 о персональных данных через ГОСТ Р ИСО/МЭК 27001. Контроли ISO, такие как A.8.20 (сетевая безопасность), соответствуют требованиям ФСТЭК по межсетевым экранам, а A.8.24 — классам СКЗИ ФСБ. Это позволяет использовать ISO как основу для национальных стандартов.
Организации интегрируют СМИБ ISO с регламентами ФСТЭК (Приказ №117) и криптозащитой ФСБ (Приказ №378). Сертификация ISO упрощает аудит, подтверждая соответствие российским нормам. В 2025 году обновления ISO 2022 года синхронизированы с методиками ФСТЭК по облачным технологиям.
13. Какие преимущества дает сертификация по ISO 27001?
Сертификация по ISO 27001 подтверждает системное управление рисками, повышая доверие клиентов и партнеров. По данным ISO Survey 2023, сертифицировано 81 264 организации, включая крупные корпорации. Стандарт подходит для всех типов организаций, включая малый бизнес, и гармонизируется с ISO 9001.
Сертификация улучшает конкурентоспособность, особенно на международных рынках, и упрощает соблюдение ФЗ-152 в России. Она включает аудит, выдачу сертификата на 3 года и ежегодный надзор, обеспечивая постоянное улучшение СМИБ. Контроли A.8.1 и A.6 усиливают защиту от современных угроз, таких как удаленная работа.
14. Какие сроки устранения уязвимостей устанавливает ФСТЭК?
Методика ФСТЭК от 30 июня 2025 года классифицирует уязвимости по уровням (низкий–критический). Для систем 1 класса (1У1) уязвимости устраняются в течение 24 часов, для 1У2 — 48 часов, для 1У3 и 1Г — до 7 дней. Это зависит от потенциального ущерба, определяемого по ГОСТ Р 56545-2015.
Приказ №117 требует документирования процесса устранения и уведомления ФСТЭК о критических инцидентах. Это обеспечивает оперативное реагирование и минимизацию рисков для ГИС и КИИ.
15. Как ФСБ обеспечивает защиту помещений с СКЗИ?
ФСБ через Приказ №378 от 2014 года требует режима безопасности для помещений с СКЗИ. Для УЗ-1 обязательны физические меры (контроль доступа, видеонаблюдение) и актуальные списки сотрудников с доступом. Помещения должны соответствовать стандартам защиты от утечек, включая экранирование.
Приказ №117 от 2025 года уточняет, что помещения для КС1 должны исключать несанкционированный доступ, с проверками ФСБ. Это минимизирует риски компрометации криптографических ключей и данных.
16. Какие изменения внесла версия ISO 27001:2022?
Версия ISO 27001:2022 сократила количество контролей в Приложении A с 114 до 93, сгруппировав их в 4 темы: организационные (37), люди (8), физические (14), технологические (34). Добавлены меры по кибербезопасности (A.8.1 для удаленной работы) и приватности данных.
Стандарт гармонизирован с Annex SL, упрощая интеграцию с ISO 9001. Новые контроли, такие как A.5.1.1, уточняют требования к политике ИБ. Это делает стандарт более адаптированным к современным угрозам, включая облачные технологии.
17. Как организации интегрируют ФСТЭК, ФСБ и ISO?
Интеграция начинается с анализа требований: ФСТЭК (техническая защита), ФСБ (криптография) и ISO (менеджмент). СМИБ ISO служит основой, включая регламенты ФСТЭК (Приказ №117) и СКЗИ ФСБ (Приказ №378). Например, контроль A.8.20 ISO соответствует межсетевым экранам ФСТЭК.
Организации разрабатывают единую политику ИБ, включающую обучение, сертификацию СЗИ и СКЗИ, и проводят аудит. В 2025 году методики ФСТЭК по облакам синхронизированы с ISO 2022, упрощая compliance для ГИС и бизнеса.
18. Какие меры защиты требуются для КИИ 1 категории?
Для КИИ 1 категории ФСТЭК требует класс 1У1: аттестацию, межсетевые экраны, системы обнаружения вторжений и устранение уязвимостей в течение 24 часов (Приказ №117). ФСБ предписывает СКЗИ класса КС1, сертифицированные по стандартам ФАПСИ, и согласование моделей угроз.
Организационные меры включают обучение сотрудников и режим безопасности помещений. Интеграция с ISO 27001 (контроли A.8.20, A.6) упрощает управление рисками, обеспечивая комплексную защиту.
19. Как обучение сотрудников помогает в защите информации?
Обучение сотрудников — обязательное требование ФСТЭК (Приказ №117), ФСБ (Приказ №378) и ISO 27001 (контроль A.6). Оно повышает осведомленность о фишинге, паролях и соблюдении политик ИБ. ФСТЭК требует регулярных инструктажей для ГИС, ФСБ — обучения работе с СКЗИ.
ISO акцентирует лидерство и осведомленность, включая тренинги по киберугрозам. Например, контроль A.6 требует ежегодного обучения. Это снижает риски человеческого фактора, который составляет до 80% инцидентов ИБ.
20. Как стандарты адаптируются к облачным технологиям?
ФСТЭК в Приказе №117 от 2025 года упростила классификацию облачных систем, требуя сертифицированных СЗИ и анализа уязвимостей. ФСБ (Приказ №117) регулирует СКЗИ для облаков, обеспечивая шифрование данных. ISO 27001:2022 включает контроль A.8.1 для облачных сервисов, таких как Office 365.
Интеграция стандартов позволяет защищать облачные данные: ФСТЭК обеспечивает техническую защиту, ФСБ — криптографию, ISO — управление рисками. Это делает стандарты актуальными для современных ИТ-решений.