Требования информационной безопасности: законы, стандарты, угрозы и пошаговый план защиты бизнеса

Каждая пятая компания теряет данные клиентов из-за банальной невнимательности: забытые флешки, неотключённые аккаунты уволенных сотрудников, письма с вирусами. При этом штрафы за такие утечки — до полумиллиона рублей, а восстановление репутации занимает месяцы. Чтобы защитить бизнес от потерь, нужно не просто «установить антивирус», а выполнять конкретные требования информационной безопасности. Рассказываем, какие типы угроз бывают, что включают в себя требования ИБ и как настроить защиту — от политики паролей до сегментации сети.

{{cta}}

Требования информационной безопасности: понятие и цели

Требования информационной безопасности — это правила и стандарты, которые помогают компаниям защищать данные от взломов, утечек и повреждений. К ним относятся технические, организационные и правовые аспекты, обеспечивающие целостность, конфиденциальность и доступность информации.
‍

Согласно отчету IBM, средняя стоимость утечки данных для бизнеса составляет $4.45 млн — в эту сумму входят штрафы, судебные издержки, затраты на восстановление систем и потери от ухода клиентов. Так, в 2024 году сеть магазинов «ВинЛаб» допустила утечку данных 8,2 млн номеров телефонов и 1,6 млн email-адресов клиентов, что привело к проверке Роскомнадзора и штрафам до 860 млн рублей. Тогда же Роскомнадзор зафиксировал единовременную утечку 500 млн записей персональных данных россиян, затронувшую и ритейл-сектор. Подобные инциденты означают не только финансовые потери, но и падение акций на 5% и репутационный ущерб.

‍

Цели требований ИБ:

• Защита конфиденциальности: предотвращение доступа к данным посторонних лиц.
• Целостность: данные остаются точными и не теряются при передаче или хранении.
• Доступность: гарантия доступа к данным для авторизованных пользователей.
• Соблюдение нормативных требований: 152-ФЗ и приказов ФСТЭК, чтобы избежать штрафов и проверок.

Важно! Требования ИБ касаются не только цифровых данных, но и физических носителей. Небрежное обращение с документами или оставленные на столе договоры могут стать причиной утечки конфиденциальной информации. 
‍

Регулярный аудит рабочих мест, использование уничтожителей бумаг и правила чистого стола помогают снизить эти риски. Например, многие компании внедряют политику «закрытого доступа» к архивам и шредеры для уничтожения документов — это обязательная практика для соответствия стандартам ИБ.

Какие угрозы реально угрожают вашему бизнесу

По данным ФСТЭК, только 15% российских компаний регулярно проводят аудит внутренних угроз, хотя 85% инцидентов можно было предотвратить при своевременном мониторинге действий персонала. Рассмотрим подробнее внутренние и внешние угрозы ИБ — с чего они начинаются и какие риски несут.

Внешние угрозы

• Кибератаки — мошенники отправляют компании фишинговые письма, которые маскируют под официальные запросы от руководства или банков. Преступники вкладывают в письмо вредоносные файлы или ссылки на фальшивые страницы, чтобы похитить логины и пароли. DDoS-атаки перегружают серверы трафиком, делая сайты недоступными для клиентов. Вирусы-шифровальщики блокируют доступ к файлам и требуют деньги за расшифровку.
• Техногенные и природные факторы — пожары и наводнения могут физически уничтожить серверы, если они расположены в ненадежном дата-центре. Сбои электропитания выводят из строя оборудование и провоцируют потерю данных, которые не успели сохранить. 
• Действия поставщиков — подрядчики иногда ошибаются при настройке облачных сервисов, случайно открывая публичный доступ к базам данных. Вредоносный код может попасть в вашу систему через программы, которые поставляет партнер. 

Внутренние угрозы

• Умышленные действия — сотрудники копируют конфиденциальные данные перед увольнением или передают коммерческие тайны конкурентам за вознаграждение. Например, администратор может экспортировать базу данных, если компания не отключает доступ в день увольнения. 
• Ошибки и халатность — сотрудники устанавливают простые пароли, которые легко подобрать, или пересылают рабочие файлы на личную почту. Кто-то может случайно отправить финансовый отчет не тому клиенту через мессенджер. 
• Технические сбои — устаревшее ПО содержит уязвимости, которые хакеры используют для взлома. Серверы выходят из строя, если компания вовремя не заменяет оборудование.Так, администратор может забыть закрыть публичный доступ к облачному хранилищу, что приведет к утечке данных.
  ‍

Нормативные требования: какие законы и стандарты регулируют ИБ 

В России требования информационной безопасности регулируют несколько основных законов и стандартов. Несоблюдение закона ведет к штрафам, приостановке деятельности или уголовной ответственности. Перечислим основные нормативные акты.

152-ФЗ «О персональных данных»

Обязателен для всех компаний, работающих с персональными данными граждан. Требует:

• согласия субъектов на обработку их данных;
• регистрации в Роскомнадзоре как оператора персональных данных;
• технической и организационной защиты информации.

Приказы ФСТЭК

Приказ № 21 определяет, как защищать данные в IT-системах, и включает:

• идентификацию и аутентификацию пользователей;
• регистрацию событий безопасности в системах;
• контроль над неизменностью ПО.

ГОСТы и международные стандарты

• ГОСТ Р ИСО/МЭК 27001 — национальный аналог международного стандарта. Соответствие этому ГОСТу часто является обязательным условием для участия в тендерах, особенно в госсекторе. Это снижает барьер входа на крупные проекты и помогает избежать претензий от регуляторов.
• ISO/IEC 27001 — предлагает лучшие практики по управлению ИБ. Он демонстрирует международным партнерам высокий уровень зрелости процессов. Это особенно важно при выходе на зарубежные рынки, аудите от инвесторов или заключении контрактов с транснациональными компаниями.
• PCI DSS — стандарт для компаний, работающих с платежными картами. Выполняя требования стандарта, бизнес принимает онлайн-платежи без риска блокировки со стороны банков или платежных систем. 

Важно! В мае 2025 года ужесточились требования к критической информационной инфраструктуре (КИИ) и обработке персональных данных. Основные изменения:

‍

1. Обязательное импортозамещение для субъектов — организации КИИ должны перейти на отечественное программное обеспечение и оборудование, сертифицированное ФСТЭК России.
2. Уточнение требований к категорированию объектов КИИ — появились проекты отраслевых требований для здравоохранения и ракетно-космической отрасли. Это значит, что теперь для каждой отрасли действуют свои критерии оценки важности объектов и их уязвимостей. Раньше правила были общими для всех, теперь они стали более конкретными.
3. Ужесточение требований к передаче данных за рубеж — теперь недостаточно, чтобы у иностранного государства было просто похожее законодательство. Нужно доказать, что меры защиты там действительно работают на практике.

Основные нормативные требования к ИБ:

{{cta}}

Технические требования к информационной безопасности

Технические меры защиты помогают автоматизировать контроль угроз и минимизировать человеческие ошибки. В 2025 году 76% атак применяют ИИ для обхода традиционных средств безопасности, что требует более сложных технических решений. Ниже — ключевые компоненты, которые должна использовать каждая организация для безопасности информации.

Антивирусная защита и обнаружение атак

Злоумышленники регулярно разрабатывают новые вредоносные программы, которые обходят стандартные меры безопасности. Чтобы находить новые угрозы, современные антивирусы анализируют поведение программ с помощью алгоритмов машинного обучения. Ниже — ключевые рекомендации по внедрению антивирусной защиты:

• Настраивайте автоматическое обновление вирусных баз ежедневно.
• Включайте режим сканирования в реальном времени для всех файловых операций.
• Добавляйте модуль поведенческого анализа для обнаружения шифровальщиков.
• Интегрируйте IDS/IPS с SIEM-системой для быстрого реагирования.
• Проводите тесты на проникновение каждые три месяца.
  ‍

Для непрерывного контроля угроз в реальном времени компании используют ИИ-мониторинг процессов, который автоматически анализирует поведение систем и выявляет аномалии.

Сетевая безопасность и брандмауэры

Злоумышленники используют прокси-сервера, поддельные IP и автоматические скрипты, чтобы обойти даже корпоративные брандмауэры и системы фильтрации. Брандмауэры анализируют трафик на уровне приложений, блокируя подозрительные соединения еще до того, как они достигнут внутренней сети. Для эффективной защиты необходимо: 

• Настроить фильтрацию входящего и исходящего трафика.
• Закрыть неиспользуемые порты.
• Применять геоблокировку для регионов с высокой активностью атак.
• Разделять сеть на сегменты, изолируя критичные отделы.
• Обновлять правила брандмауэра каждый месяц
• Мониторить трафик в реальном времени.

Шифрование данных и управление доступом

Даже если преступник получит доступ к вашим данным, он не сможет их прочитать без ключа шифрования. Это критически важно при передаче информации через интернет или хранении в облаке. 

• Шифруйте диски на ноутбуках и ПК. Если сотрудник потеряет устройство в командировке, данные останутся недоступны злоумышленникам — даже при физическом доступе.
• Используйте TLS версии 1.3 и выше для передачи данных.
• Внедряйте многофакторную аутентификацию для критичных систем.
• Меняйте ключи шифрования по графику — это не даст злоумышленникам использовать старые данные.
• Храните ключи отдельно от зашифрованных данных.
• Настраивайте политики доступа по принципу минимальных привилегий.
  ‍

Организационные требования ИБ

Обычный запрет на флешки и политика чистого стола часто предотвращают больше утечек, чем дорогое ПО — особенно в компаниях с доступом к бумажным документам.

Политика информационной безопасности

Этот документ объясняет, как сотрудники должны защищать данные на практике. Политика должна быть практичной и понятной каждому сотруднику:

• Пропишите простые инструкции: что можно отправлять по почте, где хранить пароли и когда включать шифрование.
• Опишите этапы работы с инцидентами: что делать при утечке данных, как блокировать угрозу.
• Закрепите ответственность за соблюдение требований за конкретными руководителями отделов.
• Утвердите политику приказом генерального директора — только тогда она будет обязательной для всех сотрудников.
• Перепроверяйте документ хотя бы раз в год — добавляйте туда новые риски и учёт реальных рабочих ситуаций.

Обучение персонала

Недостаточно один раз прочитать инструктаж при приеме на работу — угрозы постоянно меняются, и знания персонала нужно обновлять. Необходимо:

• Проводить вводный инструктаж для каждого нового сотрудника в первый рабочий день, рассказывать о базовых правилах — как создавать сложные пароли, как опознать фишинговое письмо, почему нельзя оставлять компьютер разблокированным.
• Организовывать ежегодные обязательные тренинги для коллектива — показывать реальные примеры инцидентов, которые произошли в вашей отрасли.
• Внедрить тестирование после обучения — так вы проверите, как сотрудники усвоили материал, и выявите темы, которые нужно объяснить еще раз.

Разграничение прав доступа

Принцип минимальных привилегий — золотое правило управления доступом. Специалист должен получать ровно те права в системах и к данным, которые нужны ему для выполнения прямых обязанностей. Компании важно:

• Формировать ролевые модели доступа. Например, бухгалтеру не нужен доступ к CRM маркетолога, а разработчику — к финансовым отчетам.
• Регулярно пересматривать права, особенно когда сотрудник меняет должность или увольняется. Немедленно отзывайте все его учетные записи.
• Вести журнал предоставления и изменения прав доступа — это поможет быстро разобраться в ситуации при проверке или инциденте.

Управление паролями и аутентификацией

Парольная политика — это не просто формальность, а эффективный способ заблокировать 80% типовых атак, которые основаны на подборе слабых паролей. 

• Ограничьте использование флешек и внешних дисков — они могут стать причиной утечки или заражения.
• Пропишите простые правила — что можно подключать, как проверять носители перед использованием.
• Установите технические ограничения. Запретите автозапуск с USB — это перекроет один из путей заражения вирусами.
• Шифруйте данные на всех корпоративных съемных носителях. Если устройство потеряется, информацию не смогут прочитать.

Как российские компании внедряют требования ИБ

Рассмотрим 2 реальных примера: как бизнес внедряет и использует требования ИБ на практике. Один кейс показывает технический подход к защите инфраструктуры, другой — системную работу с политиками и стандартами.

‍

Крупная металлургическая компания (ТМК) использует для защиты информации систему контроля доступа. Компания настроила распознавание корпоративных и личных устройств сотрудников, внедрила единый вход во все системы и добавила двухэтапную проверку при входе. Это позволило упростить авторизацию для сотрудников, одновременно усилив защиту критической инфраструктуры за счет точного контроля устройств и многоуровневой аутентификации.
‍

«СберРешения» для обеспечения доверия клиентов и соответствия международным стандартам разработала и внедрила Политику информационной безопасности. В ее основе лежит Система менеджмента ИБ, которая соответствует строгим требованиям международных стандартов. Система следит за тем, чтобы данные были недоступны посторонним, не изменялись и всегда были под рукой, помогая организации быстро реагировать на инциденты и предотвращать их последствия.
‍

Аудит информационной безопасности: пошаговый план

Аудит ИБ показывает, насколько эффективно бизнес защищает данные. Разберем конкретные шаги, которые помогут вам выявить уязвимости до того, как ими воспользуются злоумышленники.

1. Составьте реестр информационных активов. Перечислите все системы, базы данных, оборудование и документы, которые содержат критически важную информацию. Определите, какие данные критичны — и начните с их защиты.
2. Проверьте политики и процедуры. Убедитесь, что в компании действуют четкие правила обработки данных, управления доступом и действий при инцидентах. Проверьте, все ли сотрудники ознакомлены с ними.
3. Проанализируйте контроль доступа. Проверьте, кто имеет доступ к критическим системам. Убедитесь, что права предоставлены по принципу минимальных привилегий и своевременно отзываются при увольнении сотрудников.
4. Протестируйте техническую защиту. Проверьте правильно ли настроены брандмауэры и системы для обнаружения атак, шифрование данных и резервное копирование. Проверяйте, можно ли взломать вашу систему — хотя бы раз в квартал. Это покажет, где слабые места.
5. Оцените готовность к инцидентам. Убедитесь, что у вас есть план на случай угрозы — и проверьте его в деле: смоделируйте инцидент и посмотрите, как отреагирует команда.

Чтобы получить объективную оценку защищенности и выявить скрытые угрозы, проводят комплексный IT-аудит инфраструктуры, который включает анализ систем на соответствие стандартам безопасности, выявление уязвимостей и разработку практических рекомендаций по их устранению.

Коротко о главном: как защитить бизнес

Глобальные убытки бизнеса от кибератак достигают триллионов долларов ежегодно. По данным Verizon, 85% успешных взломов происходят по причине человеческого фактора — недостаточной осведомленности сотрудников или пренебрежения базовыми правилами защиты данных. Подчеркнем ключевые выводы, которые помогут вам выстроить эффективную защиту информации:

• Выполняйте требования ИБ независимо от размера компании — это помогает избежать штрафов и потери клиентов.
• Следите за изменениями в 152-ФЗ и приказах ФСТЭК, чтобы всегда соответствовать закону.
• Учите сотрудников правилам безопасности так же тщательно, как настраиваете технические системы.
• Настраивайте парольную политику, шифруйте данные и отслеживайте угрозы соответственно важности информации.
• Помните, что сотрудники могут как защитить данные, так и стать причиной утечки — поэтому регулярно проводите обучение.
• Обязательно настройте двухэтапную проверку входа и разграничьте права доступа для сотрудников — это базовые меры, которые реально работают.
• Проверяйте системы безопасности каждые полгода, чтобы находить уязвимости до хакеров.

{{cta}}