ФСТЭК, ФСБ, Роскомнадзор: регуляторы ИБ в России

Зачем специалисту по ИБ знать регуляторов

В российской кибербезопасности нельзя просто «строить защиту» в вакууме. Любая организация, работающая с государственными системами, персональными данными или объектами критической инфраструктуры, действует в плотном нормативном поле. Три главных игрока этого поля — ФСТЭК, ФСБ и Роскомнадзор — имеют разные мандаты, разные инструменты и разные последствия за несоблюдение требований.

Специалист по ИБ, который не понимает разграничения полномочий между регуляторами, рискует выстраивать защиту не в той плоскости: уделять время сертификации средств защиты там, где первичен вопрос лицензирования криптографии, или игнорировать требования по персональным данным, фокусируясь исключительно на технических мерах. Понимание архитектуры регулирования — базовый профессиональный навык, а не опциональная надстройка.

Как устроена система регулирования ИБ в России

Российская система регулирования в сфере информационной безопасности не централизована под одним органом — это принципиальная особенность. Нет единого «министерства кибербезопасности»: полномочия распределены между несколькими ведомствами по предметному принципу. Каждый регулятор отвечает за свой срез проблемы.

Общая рамка задаётся федеральными законами — прежде всего 149-ФЗ «Об информации», 152-ФЗ «О персональных данных» и 187-ФЗ «О безопасности критической информационной инфраструктуры». Под каждым из этих законов — своя вертикаль подзаконных актов, приказов и методических документов, которые выпускают соответствующие регуляторы. Добавьте к этому отраслевое регулирование (ЦБ для финансового сектора, Минздрав для медицины) — и получите реальную картину: несколько надзорных плоскостей, которые пересекаются на одном объекте.

ФСТЭК: техническая защита информации

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — ключевой регулятор в части технической защиты информации. Именно ФСТЭК определяет, какими техническими мерами должны быть защищены государственные информационные системы, объекты критической инфраструктуры и системы обработки персональных данных. Служба также лицензирует деятельность по технической защите конфиденциальной информации и сертифицирует средства защиты.

Что контролирует ФСТЭК

Зона ответственности ФСТЭК охватывает три основные категории объектов: государственные информационные системы (ГИС) — для них установлены классы защищённости и обязательные технические меры; объекты КИИ — критическая инфраструктура, где ФСТЭК отвечает за технические требования (ФСБ — за режимные и криптографические); информационные системы персональных данных (ИСПДн) — технические требования к защите ПДн также устанавливает ФСТЭК, хотя надзор за соблюдением ведёт РКН.

Отдельное направление работы ФСТЭК — управление уязвимостями. Служба ведёт банк данных угроз (BDU FSTEC), публикует методику оценки уязвимостей и устанавливает требования к процессу их устранения в подконтрольных организациях. Если вы работаете с управлением уязвимостями в государственном или около-государственном секторе, требования ФСТЭК — ваш первичный нормативный ориентир.

Ключевые документы ФСТЭК

Приказ № 17 — требования к защите ГИС. Приказ № 21 — требования к защите персональных данных (технические меры). Приказ № 31 — требования к защите АСУ ТП. Приказ № 239 — требования к значимым объектам КИИ. Все эти документы определяют состав и содержание организационных и технических мер, которые обязана реализовать организация в зависимости от класса своей системы.

Приказ № 117: что изменилось с марта 2026 года

1 марта 2026 года вступил в силу приказ ФСТЭК № 117, существенно обновивший требования к защите ГИС. Ключевое изменение — переход от модели «выполнить и забыть» к модели непрерывного активного надзора: организации теперь обязаны обеспечивать постоянное взаимодействие с ГосСОПКА, контролировать и фильтровать сетевой трафик с составлением «белого списка» разрешённых ресурсов, а также регулярно пересматривать модель угроз. Это означает, что разовая аттестация системы больше не закрывает вопрос — нужны постоянно действующие процессы.

ФСБ: криптография, КИИ и ГосСОПКА

ФСБ России в сфере информационной безопасности играет роль, которую часто недооценивают технические специалисты. Служба отвечает не за технические меры защиты (это ФСТЭК), а за два принципиально других направления: криптографическую защиту информации и противодействие компьютерным атакам на государственном уровне.

Что контролирует ФСБ

Криптография (СКЗИ). Любое средство криптографической защиты информации (СКЗИ) в России должно быть сертифицировано ФСБ. Организации, использующие СКЗИ, обязаны иметь лицензию ФСБ или работать через лицензиата. Это касается как программных СКЗИ (VPN-клиенты, шифрование дисков), так и аппаратных решений. Применение несертифицированной криптографии в государственных системах — прямое нарушение.

Объекты КИИ. В части критической инфраструктуры полномочия ФСБ и ФСТЭК разделены: ФСТЭК определяет технические требования к защите, ФСБ отвечает за режимную составляющую — порядок взаимодействия с государственными структурами, реагирование на инциденты и передачу информации об атаках. На особо значимых объектах КИИ требуется установка специализированных средств обнаружения, блокировки и анализа атак, сертифицированных ФСБ.

Государственная тайна. Всё, что связано с гостайной — лицензирование деятельности, допуск специалистов, защита носителей — также в зоне ФСБ. Это отдельная и очень специфическая область с собственным корпусом нормативных актов.

ГосСОПКА: система мониторинга атак

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) создана и управляется ФСБ. Субъекты КИИ обязаны подключиться к ГосСОПКА и передавать информацию об инцидентах в установленные сроки — 24 часа для значимых объектов. Нарушение этой обязанности влечёт административную ответственность. С 2025 года требования к составу специалистов и квалификации центров ГосСОПКА существенно ужесточились: теперь регламентированы не только функции, но и требования к опыту персонала в области анализа компьютерных атак.

Роскомнадзор: персональные данные и интернет

Роскомнадзор (РКН) — регулятор, с которым сталкивается практически любая российская компания, обрабатывающая данные физических лиц: а это, по сути, все. Основная функция РКН в сфере ИБ — надзор за соблюдением законодательства о персональных данных. Техническую сторону защиты ПДн определяет ФСТЭК, правила — Роскомнадзор, криптографию при передаче — ФСБ. Три ведомства, одна система.

152-ФЗ и полномочия РКН

Федеральный закон 152-ФЗ «О персональных данных» — основной нормативный акт в зоне ответственности Роскомнадзора. Закон устанавливает права субъектов персональных данных, обязанности операторов по их защите и обработке, требования к локализации данных (хранение на территории России), условия трансграничной передачи. РКН ведёт реестр операторов персональных данных, проводит проверки, рассматривает жалобы граждан и принимает решения о блокировке ресурсов, нарушающих требования закона.

Помимо ПДн, РКН отвечает за надзор в сфере интернет-регулирования: реестр запрещённых сайтов, требования к организаторам распространения информации (ORI), взаимодействие с операторами связи. Это второй крупный блок полномочий, который редко пересекается с классической ИБ-повесткой, но важен в контексте compliance.

Штрафы и ответственность

После поправок 2023–2024 годов санкции за нарушение законодательства о ПДн существенно выросли. За повторные утечки персональных данных штраф может достигать 500 миллионов рублей. За первичные нарушения — до 15 миллионов. Отдельная статья — непредставление уведомления об утечке в РКН в установленный срок (24 часа с момента обнаружения). Это сделало уведомление об инцидентах не просто хорошей практикой, а юридической обязанностью с конкретными финансовыми последствиями.

Где пересекаются полномочия: зоны совместного контроля

Разграничение «ФСТЭК — техника, ФСБ — крипто, РКН — ПДн» работает как упрощённая схема для первичного понимания. На практике эти зоны пересекаются, и одна организация может одновременно выполнять требования сразу двух или трёх регуляторов в рамках одной системы.

КИИ с ПДн. Медицинская организация, являющаяся значимым объектом КИИ и одновременно оператором персональных данных пациентов, отчитывается перед ФСТЭК (технические меры по 239 приказу), перед ФСБ (взаимодействие с ГосСОПКА, СКЗИ), перед РКН (152-ФЗ). Три проверки, три комплекта документов, три логики ответственности.

Защита ПДн в ГИС. В государственной информационной системе, обрабатывающей персональные данные, ФСТЭК определяет технические меры (приказы 17 и 21), РКН надзирает за соблюдением прав субъектов, ФСБ контролирует применение СКЗИ при передаче данных по каналам связи. Это типичная ситуация для многих госструктур и организаций, работающих с МФЦ или порталами госуслуг.

152-ФЗ vs 187-ФЗ: какой закон касается вас

Два закона, с которыми сталкивается большинство специалистов по ИБ в России, — 152-ФЗ и 187-ФЗ. Они часто упоминаются рядом, но имеют принципиально разную логику, разных регуляторов и разные последствия за нарушения.

152-ФЗ защищает права физических лиц на неприкосновенность их персональных данных. Регулятор — Роскомнадзор. Действие закона распространяется практически на любую организацию, которая собирает, хранит или обрабатывает данные людей — от интернет-магазина до поликлиники. Ответственность административная, но с 2023 года штрафы значительно выросли, достигая 500 миллионов рублей при повторных утечках.

187-ФЗ защищает государственную инфраструктуру от кибератак. Регуляторы — ФСТЭК и ФСБ совместно. Закон касается только субъектов критической информационной инфраструктуры: организаций из 13 отраслей — энергетики, здравоохранения, транспорта, финансов, телекоммуникаций и других. Ответственность более серьёзная: административная до 500 000 рублей плюс уголовная до 10 лет лишения свободы для руководителя при тяжких последствиях.

Что всё это значит для специалиста по ИБ

Регуляторная картина напрямую влияет на карьеру и ежедневную работу специалиста по информационной безопасности в России. Несколько практических следствий.

Compliance — отдельная компетенция. Знание нормативной базы и умение выстраивать работу в соответствии с требованиями регуляторов — это самостоятельный навык, востребованный на рынке труда. Особенно в государственном секторе, здравоохранении, финансах и телекоме. Профессиональные стандарты в ИБ, о которых подробнее написано в статье «Профстандарты информационной безопасности», во многом строятся вокруг требований регуляторов.

Понимание регуляторики критично для CISO и руководителей ИБ. Директор по информационной безопасности отвечает не только за техническую защиту, но и за соответствие организации нормативным требованиям. Незнание требований ФСТЭК, ФСБ или РКН — профессиональный риск на уровне карьеры.

Практические роли, которые напрямую работают с регуляторикой: специалисты по защите КИИ, аудиторы ИБ, compliance-менеджеры, а также аналитики SOC в государственном секторе — последние обязаны понимать требования ГосСОПКА и регламенты оповещения об инцидентах.

Где учиться работать с регуляторикой

Требования регуляторов — живой и быстро меняющийся массив документов. Только за 2025–2026 годы вышли существенные изменения в части КИИ, ГосСОПКА и защиты ГИС. Оставаться актуальным в этой области без системного обучения крайне сложно.

Для специалистов, работающих с объектами КИИ или выстраивающих систему защиты под требования ФСТЭК, наиболее востребованы специализированные программы по нормативному регулированию — в том числе курсы по КИИ и ФСТЭК. Для тех, кто рассматривает более широкое обучение с получением документа государственного образца, актуальна профессиональная переподготовка по ИБ.