ФСТЭК России: требования и что важно знать ИБ-специалисту

Что такое ФСТЭК России и зачем он существует

ФСТЭК России — Федеральная служба по техническому и экспортному контролю — это федеральный орган исполнительной власти, который устанавливает обязательные требования к защите информации в России. Он не занимается оперативной работой и не ловит хакеров. Его задача — нормативная: определить, как именно организации должны строить защиту информационных систем, какие меры применять, как это проверять и подтверждать. Если вы работаете в ИБ и ваша организация попадает под регулирование — вы живёте по правилам ФСТЭК.

История службы начинается с советской военной традиции технической защиты государственной тайны. Современный ФСТЭК образован в 2004 году на базе Гостехкомиссии России и с тех пор последовательно расширяет сферу влияния: от защиты гостайны и государственных систем — к персональным данным, затем к объектам критической информационной инфраструктуры (КИИ). Сегодня под его требования попадают сотни тысяч организаций по всей стране: государственные органы, банки, больницы, промышленные предприятия, операторы связи.

ФСТЭК выпускает нормативные правовые акты (приказы), методические документы и руководящие документы, обязательные для применения. Он же осуществляет государственный контроль — проверяет соответствие, выдаёт лицензии компаниям, оказывающим услуги по технической защите информации, и ведёт реестры сертифицированных средств защиты. Понимание логики ФСТЭК — не дополнительное знание для ИБ-специалиста. Это базовый контекст, без которого невозможно работать ни в государственных структурах, ни в любой организации, обрабатывающей персональные данные или управляющей объектами КИИ.

Чем ФСТЭК отличается от ФСБ и Роскомнадзора

Проще всего объяснить через фокус каждого ведомства. ФСТЭК отвечает за техническую защиту информации: каким образом строить системы защиты, какие средства использовать, как документировать и аттестовать. ФСБ — за криптографическую защиту: шифрование, электронная подпись, средства криптозащиты информации (СКЗИ), а также за оперативную деятельность в сфере кибербезопасности и работу ГосСОПКА. Роскомнадзор контролирует соблюдение 152-ФЗ об обработке персональных данных с административной и правовой стороны: регистрация операторов ПДн, ответы на запросы субъектов, трансграничная передача данных.

На практике ИБ-специалист в организации, обрабатывающей персональные данные и являющейся субъектом КИИ, должен разбираться во всех трёх регуляторах. Но именно ФСТЭК определяет конкретные технические меры защиты — состав организационных и технических мер, требования к средствам защиты, порядок моделирования угроз. Это делает его документы главным рабочим инструментом практикующего ИБ-специалиста.

Что регулирует ФСТЭК: сферы ответственности

ФСТЭК выстраивает требования к защите информации в трёх ключевых направлениях, каждое из которых имеет собственный набор нормативных документов, методологию оценки угроз и обязательные меры защиты. Эти направления не изолированы: организация может одновременно попадать под требования по всем трём, и тогда ИБ-специалисту придётся совмещать выполнение требований из разных приказов в рамках единой системы защиты.

Защита государственных информационных систем

Государственные информационные системы (ГИС) — это информационные системы, созданные на основании федерального закона, акта президента или правительства, или в целях реализации государственных функций. Их защита регулируется Приказом ФСТЭК № 17. Это первое и исторически наиболее проработанное направление: требования детализированы, аттестация обязательна, надзор регулярный. Федеральные министерства, региональные органы власти, многофункциональные центры, государственные порталы — всё это ГИС, обязанные соответствовать приказу № 17.

Персональные данные: приказ № 21

Любая организация, обрабатывающая персональные данные в информационных системах (ИСПДн), обязана соблюдать требования Приказа ФСТЭК № 21. Это самое широкое по охвату направление: под него попадают коммерческие компании, медицинские учреждения, HR-системы, интернет-магазины, банки. Приказ определяет уровни защищённости ИСПДн (УЗ-1 — УЗ-4), для каждого из которых установлен обязательный базовый набор мер защиты. Чем выше категория обрабатываемых данных и чем больше субъектов — тем строже требования.

Важно понимать: приказ № 21 устанавливает именно технические и организационные меры, тогда как правовую сторону обработки ПДн контролирует Роскомнадзор. ИБ-специалист реализует технические меры по приказу № 21, юридический отдел занимается согласиями, политиками и уведомлениями Роскомнадзора.

Критическая информационная инфраструктура: приказ № 239

С принятием 187-ФЗ «О безопасности критической информационной инфраструктуры» в 2017 году ФСТЭК получил новое масштабное направление. Субъекты КИИ — организации в 13 отраслях: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергия, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая, металлургическая и химическая промышленность — обязаны категорировать свои объекты КИИ и обеспечить защиту в соответствии с Приказом ФСТЭК № 239.

Для объектов КИИ установлены три категории значимости — первая, вторая, третья, — и для каждой определён свой минимальный набор мер. Значимые объекты КИИ первой категории находятся под особым контролем: нарушение их работы может иметь последствия для жизнеобеспечения целых регионов или для обороноспособности страны. Безопасность АСУ ТП — особый пласт требований внутри КИИ, касающийся промышленных систем управления.

Ключевые нормативные документы ФСТЭК

Документы ФСТЭК делятся на два типа: нормативные правовые акты (приказы — обязательные к исполнению) и методические документы (рекомендательные, но де-факто обязательные при прохождении аттестации и проверок). Знание этих документов — профессиональный минимум для любого специалиста по технической защите информации.

Приказ № 17: государственные информационные системы

Приказ ФСТЭК № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» — базовый документ для всех ГИС. Устанавливает классы защищённости (К1, К2, К3) в зависимости от масштаба системы и потенциального ущерба. Для каждого класса определён базовый набор мер, который может быть адаптирован с учётом актуальных угроз. Аттестация ГИС по требованиям приказа № 17 обязательна до ввода системы в эксплуатацию.

Приказ № 21: информационные системы персональных данных

Приказ ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» — документ, определяющий конкретные меры защиты ИСПДн. Четыре уровня защищённости: УЗ-1 (наиболее строгий, специальные категории ПДн в крупных системах) до УЗ-4 (базовый уровень). Для каждого уровня — свой минимально необходимый состав мер из 15 разделов: идентификация и аутентификация, управление доступом, защита машинных носителей, антивирусная защита, обнаружение вторжений, контроль целостности и другие.

Приказ № 239: объекты КИИ

Приказ ФСТЭК № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры» — самый сложный и технически детализированный из трёх приказов. Определяет требования к системе безопасности значимых объектов КИИ: от организационных мер и управления инцидентами до сегментирования сетей, защиты от несанкционированного доступа и реагирования на компьютерные атаки. Взаимодействие с ГосСОПКА ФСБ — отдельное обязательное требование для значимых объектов КИИ первой и второй категории.

Методические документы и методики оценки угроз

Помимо приказов, ФСТЭК публикует методические документы, без знания которых практически невозможно выстроить систему защиты по требованиям регулятора. Ключевые из них:

• Методика оценки угроз безопасности информации (2021) — обязательная методология построения модели угроз для ГИС и ИСПДн. Определяет, как идентифицировать актуальные угрозы, оценивать их вероятность и уровень опасности.
• Банк данных угроз безопасности информации (bdu.fstec.ru) — постоянно обновляемый реестр угроз и уязвимостей, аналог российского NVD. Обязательный источник при разработке модели угроз.
• Профили защиты — документы, определяющие требования к конкретным классам средств защиты (межсетевые экраны, СОВ, антивирусные средства и др.) для получения сертификата ФСТЭК.
• Реестр сертифицированных СЗИ — перечень средств защиты, прошедших сертификацию ФСТЭК. Применение сертифицированных СЗИ обязательно при защите ГИС и ИСПДн высоких уровней.

Лицензирование и аттестация: кого затрагивает

Два понятия, которые часто путают даже опытные специалисты. Лицензия ФСТЭК — это разрешение компании оказывать определённые услуги в сфере технической защиты информации. Аттестат соответствия — это документ, подтверждающий, что конкретная информационная система построена и функционирует в соответствии с требованиями регулятора. Первое касается организаций-исполнителей, второе — организаций-заказчиков и их систем.

Когда нужна лицензия ФСТЭК

Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) обязательна для компаний, которые оказывают услуги по: разработке и производству средств защиты информации, аттестации объектов информатизации, проектированию и внедрению систем защиты в чужих организациях. Внутренние подразделения ИБ в большинстве случаев лицензию не требуют — они не оказывают услуги третьим лицам, а защищают собственные системы. Однако если организация привлекает внешнего подрядчика для проектирования системы защиты ГИС — этот подрядчик обязан иметь лицензию ФСТЭК.

Аттестация информационных систем

Аттестация — это процедура подтверждения соответствия системы защиты информации установленным требованиям. Для ГИС (приказ № 17) аттестация обязательна и проводится до ввода в эксплуатацию. Для ИСПДн высоких уровней защищённости (УЗ-1, УЗ-2) аттестация де-факто является единственным способом подтвердить соответствие. Процедуру проводит аттестационный орган — организация, имеющая лицензию ФСТЭК.

Аттестация включает: экспертизу проектной и рабочей документации, анализ конфигурации средств защиты, проверку организационных мер, испытания на соответствие требованиям. По результатам выдаётся аттестат соответствия — документ с ограниченным сроком действия (как правило, 3 года), после чего система требует повторной аттестации. Любые значимые изменения в системе (смена программного обеспечения, архитектурные изменения) требуют переаттестации.

Как требования ФСТЭК влияют на работу ИБ-специалиста

Если вы работаете или планируете работать в государственной структуре, банке, медицинской организации, промышленном предприятии или любой компании, которая обрабатывает ПДн или владеет объектами КИИ — требования ФСТЭК станут частью вашей ежедневной работы. Не в теории, а буквально: при выборе средств защиты, при написании документации, при проектировании архитектуры системы безопасности, при прохождении проверок.

Практически требования ФСТЭК влияют на работу специалиста по нескольким направлениям. Первое — выбор средств защиты. В ГИС и ИСПДн высоких уровней можно использовать только сертифицированные СЗИ из реестра ФСТЭК. Это ограничивает выбор инструментов: не любой open-source антивирус или межсетевой экран подойдёт, даже если технически он лучше. Второе — документирование. Система защиты должна быть оформлена комплектом обязательных документов: политика ИБ, модель угроз, технический проект, рабочая документация, журналы. Каждый документ — по установленной форме.

Третье — управление уязвимостями. Приказы ФСТЭК явно требуют выявления и устранения уязвимостей в информационных системах. Внедрение процесса управления уязвимостями из рекомендации превращается в обязанность. Четвёртое — реагирование на инциденты. Для значимых объектов КИИ взаимодействие с ГосСОПКА и своевременное уведомление об инцидентах — законодательная обязанность, за нарушение которой предусмотрена ответственность.

Навыки и знания, которые требует регулятор

Для ИБ-специалиста, работающего в регулируемой среде, необходимы конкретные прикладные знания.

Нормативная база. Свободное ориентирование в приказах № 17, 21, 239, знание методики оценки угроз 2021 года, умение работать с БДУ ФСТЭК. Это не «прочитать один раз», а регулярно отслеживать актуальные редакции — ФСТЭК периодически вносит изменения.

Разработка документации. Модель угроз и нарушителя — один из наиболее сложных документов, требующих понимания как методологии ФСТЭК, так и реальной инфраструктуры организации. Технический проект системы защиты, план мероприятий по защите — всё это рабочие документы специалиста.

Технические меры. Настройка сертифицированных СЗИ (российских межсетевых экранов, антивирусов, SIEM-систем), управление уязвимостями, настройка аудита и мониторинга событий ИБ. Понимание требований к сегментированию сетей, управлению доступом, защите машинных носителей.

Прохождение проверок. Подготовка к плановым и внеплановым проверкам ФСТЭК: комплект документации, демонстрация функционирования системы защиты, ответы на вопросы инспектора. Это отдельный навык, который в реальной работе оказывается не менее важным, чем техническая компетентность. Специалист, который не умеет «защищать» систему перед регулятором, создаёт значительные риски для организации.

Знание профессиональных стандартов в сфере ИБ добавляет важный контекст: ФСТЭК активно участвует в разработке требований к квалификации специалистов и постепенно увязывает нормативные требования с кадровыми.