- Содержание
- Требования ФСТЭК России
- Введение
- Нормативная база: законы и подзаконные акты
- Общая логика требований ФСТЭК
- Приказ №117 ФСТЭК: государственные информационные системы
- Приказ №21 ФСТЭК: персональные данные
- Приказ №239 ФСТЭК: критическая информационная инфраструктура
- Модель угроз по методологии ФСТЭК
- Процесс аудита соответствия требованиям ФСТЭК
- Сертификация средств защиты информации
- Соответствие требований ФСТЭК другим стандартам курса
- Что дальше
- Список литературы и нормативных актов
Требования ФСТЭК России¶
Введение¶
Предыдущие темы курса рассматривали международные стандарты — ISO 27001, PCI DSS, NIST CSF. Для большинства российских организаций государственного сектора, финансовой сферы и критической инфраструктуры эти стандарты являются дополнением, а не заменой обязательных требований отечественных регуляторов.
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) — основной регулятор в области технической защиты информации в России. Три ключевых приказа ФСТЭК охватывают подавляющее большинство информационных систем страны: государственные информационные системы, системы обработки персональных данных и объекты критической информационной инфраструктуры.
Аудит соответствия требованиям ФСТЭК принципиально отличается от аудита по ISO 27001: он строго регламентирован по составу работ, методологии и выходным документам. Самостоятельный выбор мер защиты (как в ISO 27001) здесь ограничен — существуют обязательные базовые наборы мер, привязанные к классу или уровню защищённости системы.
Эта тема опирается на методологию аудита из тем ISO 19011 и Методы проведения аудита. Риск-ориентированный подход применяется здесь в специфической форме — через обязательную модель угроз по методологии ФСТЭК.
Нормативная база: законы и подзаконные акты¶
Прежде чем переходить к приказам ФСТЭК, необходимо понять законодательную пирамиду, на которой они основаны. Аудитор должен знать всю цепочку — от федерального закона до конкретного технического требования.
Федеральные законы¶
149-ФЗ «Об информации, информационных технологиях и о защите информации» — базовый закон, определяющий понятие информации, её категорирование и общие требования к защите. Обязателен для всех организаций, обрабатывающих информацию ограниченного доступа.
152-ФЗ «О персональных данных» — устанавливает требования к обработке персональных данных физических лиц. Область применения максимально широкая: любая организация, обрабатывающая ФИО, адреса, паспортные данные, биометрию или иные данные, позволяющие идентифицировать человека, является оператором персональных данных и обязана соблюдать 152-ФЗ. Регуляторы: Роскомнадзор (организационные требования), ФСТЭК (технические меры защиты), ФСБ (криптографическая защита).
187-ФЗ «О безопасности критической информационной инфраструктуры РФ» — устанавливает требования к защите объектов КИИ (критической информационной инфраструктуры). Субъекты КИИ — организации в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской деятельности, топливно-энергетического комплекса, атомной промышленности, оборонной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности, химической промышленности. С 2022 года 187-ФЗ распространён также на государственные органы.
Постановления Правительства¶
Постановление Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — определяет четыре уровня защищённости ИСПДн (УЗ-1, УЗ-2, УЗ-3, УЗ-4) в зависимости от категории персональных данных, числа субъектов и типа угроз. Уровень защищённости является входным параметром для применения приказа ФСТЭК №21.
Постановление Правительства РФ №127 «Об утверждении Правил категорирования объектов КИИ» — устанавливает процедуру и критерии присвоения объектам КИИ категорий значимости (первая, вторая, третья). Категория значимости — входной параметр для применения приказа ФСТЭК №239.
Приказы ФСТЭК России¶
На основе федеральных законов и постановлений Правительства ФСТЭК издаёт приказы, определяющие конкретный состав технических мер защиты:
| Приказ | Область применения | Правовая основа |
|---|---|---|
| №117 | Государственные информационные системы (ГИС) | 149-ФЗ |
| №21 | Информационные системы персональных данных (ИСПДн) | 152-ФЗ, ПП №1119 |
| №239 | Значимые объекты КИИ | 187-ФЗ |
Приказ №17 был основополагающим документом для ГИС более десяти лет. В 2025 году ФСТЭК издала приказ №117, который полностью заменил №17. При проведении аудита необходимо проверять, по какому приказу аттестована система — и если по №17, планировать переаттестацию.
Общая логика требований ФСТЭК¶
Несмотря на то что три приказа регулируют разные типы систем, их логика единообразна. Понимание этой общей структуры позволяет аудитору эффективно работать со всеми тремя документами.
Шаг 1: Классификация системы¶
Первый шаг — определить класс защищённости (для ГИС по №117), уровень защищённости (для ИСПДн по №21) или категорию значимости (для КИИ по №239). Это не выбор организации, а результат формальной процедуры, документируемой в акте классификации.
Аудитор проверяет: корректность присвоенного класса/уровня/категории; актуальность классификации (после существенных изменений в системе требуется переклассификация); наличие утверждённого акта классификации.
Шаг 2: Разработка модели угроз¶
Для всех трёх типов систем обязательна разработка модели угроз и нарушителя по методологии ФСТЭК. Это не просто реестр рисков — это формализованный документ, разрабатываемый в соответствии с «Методикой оценки угроз безопасности информации» ФСТЭК.
Модель угроз является отправной точкой для выбора мер защиты — именно здесь реализуется риск-ориентированный подход в терминологии ФСТЭК.
Шаг 3: Формирование базового набора мер¶
На основе класса/уровня/категории и модели угроз из перечня мер защиты приказа выбирается базовый набор — обязательный минимум мер для данного типа системы. Меры, не актуальные для конкретной системы (например, требования к мобильным устройствам при их отсутствии), исключаются с обоснованием.
Шаг 4: Адаптация и дополнение мер¶
Базовый набор адаптируется к особенностям системы (исключение неприменимых мер) и при необходимости дополняется мерами из других классов или иных нормативных документов. Результат фиксируется в техническом задании на систему защиты.
Шаг 5: Реализация и аттестация¶
Меры реализуются, после чего проводится аттестация — официальная оценка соответствия системы требованиям приказа. Аттестацию проводят организации, имеющие лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ). По итогам аттестации выдаётся аттестат соответствия.
Приказ №117 ФСТЭК: государственные информационные системы¶
Область применения¶
Приказ №117 распространяется на государственные информационные системы (ГИС) — ИС, созданные на основании федеральных законов, актов Президента или Правительства, либо уполномоченных государственных органов, содержащие сведения, указанные в этих актах.
Типичные примеры ГИС: региональные порталы государственных услуг, ведомственные информационные системы, системы межведомственного электронного взаимодействия (СМЭВ), ГАС «Правосудие», системы учёта в федеральных органах исполнительной власти.
Классы защищённости¶
Приказ №117 устанавливает три класса защищённости ГИС в зависимости от значимости обрабатываемой информации и масштаба системы:
| Класс | Характеристика | Последствия нарушения безопасности |
|---|---|---|
| К1 (высший) | Федеральные ГИС с обработкой сведений, составляющих государственную тайну, не допускается — для них действует отдельный режим | Значительный ущерб государственным интересам |
| К2 (средний) | Региональные ГИС или федеральные ГИС с ограниченным масштабом | Умеренный ущерб |
| К3 (низший) | Объектовые (местного масштаба) ГИС | Минимальный ущерб |
Для К1 применяется максимальный набор мер, для К3 — минимальный.
Приказ №21 ФСТЭК: персональные данные¶
Область применения и связь с 152-ФЗ¶
Приказ №21 конкретизирует технические требования 152-ФЗ к защите ИСПДн. Он применяется всеми операторами персональных данных, использующими автоматизированную обработку — то есть фактически любой организацией, имеющей базу данных сотрудников, клиентов или пациентов.
Взаимодействие документов: 152-ФЗ устанавливает обязанность защищать ПДн → ПП №1119 определяет уровень защищённости → Приказ №21 определяет конкретный состав мер для этого уровня.
Четыре уровня защищённости (УЗ)¶
Уровень защищённости определяется по матрице из трёх факторов: категория ПДн (специальные, биометрические, общедоступные, иные), тип угроз (угрозы 1-го типа — НДВ в системном ПО; 2-го типа — НДВ в прикладном ПО; 3-го типа — прочие угрозы) и число субъектов ПДн.
| УЗ | Примеры ИСПДн |
|---|---|
| УЗ-1 (высший) | Системы с биометрическими ПДн при угрозах 1-го типа; системы с ПДн о состоянии здоровья при угрозах 1-го типа |
| УЗ-2 | Системы с биометрическими ПДн при угрозах 2-го типа; медицинские информационные системы с угрозами 2-го типа |
| УЗ-3 | Большинство корпоративных систем с иными категориями ПДн при угрозах 3-го типа и числом субъектов > 100 000 |
| УЗ-4 (низший) | Корпоративные системы с иными категориями ПДн при угрозах 3-го типа и числом субъектов < 100 000 |
Аудитор проверяет корректность определения типа угроз — это наиболее часто оспариваемый элемент. Организации склонны занижать тип угроз (выбирать тип 3 вместо типа 2), что снижает требуемый уровень защищённости.
Особенности аудита ИСПДн¶
При аудите ИСПДн аудитор проверяет два взаимосвязанных аспекта: организационные меры (уведомление Роскомнадзора, назначение ответственного за обработку ПДн, политика обработки, согласия субъектов) и технические меры (по приказу №21).
Приказ №239 ФСТЭК: критическая информационная инфраструктура¶
Область применения и субъекты КИИ¶
Приказ №239 распространяется на значимые объекты КИИ — объекты, которым по итогам категорирования присвоена одна из трёх категорий значимости. Объекты КИИ без категории значимости под действие приказа №239 не подпадают, однако субъект КИИ всё равно обязан провести категорирование.
Субъектами КИИ являются государственные органы и организации в 13 отраслях (перечисленных в 187-ФЗ). С 2022 года субъектами КИИ признаны также все государственные органы независимо от отрасли.
Категории значимости¶
| Категория | Критерий | Последствия инцидента |
|---|---|---|
| 1-я (высшая) | Наивысшее социальное, политическое, экономическое или оборонное значение | Чрезвычайно высокие потери |
| 2-я | Среднее значение | Высокие потери |
| 3-я (низшая) | Относительно невысокое значение | Умеренные потери |
Процедура категорирования проводится самим субъектом КИИ и подлежит согласованию с ФСТЭК. Аудитор проверяет: выявлены ли все объекты КИИ в организации; корректна ли методика присвоения категорий; согласовано ли решение о категорировании (или об отсутствии значимых объектов) с ФСТЭК; актуально ли категорирование — проводится не реже одного раза в пять лет или при существенных изменениях.
Дополнительные требования к значимым объектам КИИ¶
Подключение к ГосСОПКА — значимые объекты КИИ обязаны взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Аудитор проверяет факт подключения и настройку передачи данных об инцидентах.
Уведомление об инцидентах — субъекты КИИ обязаны сообщать об инцидентах в НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в течение 24 часов.
Ограничения на использование иностранного ПО — для значимых объектов КИИ с 2025 года действуют требования по переходу на отечественное ПО и оборудование.
Модель угроз по методологии ФСТЭК¶
Модель угроз — обязательный документ для всех трёх типов систем. Это не просто список возможных угроз, а формализованный аналитический документ, разрабатываемый по «Методике оценки угроз безопасности информации» ФСТЭК.
Структура модели угроз¶
Методика ФСТЭК 2021 года определяет следующую структуру модели угроз.
Описание систем и сетей — перечень защищаемых объектов, их архитектура, взаимосвязи, обрабатываемые данные.
Описание нарушителей — типология нарушителей с уровнями потенциала: низкий (случайные лица, неподготовленные инсайдеры), средний (подготовленные хакеры, группировки), высокий (спецслужбы иностранных государств, APT-группировки). Для каждого нарушителя описываются цели, возможности и тактики.
Возможные негативные последствия — к каким последствиям может привести реализация угроз: нарушение конфиденциальности, целостности или доступности информации, нарушение функционирования систем управления.
Актуальные угрозы безопасности — перечень угроз, признанных актуальными для данной системы. ФСТЭК ведёт Банк данных угроз (БДУ) — официальный каталог угроз и уязвимостей, на который должна ссылаться модель угроз.
Каждая угроза оценивается по двум параметрам: уровень доверия к источнику угрозы и вероятность реализации. По итогам угроза признаётся актуальной или неактуальной.
Место модели угроз в аудите¶
Модель угроз является точкой пересечения риск-ориентированного подхода и требований ФСТЭК. Аудитор проверяет модель угроз по следующим критериям:
Актуальность. Модель угроз должна пересматриваться при существенных изменениях в системе или ландшафте угроз. Модель, разработанная при создании системы и не обновлявшаяся пять лет, является устаревшей.
Полнота охвата угроз. Аудитор сопоставляет перечень актуальных угроз с БДУ ФСТЭК и публичными данными об инцидентах в отрасли. Типичная находка: угрозы, связанные с облачными средами или атаками на цепочку поставок, не включены, несмотря на их актуальность для данной организации.
Обоснованность исключения угроз. Угрозы, признанные неактуальными, должны иметь задокументированное обоснование — ссылку на реализованные контрмеры или объективные причины (например, отсутствие подключения к интернету).
Связь угроз с мерами защиты. Каждая актуальная угроза должна быть закрыта одной или несколькими мерами из базового набора. Аудитор прослеживает цепочку: угроза → мера → реализация меры (аналог прослеживаемости риска до контроля из темы 11).
Процесс аудита соответствия требованиям ФСТЭК¶
Аудит соответствия требованиям ФСТЭК принято называть аттестацией (официальный термин) или проверкой выполнения требований (для внутренних проверок). Процесс включает те же этапы, что описаны в ISO 19011, но со специфическим наполнением.
Сбор исходных данных о системе¶
До начала проверки аудитор запрашивает полный комплект документации по системе защиты информации (СЗИ). Типовой перечень:
| Документ | Что проверяет аудитор |
|---|---|
| Акт классификации (категорирования) | Корректность присвоенного класса/уровня/категории |
| Модель угроз и нарушителя | Актуальность, полнота, связь с мерами защиты |
| Техническое задание на СЗИ | Соответствие требованиям приказа; полнота базового набора мер |
| Проект СЗИ | Соответствие ТЗ; наличие необходимых сертифицированных СЗИ |
| Программа и методика аттестационных испытаний | Охват всех требований; корректность методов проверки |
| Аттестат соответствия (предыдущий) | Срок действия; перечень актуальных несоответствий |
| Журналы и записи о функционировании СЗИ | Фактическая эксплуатация средств защиты |
Инструментальный контроль¶
Техническая составляющая аудита — обязательный элемент аттестационных испытаний. Проводится с использованием сертифицированных средств контроля.
Сканирование уязвимостей — проверка компонентов системы на наличие известных уязвимостей с использованием сертифицированных средств (например, MaxPatrol, XSpider, Сканер-ВС). Результаты сопоставляются с БДУ ФСТЭК.
Проверка корректности настройки СЗИ — соответствие конфигурации сертифицированных средств защиты (антивирусов, межсетевых экранов, систем обнаружения вторжений) техническому заданию и руководящим документам производителя.
Проверка разграничения доступа — практическая проверка реализации матрицы доступа: попытки несанкционированного доступа к ресурсам с заниженными правами.
Контроль целостности — проверка работоспособности механизмов контроля целостности программной среды и данных.
Интервьюирование персонала¶
Интервью при аудите на соответствие требованиям ФСТЭК охватывает несколько уровней организации.
Руководство и ответственные за ИБ: понимание требований приказа и своей ответственности; процедуры принятия решений по ИБ; порядок реагирования на инциденты.
Администраторы СЗИ: практика эксплуатации сертифицированных средств защиты; процедуры обновления баз данных антивирусного ПО; порядок регистрации и реагирования на события безопасности; навыки работы с журналами аудита.
Пользователи системы: осведомлённость о требованиях парольной политики; понимание порядка действий при инцидентах; знание правил работы с конфиденциальной информацией.
Типичная находка по итогам интервью: администраторы формально знают требования, но не выполняют их регулярно (журналы проверяются «когда есть время», а не ежедневно; базы антивируса обновляются реже установленного регламентом срока).
Анализ процессов управления ИБ¶
В отличие от чисто технической аттестации, полноценный аудит проверяет также функционирование процессов ИБ.
Управление обновлениями и уязвимостями: как организован процесс получения информации об уязвимостях; в какие сроки устраняются критические уязвимости; кто принимает решение об установке обновлений.
Управление доступом: как выдаются и отзываются права доступа; проводится ли периодический пересмотр прав; как обрабатываются заявки на изменение доступа.
Управление инцидентами: задокументированы ли процедуры реагирования; проводятся ли учения; как осуществляется уведомление НКЦКИ (для субъектов КИИ).
Резервное копирование: соответствует ли расписание резервного копирования требованиям; верифицируются ли резервные копии; хранятся ли копии вне основной площадки.
Сертификация средств защиты информации¶
Особенность аудита по требованиям ФСТЭК — обязательное применение сертифицированных средств защиты информации. Для ГИС К1 и К2, ИСПДн УЗ-1 и УЗ-2, а также для значимых объектов КИИ 1-й и 2-й категорий применяемые СЗИ должны быть сертифицированы ФСТЭК по соответствующему классу.
Аудитор проверяет: наличие действующих сертификатов на применяемые СЗИ; соответствие классов сертификатов требованиям приказа; использование СЗИ в сертифицированной конфигурации; актуальность версий сертифицированного ПО.
Использование несертифицированного СЗИ там, где сертификация обязательна, — значительное несоответствие, блокирующее выдачу аттестата соответствия. Это одно из принципиальных отличий аудита по требованиям ФСТЭК от аудита по ISO 27001, где выбор конкретных технических средств остаётся за организацией.
Соответствие требований ФСТЭК другим стандартам курса¶
| Область | Требования ФСТЭК | ISO 27001:2022 | NIST CSF 2.0 |
|---|---|---|---|
| Управление рисками | Модель угроз по методологии ФСТЭК | Оценка рисков по ISO 27005, реестр рисков | Функции ID.RA, GV.RM |
| Управление доступом | Меры ЗСВ, ИАФ (идентификация и аутентификация) | Контролы 8.2, 8.3, 8.5 | Функция PR.AA |
| Аудит и мониторинг | Меры РСБ (регистрация событий безопасности) | Контролы 8.15, 8.16 | Функция DE |
| Управление уязвимостями | Меры АНЗ (анализ угроз и выявление уязвимостей) | Контроль 8.8 | Функция ID.RA |
| Непрерывность | Меры ОДТ (обеспечение доступности) | Контролы 5.29, 5.30 | Функции RS, RC |
| Обучение персонала | Меры ПКЗ (подготовка кадров) | Контроль 6.3 | Функция PR.AT |
Что дальше¶
Требования ФСТЭК охватывают государственный сектор и критическую инфраструктуру. Следующая тема рассматривает специализированный отраслевой стандарт для финансового сектора России.
- Следующая тема: ГОСТ 57580 — требования к ИБ финансовых организаций; методика оценки соответствия ГОСТ 57580.2
- Связь с управлением рисками: Риск-ориентированный аудит — модель угроз ФСТЭК как специализированный инструмент риск-ориентированного планирования
- Совмещение с ISO 27001: ISO 27001 — организации нередко строят СУИБ по ISO 27001, одновременно выполняя требования ФСТЭК
Список литературы и нормативных актов¶
- Приказ ФСТЭК России №117 — Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (2024)
- Приказ ФСТЭК России №21 — Состав и содержание организационных и технических мер по обеспечению безопасности ПДн (2013)
- Приказ ФСТЭК России №239 — Требования по обеспечению безопасности значимых объектов КИИ (2017)
- Методика оценки угроз безопасности информации ФСТЭК — (2021)
- 152-ФЗ «О персональных данных»
- 187-ФЗ «О безопасности КИИ РФ»
- ПП РФ №1119 — Требования к защите ПДн при обработке в ИСПДн
- БДУ ФСТЭК России — Банк данных угроз безопасности информации
- ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак
Обновлено С. Антошкин 1 день назад · 1 изменени(я, ий)