Требования ФСТЭК по защите информации — Контур.Эгида
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Журнал
  3. Обзоры

Требования ФСТЭК по защите информации

11 июня 2025

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) играет значимую роль в обеспечении информационной безопасности страны. Её деятельность направлена на разработку и внедрение нормативных требований, регулирующих защиту информации в различных сферах.​ В этой статье расскажем, какие требования ФСТЭК предъявляет к организациям и на какие законы опирается.

Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность

Зачем ФСТЭК создает требования по защите информации

Выделяют три основные задачи ФСТЭК:

  • обеспечение безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
  • обеспечение защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации
  • защита информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств

Для того, чтобы решить эти задачи ФСТЭК участвует в: 

  • формировании актуальных требований к защите информации. Это позволяет государству и бизнесу использовать унифицированный подход в вопросах информационной безопасности.
  • предотвращении реализации угроз государству как внутреннего, так и внешнего характера, за счёт своевременного выявления уязвимостей и внедрения эффективных мер защиты.
  • повышении устойчивости критической информационной инфраструктуры — объектов, от функционирования которых зависит безопасность государства, экономическая стабильность и жизнедеятельность общества.
  • обеспечении доверия к цифровым системам, особенно в условиях роста числа киберугроз, цифровизации процессов и перехода на удалённые форматы работы.

Нормативно-правовая база для требований ФСТЭК

Требования ФСТЭК по технической защите информации прописаны в следующих документах:

  1. Приказ ФСТЭК РФ от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  2. Приказ ФСТЭК РФ от 29.04.2021 N 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»
  3. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований к защите информации, содержащейся в информационных системах»
  4. Приказ ФСТЭК РФ от 14.03.2014 N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Какие полномочия есть у ФСТЭК 

Разработка и утверждение нормативных правовых актов в области защиты информации. Эти документы устанавливают стандарты и процедуры обеспечения информационной безопасности в различных сферах деятельности. 

Организация и проведение сертификации средств защиты информации и аттестации информационных систем. Сертификация необходима для средств защиты информации используемых в государственных информационных системах, системах обработки персональных данных, автоматизированных системах управления технологическими процессами и других критически важных системах.

Аттестация информационных систем проводится для подтверждения соответствия системы требованиям по защите информации. Процедура включает в себя оценку технических и организационных мер защиты, а также проверку на наличие уязвимостей.

Контроль за соблюдением требований информационной безопасности в организациях. Это включает в себя проведение проверок, анализ состояния защиты информации и выдачу предписаний по устранению выявленных нарушений. Ведомство также координирует деятельность по обеспечению безопасности значимых объектов критической информационной инфраструктуры. 

Противодействие техническим разведкам и обеспечение технической защиты информации. Это включает в себя разработку и реализацию мер по предотвращению утечки информации по техническим каналам, защиту от побочных электромагнитных излучений и наводок, а также обеспечение безопасности информации в ключевых системах информационной инфраструктуры.

Организационные требования ФСТЭК по защите информации ограниченного доступа

Организации, обрабатывающие информацию с ограниченным доступом, обязаны соблюдать определённые организационные требования, установленные ФСТЭК России, для обеспечения информационной безопасности. Ниже представлены основные из них.

Разработка и внедрение политики информационной безопасности

Организация разрабатывает и утверждает внутренние документы, определяющие политику информационной безопасности. Эти документы устанавливают цели, задачи, принципы и основные направления деятельности по защите информации, а также распределяют ответственность между подразделениями и сотрудниками. Политика информационной безопасности служит основой для разработки конкретных процедур и инструкций, обеспечивающих защиту информации на всех этапах её обработки.

Назначение ответственных за обеспечение информационной безопасности

Для эффективного управления информационной безопасностью необходимо назначить ответственных лиц или подразделения, наделённых соответствующими полномочиями. Эти сотрудники должны обладать необходимыми знаниями и опытом в области информационной безопасности, а также обеспечивать реализацию мер защиты информации в соответствии с установленными требованиями.

Оценка угроз безопасности информации и разработка соответствующих мер защиты

Организациям важно проводить регулярную оценку угроз безопасности информации, включая идентификацию потенциальных источников угроз, анализ уязвимостей и определение возможных последствий реализации угроз. На основе результатов оценки разрабатываются и внедряются меры защиты, направленные на предотвращение или минимизацию рисков. Эти меры могут включать как организационные, так и технические решения, соответствующие специфике деятельности организации и уровням защищённости информации.

Обучение персонала по вопросам информационной безопасности

Сотрудникам организации необходимо регулярно проходить обучение и инструктажи по вопросам информационной безопасности. Это включает ознакомление с политикой информационной безопасности, процедурами обработки информации, правилами использования информационных систем и средствами защиты. Обучение способствует повышению осведомлённости персонала о потенциальных угрозах и формированию культуры безопасности в организации.

Регулярный аудит и мониторинг состояния информационной безопасности

В организации важно осуществлять постоянный контроль за состоянием информационной безопасности, включая проведение аудитов, мониторинг событий безопасности, анализ инцидентов и оценку эффективности применяемых мер защиты. Результаты этих мероприятий используются для своевременного выявления и устранения недостатков в системе защиты информации, а также для принятия обоснованных решений по её совершенствованию.

Требования ФСТЭК к программным продуктам для защиты информации

Программные продукты, применяемые для защиты информации в организациях, обрабатывающих данные с ограниченным доступом, должны соответствовать ряду требований, установленных ФСТЭК России. Ниже представлены ключевые из них.

Прохождение сертификации ФСТЭК

Для внесения средства в реестр ФСТЭК, необходимо пройти процедуру сертификации. По сути это процедура оценки соответствия программного продукта установленным требованиям безопасности информации. Сертификация необходима для использования программных средств в государственных информационных системах, системах обработки персональных данных, автоматизированных системах управления технологическими процессами и других критически важных объектах. Процедура включает в себя испытания, проводимые аккредитованными лабораториями, и оформление соответствующих документов, подтверждающих соответствие продукта установленным требованиям.

Отсутствие недекларированных возможностей

Программные продукты должны быть свободны от недекларированных возможностей (НДВ) — функциональных возможностей, не описанных в документации и способных быть использованными для несанкционированного доступа к информации. Контроль отсутствия НДВ осуществляется в рамках сертификационных испытаний, включая анализ исходного кода, статический и динамический анализ, а также тестирование на наличие скрытых функций.

Соответствие требованиям к уровню доверия

ФСТЭК устанавливает шесть уровней доверия к средствам защиты информации, где первый уровень соответствует наивысшей степени доверия, а шестой — наименьшей. Уровень доверия определяется на основе оценки процессов разработки, тестирования и сопровождения программного продукта. Применение средств защиты информации с определённым уровнем доверия зависит от класса защищённости информационной системы, в которой они используются.

В таблице приведено соответствие уровней доверия средств защиты информации классам и уровням защищенности.

Уровни доверия средства Категории объектов КИИ Классы и уровни защищенности для ГИС, АСУ ТП, ИСПДн

6

3

3/ 3 и 4 уровни 

5

2

2

4

1

1

1,2,3

для гостайны

Регулярное обновление и поддержка

Программные продукты должны регулярно обновляться для устранения выявленных уязвимостей и обеспечения защиты от новых угроз. Обновления должны поступать из доверенных источников, проходить предварительное тестирование в контролируемой среде и сопровождаться соответствующей документацией. Организации обязаны контролировать установку обновлений и фиксировать информацию о проведённых обновлениях в установленном порядке. 

Таким образом, требования ФСТЭК по защите информации являются обязательными для исполнения и направлены на обеспечение комплексной защиты информации в различных сферах деятельности. Соблюдение этих требований способствует снижению рисков информационной безопасности и повышению устойчивости информационных систем к различным угрозам.

Информационная безопасность бизнеса

Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.

Оставить заявку

Фотография Надежда Запольских Надежда Запольских Менеджер продукта Контур.Безопасность

Другие статьи

Все статьи