По данным «Сбера», в 2025 году кибератаки обошлись российской экономике в 1,5 трлн рублей, а исследование BI.Zone показало, что средний выкуп шифровальщиков достиг 16 млн. При этом большинство бизнесов в России до сих пор не имеют плана действий при инциденте — реагируют по ситуации. Разобрали, что требует от бизнеса регуляторы и как построить защиту для бизнеса любого масштаба.
В этой статье:
- Информационная безопасность для бизнеса: базовое понятие и основные принципы
- От каких киберугроз чаще страдает бизнес
- Нормативные требования и аттестация в России
- Как выбрать и внедрить систему ИБ под ваш бизнес: поэтапный план
- Примеры сервисов и решений для защиты бизнеса
- Как измерить, что защита работает
Информационная безопасность для бизнеса: базовое понятие и основные принципы
Информационная безопасность для бизнеса — это комплекс организационных, правовых и технических мер, которые защищают цифровые активы компании от негативных воздействий: случайных или преднамеренных. В этот комплекс входит разработка политик, обучение сотрудников, контроль событий, защита данных и многое другое — всё, что предотвращает утечки, взломы и сбои.
Любая эффективная система защиты информации строится на трех основных принципах. Нарушение хотя бы одного делает защиту неполной:
- Конфиденциальность. Данные должны быть доступны только тем, у кого есть на них право. К чему приведет нарушение принципа: утечка клиентской базы, коммерческой тайны или персональных данных. Последнее чревато штрафами до 500 млн рублей по 152-ФЗ и потерей репутации, которую деньгами не измерить.
- Целостность. Информация не должна изменяться неправомерно. Любое изменение — только авторизованное и записанное в журнал. К чему приведет нарушение принципа: если злоумышленник подменит платежные реквизиты в CRM или сфальсифицирует бухгалтерскую отчетность, компания может понести крупные финансовые потери или получить претензии от налоговой.
- Доступность. Пользователи с правом доступа получают данные тогда, когда это нужно. Главная угроза доступности — это внешние атаки: DDoS, программы-шифровальщики или отказ оборудования. Но проблемы могут быть и внутренними: излишне строгие политики или плохо настроенные средства контроля могут парализовать работу сотрудников и серверов эффективнее, чем хакеры.
От каких киберугроз чаще страдает бизнес
Внешние атаки набирают силу и приносят хакерам всё больше денег. Однако не менее важно помнить: ключевая уязвимость — внутри компаний.
Внешние угрозы: фишинг, шифровальщики, DDOS-атаки
Количество атак на российские компании по данным «Сбера» — утроилось в 2025 году, а в 2026‑м ожидается новый скачок еще на 30–35%.
Фишинг и социальная инженерия. Эти методы применяются в половине успешных атак на организации, а около 80% фишинговых писем доставляются через электронную почту. С развитием ИИ злоумышленники создают письма, неотличимые от подлинных. Один переход сотрудника по ссылке или запуск вложения может скомпрометировать все данные компании.
Программы-шифровальщики. Средняя прибыль злоумышленников от одной успешной атаки в России в 2025 году выросла на 33% и достигла 16 млн рублей при себестоимости атаки около 700 тыс. рублей. Рентабельность: каждый вложенный рубль приносит хакерам около 23 рублей дохода. Максимальный зафиксированный выкуп в 2025 году составил 500 млн рублей.
DDoS-атаки. В первом квартале 2026 года на каждый онлайн‑магазин пришлось в среднем 1,3 млн вредоносных веб‑запросов — почти вдвое больше, чем в пиковом квартале 2025 года. Основные цели — ритейл, госсектор, компании ТЭК и промышленности.
Внутренние риски и человеческий фактор в компании
Из года в год эксперты выделяют эти три типа внутренних рисков для российского бизнеса.
Слабая подготовка персонала. По данным hh.ru и Staffcop, 38% сотрудников никогда не проходили обучение по ИБ. Как следствие: 16% переходят по вредоносным ссылкам, но лишь 1% сообщает о подозрительных письмах в службу безопасности. В 68% случаев причиной утечек данных стал именно человеческий фактор.
Умышленные инсайдерские действия. Согласно исследованию InfoWatch, 95,6% утечек по вине сотрудников носят умышленный характер — это в десять раз выше среднемирового показателя. Речь не только о мести или корысти: например, большинство продажников считают клиентскую базу своей личной собственностью, что создает почву для злоупотреблений.
Нарушение базовой кибергигиены. Слабые пароли, использование личных устройств в корпоративной сети, доступы уволенных сотрудников, не отключенные вовремя, — эти факторы многократно увеличивают поверхность атаки.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Нормативные требования и аттестация в России
152‑ФЗ: защита персональных данных
С мая 2025 года штрафы за утечку персональных данных (ПДн): первая — до 15 млн рублей, повторная — до 3% годовой выручки (максимум 500 млн рублей). При утечке компания обязана уведомить Роскомнадзор в течение 24 часов, полный отчет — в течение 72 часов. Организации обязаны внедрить организационные и технические меры защиты, а конкретный состав мер зависит от уровня защищенности системы.
187‑ФЗ: защита критической информационная инфраструктуры
Полный объем требований распространяется только на значимые объекты КИИ. Для таких объектов с сентября 2025 года обязательны: категоризация, переход на отечественное ПО из Единого реестра (для систем, управляющих критическими процессами), подключение к ГосСОПКА. ФСТЭК предъявляет требования: многофакторная аутентификация, контроль привилегированных доступов, круглосуточный мониторинг безопасности.
Аттестация и аудит: для кого обязательны
Аттестация обязательна для государственных информационных систем и для систем, которые обрабатывают ПДн высокого уровня защищенности. Аттестат выдается на срок от 1 до 3 лет.
Что касается аудита инфобезопасности, закон не требует проводить его всем с какой-то определенной периодичностью. Однако на практике аудит бывает необходим в следующих случаях:
- Требование партнеров или заказчиков — крупные компании, банки, госструктуры.
- Добровольная сертификация по ГОСТ ISO 27001.
- При проверках Роскомнадзора или ФСТЭК — отсутствие документов об оценке уязвимостей может быть истолковано как нарушение.
Рекомендуем проводить аудит перед отчетностью, при подключении крупного клиента, после значительных изменений в IT-инфраструктуре или хотя бы раз в 2–3 года для самоконтроля.
Как выбрать и внедрить систему ИБ под ваш бизнес: поэтапный план
Без системы деньги могут уйти на второстепенные задачи, а главные угрозы остаются без внимания. Предложенный план поможет распределить усилия правильно.
Этап 1. Составьте реестр активов и оцените риски
Зафиксируйте все элементы рабочей среды: серверы, базы данных, ноутбуки, облачные сервисы, CRM, почту, бумажные носители, резервные копии. Определите наиболее ценные данные — клиентская база, коммерческая тайна, персональные данные (ПДн). Укажите, кто имеет к ним доступ: сотрудники, подрядчики, клиенты. Оцените последствия утечки: остановка производства, штрафы по 152‑ФЗ, потеря клиентов.
Оценка рисков и вреда от утечки ПДн — прямое требование ст. 19 152‑ФЗ. Без этого документа нельзя определить состав мер защиты.
ИП с одним ноутбуком, на котором хранится база клиентов, может зафиксировать в таком реестре: ноутбук, облачный диск, файл Excel с ПДн. Доступ — только у ИП. Риски: ущерб при утечке — штраф до 15 млн руб., потеря клиентов. Крупная компания оформляет реестр в корпоративной системе учета активов, включая сетевые папки и базы данных, с разграничением по владельцам.
Результат: вы знаете приоритеты и понимаете, на что тратить бюджет в первую очередь.
Этап 2. Разработайте политику информационной безопасности
Это внутренние правила, по которым живет компания. Без них сотрудники действуют как хотят, а после инцидента некого привлечь к ответственности. Пропишите минимум, например:
- как создавать и менять пароли,
- какие устройства можно подключать к сети (личные ноутбуки — только под контролем),
- порядок выдачи и отключения доступов (особенно при увольнении),
- что делать при подозрительных письмах,
- ответственность за нарушения.
Результат: у каждого сотрудника есть инструкция, у руководителя — рычаги воздействия.
Этап 3. Приведите в порядок работу с персональными данными
Если вы обрабатываете любые ПДн — от телефона клиента до паспорта сотрудника — на вас действуют требования 152-ФЗ, включая оборотные штрафы до 15 млн рублей за первую утечку. На практике это требует выполнения трех ключевых шагов:
- Оформите согласия правильно. С 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено отдельным документом, а не включено пунктом в договор или пользовательское соглашение.
- Назначьте ответственного. Приказом руководителя назначьте лицо, ответственное за организацию обработки ПДн. В малом бизнесе это может быть сам руководитель, в крупной компании — профильный сотрудник: кадровик, юрист или ИБ-специалист.
- Внедрите минимальный набор мер защиты. Он включает антивирусную защиту, контроль доступа к ПДн, шифрование каналов связи и резервное копирование. Конкретный состав мер зависит от уровня защищенности вашей информационной системы.
Результат: соблюдение базовых требований закона, снижение рисков при проверках и формирование доказательной базы для регулятора.
Этап 4. Настройте надежное хранение и техническую защиту
Организуйте централизованное хранилище рабочих материалов с разграничением прав доступа. Включите автоматическое ежедневное резервное копирование с хранением копий на изолированном ресурсе. Зашифруйте диски на всех устройствах, используемых для работы с ПДн. Внедрите двухфакторную аутентификацию для доступа к важным ресурсам.
Например, ИП, ведущий учет клиентов в Excel на ноутбуке, обеспечивает защиту следующим образом: назначает себя ответственным за обработку ПДн, оформляет политику конфиденциальности и согласия на сайте, устанавливает пароль на файл, настраивает ежедневное резервное копирование на внешний диск, устанавливает антивирус и включает HTTPS на сайте. Такой набор базовых мер документально фиксируется и признается достаточным для соответствия требованиям 152-ФЗ при малом штате.
Результат: многоуровневая система защиты, которая нейтрализует основные актуальные угрозы и снижает риски утечки данных.
Этап 5. Проконтролируйте подрядчиков, работающих с данными
Если вы передаете персональные данные клиентов или сотрудников стороннему исполнителю (бухгалтерия, IT-поддержка, колл-центр), ответственность за их сохранность все равно остается на вас.
Для законной передачи данных заключите договор поручения на обработку ПДн. В нем обязательно пропишите:
- конкретный перечень передаваемых данных и цель их обработки;
- обязанность подрядчика соблюдать конфиденциальность и применять меры защиты (ст. 19 152-ФЗ);
- порядок уведомления вас об инцидентах, например в течение 24 часов);
- сроки и процедуру уничтожения данных после завершения работ.
Договор должен содержать конкретные меры защиты. При проверке Роскомнадзор расценит формальный подход как нарушение и выпишет штраф.
В малом бизнесе достаточно направить подрядчику опросник, запросить копии документов о защите данных и зафиксировать проверку внутренним актом. Крупная компания включает в договор право на проведение аудита, ежегодно запрашивает сертификаты соответствия ФСТЭК и отчеты о безопасности инфраструктуры подрядчика.
Результат: вы не потеряете крупного клиента из-за неспособности подтвердить защиту его данных и не получите претензий от регулятора.
Этап 6. Обучите сотрудников и проверяйте их навыки
Как мы писали, 68% утечек происходит по вине человека, и причина чаще в отсутствии системного обучения. Регулярное обучение — обязательное требование закона. Согласно п. 56 Приказа ФСТЭК № 117, компании обязаны проводить имитационные рассылки, чтобы оценить способность сотрудников распознавать мошенничество. Если нарушений нет — достаточно обучать персонал не реже одного раза в два года. Если сотрудник стал причиной инцидента — нужно провести внеочередную проверку знаний.
Что делать на практике:
- Проводите имитационные фишинговые рассылки: учебные поддельные письма позволяют выявить самых уязвимых сотрудников. Регулярные тренировки снижают риск взлома в разы.
- Ведите журнал инцидентов безопасности, связанных с ПДн. Журнал фиксирует дату и время, описание события, причастных лиц и принятые меры. Форма свободная — от таблицы Excel до специализированного софта. При проверке Роскомнадзор потребует этот журнал.
Например, если сотрудник перешел по фишинговой ссылке, вы фиксируете это в журнале, назначаете внеочередное обучение и повторную проверку навыков. Документирование инцидента покажет регулятору, что компания не замалчивает нарушения, а анализирует их и корректирует внутренние процессы.
Результат: сотрудники перестают быть самым слабым звеном, количество успешных атак снижается.
Этап 7. Настройте мониторинг и план реагирования
План фиксирует:
- ответственных за первичное обнаружение инцидента;
- лиц, принимающих решение об изоляции затронутых сегментов инфраструктуры, в том числе отключении серверов;
- контакты и порядок привлечения внешней команды реагирования;
- ответственного за уведомление Роскомнадзора при утечке ПДн — согласно ч. 3.1 ст. 21 152-ФЗ, предварительное уведомление в течение 24 часов с момента выявления инцидента, полный отчет — в течение 72 часов;
- назначенного спикера для взаимодействия с клиентами, партнерами и СМИ.
В малом бизнесе до 50 сотрудников все функции может совмещать один человек — например, руководитель или привлеченный ИТ‑аутсорсер. В крупной компании роли распределены: обнаружение — дежурный аналитик SOC, изоляция — руководитель ИБ, уведомление регулятора — CISO или юрист, спикер — PR-директор или CEO.
Результат: инцидент локализуется за часы, а не дни.
Этап 8. Регулярно проводите аудит и улучшайте систему
Угрозы мутируют, бизнес растет, регуляторы выпускают новые приказы, например, ФСТЭК №117 с марта 2026 года. Раз в год заказывайте внешний аудит у лицензированной организации, обязательно — если работаете с ПДн или КИИ. Проводите пентесты — тестовые взломы инфраструктуры. Пересматривайте актуальность политик и выданных доступов.
Результат: система ИБ не устаревает, вы вовремя замечаете уязвимости и избегаете штрафов.
При необходимости обратитесь за консультацией. Даже разовая консультация помогает определить подходящий набор мер, привести документы в порядок, устранить ошибки в процессах и подготовить предпринимателя к взаимодействию с заказчиками и проверяющими.
Примеры сервисов и решений для защиты бизнеса
Любой комплекс защиты информации решает четыре базовые задачи: профилактику, обнаружение, реагирование и восстановление. Для каждой из них нужны свои инструменты — в таблице собрали примеры, какие классы продуктов за что отвечают.
| Задача | Что сделать | Какие технологии использовать |
|---|---|---|
|
Профилактика |
|
2FA (двухфакторная аутентификация) — требует второй фактор (код из приложения, push-уведомление или биометрию) кроме пароля. Защищает учетные записи от взлома даже при компрометации пароля. PAM (управление привилегированным доступом) — хранит пароли администраторов и выдает их только на время сеанса. Позволяет контролировать и записывать действия сотрудников с широкими правами. DLP (защита от утечек данных) — контролирует исходящий трафик: почту, мессенджеры, флешки, файлообменники. Блокирует передачу конфиденциальной информации. DCAP (управление доступом к данным) — фиксирует, кто и когда открывал, изменял или копировал файлы на серверах и в сетевых папках. Помогает выявлять нештатные действия с данными. |
|
Обнаружение |
Назначьте ответственных за мониторинг и оповещение. Утвердите регламент, в котором прописаны:
|
SIEM (управление информацией и событиями безопасности) — система собирает логи со всех устройств компании (серверов, сетевых экранов, антивирусов) в одном месте, коррелирует их и находит комплексные атаки, которые незаметны по отдельным журналам. EDR (обнаружение и реагирование на угрозы на конечных точках) — современный «умный» антивирус для компьютеров и ноутбуков.Следит за поведением программ и блокирует подозрительную активность, например попытки шифрования файлов. NGFW (межсетевой экран нового поколения) — продвинутый брандмауэр для защиты сети. Он не просто фильтрует трафик по правилам, как стандартные системы, но и анализирует его содержимое в реальном времени. IPS (система предотвращения вторжений) — технология, которая работает в паре с NGFW и активно блокирует подозрительный трафик, характерный для хакерских атак. UEBA (аналитика поведения пользователей) — система, которая учится нормальному поведению сотрудников и оповещает об аномалиях, например, о попытке скачать терабайт данных в 3 часа ночи. |
|
Реагирование |
Подготовить правовую основу:
Создать план реагирования с четкими ролями — кто решает отключать сервер, кто вызывает аутсорс. |
DLP — при попытке утечки мгновенно блокирует отправку данных: почта, мессенджеры, флешка. EDR — при выявлении аномальной активности изолирует зараженный компьютер от сети. PAM — в момент инцидента мгновенно отзывает права администратора. NGFW — при детектировании атаки блокирует IP‑адрес злоумышленника. |
|
Восстановление |
Написать регламент восстановления из бэкапов:
Назначить ответственного за ежемесячную тренировку восстановления после имитации сбоя. |
Регулярные ежедневные бэкапы с с сохранением копии отдельно от основной сети. Регулярные тренировки восстановления — проверить, что данные реально «поднимаются». |
Набор технологий определяется масштабом бизнеса, отраслью и регуляторными требованиями. Малому бизнесу достаточно двухфакторной аутентификации, антивируса с поведенческим анализом, резервных копий и базовой системы защиты от утечек.
Крупным компаниям и объектам критической информационной инфраструктуры требуются системы сбора и корреляции событий, контроля привилегированных доступов, аналитика поведения пользователей и круглосуточный центр мониторинга и реагирования на кибератаки. Защита должна быть соразмерна активам и угрозам: чрезмерное усложнение так же вредно, как и её полное отсутствие.
Как измерить, что защита работает
Можно назвать три таких критерия:
- Соотношение расходов на ИБ и реального ущерба. Сопоставьте годовой бюджет на безопасность с потерями от уже случившихся инцидентов — остановка производства, утечки, выплаты вымогателям, штрафы. Если защита обходится дороже максимально возможного ущерба — вы перестраховываетесь. Если одного инцидента хватило, чтобы «съесть» годовую сумму расходов на ИБ — вы беззащитны. Ориентир: 10–20% от общего IT-бюджета.
- Отсутствие претензий со стороны государства. Для операторов ПДн, держателей гостайны и субъектов КИИ главный маркер — успешное прохождение проверок ФСТЭК, Банка России или ФСБ. Никаких штрафов, предписаний, приостановок лицензий — значит, минимальный уровень соблюдения закона достигнут. Это не гарантия от всех хакеров, но без этого вести бизнес незаконно. Важно: требования приказов №21, №239 и отраслевых стандартов должны выполняться фактически, а не только в документах.
- Результаты реальных или учебных атак. Регулярно проводите внешний пентест (тестовый взлом инфраструктуры) силами лицензированной команды — независимо от того, случались ли реальные атаки. Пентест показывает, через сколько минут система фиксирует вторжение и сколько времени требуется на блокировку. Если злоумышленники достигают цели раньше, чем вы их замечаете, защита неэффективна.
Итог: система работает эффективно, если при разумных вложениях вы проходите госпроверки и на учениях укладываетесь в заданные нормативы обнаружения и восстановления.