Информационная безопасность для бизнеса — Контур.Эгида

В этой статье

Информационная безопасность для бизнеса

22 мая 2026

По данным «Сбера», в 2025 году кибератаки обошлись российской экономике в 1,5 трлн рублей, а исследование BI.Zone показало, что средний выкуп шифровальщиков достиг 16 млн. При этом большинство бизнесов в России до сих пор не имеют плана действий при инциденте — реагируют по ситуации. Разобрали, что требует от бизнеса регуляторы и как построить защиту для бизнеса любого масштаба.

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды

Информационная безопасность для бизнеса: базовое понятие и основные принципы

Информационная безопасность для бизнеса — это комплекс организационных, правовых и технических мер, которые защищают цифровые активы компании от негативных воздействий: случайных или преднамеренных. В этот комплекс входит разработка политик, обучение сотрудников, контроль событий, защита данных и многое другое — всё, что предотвращает утечки, взломы и сбои.

Любая эффективная система защиты информации строится на трех основных принципах. Нарушение хотя бы одного делает защиту неполной:

  1. Конфиденциальность. Данные должны быть доступны только тем, у кого есть на них право. К чему приведет нарушение принципа: утечка клиентской базы, коммерческой тайны или персональных данных. Последнее чревато штрафами до 500 млн рублей по 152-ФЗ и потерей репутации, которую деньгами не измерить.
  2. Целостность. Информация не должна изменяться неправомерно. Любое изменение — только авторизованное и записанное в журнал.   К чему приведет нарушение принципа: если злоумышленник подменит платежные реквизиты в CRM или сфальсифицирует бухгалтерскую отчетность, компания может понести крупные финансовые потери или получить претензии от налоговой.
  3. Доступность. Пользователи с правом доступа получают данные тогда, когда это нужно. Главная угроза доступности — это внешние атаки: DDoS, программы-шифровальщики или отказ оборудования. Но проблемы могут быть и внутренними: излишне строгие политики или плохо настроенные средства контроля могут парализовать работу сотрудников и серверов эффективнее, чем хакеры.

От каких киберугроз чаще страдает  бизнес

Внешние атаки набирают силу и приносят хакерам всё больше денег. Однако не менее важно помнить: ключевая уязвимость — внутри компаний. 

Внешние угрозы: фишинг, шифровальщики, DDOS-атаки

Количество атак на российские компании по данным «Сбера» — утроилось в 2025 году, а в 2026‑м ожидается новый скачок еще на 30–35%.

Фишинг и социальная инженерия. Эти методы применяются в половине успешных атак на организации, а около 80% фишинговых писем доставляются через электронную почту. С развитием ИИ злоумышленники создают письма, неотличимые от подлинных. Один переход сотрудника по ссылке или запуск вложения может скомпрометировать все данные компании.

Программы-шифровальщики. Средняя прибыль злоумышленников от одной успешной атаки в России в 2025 году выросла на 33% и достигла 16 млн рублей при себестоимости атаки около 700 тыс. рублей. Рентабельность: каждый вложенный рубль приносит хакерам около 23 рублей дохода. Максимальный зафиксированный выкуп в 2025 году составил 500 млн рублей.

DDoS-атаки. В первом квартале 2026 года на каждый онлайн‑магазин пришлось в среднем 1,3 млн вредоносных веб‑запросов — почти вдвое больше, чем в пиковом квартале 2025 года.  Основные цели — ритейл, госсектор, компании ТЭК и промышленности.

Внутренние риски и человеческий фактор в компании

Из года в год эксперты выделяют эти три типа внутренних рисков для российского бизнеса.

Слабая подготовка персонала.  По данным hh.ru и Staffcop, 38% сотрудников никогда не проходили обучение по ИБ. Как следствие: 16% переходят по вредоносным ссылкам, но лишь 1% сообщает о подозрительных письмах в службу безопасности. В 68% случаев   причиной утечек данных стал именно человеческий фактор.

Умышленные инсайдерские действия.  Согласно исследованию InfoWatch, 95,6% утечек по вине сотрудников носят умышленный характер — это в десять раз выше среднемирового показателя. Речь не только о мести или корысти: например, большинство продажников считают клиентскую базу своей личной собственностью, что создает почву для злоупотреблений.

Нарушение базовой кибергигиены.  Слабые пароли, использование личных устройств в корпоративной сети, доступы уволенных сотрудников, не отключенные вовремя, — эти факторы многократно увеличивают поверхность атаки.

Нормативные требования и аттестация в России

152‑ФЗ: защита персональных данных

С мая 2025 года штрафы за утечку персональных данных (ПДн): первая — до 15 млн рублей, повторная — до 3% годовой выручки (максимум 500 млн рублей). При утечке компания обязана уведомить Роскомнадзор в течение 24 часов, полный отчет — в течение 72 часов. Организации обязаны внедрить организационные и технические меры защиты, а конкретный состав мер зависит от уровня защищенности системы.

187‑ФЗ: защита критической информационная инфраструктуры

Полный объем требований распространяется только на значимые объекты КИИ. Для таких объектов с сентября 2025 года обязательны: категоризация, переход на отечественное ПО из Единого реестра (для систем, управляющих критическими процессами), подключение к ГосСОПКА. ФСТЭК предъявляет требования: многофакторная аутентификация, контроль привилегированных доступов, круглосуточный мониторинг безопасности.

Аттестация и аудит: для кого обязательны

Аттестация обязательна для государственных информационных систем и для систем, которые обрабатывают ПДн высокого уровня защищенности. Аттестат выдается на срок от 1 до 3 лет.

Что касается аудита инфобезопасности, закон не требует проводить его всем с какой-то определенной периодичностью. Однако на практике аудит бывает необходим в следующих случаях:

  • Требование партнеров или заказчиков — крупные компании, банки, госструктуры.
  • Добровольная сертификация по ГОСТ ISO 27001.
  • При проверках Роскомнадзора или ФСТЭК — отсутствие документов об оценке уязвимостей может быть истолковано как нарушение.

Рекомендуем проводить аудит перед отчетностью, при подключении крупного клиента, после значительных изменений в IT-инфраструктуре или хотя бы раз в 2–3 года для самоконтроля.

Как выбрать и внедрить систему ИБ под ваш бизнес: поэтапный план

Без системы деньги могут уйти  на второстепенные задачи, а главные угрозы остаются без внимания. Предложенный план поможет распределить усилия правильно.

Этап 1. Составьте реестр активов и оцените риски

Зафиксируйте все элементы рабочей среды: серверы, базы данных, ноутбуки, облачные сервисы, CRM, почту, бумажные носители, резервные копии. Определите наиболее ценные данные — клиентская база, коммерческая тайна, персональные данные (ПДн). Укажите, кто имеет к ним доступ: сотрудники, подрядчики, клиенты. Оцените последствия утечки: остановка производства, штрафы по 152‑ФЗ, потеря клиентов.

Оценка рисков и вреда от утечки ПДн — прямое требование ст. 19 152‑ФЗ. Без этого документа нельзя определить состав мер защиты.

ИП с одним ноутбуком, на котором хранится база клиентов, может зафиксировать в таком реестре: ноутбук, облачный диск, файл Excel с ПДн. Доступ — только у ИП. Риски: ущерб при утечке — штраф до 15 млн руб., потеря клиентов. Крупная компания оформляет реестр в корпоративной системе учета активов, включая сетевые папки и базы данных, с разграничением по владельцам.

Результат: вы знаете приоритеты и понимаете, на что тратить бюджет в первую очередь.

Этап 2. Разработайте политику информационной безопасности

Это внутренние правила, по которым живет компания. Без них сотрудники действуют как хотят, а после инцидента некого привлечь к ответственности. Пропишите минимум, например:

  • как создавать и менять пароли,
  • какие устройства можно подключать к сети (личные ноутбуки — только под контролем),
  • порядок выдачи и отключения доступов (особенно при увольнении),
  • что делать при подозрительных письмах,
  • ответственность за нарушения.

Результат: у каждого сотрудника есть инструкция, у руководителя — рычаги воздействия.

Этап 3. Приведите в порядок работу с персональными данными

Если вы обрабатываете любые ПДн — от телефона клиента до паспорта сотрудника — на вас действуют требования 152-ФЗ, включая оборотные штрафы до 15 млн рублей за первую утечку. На практике это требует выполнения трех ключевых шагов:

  1. Оформите согласия правильно. С 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено отдельным документом, а не включено пунктом в договор или пользовательское соглашение.
  2. Назначьте ответственного. Приказом руководителя назначьте лицо, ответственное за организацию обработки ПДн. В малом бизнесе это может быть сам руководитель, в крупной компании — профильный сотрудник: кадровик, юрист или ИБ-специалист.
  3. Внедрите минимальный набор мер защиты. Он включает антивирусную защиту, контроль доступа к ПДн, шифрование каналов связи и резервное копирование. Конкретный состав мер зависит от уровня защищенности вашей информационной системы.

Результат: соблюдение базовых требований закона, снижение рисков при проверках и формирование доказательной базы для регулятора.

Этап 4. Настройте надежное хранение и техническую защиту

Организуйте централизованное хранилище рабочих материалов с разграничением прав доступа. Включите автоматическое ежедневное резервное копирование с хранением копий на изолированном ресурсе. Зашифруйте диски на всех устройствах, используемых для работы с ПДн. Внедрите двухфакторную аутентификацию для доступа к важным ресурсам.

Например, ИП, ведущий учет клиентов в Excel на ноутбуке, обеспечивает защиту следующим образом: назначает себя ответственным за обработку ПДн, оформляет политику конфиденциальности и согласия на сайте, устанавливает пароль на файл, настраивает ежедневное резервное копирование на внешний диск, устанавливает антивирус и включает HTTPS на сайте. Такой набор базовых мер документально фиксируется и признается достаточным для соответствия требованиям 152-ФЗ при малом штате.

Результат: многоуровневая система защиты, которая нейтрализует основные актуальные угрозы и снижает риски утечки данных.

Этап 5. Проконтролируйте подрядчиков, работающих с данными

Если вы передаете персональные данные клиентов или сотрудников стороннему исполнителю (бухгалтерия, IT-поддержка, колл-центр), ответственность за их сохранность все равно остается на вас.

Для законной передачи данных заключите договор поручения на обработку ПДн. В нем обязательно пропишите:

  • конкретный перечень передаваемых данных и цель их обработки;
  • обязанность подрядчика соблюдать конфиденциальность и применять меры защиты (ст. 19 152-ФЗ);
  • порядок уведомления вас об инцидентах, например в течение 24 часов);
  • сроки и процедуру уничтожения данных после завершения работ.

Договор должен содержать конкретные меры защиты. При проверке Роскомнадзор расценит формальный подход как нарушение и выпишет штраф.

В малом бизнесе достаточно направить подрядчику опросник, запросить копии документов о защите данных и зафиксировать проверку внутренним актом. Крупная компания включает в договор право на проведение аудита, ежегодно запрашивает сертификаты соответствия ФСТЭК и отчеты о безопасности инфраструктуры подрядчика.

Результат: вы не потеряете крупного клиента из-за неспособности подтвердить защиту его данных и не получите претензий от регулятора.

Этап 6. Обучите сотрудников и проверяйте их навыки

Как мы писали, 68% утечек происходит по вине человека, и причина чаще в отсутствии системного обучения. Регулярное обучение — обязательное требование закона. Согласно п. 56 Приказа ФСТЭК № 117, компании обязаны проводить имитационные рассылки, чтобы оценить способность сотрудников распознавать мошенничество. Если нарушений нет — достаточно обучать персонал не реже одного раза в два года. Если сотрудник стал причиной инцидента — нужно провести внеочередную проверку знаний.

Что делать на практике:

  • Проводите имитационные фишинговые рассылки: учебные поддельные письма позволяют выявить самых уязвимых сотрудников. Регулярные тренировки снижают риск взлома в разы.
  • Ведите журнал инцидентов безопасности, связанных с ПДн. Журнал фиксирует дату и время, описание события, причастных лиц и принятые меры. Форма свободная — от таблицы Excel до специализированного софта. При проверке Роскомнадзор потребует этот журнал.

Например, если сотрудник перешел по фишинговой ссылке, вы фиксируете это в журнале, назначаете внеочередное обучение и повторную проверку навыков. Документирование инцидента покажет регулятору, что компания не замалчивает нарушения, а анализирует их и корректирует внутренние процессы.

Результат: сотрудники перестают быть самым слабым звеном, количество успешных атак снижается.

Этап 7. Настройте мониторинг и план реагирования

План фиксирует:

  • ответственных за первичное обнаружение инцидента;
  • лиц, принимающих решение об изоляции затронутых сегментов инфраструктуры, в том числе отключении серверов;
  • контакты и порядок привлечения внешней команды реагирования;
  • ответственного за уведомление Роскомнадзора при утечке ПДн — согласно ч. 3.1 ст. 21 152-ФЗ, предварительное уведомление в течение 24 часов с момента выявления инцидента, полный отчет — в течение 72 часов;
  • назначенного спикера для взаимодействия с клиентами, партнерами и СМИ.

В малом бизнесе до 50 сотрудников все функции может совмещать один человек — например, руководитель или привлеченный ИТ‑аутсорсер. В крупной компании роли распределены: обнаружение — дежурный аналитик SOC, изоляция — руководитель ИБ, уведомление регулятора — CISO или юрист, спикер — PR-директор или CEO.

Результат: инцидент локализуется за часы, а не дни.

Этап 8. Регулярно проводите аудит и улучшайте систему

Угрозы мутируют, бизнес растет, регуляторы выпускают новые приказы, например, ФСТЭК №117 с марта 2026 года. Раз в год заказывайте внешний аудит у лицензированной организации, обязательно — если работаете с ПДн или КИИ. Проводите пентесты — тестовые взломы инфраструктуры. Пересматривайте актуальность политик и выданных доступов.

Результат: система ИБ не устаревает, вы вовремя замечаете уязвимости и избегаете штрафов.

При необходимости обратитесь за консультацией. Даже разовая консультация помогает определить подходящий набор мер, привести документы в порядок, устранить ошибки в процессах и подготовить предпринимателя к взаимодействию с заказчиками и проверяющими.

Примеры сервисов и решений для защиты бизнеса

Любой комплекс защиты информации решает четыре базовые задачи: профилактику, обнаружение, реагирование и восстановление. Для каждой из них нужны свои инструменты — в таблице собрали примеры, какие классы продуктов за что отвечают.

Задача Что сделать Какие технологии использовать

Профилактика

  • Утвердить политики ИБ и работу с ПДн.
  • Подписать с сотрудниками и подрядчиками соглашения о неразглашении (NDA).
  • Проводить обязательные ИБ‑тренинги и фишинг‑симуляции.
  • Регулярно пересматривать доступы и проводим внутренние аудиты.

2FA (двухфакторная аутентификация) — требует второй фактор (код из приложения, push-уведомление или биометрию) кроме пароля. Защищает учетные записи от взлома даже при компрометации пароля.

PAM (управление привилегированным доступом) — хранит пароли администраторов и выдает их только на время сеанса. Позволяет контролировать и записывать действия сотрудников с широкими правами.

DLP (защита от утечек данных) — контролирует исходящий трафик: почту, мессенджеры, флешки, файлообменники. Блокирует передачу конфиденциальной информации.

DCAP (управление доступом к данным) — фиксирует, кто и когда открывал, изменял или копировал файлы на серверах и в сетевых папках. Помогает выявлять нештатные действия с данными.

Обнаружение

Назначьте ответственных за мониторинг и оповещение.

Утвердите регламент, в котором прописаны:

  • какие события считаются инцидентами,
  • как часто смотреть логи, кто делает первичную оценку.

SIEM (управление информацией и событиями безопасности) — система собирает логи со всех устройств компании (серверов, сетевых экранов, антивирусов) в одном месте, коррелирует их и находит комплексные атаки, которые незаметны по отдельным журналам.

EDR (обнаружение и реагирование на угрозы на конечных точках) — современный «умный» антивирус для компьютеров и ноутбуков.Следит за поведением программ и блокирует подозрительную активность, например попытки шифрования файлов.

NGFW (межсетевой экран нового поколения) — продвинутый брандмауэр для защиты сети. Он не просто фильтрует трафик по правилам, как стандартные системы, но и анализирует его содержимое в реальном времени.

IPS (система предотвращения вторжений) — технология, которая работает в паре с NGFW и активно блокирует подозрительный трафик, характерный для хакерских атак.

UEBA (аналитика поведения пользователей) — система, которая учится нормальному поведению сотрудников и оповещает об аномалиях, например, о попытке скачать терабайт данных в 3 часа ночи.

Реагирование

Подготовить правовую основу:

  • приказ на блокировку учетных записей,
  • согласие на мониторинг.

Создать план реагирования с четкими ролями — кто решает отключать сервер, кто вызывает аутсорс.

DLP — при попытке утечки мгновенно блокирует отправку данных: почта, мессенджеры, флешка.

EDR — при выявлении аномальной активности изолирует зараженный компьютер от сети.

PAM — в момент инцидента мгновенно отзывает права администратора.

NGFW — при детектировании атаки блокирует IP‑адрес злоумышленника.

Восстановление

Написать регламент восстановления из бэкапов:

  • кто запускает,
  • в какой очередности, как проверять целостность данных.

Назначить ответственного за ежемесячную тренировку восстановления после имитации сбоя.

Регулярные ежедневные бэкапы с с сохранением копии отдельно от основной сети.

Регулярные тренировки восстановления — проверить, что данные реально «поднимаются».

Набор технологий определяется масштабом бизнеса, отраслью и регуляторными требованиями. Малому бизнесу достаточно двухфакторной аутентификации, антивируса с поведенческим анализом, резервных копий и базовой системы защиты от утечек.

Крупным компаниям и объектам критической информационной инфраструктуры требуются системы сбора и корреляции событий, контроля привилегированных доступов, аналитика поведения пользователей и круглосуточный центр мониторинга и реагирования на кибератаки. Защита должна быть соразмерна активам и угрозам: чрезмерное усложнение так же вредно, как и её полное отсутствие.

Как измерить, что защита работает

Можно назвать три таких критерия:

  1. Соотношение расходов на ИБ и реального ущерба.  Сопоставьте годовой бюджет на безопасность с потерями от уже случившихся инцидентов — остановка производства, утечки, выплаты вымогателям, штрафы. Если защита обходится дороже максимально возможного ущерба — вы перестраховываетесь. Если одного инцидента хватило, чтобы «съесть» годовую сумму расходов на ИБ — вы беззащитны. Ориентир: 10–20% от общего IT-бюджета.
  2. Отсутствие претензий со стороны государства.  Для операторов ПДн, держателей гостайны и субъектов КИИ главный маркер — успешное прохождение проверок ФСТЭК, Банка России или ФСБ. Никаких штрафов, предписаний, приостановок лицензий — значит, минимальный уровень соблюдения закона достигнут. Это не гарантия от всех хакеров, но без этого вести бизнес незаконно. Важно: требования приказов №21, №239 и отраслевых стандартов должны выполняться фактически, а не только в документах.
  3. Результаты реальных или учебных атак.  Регулярно проводите внешний пентест (тестовый взлом инфраструктуры) силами лицензированной команды — независимо от того, случались ли реальные атаки. Пентест показывает, через сколько минут система фиксирует вторжение и сколько времени требуется на блокировку. Если злоумышленники достигают цели раньше, чем вы их замечаете, защита неэффективна.

Итог: система работает эффективно, если при разумных вложениях вы проходите госпроверки и на учениях укладываетесь в заданные нормативы обнаружения и восстановления.

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться