Информационная безопасность — это не «поставить антивирус» и «забыть про это до проверки».
Это системный фундамент, на котором держится устойчивость вашего бизнеса.
В 2025 году, при жёстком контроле ФЗ-152, ФЗ-149, ГОСТ Р ИСО/МЭК 27001-2023 и Приказа ФСТЭК №21, отсутствие ИБ — это не риски. Это готовящаяся катастрофа.
Штрафы до 1,5 млн ₽, блокировка сайта, судебные иски, уголовная ответственность — всё это реальность для тех, кто считает ИБ «бумажкой для Роскомнадзора».
Цель проста: обеспечить конфиденциальность, целостность и доступность информации — даже когда кто-то пытается её украсть, сломать или заблокировать.
Этапы построения системы ИБ
1.1. Инвентаризация активов — кто и что под угрозой?
Начните с вопроса: «Что именно мы защищаем?»
В список входят:
- Базы данных (клиенты, сотрудники, поставщики)
- Серверы (локальные и облачные: AWS, Yandex Cloud, Mail.ru Cloud, S3)
- ПО: CRM, ERP, бухгалтерские системы, корпоративные порталы
- Электронная почта и мессенджеры (Telegram, WhatsApp, Viber)
- Бумажные документы и носители (архивы, уничтожаемые файлы)
- Устройства: ноутбуки, телефоны, принтеры, IoT-датчики
- Веб-сайты, лэндинги, API-интерфейсы
Классификация по уровню конфиденциальности:
Важно:
Согласно ст. 10 ФЗ-152, ответственность за ПДн лежит на операторе, даже если данные хранятся у облачного провайдера.
Облако — это инструмент, а не защитник.
Реальный кейс: Компания загрузила клиентские базы в облако без шифрования и контроля доступа. При утечке — штраф 1,5 млн ₽ по ст. 13.11 КоАП РФ — наложен на неё, а не на провайдера.
Рекомендация:
Проводите ежеквартальный аудит активов. Удаляйте «тени IT» — неучтённые программы, забытые аккаунты, старые устройства.
1.2. Оценка угроз — кто и как атакует?
Угроза — это реальная возможность нарушить CIA (конфиденциальность, целостность, доступность).
Классификация:
Преднамеренные:
- Незаконный доступ (взлом аккаунтов)
- Фишинг (письма от «Роскомнадзора» с вредоносными ссылками)
- Вредоносное ПО (вирусы, трояны, шпионское ПО)
- DDoS-атаки (вывод сайта из строя — как у 12Storeez: 50 млн ₽ убытков)
- Социальная инженерия (звонок от «IT-поддержки»: «Нам нужен ваш пароль»)
Случайные:
- Ошибки сотрудников (отправка ПДн на личную почту, нажатие на рекламу)
- Использование нелицензионного ПО (бэкдоры, утечки)
- Физические риски: пожар, затопление, кража оборудования
- Сбои оборудования (отказ диска без бэкапа)
Реальный кейс: В Пятигорске сотрудники банка вывезли сканы паспортов на свалку — уголовка + штраф по ст. 137 УК РФ и ст. 13.11 КоАП РФ.
Рекомендация:
Разработайте Модель угроз — документ, где описано:
- Что защищаем (активы)
- Кто может атаковать (внутренние/внешние/природные)
- Как (сценарии)
- Сколько это будет стоить (вероятность × ущерб)
1.3. Меры защиты — техника + люди = результат
Только техника — бесполезна. Только люди — катастрофа.
Технические меры:
- Firewall — фильтрация трафика
- IDS/IPS — обнаружение атак в реальном времени
- Антивирус — защита от вредоносного ПО
- DLP — блокировка утечек через email, USB, облака
- 2FA — обязательна для доступа к ПДн
- Шифрование — дисков (BitLocker), баз данных, каналов (TLS 1.3)
- Резервное копирование — ежедневно, вне сети (air-gapped)
- RBAC — принцип «меньше всего необходимого» — доступ только по необходимости
Организационные меры:
- Обучение сотрудников — каждый квартал
> 80% инцидентов — из-за человека: пароль «123456», фишинг, отправка ПДн на Gmail
- Политика паролей — сложность, смена раз в 90 дней, запрет повторов
- Блокировка USB — запрет на подключение флешек
- Аудит доступа — журналы входов, отслеживание действий
- Управление изменениями — только по процедуре: тестирование, утверждение, внедрение
1.4. Документы — ваша юридическая защита
Без документов — вы не сможете доказать соблюдение закона даже в суде.
Обязательный перечень (ФЗ-149, ФЗ-152, ГОСТ 27001):
| Категория | Документы |
| Основной | Политика ИБ — главный документ: цели, ответственность, правила |
| Управленческие | Приказы: о назначении ответственного, о внедрении политики, о комиссии |
| Инструктивные | Инструкции: работа с ПДн, электронная почта, уничтожение носителей |
| Регламентные | Порядок доступа, резервного копирования, реагирования на инциденты |
| Учётные | Журналы: входов, инструктажей, инцидентов, уничтожения |
| Технические | Паспорта ИС, схемы сетей, перечень оборудования, помещения |
| Плановые | Годовой план ИБ, BCP/DRP — план реагирования на кризис |
| Дополнительные | Памятки, соглашения о конфиденциальности, акты проверки |
Важно:
Роскомнадзор и ФСТЭК проверяют не только наличие, но и реализацию.
Если в политике написано «шифрование», а на практике — нет — это нарушение, а не ошибка.
Виды инцидентов ИБ — что может пойти не так
Инцидент — событие, указывающее на нарушение CIA.
Преднамеренные:
- Взлом аккаунта
- Фишинг («Платеж от Роскомнадзора»)
- Ransomware — шифровальщики, требующие выкуп
- DDoS — перегрузка сервера
- Социальная инженерия — манипуляция сотрудником
Случайные:
- Отправка ПДн на личную почту
- Удаление базы данных по ошибке
- Использование пиратского ПО
- Пожар, затопление, кража
- Отказ жёсткого диска без бэкапа
Критично:
При утечке ПДн — обязательное уведомление Роскомнадзора в течение 72 часов (ст. 21 ФЗ-152).
Нарушение — штраф до 1 млн ₽.
Чек-лист: 12 пунктов, которые спасут ваш бизнес в 2025 году
Проверьте — всё ли сделано?
✅ Составлен реестр всех активов с классификацией по уровню конфиденциальности
✅ Разработана и утверждена Модель угроз
✅ Есть Политика ИБ — подписана, опубликована, доступна всем
✅ Все документы — не шаблоны, а отражение вашей реальности
✅ Установлены: firewall, 2FA, DLP, антивирус, шифрование, резервное копирование
✅ Сотрудники проходят обучение каждые 3 месяца + есть журналы и тесты
✅ Уволенные сотрудники лишены доступа (это проверяют!)
✅ Резервные копии — ежедневно, вне сети, тесты восстановления — раз в квартал
✅ Есть план реагирования на инциденты — кто, что, когда делает
✅ Проводится внутренний аудит раз в 6 месяцев
✅ Соответствие: ФЗ-149, ФЗ-152, ГОСТ 27001, Приказ ФСТЭК №21
✅ Назначен ответственный за ИБ — с приказом и должностной инструкцией
✅ Сайт: Политика ПДн, согласие, HTTPS, защита от DDoS, Cookie-политика
Заключение: ИБ — это не затраты. Это инвестиции в выживание
Ошибки, которые ведут к краху:
- Использование шаблонов без адаптации
- Отсутствие обучения сотрудников
- Игнорирование резервного копирования
- Документы — «для галочки», а не для жизни
- Неверная оценка угроз (особенно внутренних)
Своевременная система ИБ — это не расходы. Это:
- Отсутствие штрафов
- Непрерывность бизнеса
- Доверие клиентов
- Спокойствие ночью
Если вы не уверены — начните с аудита. Полный комплексный подход — единственный способ защитить бизнес в цифровую эпоху.