Какие реальные изменения внести в политику ИБ компании прямо сейчас

@companies.rbc
#Hi-Tech.Другое#Экономика.Другое

Какие изменения в политику информационной безопасности нужно внести в 2026 году. Расчет Kзн, обучение персонала, фишинг-тренировки и ответственность директора

Какие реальные изменения внести в политику ИБ компании прямо сейчас
Источник изображения: Сгенерировано нейросетью Nano Banana

Интервью с экспертом по защите информации промышленных предприятий Игорем Владимировичем Краевым о новых правилах игры для руководителей ИБ-подразделений.

Почему старую политику ИБ нужно менять уже сегодня

Игорь Владимирович, после публикации вашей статьи на РБК о промобъектах, у руководителей ИБ-подразделений накопились острые вопросы. Главный из них: приказ ФСТЭК 117 от 11 апреля 2025 года уже вступил в силу. Многие коллеги активно интересуются: неужели нужно заново переписывать всю «политику информационной безопасности»? Давайте разложим по полочкам.

– Да, это здоровая реакция профессионалов на кардинально изменившийся ландшафт. Приказ 117 — это не просто косметический ремонт старых приказов (17 или 239), это принципиально новый подход к управлению безопасностью ГИС и значимых объектов КИИ.

Если коротко: да, изменения в корпоративную политику ИБ нужно вносить прямо сейчас, но начинать надо не с переписывания шаблона, а с создания организационной структуры и внедрения двух новых метрик — Kзн и Пзн.

Что обязательно включить в политику защиты информации по новым требованиям

– Давайте сразу про «боль». Политика защиты информации — документ верхнего уровня. Какие конкретно блоки нужно добавить в этот документ с учетом новых требований, чтобы не получить предписание от регулятора?

– Согласно пункту 14 Приказа ФСТЭК 117, политика защиты информации должна быть существенно детализирована. Если у вас она до сих пор рамочная — это прямой путь к административной ответственности.

Вот что нужно обязательно включить и актуализировать прямо сейчас:

  1. Область действия (п. 14а). Недостаточно написать «все ИС компании». Нужно включить четкий перечень конкретных информационных систем и, что очень важно, компонентов информационно-телекоммуникационной инфраструктуры, подлежащих защите. Если системы работают на общей ИТКИ (инфраструктуре), вы обязаны отразить это в политике (п. 15).
  2. Категории лиц и обязанности (п. 14а). В политике должен быть подробно описан состав системы управления деятельностью по защите информации. Кто отвечает? Мы говорим не только о начальнике отдела ИБ. Должны быть четко разделены роли: Ответственное лицо (которому руководитель делегировал полномочия), структурное подразделение по ЗИ, подразделения-пользователи и подразделения эксплуатации. Не менее 30% работников структуры по защите информации должны иметь профильное образование или переподготовку в области ИБ (п. 20). Это надо проверить сразу!
  3. Новые мероприятия и процессы (раздел III, п. 34–68). Это самый объемный блок изменений. Вы должны интегрировать в «политику» цели и принципы выполнения следующих процессов:
  • Контроль конфигураций ИС (п. 37). Запрет на несанкционированные изменения настроек.
  • Управление уязвимостями (п. 38). Критические уязвимости должны закрываться за 24 часа, высокие — за 7 дней. Пропишите эти сроки в своей политике или регламенте.
  • Управление обновлениями (п. 39). Бесконтрольная установка обновлений запрещена. Должна быть процедура тестирования перед «промышленной» установкой.
  • Защита конечных устройств с выходом в Интернет (п. 41). Контроль использования мобильных и персональных устройств.
  • Мониторинг ИБ (п. 49). Теперь это не рекомендация, а требование для всех, кроме изолированных локальных систем. Причем мониторить нужно все ИС по единым стандартам.
  • Защита с использованием ИИ (п. 60-61). Нельзя передавать информацию ограниченного доступа разработчику ИИ для обучения. Ваши пользователи общаются с ИИ-сервисами? Вводите шаблоны запросов или контроль тематик. И всегда читайте условия использования, особенно бесплатных сервисов ИИ. Это прямая дорожка с «сливу» конфиденциальной информации.

Как внедрить показатели защищенности Кзн и зрелости Пзн

– Вы упомянули показатели Kзн и Пзн. Честно говоря, многие ИБ-специалисты на промышленных предприятиях воспринимают методички ФСТЭК как некую «высшую математику», которая их не касается. Это действительно обязательно для всех?

– Абсолютно для всех организаций, попадающих под этот приказ. Это прямое требование пункта 31.

  • Кзн (показатель защищенности) — это оценка вашего состояния относительно базового уровня угроз. Расчет проводить раз в полгода.
  • Пзн (показатель уровня зрелости) — это оценка достаточности и эффективности ваших мероприятий. Расчет — раз в два года.

Если значения не соответствуют нормам, руководитель организации должен быть проинформирован в течение 3 дней (п. 32). А в ФСТЭК результаты отправляются в течение 5 рабочих дней. Это уже не просто бюрократия, это прозрачная картина вашего уровня защищенности для регулятора. Игнорировать это — значит намеренно вводить регулятора в заблуждение.

Персональная ответственность руководителя предприятия за ИБ

– То есть ИБ-специалист теперь должен еще и стать статистиком. А какая ответственность ложится на директора завода или гендиректора? Многие думают, что если назначили «ответственного за ИБ», то с руководителя взятки гладки.

– Это распространенное заблуждение. В Приказе 117 жестко закреплена персональная ответственность (п. 18, 19). Руководитель оператора (или обладателя информации) обязан:

  1. Утвердить политику защиты информации.
  2. Создать оргсистему управления и выделить ресурсы на ЗИ (деньги и людей) на основе предложений ИБ-подразделения.
  3. Возглавлять эту систему или официально назначить «Ответственное лицо» с полным набором полномочий. Эти обязанности должны быть включены в его должностную инструкцию.

Если руководитель формально назначил ИБ-специалиста, но не дал ему ресурсов, штата, полномочий контролировать эксплуатацию и влиять на пользователей, — отвечать будет руководитель. Пункт 27 прямо обязывает начальника ИБ-службы давать обоснованные предложения по ресурсам, а руководителя — эти ресурсы выделять или брать ответственность за их невыделение (с прогнозом негативных последствий).

Обучение персонала и киберучения по новым нормам ФСТЭК

– Перейдем к практическому вопросу: обучение и учения. Раньше мы проводили плановый инструктаж раз в год, ставили галочку и успокаивались. Теперь этого мало?

– Теперь такой подход — прямой путь к проблемам при реальном инциденте и проверке. Согласно Приказу 117, механизмы обучения и тренировок стали сложными и цикличными.

1. Повышение осведомленности (п. 56)

Простого инструктажа больше нет. Мероприятия должны включать:

  • Информационные материалы (памятки, баннеры);
  • Лекции и семинары;
  • Имитационные фишинговые рассылки на служебные адреса;
  • Практические тренировки по отработке действий согласно регламентам по ЗИ.

2. Периодичность проверок знаний (п. 57)

Оценка знаний должна проводиться не реже одного раза в три года ИЛИ внепланово — после любого компьютерного инцидента. Те, кто провалил тест или не обладает знаниями, отправляются на повторное обучение. Это нужно прописать во внутреннем регламенте.

3. Непрерывность и восстановление (п. 55)

Это касается «учений». Вы обязаны проводить практические проверки (тренировки) возможности восстановления значимых функций ваших систем с использованием резервных копий не реже одного раза в два года. Если после тренировки выяснится, что вы не укладываетесь в интервал времени восстановления, нужны оргвыводы, вплоть до обеспечения работы в ручном режиме. Это напрямую влияет на технологическую безопасность предприятия.

Как работать с подрядчиками по новым правилам защиты информации

– Промышленные предприятия часто работают с подрядчиками: пусконаладка, сопровождение АСУ ТП. Что 117 говорит про доступ внешних партнеров?

– Требования ужесточены. Пункт 58 четко говорит: разработка и тестирование ПО подрядчиками непосредственно в «промышленных» эксплуатируемых системах не допускается. Для этого должны быть выделены изолированные стенды. Также в договорах должна быть прописана обязанность подрядчика выполнять вашу Политику ИБ в части, их касающейся, и копировать информацию, к которой они получили доступ, запрещено, если это не оговорено специально.

Совмещение требований КИИ и Приказа ФСТЭК 117 для промышленных объектов

– И последний, но самый острый вопрос: приказ ФСТЭК 117 в пункте 6 говорит, что если ИС — это еще и значимый объект КИИ, требования Приказа 239 тоже действуют. Как теперь это совмещать, если мы, например, относимся к КИИ 3-й категории?

– Это сложная задача гармонизации. Базовый принцип — «максимальные требования». Если ваш объект КИИ является одновременно ГИС или обрабатывает персональные данные, вы:

  1. Берете за основу «Требования» Приказа 117 (управление уязвимостями, контроль конфигураций, мероприятия по ИИ и т.д.).
  2. Накладываете сверху «базовый набор мер по безопасности значимых объектов» из Приказа ФСТЭК 239. Например, меры группы управление доступом, АВЗ, ОЦЛ, СОВ по-прежнему обязательны для вашей 3-й категории.
  3. Применяете меры по наиболее строгому классу защищенности (п. 24 Приказа 239).

Обратите внимание на изменения в Постановлении Правительства 127 (ПП-1762 от 07.11.2025): теперь категорирование привязано к типовым отраслевым объектам КИИ. Если ваша система не из «типового перечня», но масштаб последствий серьезный, вы обязаны присвоить ей категорию значимости и уведомить ФСТЭК. Это требует ревизии всех старых актов категорирования. В ближайшее время все изменится, но думать надо сегодня.

Три немедленных действия для начальника ИБ-отдела

– Резюмируя наш разговор: Игорь Владимирович, какие три безотлагательных шага вы бы посоветовали сделать начальнику ИБ-отдела уже завтра утром?

  1. Кадры и структура: Создать (или переформировать) структурное подразделение по ЗИ, добиться от руководства включения функций по управлению защитой информации в должностные обязанности всех участников процесса, проверить процент профильного образования у своих сотрудников.
  2. Пересмотр политики: Привести Политику ИБ в соответствие с конкретикой пунктов 14, 25, 34, 38, 39 Приказа 117. Обязательно включить туда меры по защите при использовании ИИ, удаленного доступа и мобильного контроля.
  3. Запуск процессов: С сегодняшнего дня начать считать критические и высокие уязвимости с указанными сроками закрытия (24 ч. и 7 дн.), инициировать расчеты Kзн и составить календарный план тренировок по восстановлению систем, а также «фишинговых» учений.
    Тем, кто начнет это делать сейчас, не придется сдавать экзамен на свою профессиональную и уголовную выживаемость перед регуляторами в пожарном порядке.

Как легализовать собственные разработки не ломая всей ИТ-инфраструктуры

Выбор редакции

Все

Публикации, которые получают больше внимания и попадают в Сюжеты РБК

Рекомендации партнеров:

Данные о правообладателе фото и видеоматериалов взяты с сайта «РБК Компании», подробнее в Условиях использования
Анализ
×
Люди
Рейтинг людей
Краев Игорь Владимирович
Организации
Рейтинг организаций
28
28
Технологии
Рейтинг технологий
128
128
80
80