«ФСТЭК часто воспринимают как надзирателя со списком запретов. На деле это единственная служба, которая реально формирует отечественную техническую культуру защиты информации через свои приказы и реестры, вынуждая создавать проверяемые системы, а не просто ставить галочки».
Нормативные акты: что важно помимо 152-ФЗ
Основой для работы ФСТЭК в области технической защиты информации (ТЗИ) служат 152-ФЗ «О персональных данных» и ФЗ-187 «О государственной тайне». Однако эти законы задают лишь общие рамки. Реальную, детализированную техническую «повестку» определяют нормативно-технические документы самой службы.
Ключевым на сегодня является приказ ФСТЭК России № 331/ПК «О государственных требованиях к средствам защиты информации». Именно он превращает абстрактные требования законов в конкретные инструкции: как классифицировать информационные системы по уровням защищённости (I-IV), какие пороговые значения использовать для выбора СЗИ из реестра и в каком порядке их внедрять. Для операторов КИИ и организаций, работающих с гостайной, исполнение этого приказа — обязательное условие легальной деятельности. Его игнорирование ведёт не к рекомендациям, а к прямым санкциям вплоть до отзыва лицензий.
Что регламентирует приказ № 331/ПК
Документ структурирует подход к защите, делая его измеримым. Он чётко определяет, какая система к какому классу относится, и какие именно средства защиты, прошедшие государственную оценку, должны в ней применяться. Это убирает субъективизм при построении защищённого контура.
Система не может быть аттестована, если в ней используются СЗИ, не включённые в соответствующий реестр ФСТЭК, или их конфигурация не соответствует заявленным при сертификации параметрам.
Процедура аттестации: проверка системы в сборе
Аттестация объекта информатизации — это итоговая проверка, подтверждающая, что вся ИТ-инфраструктура в комплексе соответствует установленным требованиям. Проверяется не только наличие «коробочных» СЗИ из реестра, но и их корректная интеграция, настройка политик доступа и разграничения, организация физической защиты, ведение журналов событий и многое другое.
Положительный результат — сертификат соответствия ФСТЭК — даёт право на эксплуатацию системы. Однако аттестация не разовая. Изменения в инфраструктуре, обновления ПО или СЗИ могут потребовать пересмотра статуса.
Реестр СЗИ: почему нельзя поставить «любой файрвол»
Все средства защиты информации, применяемые в системах, подпадающих под действие 152-ФЗ и 187-ФЗ, должны быть включены в Федеральный реестр СЗИ. Это не бюрократический список, а результат сложной и дорогостоящей процедуры валидации.
Включение в реестр проходит через несколько этапов:
- Анализ технической документации. Эксперты ФСТЭК изучают архитектуру, алгоритмы и механизмы защиты, заложенные в продукт.
- Испытания в аккредитованной лаборатории. СЗИ проверяют на соответствие заявленным функциям защиты и стойкость к типовым атакам. Тестирование идёт по методикам, утверждённым тем же приказом № 331/ПК.
- Экспертная оценка. Анализируются потенциальные уязвимости, риски обхода механизмов защиты, устойчивость к несанкционированному вмешательству.
- Выдача заключения. На его основе продукт вносится в реестр с указанием класса защищённости и допустимых сфер применения.
Таким образом, реестр — это фильтр, отсекающий решения с недоказанной эффективностью. Использование продукта не из реестра автоматически делает систему не соответствующей требованиям, даже если этот продукт технически более совершенен.
Экспортный контроль: неочевидная сторона работы ФСТЭК
Помимо ТЗИ, ФСТЭК реализует функции экспортного контроля. Это не про таможенные декларации, а про предотвращение утечки технологий, которые могут быть использованы для создания вооружений или усиления потенциала недружественных государств.
Служба ведёт и актуализирует Перечень товаров и технологий двойного назначения. В него попадают, например:
- Оборудование и ПО для криптографии
- Системы радиоэлектронной борьбы и разведки
- Программное обеспечение для анализа больших данных и моделирования
- Оборудование для производства элементов ИТ-инфраструктуры
Экспорт любой позиции из перечня требует получения заключения ФСТЭК. В ходе рассмотрения запроса оцениваются конечный пользователь, заявленные цели использования и потенциальные риски. Отказ в заключении равносилен запрету на вывоз. Нарушение требований влечёт серьёзную административную и уголовную ответственность.
Для ИТ-компаний, разрабатывающих или продающих высокотехнологичные решения, это означает необходимость проводить предварительный анализ своих продуктов на предмет попадания в перечень до начала любых экспортных операций.
Что требуется от специалиста по информационной безопасности
Взаимодействие с требованиями ФСТЭК — не эпизодическое событие, а часть рутинной практики. От ИБ-специалиста ожидается:
- Постоянный мониторинг изменений в приказах ФСТЭК (особенно № 331/ПК и № 140/ПК по оценке угроз безопасности информации).
- Использование в проектах только СЗИ из действующего реестра, с учётом их класса и назначения.
- Приведение внутренней документации (политик, регламентов, инструкций) в соответствие с актуальными требованиями службы.
- Подготовка инфраструктуры и документов к процедуре аттестации, включая сбор доказательств эффективности применяемых мер.
- Консультация юридического и коммерческого блоков компании по вопросам экспортного контроля при работе с зарубежными партнёрами или поставке ПО/оборудования.
ФСТЭК через свои нормативы фактически формирует отраслевой стандарт для защищённых ИТ-систем в России. Грамотная работа в этих рамках — не просто соблюдение закона, но и способ построить инфраструктуру с проверяемым и предсказуемым уровнем безопасности.