«Система защиты информации в России не является монолитом, которым её часто представляют. Это экосистема, где каждый орган — хищник, опылитель или пастбище со своей территорией, инстинктами и правилами игры. Вопрос не в том, кто главнее, а в том, чьи интересы пересекаются на вашем сервере и что вы можете противопоставить этому давлению».
Два полюса: ФСТЭК и ФСБ
Вся отечественная регуляторика в сфере защиты информации вращается вокруг двух ключевых центров силы: ФСТЭК России и ФСБ России. Их полномочия формально разграничены, но на практике эти сферы влияния постоянно соприкасаются, а иногда и пересекаются. Фокус ФСТЭК — обеспечение безопасности информации в информационных системах, то есть защита от несанкционированного доступа (НСД). Его главный инструмент — система сертификации средств защиты информации (СЗИ) и аттестация объектов информатизации. Фокус ФСБ — противодействие техническим разведкам (ПДТР) и криптографическая защита. Это контроль за использованием шифровальных (криптографических) средств и защита от утечек по техническим каналам. Если грубо: ФСТЭК следит, чтобы к вашим данным не подобрался посторонний, а ФСБ — чтобы ваши данные, даже будучи перехваченными, нельзя было прочитать, и чтобы само оборудование не «просигналило» о себе.
ФСТЭК России: архитектор защиты периметра
Федеральная служба по техническому и экспортному контролю исторически выросла из структур, занимавшихся режимом секретности и защитой гостайн. Сегодня её мандат шире. Для коммерческих организаций ФСТЭК — это, в первую очередь, автор 152-ФЗ «О персональных данных» и серии руководящих документов (РД), которые фактически являются техническими стандартами.
Ключевые функции и инструменты
- Лицензирование деятельности по разработке и производству СЗИ. Чтобы создавать средства защиты, нужна лицензия ФСТЭК. Это создаёт закрытый рынок сертифицированных решений.
- Сертификация средств защиты информации. Любой межсетевой экран, система обнаружения вторжений или DLP, претендующий на использование в госструктурах или на критически важных объектах, должен пройти сертификационные испытания в аккредитованных ФСТЭК центрах. Результат — сертификат соответствия требованиям безопасности информации.
- Аттестация объектов информатизации. Это комплексная проверка конкретной информационной системы (например, корпоративной сети банка) на соответствие требованиям по защите информации. По её итогам выдаётся «Аттестат соответствия», без которого система не может обрабатывать определённые категории информации.
- Методологическое руководство. ФСТЭК выпускает приказы, методики и рекомендации, которые де-факто становятся обязательными к исполнению для поднадзорных организаций. Яркий пример — Приказ № 21, устанавливающий базовые меры защиты для операторов персональных данных.
ФСБ России: криптограф и контрразведчик
Если ФСТЭК работает в области «классической» ИБ, то ФСБ контролирует сферы, традиционно связанные с государственной безопасностью. Её влияние на бизнес не менее весомо, но проявляется в других аспектах.
Ключевые функции и инструменты
- Лицензирование деятельности в области шифрования. Любая разработка, производство, реализация или даже просто обслуживание шифровальных средств требует лицензии ФСБ. Это касается и VPN-решений, если они используют криптографию.
- Сертификация криптографических средств. Криптосредства, используемые для защиты гостайны или в критической информационной инфраструктуре (КИИ), проходят отдельную, более жёсткую сертификацию в ФСБ.
- Регулирование в области противодействия техническим разведкам (ПДТР). ФСБ определяет требования к защите информации от утечки по побочным каналам: электромагнитному излучению кабелей, акустическим каналам, наводкам в цепях питания. Для объектов, обрабатывающих секретную информацию, это выливается в необходимость применения специальных средств защиты (экранирование, аппаратные зашумлители).
- Контроль за выполнением лицензионных требований. Проверки ФСБ часто носят более внезапный и детальный характер, с фокусом на соблюдении режима использования криптосредств.
Роскомнадзор: наблюдатель за содержанием
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций стоит особняком. Её интересы лежат не столько в области технической защиты, сколько в контроле за контентом и соблюдением законодательства о персональных данных с административной точки зрения. Роскомнадзор, это орган, который блокирует сайты, ведёт реестр нарушителей прав субъектов ПДн и выписывает штрафы за формальные нарушения 152-ФЗ, такие как отсутствие политики обработки ПДн в публичном доступе. В треугольнике ФСТЭК-ФСБ-Роскомнадзор последний выполняет функцию «полицейского», который карает за внешние, часто процедурные нарушения, в то время как первые два, это «инженеры», проверяющие внутреннее устройство системы.
Пересечение юрисдикций и зоны конфликта
Проблемы начинаются там, где заканчивается чёткое разграничение. Например, система DLP. Она предотвращает утечку данных, это сфера интересов ФСТЭК (защита от НСД). Но современные DLP для анализа контента часто используют элементы хеширования и шифрования при передаче данных между компонентами. Это уже криптография, и теоретически попадает в поле зрения ФСБ. Или другой пример: сертифицированный ФСТЭК межсетевой экран, в прошивку которого для обеспечения целостности встроена криптографическая подпись. Получается гибридный продукт, требующий внимания обоих регуляторов. На практике это означает, что поставщик решения должен проходить две параллельные процедуры сертификации, что удваивает время и стоимость вывода продукта на рынок.
Влияние на бизнес: стратегии выживания
Понимание этой структуры критически для выстраивания грамотной стратегии соответствия. Типичная ошибка — пытаться угодить всем сразу, закупая максимальное количество сертифицированных продуктов. Это ведёт к созданию громоздкой, дорогой и не всегда эффективной системы.
- Определите своего главного регулятора. Для интернет-магазина, это Роскомнадзор и базовые требования ФСТЭК по 152-ФЗ. Для разработчика ПО для госсектора — ФСТЭК и ФСБ одновременно. Для оператора связи — все три, плюс профильные требования Минцифры.
- Стройте защиту слоями. Начинайте с базовых организационных мер (приказы, политики, назначение ответственных), которые бесплатны и закрывают 70% претензий Роскомнадзора. Затем внедряйте технические меры, ориентируясь не на сертификаты, а на реальные угрозы вашего бизнеса. Сертифицированные СЗИ покупайте только если того прямо требует закон (работа с гостайной, КИИ) или ключевой заказчик.
- Готовьтесь к аудиту изнутри. Регулярные внутренние проверки по методикам ФСТЭК и чек-листам ФСБ помогут выявить слабые места до визита контролирующих органов. Документирование всех процессов — ваша главная страховка.
Неочевидные связи и будущее структуры
Организационная структура не статична. С развитием технологий появляются новые субъекты влияния. Например, с введением закона о КИИ (критической информационной инфраструктуре) значительную роль начал играть Национальный координационный центр по компьютерным инцидентам, который, хотя и работает в тесной связке с ФСБ, формирует свою повестку в области киберугроз. Появление суверенного сегмента интернета добавило полномочий Роскомнадзору в части управления маршрутизацией. Тренд на импортозамещение программного обеспечения привёл к тому, что Минцифры, через реестр отечественного ПО, косвенно влияет и на выбор средств защиты. Будущее — за дальнейшей цифровизацией самих регуляторных процессов: дистанционные проверки, автоматический сбор телеметрии с защищённых объектов, системы раннего предупреждения об инцидентах. В этой новой реальности знание структуры нужно не для того, чтобы её обойти, а чтобы встроиться в неё с минимальными потерями и предсказуемостью.