«Проблема не в том, что требования 152-ФЗ или ФСТЭК слишком дорогие. Проблема в том, что компании часто тратят деньги на то, что им не нужно, потому что не понимают, как работает регуляторика. Они покупают дорогие сертификаты, когда достаточно деклараций, внедряют системы, которые не соответствуют их реальным рискам, и платят консультантам за шаблонные решения. Результат — миллионы на ветер и нулевая реальная безопасность.»
Откуда берутся лишние 200 миллионов
Сумма в 200 млн рублей — не абстракция. Это совокупность типовых ошибок, которые допускают компании при подготовке к проверкам или сертификации. Деньги уходят не на саму защиту информации, а на её симуляцию.
Первая и самая крупная статья расходов — завышенный класс защищаемой информации. Компания, которая обрабатывает лишь персональные данные сотрудников (ПДн), часто ошибочно причисляет себя к операторам, чья деятельность создаёт «высокий риск нарушения прав субъектов ПДн». Это автоматически влечёт необходимость выполнения всех требований 152-ФЗ, включая самые дорогостоящие: аттестация по требованиям ФСТЭК (ГИС), применение средств защиты информации (СЗИ) высших классов, ежегодные дорогостоящие проверки. На деле для большинства организаций достаточно базового уровня защищённости, который обеспечивается выполнением типовых мер и подачей уведомления в Роскомнадзор.
Вторая статья — неверный выбор формы оценки соответствия. Для большинства информационных систем (ИС) общего назначения достаточно декларирования соответствия. Это процедура, при которой оператор сам подтверждает выполнение требований. Аттестация по требованиям ФСТЭК — более сложный и дорогой процесс с привлечением аккредитованного испытательного центра, обязательный только для государственных информационных систем (ГИС) или при обработке сведений, составляющих государственную тайну. Консультанты часто настаивают на аттестации «для надёжности», хотя юридических оснований для этого нет.
Третья — покупка избыточных средств защиты. Рынок СЗИ в России насыщен решениями разного уровня и стоимости. Часто происходит подмена: вместо анализа реальных угроз и выбора адекватных средств компания покупает «коробочное» решение самого высокого класса, которое требует сложного внедрения, обслуживания и неоправданно дорогих лицензий. Например, для защиты рабочей станции в офисе, не обрабатывающей критичных данных, достаточно базового антивируса и настроенного межсетевого экрана, а не выделенного аппаратного комплекса криптографической защиты.
Инструкция: 11 шагов к разумным тратам
Следующий план действий позволяет системно подойти к вопросу, избегая типичных ловушек.
1. Определите, что именно вы защищаете
Проведите инвентаризацию информационных активов. Чётко разделите: что является персональными данными, что — коммерческой тайной, а что — общедоступной информацией. Составьте модель угроз не абстрактно, а применительно к каждому типу актива. Это основа для всех последующих решений.
2. Классифицируйте ИС правильно
Не доверяйте классификации «на глазок». Используйте Приказы ФСТЭК России, которые содержат чёткие критерии отнесения ИС к тому или иному типу (типовая ИС ПДн, ГИС, ИС критической информационной инфраструктуры). Ошибка на этом этапе ведёт к неверному выбору всего комплекса мер.
3. Выберите адекватную форму оценки соответствия
Сверимся с таблицей:
| Тип обрабатываемой информации / ИС | Рекомендуемая форма оценки | Почему |
|---|---|---|
| ПДн (базовый уровень защищённости) | Уведомление в Роскомнадзор, декларирование соответствия | Законодательное требование выполнено, затраты минимальны. |
| ПДн (повышенный уровень риска), коммерческая тайна | Декларирование соответствия или добровольная сертификация | Достаточно для подтверждения выполнения требований. Аттестация не обязательна. |
| Государственная информационная система (ГИС) | Обязательная аттестация по требованиям ФСТЭК | Прямое требование законодательства для ГИС. |
4. Проведите gap-анализ
Не начинайте с покупки решений. Сначала оцените разрыв между текущим состоянием защиты и требуемым. Зачастую 70% требований уже выполняются штатными средствами операционных систем, сетевым оборудованием и организационными мерами (приказами, инструкциями).
5. Приоритезируйте меры по рискам
Составьте план мероприятий, где на первом месте — устранение критических уязвимостей, которые могут привести к реальному инциденту. На последнем — «бумажные» меры, не влияющие на безопасность напрямую. Бюджет должен следовать за приоритетами.
6. Рассмотрите облачные решения (СaaS)
Для многих средних компаний аренда защищённого контура у аккредитованного оператора облачных услуг (ОУД) экономически выгоднее развёртывания своей инфраструктуры. ОУД уже имеет аттестованные платформы, что снимает с вас значительную часть регуляторной нагрузки.
7. Требуйте обоснования от поставщиков
Когда консультант или интегратор предлагает дорогое решение, задайте вопросы: на какое конкретное требование Приказа ФСТЭК или 152-ФЗ оно отвечает? Существует ли более дешёвая альтернатива, которая закрывает это требование? Требуйте привязки к вашей модели угроз.
8. Автоматизируйте процессы контроля
Внедрение SIEM-системы или даже скриптов для мониторинга базовых событий безопасности часто эффективнее и дешевле, чем найм большого штата аналитиков. Автоматизация снижает операционные расходы на долгосрочной дистанции.
9. Не пренебрегайте «бесплатными» организационными мерами
Разработка и доведение до сотрудников политик информационной безопасности, регламентов реагирования на инциденты, проведение вводного инструктажа, это не требует больших бюджетов, но значительно снижает риски. Регулятор на проверке в первую очередь смотрит на наличие этих документов.
10. Планируйте на перспективу
Любое приобретаемое средство защиты должно иметь возможность масштабирования и интеграции. Избегайте вендор-локинга, когда вы привязаны к одному поставщику. Это даёт гибкость и позволяет в будущем менять компоненты без полной перестройки системы.
11. Ведите доказательную базу
Фиксируйте все этапы: результаты классификации, протоколы совещаний по выбору мер, отчёты о проведённых тестах. Эта документация не только потребуется при проверке, но и позволит вам в будущем аргументированно отказываться от навязываемых ненужных услуг.
Что делать, если ошибка уже совершена
Если вы понимаете, что уже вложили средства в избыточные меры, не стоит продолжать по инерции. Проведите ревизию.
Во-первых, оцените возможность пересмотра класса ИС в сторону понижения на основании уточнённой модели угроз. Это может стать основанием для перехода от аттестации к декларированию.
Во-вторых, проанализируйте контракты с поставщиками СЗИ. Возможно, часть лицензий можно не продлевать, заменив их более лёгкими аналогами или штатными средствами.
В-третьих, инициируйте внутренний аудит эффективности внедрённых мер. Если дорогая DLP-система годами не выявляет реальных утечек, а лишь генерирует ложные срабатывания, возможно, её можно заменить на решение с базовым функционалом, сфокусировавшись на контроле критичных каналов.
Главное — признать, что деньги уже потрачены, и остановить дальнейшие необоснованные вложения. Лучше направить высвободившийся бюджет на обучение собственной команды, которая в будущем сможет принимать взвешенные решения.
Итог: безопасность как инвестиция, а не как штраф
Цель регуляторики — не разорить бизнес, а создать приемлемый уровень защищённости. Потратить 200 млн можно, если действовать на авось, доверяя непрозрачным сметам и следуя принципу «чем дороже, тем надёжнее».
Альтернатива — потратить в 5-10 раз меньше, но целенаправленно, на основе чёткого понимания своих активов, рисков и реальных требований закона. Эти сэкономленные средства станут не убытком, а инвестицией в развитие других направлений бизнеса, при этом уровень реальной безопасности окажется не ниже, а часто — выше, потому что он будет основан на осмысленном подходе, а не на коллекции дорогих, но бесполезных «галочек».