Как взаимодействуют российские органы кибербезопасности

от

«Координация между ФСТЭК, ФСБ, НЦКИ и Минцифры часто кажется параллельной, а не совместной, потому что у каждого ведомства свои задачи, каналы и отчётность. Но когда возникает серьёзный инцидент, система начинает работать как распределённый механизм, где каждый отвечает за свой сегмент. Основная сложность для организаций — понять, куда и что сообщать, чтобы не дублировать работу. Ниже — структура этой системы, основанная на восьмилетнем опыте работы с ней.»

Как устроена система кибербезопасности России и кто за что отвечает

На практике работа с регуляторами в сфере защиты информации, это не столько исполнение абстрактных требований, сколько налаживание оперативного взаимодействия. Каждый серьёзный инцидент ставит вопрос: кто должен реагировать первым? Почему иногда кажется, что ведомства работают отдельно друг от друга? Ответ кроется в чётком, хоть и не всегда очевидном, разделении полномочий. У ФСТЭК, ФСБ, НЦКИ и Минцифры разные цели, и их взаимодействие строится через технические каналы и политические механизмы.

Понимание этой структуры помогает организациям выстраивать процессы защиты не как реакцию на проверки, а как осознанное взаимодействие с разными элементами государственной системы безопасности.

Национальный координационный центр: единая точка входа для инцидентов

Национальный координационный центр по компьютерным инцидентам был создан в 2018 году при ФСБ России. Его основная задача — быть центральным узлом для приёма, обработки и координации реагирования на компьютерные инциденты, особенно от объектов критической информационной инфраструктуры и государственных органов.

На практике взаимодействие с НЦКИ выглядит так: после фиксации инцидента организация собирает первичные данные и отправляет сообщение через специальный защищённый канал. Центр не просто пассивный получатель — он классифицирует инцидент по своим методикам, координирует мероприятия по его устранению и выступает оператором системы ГосСОПКА.

Типичная проблема — расхождение в классификации. Методики НЦКИ, основанные на приказах ФСТЭК, могут трактоваться на местах иначе. Организации приходится готовить отчёт по строгой форме, где важно указать не просто факт атаки, а её тип, вектор, затронутые активы и принятые меры блокировки. Эти данные попадают в общенациональный реестр, который используется для анализа угроз и корректировки регуляторных требований.

ФСТЭК: регулятор технической защиты и проверок

Федеральная служба по техническому и экспортному контролю, это основной регулятор, устанавливающий «правила игры». Если НЦКИ реагирует на события, то ФСТЭК занимается их предотвращением через нормативные требования.

Основу регулирования составляют несколько ключевых приказов:

  • Приказ № 17: устанавливает требования к защите информации в государственных информационных системах.
  • Приказ № 21: определяет правила безопасности систем персональных данных.
  • Приказ № 239: посвящён защите значимых объектов критической информационной инфраструктуры.
  • Приказ № 31: регулирует безопасность автоматизированных систем управления технологическими процессами.

Проверки ФСТЭК фокусируются на трёх уровнях: документация, настройки средств защиты и журналы событий. Чаще всего замечания возникают по разграничению прав доступа и полноте журналов аудита. Принципиальный момент, который проверяют инспекторы: работают ли меры защиты постоянно, а не только в момент визита комиссии.

Кроме того, ФСТЭК выдаёт лицензии на деятельность по технической защите конфиденциальной информации. Получение лицензии требует наличия сертифицированных специалистов в штате и может занять несколько месяцев, но без неё оказывать соответствующие услуги другим организациям незаконно.

ФСБ: контрразведывательное обеспечение и оперативная работа

Роль Федеральной службы безопасности в кибербезопасности часто понимают упрощённо. Если ФСТЭК, это «технари», то ФСБ — «оперативники». Служба занимается контрразведывательным обеспечением информационной безопасности, что подразумевает работу с источниками угроз, расследование целевых атак и противодействие иностранному вмешательству.

ФСБ курирует работу НЦКИ. Когда центр фиксирует инцидент с признаками сложной целевой атаки, материалы передаются в ФСБ для дальнейшего анализа. Служба может проводить оперативно-розыскные мероприятия, анализировать инструменты атак, устанавливать их происхождение и принимать меры по нейтрализации угрозы. Обратная связь от ФСБ помогает организациям лучше понять природу атаки и принадлежность злоумышленников.

Отдельное направление — криптографическая защита информации. Использование средств шифрования, особенно в каналах связи, требует учёта требований ФСБ. Граница между коммерческим шифрованием и средствами, требующими специальных разрешений, в каждом конкретном случае определяется через консультации с регулятором.

Минцифры: формирование политики и импортозамещение

Министерство цифрового развития, связи и массовых коммуникаций стоит особняком. Оно не проводит проверок и не выдаёт предписания. Его роль — стратегическая: формирование государственной политики в сфере ИТ, распределение бюджетных средств на проекты цифровизации и безопасности, координация импортозамещения.

Минцифры участвует в разработке стратегических документов, таких как стратегия развития цифровой экономики. Эти документы задают долгосрочные приоритеты и определяют, какие технологические направления получат поддержку. Для организаций отслеживание этих инициатив помогает предугадать будущие требования и тренды.

Наиболее практическая и ощутимая функция Минцифры сегодня — координация импортозамещения в ИТ. Организации КИИ обязаны переходить на отечественное ПО и оборудование по установленным графикам. Министерство формирует реестры доверенного ПО и координирует с ФСТЭК и ФСБ, чтобы новые отечественные решения изначально соответствовали требованиям безопасности.

ГосСОПКА: техническая артерия для обмена данными об угрозах

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, это техническая инфраструктура, которая материализует взаимодействие. Для значимых объектов КИИ подключение к ГосСОПКА обязательно, а её оператором выступает НЦКИ.

Система обеспечивает двусторонний автоматический обмен. Организации получают от неё индикаторы компрометации, данные об уязвимостях и рекомендации по защите. В обратную сторону через ГосСОПКА можно автоматически передавать информацию о detected инцидентах в НЦКИ.

Процесс интеграции включает установку специального программного агента или настройку шлюза, организацию защищённого канала связи и тестирование обмена данными в стандартизированных форматах, таких как STIX/TAXII. После настройки система работает в фоновом режиме, повышая осведомлённость об угрозах без ручного мониторинга.

Чек-лист готовности к работе с ГосСОПКА

Этап Статус Примечание
Организация отнесена к значимым объектам КИИ по 187-ФЗ Выполнено Базовое условие для подключения
Подключение к ГосСОПКА оформлено через уполномоченный орган В процессе Требует подачи заявления и заключения договора
Интеграция с системами защиты настроена и протестирована В процессе Необходима для автоматического обмена индикаторами
Процесс передачи информации об инцидентах отлажен и задокументирован Не начато Критически важно для выполнения требований по срокам оповещения

Специализированные команды реагирования (CERT/CSIRT)

Помимо государственных структур, существуют отраслевые и корпоративные команды реагирования на компьютерные инциденты. Они выступают промежуточным звеном между организациями и регуляторами. Например, CERT-Finance в финансовом секторе или коммерческие CERTы.

Их ценность — в скорости и доверии внутри профессионального сообщества. Они обмениваются индикаторами компрометации через закрытые каналы, часто раньше, чем угроза попадёт в общие базы. При обнаружении атаки, затрагивающей несколько организаций или имеющей признаки трансграничного характера, команда CERT может выступить агрегатором информации и передать структурированные данные в НЦКИ для координации на государственном уровне.

Механизмы согласования: от технических каналов до политических комиссий

Взаимодействие обеспечивается на двух уровнях.

Технический уровень использует защищённые каналы связи и стандарты:

  • STIX/TAXII для структурированного обмена данными об угрозах.
  • Закрытые сегменты сетей связи для обмена между госорганами.
  • Автоматизированные шлюзы и системы оповещения в контуре ГосСОПКА.

Организационно-политический уровень включает:

  • Межведомственные комиссии при Совете Безопасности, где определяются стратегические приоритеты.
  • Рабочие группы по реализации стратегий, где согласовываются детали и снимаются противоречия между требованиями разных ведомств.
  • Процедуры согласования нормативных актов, чтобы новые приказы ФСТЭК не противоречили директивам ФСБ или Минцифры.

Разделение зон ответственности: техническая защита vs оперативная работа

Ключ к пониманию системы — чёткое разделение задач между ФСТЭК и ФСБ.

ФСТЭК ФСБ
Фокус на предотвращении инцидентов. Фокус на реагировании и расследовании.
Устанавливает требования к СЗИ, настройкам, документации. Работает с инцидентами, имеющими признаки целевой или противоправной деятельности.
Проверяет соответствие установленным нормам. Проводит оперативно-розыскные мероприятия, анализирует инструменты атак.
Лицензирует деятельность по технической защите. Курирует вопросы криптографической защиты и контрразведывательного обеспечения.

Для организации это означает необходимость финансировать оба направления: инвестиции в средства защиты (по требованиям ФСТЭК) и создание потенциала для расследования и реагирования (для взаимодействия с ФСБ и НЦКИ).

Работа с предписаниями регуляторов: пошаговый алгоритм

Получение предписания от ФСТЭК — не катастрофа, а рабочий процесс. Его эффективное исполнение строится на четырёх шагах.

  1. Анализ. Требуется точно понять, какие пункты каких нормативных документов нарушены. Иногда для этого нужна консультация с юристом, специализирующимся на 152-ФЗ и приказах ФСТЭК.
  2. План мероприятий. Разработать план с конкретными действиями, сроками и ответственными. План должен быть реалистичным и согласован с руководством. В спорных случаях его можно направить регулятору на предварительное согласование.
  3. Реализация. Выполнить настройки, обновить документацию, обучить персонал. Критически важно документировать каждый шаг, это будет доказательством исполнения.
  4. Отчётность. Направить в ФСТЭК подробный отчёт с приложением доказательств (скриншоты, копии приказов, записи из журналов). После этого готовьтесь к возможной выездной проверке для подтверждения результатов.

Типичные ошибки во взаимодействии с регуляторами

На основе многолетней практики можно выделить несколько повторяющихся ошибок:

  • Отсутствие единой точки контакта. Когда в ФСТЭК пишет один отдел, в НЦКИ — другой, а в ФСБ — третий, это создаёт хаос и противоречивую картину для регуляторов. Назначьте ответственного за все внешние коммуникации по вопросам ИБ.
  • Формализм в исполнении требований. Система настроена только на бумаге, а в реальности журналы не ведутся, права не разграничены. При первой же проверке или реальном инциденте это вскрывается с серьёзными последствиями.
  • Несвоевременное информирование. Сроки сообщения об инцидентах в НЦКИ жёстко регламентированы. Их срыв — самостоятельное нарушение, которое может повлечь санкции, даже если сам инцидент был успешно устранён.
  • Пренебрежение документированием. Вся переписка, уведомления, отчёты и даже устные договорённости должны фиксироваться и храниться. В случае спорной ситуации это будет единственным доказательством вашей позиции.

Что изменится в ближайшей перспективе

Система не статична. Основные векторы развития видны уже сегодня:

  • Глубокая интеграция и автоматизация. Процессы обмена данными между ГосСОПКА, системами организаций и ведомствами будут становиться более бесшовными и автоматизированными, сокращая время реакции.
  • Уточнение и ужесточение требований. Анализ реальных инцидентов приводит к точечным изменениям в приказах ФСТЭК. Требования становятся более конкретными и технологически ориентированными.
  • Импортозамещение как новая реальность. Переход на отечественное ПО и оборудование для КИИ перестанет быть «проектом» и превратится в рутинный процесс поддержки и развития инфраструктуры. Это потребует от специалистов ИБ глубокого знания уже российских стеков технологий.
  • Рост важности квалификации. Спрос на специалистов, которые понимают не только технологии, но и регуляторику ФСТЭК/ФСБ, будет только расти. На смену общим формулировкам придут требования к конкретным практическим навыкам работы в этой системе.

Практический шаг:

Актуальность нормативной базы — основа работы. Потратьте 15 минут на самостоятельную проверку:

  1. Перейдите на официальный портал cert.gov.ru в раздел «Нормативные документы».
  2. Найдите и откройте тексты приказов ФСТЭК № 17, 21, 239, 31.
  3. Сверьте основные положения, описанные в статье, с текущими редакциями документов. Если обнаружите существенные расхождения, это повод пересмотреть ваши внутренние регламенты.

Оставьте комментарий