Формирование требований к современным системам защиты информации в Российской Федерации: комплексный анализ и оптимизация подходов

В 2024 году Россия столкнулась с беспрецедентным ростом киберпреступности: IT-преступления достигли пика за последние пять лет, составив 40% от всех зарегистрированных преступлений в стране, что на 13.1% больше, чем в предыдущем году. Объем утекших персональных данных вырос более чем на 30%, превысив 1.5 миллиарда записей. Эти цифры красноречиво свидетельствуют о том, что информационная безопасность не просто абстрактная категория, а жизненно важный аспект национальной безопасности и стабильного функционирования цифровой экономики Российской Федерации. В условиях стремительной цифровизации всех сфер жизни, усложнения киберугроз и динамично меняющегося законодательства, разработка и применение эффективных систем защиты информации (СЗИ) становится первостепенной задачей.

Однако процесс формирования требований к таким системам — это сложная, многогранная задача, требующая глубокого понимания как технологических реалий, так и правового поля. Без четких, актуальных и адаптивных требований СЗИ не смогут адекватно противостоять современным вызовам, что неизбежно приведет к экономическим потерям, утечкам конфиденциальных данных и подрыву доверия к государственным и коммерческим структурам.

Настоящее исследование ставит своей целью систематизацию существующих принципов, методов и оптимизацию подходов к формированию требований к современным системам защиты информации в Российской Федерации, учитывая специфику российского законодательства и технологических реалий. Для достижения этой глобальной цели сформулированы следующие задачи:

• Систематизировать понятийно-терминологический аппарат в области защиты информации.
• Проанализировать действующую законодательную и нормативно-методическую базу РФ, регулирующую формирование требований к СЗИ, с учетом последних изменений.
• Раскрыть основные принципы, подходы и методы, используемые при формировании требований к программным и аппаратным средствам защиты информации ограниченного доступа.
• Оценить влияние актуальных киберугроз и технологических вызовов на эволюцию требований к СЗИ.
• Исследовать оптимальные подходы к формированию требований к СЗИ на примерах критически важных информационных инфраструктур и автоматизированных банковских систем.
• Определить перспективные направления совершенствования нормативно-правового и методического обеспечения формирования требований к СЗИ в России.

Объектом исследования выступает процесс формирования требований к системам защиты информации в РФ, а предметом — принципы, методы и подходы, лежащие в основе этого процесса, а также их адаптация к современным условиям.

Теоретические основы и нормативно-правовое регулирование защиты информации в РФ

В основе любой научно-практической деятельности лежит четко определенная терминология и прочная законодательная база. В сфере информационной безопасности это приобретает особую значимость, поскольку речь идет о защите важнейших активов — информации, без которой невозможно современное функционирование государства и общества, а также безопасность граждан.

Понятийно-терминологический аппарат в сфере защиты информации

Прежде чем погрузиться в дебри законодательства и методологий, необходимо установить единое понимание ключевых концепций. Ведь без общего языка даже самые глубокие идеи рискуют быть неверно истолкованными. Российский стандарт ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» служит фундаментальным ориентиром, закрепляющим основные понятия в этой области.

В контексте нашего исследования критически важны следующие определения:

• Информационная безопасность — это состояние защищенности информации, при котором обеспечены ее конфиденциальность, целостность и доступность, а также безопасность функционирования информационных систем. Это триединое понятие «CIA» (Confidentiality, Integrity, Availability) является краеугольным камнем любой стратегии ИБ.
• Система защиты информации (СЗИ) — это не просто набор программ или устройств, а комплексная совокупность организационных мер, программных и технических средств, предназначенных для предотвращения угроз информационной безопасности. Это подчеркивает многоаспектность и многоуровневость защиты.
• Требование к СЗИ — это совокупность заданных критериев и условий, которым должна соответствовать система защиты информации для обеспечения необходимого уровня безопасности. Эти требования являются своего рода инструкцией к достижению желаемого состояния защищенности.
• Несанкционированный доступ — это доступ к информации или воздействие на нее с нарушением установленных правил и прав доступа. Это центральное понятие, описывающее наиболее распространенный вид информационного инцидента.

Особое внимание уделяется информации ограниченного доступа, поскольку именно к ней предъявляются наиболее жесткие требования по защите. Среди ее видов выделяют:

• Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Это информация высшей категории секретности, защита которой регулируется отдельным законом.
• Военная тайна является частью государственной тайны и включает сведения, касающиеся обороноспособности страны.
• Служебная тайна — это конфиденциальная информация, становящаяся известной государственным служащим и другим категориям граждан при выполнении служебных обязанностей. Ее защита регламентируется федеральным законодательством и ведомственными актами.
• Коммерческая тайна — конфиденциальная информация, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Эти определения формируют базис, на котором строится вся система регулирования и практики защиты информации в РФ.

Законодательная база Российской Федерации

Архитектура защиты информации в России подобна многоярусному зданию, каждый этаж которого опирается на нормативные акты разной степени детализации и юридической силы. От Конституции РФ, закрепляющей право на неприкосновенность частной жизни и защиту персональных данных, до детализированных приказов регуляторов — эта система постоянно развивается, адаптируясь к новым вызовам.

Ключевые федеральные законы:

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — это стержень всей системы. Он определяет общие положения о защите информации, регулирует отношения, возникающие при ее поиске, получении, передаче, производстве, распространении, применении информационных технологий и обеспечении защиты информации. Важно отметить, что этот закон не статичен; он постоянно претерпевает изменения. Последние поправки, внесенные до 31 июля 2025 года, включая значительные изменения, вступившие в силу с 01.01.2025 согласно Федеральному закону № 411 от 23.11.2024, демонстрируют стремление законодателя к адаптации к стремительному развитию цифровой среды и угроз.
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» является краеугольным камнем в защите прав граждан. Он устанавливает требования к защите информации, относящейся к персональным данным, охватывая весь жизненный цикл данных — от сбора до уничтожения. С 30 мая 2025 года в этот закон вступают в силу масштабные изменения. Они предусматривают более детальную классификацию персональных данных (биометрические, специальные, обычные), вводят требование получения отдельного согласия на сбор поведенческих данных и использование файлов cookie, а также ужесточают штрафные санкции за нарушения. Кроме того, введены ограничения на трансграничную передачу персональных данных, требующие уведомления Роскомнадзора и получения согласия на передачу в страны, не обеспечивающие достаточный уровень защиты. Это значительно усложняет деятельность операторов ПДн, но в то же время повышает уровень защищенности гражданских данных.
• Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» — это основополагающий документ, регулирующий отношения, связанные с отнесением сведений к государственной тайне, их рассекречиванием и защитой. Его положения определяют самый высокий уровень требований к СЗИ, поскольку компрометация этой информации может нанести непоправимый ущерб безопасности государства.

Нормативно-методическое обеспечение формирования требований

Наряду с федеральными законами, огромное значение имеют подзаконные акты, которые детализируют общие положения и переводят их в плоскость конкретных требований и методик. Это своего рода инструкции по применению законодательства.

• Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» является ключевым документом для определения видов информации, помимо государственной тайны, которая относится к конфиденциальной, включая служебную и коммерческую тайну. Этот перечень служит ориентиром для субъектов, определяющих, какую информацию следует защищать.
• Постановления Правительства РФ детализируют порядок защиты различных видов информации. Ярким примером служит Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Этот документ устанавливает четыре уровня защищенности персональных данных, в зависимости от количества субъектов ПДн и вида обрабатываемой информации, и является основой для выбора конкретных мер по защите ИСПДн.
• Приказы ФСТЭК России и ФСБ России — это уже уровень максимально конкретизированных требований и методик. Эти ведомства являются ключевыми регуляторами в сфере ИБ.
  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» устанавливает подробные требования к защите информации в ГИС, определяя их классы защищенности и соответствующие им меры.
  • Приказы ФСБ России регулируют вопросы, связанные с криптографической защитой информации, лицензированием деятельности в этой области и требованиями к средствам криптографической защиты информации (СКЗИ).

Таким образом, комплексная система законодательных и нормативно-методических актов формирует сложную, но логичную иерархию, которая призвана обеспечить всестороннюю защиту информации в Российской Федерации. Понимание этой системы — первый и важнейший шаг к эффективному формированию требований к СЗИ.

Принципы, подходы и методы формирования требований к СЗИ

Разработка требований к системам защиты информации — это не искусство, а точная наука, опирающаяся на фундаментальные принципы, проверенные подходы и строгие методы, призванные обеспечить системность и надежность в создании обороны цифровых активов.

Общие принципы и подходы к формированию требований к СЗИ

Фундамент эффективной СЗИ закладывается на этапе формирования требований, где каждый принцип играет роль несущей конструкции.

• Комплексность: Защита информации не может быть фрагментарной. Она должна охватывать все аспекты: организационные, правовые, технические и физические меры, а также все элементы информационной системы и все этапы ее жизненного цикла. Недостаточно установить только антивирус; необходим целостный подход, учитывающий все возможные векторы атак.
• Системность: Все элементы СЗИ должны быть взаимосвязаны и функционировать как единый организм, обеспечивая синергетический эффект. Отсутствие системности приводит к «дырам» в защите.
• Непрерывность: Защита информации — это не разовое мероприятие, а постоянный процесс. Принцип непрерывности подразумевает постоянный мониторинг состояния информационной безопасности, регулярный аудит, анализ инцидентов и оценку эффективности применяемых мер защиты. Угрозы постоянно эволюционируют, и СЗИ должна адаптироваться.
• Законность: Все требования к СЗИ и меры по ее реализации должны строго соответствовать действующему законодательству РФ, включая международные договоры. Это гарантирует легитимность и юридическую обоснованность всех действий.
• Минимизация привилегий: Доступ к информационным ресурсам должен предоставляться только тем субъектам (пользователям, процессам, системам), которым это абсолютно необходимо для выполнения их функций, и только в минимально достаточном объеме. «Меньше привилегий — меньше рисков».
• Достаточность: Меры защиты должны быть адекватны потенциальным угрозам и ценности защищаемой информации. Принцип достаточности заключается в анализе целей и задач информационной системы, определении обрабатываемой информации и принятии решения о необходимых мерах защиты. Избыточная защита может быть неэффективной с экономической точки зрения, недостаточная — катастрофична.

Категорирование информационных систем и классификация защищаемой информации

Одним из ключевых подходов к формированию требований является дифференциация. Нельзя применять одинаковые меры защиты к общедоступной информации и к государственной тайне. Поэтому регуляторы используют механизмы категорирования систем и классификации информации.

• Государственные информационные системы (ГИС): Для ГИС класс защищенности (К1, К2, К3) определяется в соответствии с Приказом ФСТЭК России от 11.02.2013 № 17. Важно отметить, что в редакции Приказа ФСТЭК России от 15.02.2017 № 27 количество классов было уменьшено до трех (ранее их было четыре). Класс защищенности ГИС зависит от двух основных параметров:
  • Уровень значимости информации (УЗ): Определяется степенью возможного ущерба (высокий, средний, низкий) от нарушения конфиденциальности, целостности или доступности информации.
  • Масштаб системы: Определяется тем, насколько широко распространена система (федеральный, региональный, объектовый).

  Например, ГИС федерального масштаба, обрабатывающая информацию высокого уровня значимости, будет относиться к классу К1, требующему максимального уровня защиты.

• Информационные системы персональных данных (ИСПДн): С 11 марта 2013 года для ИСПДн была отменена процедура классификации по так называемому «приказу трех» (совместный приказ ФСТЭК, ФСБ и Мининформсвязи). Вместо этого проводится определение уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119. Этот подход также учитывает виды персональных данных (специальные, биометрические, общедоступные) и количество субъектов, чьи данные обрабатываются. Например, ИСПДн, обрабатывающая специальные категории персональных данных (например, сведения о здоровье) для более чем 100 000 субъектов, будет иметь наивысший уровень защищенности, что повлечет за собой применение более строгих мер защиты.

Таблица 1: Сравнение подходов к категорированию/классификации ГИС и ИСПДн

Критерий	Государственные информационные системы (ГИС)	Информационные системы персональных данных (ИСПДн)
Регулирующий документ	Приказ ФСТЭК России № 17 от 11.02.2013	Постановление Правительства РФ № 1119 от 01.11.2012
Механизм оценки	Присвоение класса защищенности (К1, К2, К3)	Определение уровня защищенности (УЗ-1, УЗ-2, УЗ-3, УЗ-4)
Основные факторы	Уровень значимости информации (УЗ), масштаб системы	Вид обрабатываемых ПДн, количество субъектов ПДн
Особенности	Уменьшено количество классов до трех (с 2017 года)	Отменена процедура классификации по «приказу трех» (с 2013 года)

Методы и модели формирования требований к программным и аппаратным СЗИ

После того как определены общие принципы и категория системы, наступает черед более детального анализа угроз и выбора конкретных методов формирования требований.

• Анализ угроз безопасности информации и моделей нарушителя: Это отправная точка. Формирование требований к программным и аппаратным СЗИ осуществляется на основе глубокого анализа актуальных угроз безопасности информации и моделей нарушителя, утвержденных ФСТЭК России и ФСБ России. Ключевым документом здесь является «Методический документ «Методика оценки угроз безопасности информации»», утвержденный ФСТЭК России 05 февраля 2021 года. Этот документ используется для ГИС, ИСПДн, значимых объектов КИИ, автоматизированных систем управления и других типов систем. Он позволяет выявить актуальные угрозы, определить их источники (например, внутренние или внешние нарушители), объекты воздействия (данные, ПО, оборудование), способы реализации (например, эксплуатация уязвимостей, фишинг) и возможные негативные последствия.
• Метод цепных подстановок — это классический инструмент факторного анализа, который позволяет последовательно определить влияние изменения каждого отдельного фактора на общий результирующий показатель, исключая влияние других факторов. В контексте ИБ он может быть использован для оценки, как изменения в отдельных компонентах СЗИ или условиях эксплуатации влияют на общий уровень защищенности.
  

  Пример применения метода цепных подстановок для анализа влияния факторов на уровень защищенности:

  Пусть уровень защищенности (У_З) — это комплексный показатель, зависящий от нескольких факторов. Для наглядности рассмотрим три условных фактора: У₁ (надежность ПО), У₂ (надежность аппаратного обеспечения), У₃ (квалификация персонала). Предположим, что они влияют на У_З мультипликативно: У_З = У₁ × У₂ × У₃.

  Исходные значения факторов:

  У₁₍₀₎ = 0.8 (надежность ПО)

  У₂₍₀₎ = 0.9 (надежность АО)

  У₃₍₀₎ = 0.7 (квалификация персонала)

  Тогда исходный уровень защищенности:

  УЗ₀ = 0.8 × 0.9 × 0.7 = 0.504

  Пусть произошли изменения:

  У₁₍₁₎ = 0.85

  У₂₍₁₎ = 0.92

  У₃₍₁₎ = 0.75

  Последовательно определяем изменение У_З за счет каждого фактора:

  1. Изменение У_З при изменении У₁ (надежность ПО):

  ΔУЗУ1 = У1(1) × У2(0) × У3(0) - У1(0) × У2(0) × У3(0)
ΔУЗУ1 = 0.85 × 0.9 × 0.7 - 0.8 × 0.9 × 0.7 = 0.5355 - 0.504 = 0.0315

  2. Изменение У_З при изменении У₂ (надежность АО) с учетом нового У₁:

  ΔУЗУ2 = У1(1) × У2(1) × У3(0) - У1(1) × У2(0) × У3(0)
ΔУЗУ2 = 0.85 × 0.92 × 0.7 - 0.85 × 0.9 × 0.7 = 0.5474 - 0.5355 = 0.0119

  3. Изменение У_З при изменении У₃ (квалификация персонала) с учетом новых У₁ и У₂:

  ΔУЗУ3 = У1(1) × У2(1) × У3(1) - У1(1) × У2(1) × У3(0)
ΔУЗУ3 = 0.85 × 0.92 × 0.75 - 0.85 × 0.92 × 0.7 = 0.5865 - 0.5474 = 0.0391

  Общее изменение У_З:

  ΔУЗ = ΔУЗУ1 + ΔУЗУ2 + ΔУЗУ3 = 0.0315 + 0.0119 + 0.0391 = 0.0825

  Новый уровень защищенности: У_З1 = У_З0 + ΔУ_З = 0.504 + 0.0825 = 0.5865.

  Таким образом, метод позволяет понять, какой из факторов внес наибольший вклад в изменение общего показателя, что критически важно для принятия решений о приоритетных направлениях инвестиций в СЗИ.

• Модели формирования требований к СЗИ могут основываться на процессном подходе (интеграция ИБ в бизнес-процессы), жизненном цикле разработки и эксплуатации СЗИ (учет требований на всех этапах), а также на оценке рисков.
  • Риск-ориентированный подход является ключевым в методологии ФСТЭК России. Он предполагает идентификацию угроз, оценку их вероятности и потенциального ущерба, а также выбор адекватных мер защиты для минимизации рисков до приемлемого уровня. Этот подход лежит в основе определения «возможных негативных последствий» в методике оценки угроз и является наиболее гибким и экономически обоснованным.

Сертификация средств защиты информации и требования к ним

Независимое подтверждение соответствия СЗИ установленным требованиям является важнейшим элементом обеспечения доверия и гарантии эффективности. В России эту роль выполняет система сертификации ФСТЭК России.

• Система сертификации ФСТЭК России (РОСС.RU.0001.01БИ00), зарегистрированная в 1995 году, подтверждает соответствие программных и программно-аппаратных СЗИ установленным требованиям безопасности информации. Она регулируется Приказом ФСТЭК № 55 от 03.04.2018 «Об утверждении Положения о системе сертификации средств защиты информации». Система предусматривает присвоение «уровней доверия» (всего шесть):
  • Уровни 1-3 используются для средств защиты информации, содержащей государственную тайну.
  • Уровни 4-6 используются для средств защиты конфиденциальной информации и персональных данных.

  Чем выше уровень доверия, тем более строгие требования предъявляются к СЗИ, включая полноту функционала, отсутствие недекларированных возможностей, корректность реализации заявленных функций и защищенность самого средства. Сертификация является обязательной для СЗИ, используемых в государственных информационных системах и для защиты конфиденциальной информации.

• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» содержит конкретные, детализированные требования к программным и аппаратным средствам защиты ПДн. Этот приказ устанавливает состав и содержание организационных и технических мер (например, идентификация и аутентификация, управление доступом, антивирусная защита, обнаружение вторжений) для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения и других неправомерных действий. Выбор конкретных мер зависит от уровня защищенности персональных данных, определяемого согласно Постановлению Правительства РФ № 1119 от 01.11.2012. Например, для высоких уровней защищенности требуются более сложные и надежные механизмы идентификации и аутентификации, а также обязательное применение сертифицированных СКЗИ.

Таким образом, комплекс принципов, подходов и методов, подкрепленных системой сертификации, создает прочную основу для формирования требований к СЗИ в России, обеспечивая их релевантность и эффективность.

Влияние современных угроз и вызовов на эволюцию требований к СЗИ в России

Ландшафт киберугроз постоянно меняется, как живой организм, эволюционируя под воздействием технологического прогресса и геополитических факторов. Требования к системам защиты информации не могут оставаться статичными в этом динамичном мире. Они должны адаптироваться, мутировать и развиваться, чтобы обеспечивать адекватный уровень защиты, соответствующий вызовам времени.

Актуальные угрозы информационной безопасности

Чтобы понять, как меняются требования к СЗИ, необходимо сначала взглянуть на те угрозы, которым они должны противостоять. Сегодняшние кибератаки отличаются не только масштабом, но и изощренностью, целевой направленностью и потенциальным ущербом.

• Кибератаки, направленные на критическую информационную инфраструктуру (КИИ): Объекты КИИ — это нервные центры государства и экономики (энергетика, транспорт, связь, банки). Атаки на них могут парализовать целые отрасли, нанести колоссальный экономический и социальный ущерб. В условиях обострения геополитической обстановки, эти атаки становятся все более частыми и массированными.
• Утечки данных: Это одна из самых болезненных угроз как для бизнеса, так и для рядовых граждан. Утечки персональных данных, коммерческой тайны, государственных секретов приводят к репутационным потерям, многомиллионным штрафам и подрыву доверия.
• Использование вредоносного программного обеспечения (ВПО): Трояны, шифровальщики (ransomware), шпионское ПО, ботнеты — арсенал киберпреступников постоянно пополняется новыми видами ВПО, способными обходить традиционные средства защиты.
• Целевые атаки (APT — Advanced Persistent Threats): Это наиболее опасные и сложнодетектируемые атаки, осуществляемые высококвалифицированными злоумышленниками с конкретными целями (например, шпионаж, саботаж). Такие атаки могут длиться месяцами, оставаясь незамеченными.

Актуальная статистика по IT-преступлениям в России (2024 год) демонстрирует тревожную динамику:

• В 2024 году IT-преступления достигли пика за последние пять лет, составив 40% от всех зарегистрированных преступлений в России, что на 13.1% больше, чем в 2023 году.
• Преступления с использованием интернета составили 84.8% от всех IT-преступлений в 2024 году, увеличившись на 23% по сравнению с предыдущим годом (649.1 тысячи случаев).
• Объем утекших персональных данных в России в 2024 году вырос более чем на 30% по сравнению с 2023 годом, превысив 1.5 миллиарда записей (1.581 миллиарда в 2024 году против 1.202 миллиарда в 2023 году). Только за первую половину 2024 года утекло около 1 миллиарда строк персональных данных, при этом более половины этого объема пришлось на один крупный инцидент, зарегистрированный Роскомнадзором.
• Общий ущерб от IT-преступлений за семь месяцев 2024 года достиг 91 миллиарда рублей, тогда как за весь 2023 год этот показатель составил 157 миллиардов рублей.

Эти цифры не просто статистика, это прямой вызов, требующий немедленной и адекватной реакции в виде ужесточения и адаптации требований к СЗИ.

Адаптация требований к СЗИ в ответ на технологические вызовы

Технологический прогресс — это обоюдоострый меч. Он создает новые возможности, но и порождает новые угрозы. Требования к СЗИ должны учитывать эти изменения.

• Актуальная модель угроз ФСТЭК России: «Методический документ «Методика оценки угроз безопасности информации»», утвержденный ФСТЭК России 05 февраля 2021 года, является отражением этой адаптации. Он определяет порядок выявления актуальных угроз, включая их источники, объекты воздействия, способы реализации и возможные негативные последствия, и является основой для формирования мер защиты. В этом документе уже учитываются угрозы, связанные с:
  • Облачными вычислениями: Размещение данных и приложений в облаке требует особых подходов к защите, включая сегментацию, шифрование, контроль доступа и ответственность провайдера.
  • Мобильными устройствами: Распространение смартфонов и планшетов в корпоративной среде порождает риски утечек данных, несанкционированного доступа и заражения ВПО.
  • Интернетом вещей (IoT): Миллиарды подключенных устройств — от умных лампочек до промышленных сенсоров — создают огромную поверхность для атаки, часто с минимальными возможностями для традиционной защиты.
• Влияние развития ИИ и машинного обучения: Эти технологии стали как мощным инструментом защиты (системы обнаружения аномалий, поведенческий анализ), так и грозным средством атаки (генерация фишинговых сообщений, обход CAPTCHA, автономные атаки). Требования к СЗИ должны учитывать необходимость защиты систем ИИ от атак (например, отравление данных, состязательные атаки) и использования ИИ в самих СЗИ для повышения их эффективности.

Ужесточение требований в условиях роста инцидентов и значимости КИИ

Прямая корреляция между ростом числа инцидентов ИБ и необходимостью ужесточения требований к СЗИ очевидна. Каждый крупный инцидент, каждая утечка данных становится триггером для пересмотра и усиления мер защиты. Что это означает для бизнеса и государства?

• Рост числа инцидентов: Упомянутая выше статистика по киберпреступлениям и утечкам данных в России напрямую влияет на регуляторную политику. Законодатели и регуляторы вынуждены реагировать, вводя более строгие требования, увеличивая штрафы и ужесточая контроль.
• Усиление государственного регулирования КИИ: Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» стал вехой в этом процессе. Признание ряда объектов критически важными для государства и общества повлекло за собой беспрецедентное усиление контроля и ужесточение требований к их защите. Это включает обязательное категорирование, применение сертифицированных СЗИ, создание центров ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) и регулярные проверки.

Таким образом, требования к СЗИ в России находятся в состоянии непрерывной эволюции, обусловленной стремительным развитием киберугроз, технологическими инновациями и растущей значимостью информационной безопасности для устойчивого развития страны.

Оптимальные подходы к формированию требований к СЗИ на примерах критически важных информационных инфраструктур

Когда речь заходит о защите объектов, от которых зависит жизнедеятельность государства и экономики, подходы к формированию требований к СЗИ приобретают особую строгость и детализацию. Критическая информационная инфраструктура (КИИ) и автоматизированные банковские системы (АБС) являются яркими примерами таких объектов.

Особенности формирования требований для объектов КИИ

Объекты КИИ — это совокупность информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, работа которых критически важна для государства и общества. Их защита регулируется отдельным законом, который определяет особые подходы.

• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — это основополагающий документ, который сформировал целый пласт требований к СЗИ объектов КИИ. Он обязывает субъектов КИИ обеспечить безопасность своих объектов, в том числе путем применения сертифицированных СЗИ.
• Категорирование объектов КИИ является обязательной процедурой, которая осуществляется в соответствии с Постановлением Правительства РФ № 127 от 08.02.2018. В ходе категорирования устанавливаются три категории значимости:
  • Первая (наивысшая): Присваивается объектам, нарушение функционирования которых может привести к максимальному ущербу.
  • Вторая: Для объектов со средней степенью ущерба.
  • Третья (наименьшая): Для объектов с минимально допустимым ущербом.

  Присвоение категории происходит на основе детальных критериев, учитывающих социальную, политическую, экономическую, экологическую значимость, а также значимость для обороны страны, безопасности государства и правопорядка. Субъекты КИИ формируют специальные комиссии для проведения категорирования, которые определяют перечень объектов КИИ, оценивают их критичность, присваивают категории и направляют результаты во ФСТЭК России. От присвоенной категории напрямую зависят требования к СЗИ.

• Приказ ФСТЭК России № 239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» детализирует конкретные меры защиты для КИИ. Этот приказ регламентирует требования по обеспечению безопасности значимых объектов КИИ на всех этапах жизненного цикла, от разработки технического задания до вывода из эксплуатации. Он содержит 17 типов мер по обеспечению безопасности, включая:
  • Идентификацию и аутентификацию.
  • Управление доступом.
  • Антивирусную защиту.
  • Предотвращение вторжений и реагирование на инциденты.

  Конкретный состав мер зависит от присвоенной категории значимости. Важно отметить, что в 2024 году в приказ были внесены изменения, добавившие требования по устойчивости к DDoS-атакам, безопасному удаленному доступу и взаимодействию с интернетом, что отражает реакцию на новые угрозы.

Формирование требований к СЗИ в автоматизированных банковских системах (АБС)

Банковская сфера является одной из наиболее регулируемых и критичных с точки зрения информационной безопасности. Финансовые учреждения обрабатывают колоссальные объемы конфиденциальных данных и управляют денежными потоками, что делает их привлекательной целью для киберпреступников.

• Центральный банк Российской Федерации (Банк России) устанавливает свои, специфические требования к защите информации, которые обязательны для кредитных организаций. Эти требования часто дополняют и детализируют общероссийские нормы.
• Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) — это ключевой документ в этой сфере. Актуальной версией является СТО БР ИББС-1.0-2014 «Общие положения» (5-я редакция), принятая Распоряжением Банка России № Р-399 от 17.05.2014. Стандарт направлен на повышение доверия к банковской системе, стабилизацию ее функционирования, адекватность мер защиты от угроз и снижение ущерба от инцидентов ИБ. Он охватывает широкий спектр вопросов:
  • Хранение чувствительных данных.
  • Внедрение средств информационной защиты.
  • Разграничение ролей персонала.
  • Использование веб-ресурсов.
  • Защиту платежных операций.
  • Антивирусную защиту.

  СТО БР ИББС, по сути, представляет собой комплексный подход к построению системы менеджмента информационной безопасности в банках, учитывающий отраслевую специфику. Его применение позволяет банкам не только соответствовать законодательным требованиям, но и строить эффективную, адаптивную систему защиты, минимизируя риски финансовых потерь и репутационного ущерба.

Общие оптимальные подходы и применяемые средства

Независимо от конкретной отрасли, существуют общие подходы и средства, которые являются основой для эффективной защиты критически важных информационных систем.

• Многоуровневые системы защиты: Принцип эшелонированной обороны означает создание нескольких рубежей защиты, так чтобы компрометация одного из них не приводила к полному нарушению безопасности. Это включает физическую защиту, защиту периметра сети, сегментацию внутренних сетей, защиту рабочих станций и серверов, защиту приложений и данных.
• Регулярный аудит безопасности: Постоянная оценка эффективности СЗИ, выявление уязвимостей, тестирование на проникновение (пентесты) и анализ соответствия требованиям являются жизненно важными.
• Применение средств криптографической защиты информации (СКЗИ): Шифрование является одним из самых мощных инструментов защиты конфиденциальности и целостности данных. Требования к СКЗИ, используемым в финансовой сфере и для защиты информации, составляющей государственную тайну, определяются ФСБ России. В частности, Приказ ФСБ от 10.07.2014 № 378 устанавливает требования к СКЗИ для защиты персональных данных в зависимости от уровня защищенности. Приказ ФСБ России от 09.02.2005 № 66 (Положение ПКЗ-2005) регулирует общие требования к разработке, производству, реализации и эксплуатации СКЗИ. СКЗИ должны обеспечивать противодействие атакам, использование разных ключей для разных криптографических функций и исключать вывод закрытых ключей в открытом виде.
• Внедрение систем мониторинга и реагирования на инциденты информационной безопасности (SOC/SIEM-системы): Современные угрозы требуют не только предотвращения, но и быстрого обнаружения и реагирования на уже произошедшие инциденты. Системы Security Operations Center (SOC) и Security Information and Event Management (SIEM) позволяют в режиме реального времени собирать, анализировать события безопасности и оперативно реагировать на угрозы, что является ключевым элементом для обеспечения безопасности КИИ и АБС.

Эти подходы, объединенные в комплексную стратегию, позволяют создавать надежные системы защиты информации в наиболее чувствительных и критически важных отраслях.

Направления совершенствования законодательного и нормативно-методического обеспечения формирования требований к СЗИ

Информационная безопасность — это не финишная прямая, а непрерывный марафон. Законодательство и нормативно-методическая база должны постоянно развиваться, адаптируясь к новым реалиям, чтобы не стать тормозом прогресса, а быть его движущей силой.

Гармонизация с международными стандартами и развитие межведомственного взаимодействия

В эпоху глобализации полное изолирование от мировых практик невозможно и нецелесообразно. Россия активно стремится к интеграции своего опыта в международное сообщество, сохраняя при этом национальную специфику.

• Гармонизация российского законодательства в области ИБ с международными стандартами: Это ключевое направление. Российский стандарт ГОСТ Р ИСО/МЭК 27001-2021 (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования) идентичен международному стандарту ISO/IEC 27001:2013, демонстрируя стремление к согласованию с мировыми практиками управления информационной безопасностью. Этот подход позволяет российским организациям использовать признанные на международном уровне лучшие практики, одновременно учитывая специфику национального регулирования и угрозы.
• Развитие межведомственного взаимодействия: Эффективная защита информации требует скоординированных усилий множества государственных органов (ФСТЭК, ФСБ, Минцифры, Роскомнадзор) и частного сектора. Создание центров ГосСОПКА, обмен информацией об угрозах, совместные учения и разработка единых подходов к реагированию на инциденты — это необходимые шаги для формирования единого контура безопасности.

Адаптация к новым технологиям и вызовам

Скорость технологического прогресса опережает темпы законотворчества. Поэтому регуляторы вынуждены постоянно актуализировать нормативно-методическую базу.

• Квантовые вычисления: Эти технологии, способные радикально изменить подходы к шифрованию, представляют как колоссальные возможности, так и потенциальные угрозы для существующей криптографии. Федеральный закон № 258 от 31.07.2020 «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» способствует развитию таких технологий путем снятия правовых барьеров. Национальная программа «Цифровая экономика» включает дорожную карту по квантовым вычислениям. Однако, по состоянию на 2024 год, в России еще не опубликованы официальные рекомендации или стандарты по постквантовой криптографии, что является одним из важнейших направлений для будущей работы.
• Блокчейн-технологии: Рассматриваются как децентрализованные системы распределенного реестра, в которых записи криптографически связаны, обеспечивая неизменность и необратимость данных. Их применение в государственных и корпоративных системах требует разработки специфических требований к их безопасности, управлению и интеграции с существующей инфраструктурой. Регулирование использования этих технологий активно прорабатывается.
• Большие данные (Big Data): Обработка огромных массивов данных требует новых подходов к их защите, анонимизации, контролю доступа и обеспечению конфиденциальности, особенно при использовании в аналитических системах и системах ИИ.

Развитие отечественных стандартов, импортозамещение и кадровое обеспечение

В условиях растущего геополитического давления и стремления к технологическому суверенитету, развитие собственных компетенций и продуктов становится стратегическим приоритетом.

• Государственная политика импортозамещения: В сфере ИТ, включая средства защиты информации, является национальной целью России до 2030 года. Она стимулируется указами Президента РФ (например, № 166 и № 250 от 2022 года, обязывающими к переходу на отечественное ПО и отказу от СЗИ из недружественных стран на объектах КИИ к 1 января 2025 года) и госзакупками. Это не только повышает устойчивость экономики к внешним шокам, но и способствует развитию отечественных технологий и созданию собственной конкурентоспособной продукции.
• Развитие отечественных стандартов и методик оценки соответствия СЗИ: Параллельно с импортозамещением идет активная работа по разработке и актуализации собственных стандартов, которые учитывают специфику российских условий и угроз. Это включает методики тестирования, оценки уязвимостей и сертификации.
• Кадровое обеспечение: Развитие технологий и ужесточение требований требуют высококвалифицированных специалистов. В рамках Национального проекта «Кадры» реализуются программы бесплатного обучения по информационной безопасности для различных категорий граждан (безработных, молодых специалистов, лиц предпенсионного возраста). Профессиональные стандарты в области ИБ постоянно обновляются для соответствия рыночным требованиям. Существуют также программы профессиональной переподготовки для специалистов, работающих с конфиденциальной информацией и для выполнения требований Указа Президента № 250 от 01.05.2022, направленного на повышение уровня ИБ в госорганах и на объектах КИИ.

• Совершенствование механизмов оценки эффективности мер по обеспечению безопасности информации и регулярное обновление моделей угроз безопасности информации также находятся в фокусе внимания. Это замкнутый цикл: новые угрозы — новые требования — новые меры — оценка эффективности — новые угрозы.

Все эти направления указывают на динамичный и многовекторный процесс совершенствования системы защиты информации в Российской Федерации, направленный на обеспечение ее устойчивости и безопасности в условиях постоянно меняющегося цифрового мира.

Заключение

Исследование «Формирование требований к современным системам защиты информации в Российской Федерации» позволило провести комплексный анализ одной из наиболее динамичных и критически важных областей современной науки и практики. В условиях беспрецедентного роста киберпреступности и глобальных геополитических вызовов, эффективное формирование требований к СЗИ становится не просто технической задачей, а фундаментальным условием обеспечения национальной безопасности и устойчивого развития цифровой экономики.

В ходе работы были систематизированы фундаментальные понятия информационной безопасности, включая детализацию видов информации ограниченного доступа. Проведен глубокий анализ актуальной законодательной и нормативно-методической базы РФ, регулирующей СЗИ, с особым акцентом на последние изменения в Федеральных законах № 149-ФЗ и № 152-ФЗ, вступающие в силу до середины 2025 года. Эти изменения, охватывающие регулирование информации, персональных данных, трансграничной передачи и ужесточение штрафных санкций, подчеркивают динамичность правового поля и необходимость постоянной актуализации знаний.

Детально раскрыты основные принципы формирования требований к СЗИ (комплексность, системность, непрерывность, законность, минимизация привилегий, достаточность), а также подходы к категорированию информационных систем и классификации защищаемой информации, включая ГИС (Приказ ФСТЭК № 17) и ИСПДн (Постановление Правительства № 1119). Особое внимание уделено методам, таким как метод цепных подстановок, применение которого на примере продемонстрировало его аналитическую ценность для оценки влияния факторов на уровень защищенности. Подтверждена ключевая роль риск-ориентированного подхода в методологии ФСТЭК России. Рассмотрена система сертификации СЗИ ФСТЭК России и требования к программным и аппаратным средствам защиты персональных данных согласно Приказу ФСТЭК № 21.

Исследование четко показало, как современные угрозы и вызовы формируют эволюцию требований к СЗИ. Актуальная статистика по IT-преступлениям и объему утекших персональных данных в России за 2024 год, продемонстрировавшая пиковые значения ущерба, служит прямым доказательством необходимости постоянной адаптации. Отмечено влияние облачных вычислений, мобильных устройств, интернета вещей, а также искусственного интеллекта как на саму методологию оценки угроз (согласно «Методике оценки угроз безопасности информации» ФСТЭК России от 05.02.2021), так и на ужесточение требований в условиях роста инцидентов и значимости КИИ.

На примере объектов КИИ и автоматизированных банковских систем были исследованы оптимальные подходы к формированию требований, включающие применение Федерального закона № 187-ФЗ, Постановления Правительства РФ № 127 о категорировании КИИ (с тремя категориями значимости), а также Приказа ФСТЭК России № 239 (с изменениями 2024 года, касающимися DDoS-атак и удаленного доступа). Для банковской сферы рассмотрен стандарт СТО БР ИББС-1.0-2014 «Общие положения». Подчеркнута значимость многоуровневых систем защиты, регулярного аудита, использования СКЗИ (с учетом требований ФСБ России, в частности Приказа ФСБ от 10.07.2014 № 378 и Положения ПКЗ-2005) и внедрения SOC/SIEM-систем.

Наконец, были определены перспективные направления совершенствования законодательного и нормативно-методического обеспечения. Среди них — гармонизация российского законодательства с международными стандартами (ГОСТ Р ИСО/МЭК 27001-2021), адаптация к новым технологиям (квантовые вычисления, блокчейн, большие данные), развитие отечественных стандартов, активная политика импортозамещения (Указы Президента № 166 и № 250 от 2022 года) и непрерывное кадровое обеспечение.

Выводы:
Текущее состояние формирования требований к СЗИ в РФ характеризуется высокой динамичностью и стремлением к комплексности. Законодательная и нормативно-методическая база активно развивается, реагируя на новые угрозы и технологические вызовы. Ключевыми тенденциями являются усиление риск-ориентированного подхода, дифференциация требований в зависимости от категории защищаемой информации и значимости системы, а также акцент на технологический суверенитет и импортозамещение.

Практические рекомендации:

• Для студентов и специалистов: Непрерывно отслеживать изменения в законодательстве и нормативно-методических документах ФСТЭК и ФСБ России. Осваивать передовые аналитические методы (такие как факторный анализ) и риск-ориентированные подходы. Уделять особое внимание изучению современных угроз и технологий защиты (AI/ML в ИБ, постквантовая криптография).
• Для организаций: Регулярно пересматривать и актуализировать требования к СЗИ с учетом последних регуляторных изменений и актуальных моделей угроз. Инвестировать в многоуровневые системы защиты, сертифицированные СКЗИ и решения для мониторинга инцидентов. Приоритизировать внедрение отечественных средств защиты информации в рамках программы импортозамещения.
• Для законодателей и регуляторов: Продолжить работу по гармонизации российского законодательства с международными стандартами, сохраняя при этом национальную специфику. Ускорить разработку стандартов и методик по защите новых технологий (квантовые вычисления, блокчейн). Усиливать межведомственное взаимодействие и поддержку образовательных программ в сфере ИБ.

Значимость комплексного, актуального и риск-ориентированного подхода в условиях быстро меняющегося ландшафта угроз и технологий неоспорима. Только так можно построить по-настоящему надежную и адаптивную систему защиты информации, способную обеспечить безопасность и процветание Российской Федерации в цифровую эпоху.

Список использованной литературы

1. Алферов, А. П. Основы криптографии: учебное пособие / А. П. Алферов, А. Ю. Зубов, А. С. Кузьмин, А. В. Черемушкин. – Москва : Гелиос АРВ, 2001. – 480 с.
2. ВСН 01-91. Инструкция по разработке защиты военно-промышленных объектов от иностранных технических разведок. Основы и организация проектирования. – Москва : Гостехкомиссия России, 1991.
3. Герасименко, В. А. Защита информации в автоматизированных системах обработки данных: в 2 кн. Кн. 1. – Москва : Энергоатомиздат, 1994. – 400 с.
4. Герасименко, В. А. Защита информации в автоматизированных системах обработки данных: в 2 кн. Кн. 2. – Москва : Энергоатомиздат, 1994. – 176 с.
5. Герасименко, В. А. Основы защиты информации / В. А. Герасименко, А. А. Малюк. – Москва : МОПО, МИФИ, 1997. – 537 с.
6. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
7. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
8. ГОСТ Р 51188-98. Защита информации. Испытания программных средств. На наличие компьютерных вирусов. Типовое руководство.
9. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
10. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.
11. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.
12. Грушо, А. А. Теоретические основы защиты информации / А. А. Грушо, Е. Е. Тимонина. – Москва : Яхтсмен, 1996. – 192 с.
13. Защита информации в телекоммуникационных системах: учебник / В. Г. Кулаков [и др.]. – Воронеж : Воронежский институт МВД России, 2002. – 300 с.
14. Основы информационной безопасности: учебник / В. А. Минаев [и др.]. – Воронеж : Воронежский институт МВД России, 2001. – 464 с.
15. Положение о сертификации средств защиты информации по требованиям безопасности информации: Приказ Председателя Гостехкомиссии России от 27.10.1995г. № 199. Зарегистрировано Госстандартом России в Государственном реестре 20.03.1995г.
16. Положение об аттестации объектов информатизации по требованиям безопасности информации. – Москва : Гостехкомиссия России, 1994.
17. Пособие к ВСН 01-91. Пособие по разработке защиты военно-промышленных объектов от иностранных технических разведок на предпроектном этапе.
18. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: учебное пособие для вузов / П. Ю. Белкин [и др.]. – Москва : Радио и связь, 1999. – 168 с.
19. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах: учебное пособие для вузов / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич. – Москва : Радио и связь, 2000. – 168 с.
20. РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.
21. РД ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – Москва, 1992.
22. РД ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения. – Москва, 1992.
23. РД ГТК РФ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. – Москва, 1999.
24. РД ГТК РФ. Концепция защиты СВТ и АС от НСД к информации. – Москва, 1992.
25. РД ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. – Москва, 1992.
26. РД ГТК РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов. – Москва, 1997.
27. РД ГТК РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – Москва, 1997.
28. Сборник норм. Нормы защиты информации, обрабатываемой средствами вычислительной техники и в автоматизированных системах, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН). – Москва : Гостехкомиссия России, 1998.
29. СТП. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам. – Москва : Гостехкомиссия России, 1997.
30. Теоретические основы компьютерной безопасности: учебное пособие для вузов / П. Н. Девянин [и др.]. – Москва : Радио и связь, 2000. – 192 с.
31. Теория и практика обеспечения информационной безопасности / под ред. П. Д. Зегжды. – Москва : Издательство агентства «Яхтсмен», 1996. – 192 с.
32. Хоффман, Л. Дж. Современные методы защиты информации / Л. Дж. Хоффман ; пер. с англ. ; под ред. В. А. Герасименко. – Москва : Советское радио, 1980. – 363 с.
33. Конституция Российской Федерации: принята всенародным голосованием 12 декабря 1993 г. (с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) // Официальный интернет-портал правовой информации. – URL: http://www.pravo.gov.ru.
34. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // Зарегистрировано в Минюсте России 31.05.2013 N 28607. – URL: https://fstec.ru/normotvorcheskaya/akty/35-prikazy/388-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17.
35. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3448. – URL: http://www.consultant.ru/document/cons_doc_LAW_61798/.
36. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3451. – URL: http://www.consultant.ru/document/cons_doc_LAW_61801/.
37. Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» // Собрание законодательства РФ, 13.10.97, N 41, ст. 4673. – URL: http://www.consultant.ru/document/cons_doc_LAW_2481/.
38. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» // Собрание законодательства РФ, 10.03.1997, N 10, ст. 1127. – URL: http://www.consultant.ru/document/cons_doc_LAW_13618/.
39. Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» // Зарегистрировано в Минюсте России 07.06.2021 N 63823. – URL: https://fstec.ru/normotvorcheskaya/akty/35-prikazy/2179-prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77.
40. Система защиты информации (СЗИ) // Tadviser.ru. – URL: https://www.tadviser.ru/index.php/%D0%A1%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D1%8B_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8_(%D0%A1%D0%97%D0%98).
41. Требования к системам защиты информации // IT GKB. – URL: https://www.itgkb.ru/glossary/trebovaniya-k-sistemam-zashchity-informatsii/.
42. Принципы обеспечения информационной безопасности // Studfile.net. – URL: https://studfile.net/preview/2642531/page:4/.
43. Методика оценки угроз безопасности информации ФСТЭК России // ФСТЭК России. – URL: https://fstec.ru/normotvorcheskaya/akty/dokumenty-po-voprosam-otsenki-ugroz.
44. Типовая модель угроз безопасности информации в автоматизированных системах управления производственными и технологическими процессами критически важных объектов // ФСБ России. – URL: https://www.fsb.ru/files/docs/mod_ugroz.pdf.
45. Система сертификации средств защиты информации ФСТЭК России // ФСТЭК России. – URL: https://fstec.ru/deyatelnost/sertifikatsiya/sistema-sertifikatsii-szi.
46. Метод цепных подстановок // Студопедия. – URL: https://studopedia.ru/9_120959_metod-tsepnih-podstanovok.html.
47. Методология формирования требований к системам защиты информации // Cyberleninka. – URL: https://cyberleninka.ru/article/n/metodologiya-formirovaniya-trebovaniy-k-sistemam-zaschity-informatsii-1.
48. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // Зарегистрировано в Минюсте России 14.05.2013 N 28375. – URL: https://fstec.ru/normotvorcheskaya/akty/35-prikazy/390-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21.
49. Доктрина информационной безопасности Российской Федерации: утверждена Указом Президента РФ от 05.12.2016 № 646 // Собрание законодательства РФ, 12.12.2016, N 50, ст. 7074. – URL: http://www.consultant.ru/document/cons_doc_LAW_207994/.
50. Влияние искусственного интеллекта на информационную безопасность // Cyberleninka. – URL: https://cyberleninka.ru/article/n/vliyanie-iskusstvennogo-intellekta-na-informatsionnuyu-bezopasnost.
51. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // Собрание законодательства РФ, 31.07.2017, N 31 (Часть I), ст. 4736. – URL: http://www.consultant.ru/document/cons_doc_LAW_220970/.
52. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» // Зарегистрировано в Минюсте России 22.03.2018 N 50462. – URL: https://fstec.ru/normotvorcheskaya/akty/35-prikazy/239-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239.
53. Положение Банка России от 17 апреля 2019 года N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» // Вестник Банка России, N 40, 06.05.2019. – URL: http://www.consultant.ru/document/cons_doc_LAW_324483/.
54. Защита информации в банковских системах // Cyberleninka. – URL: https://cyberleninka.ru/article/n/zaschita-informatsii-v-bankovskih-sistemah.
55. Системы мониторинга информационной безопасности (SIEM/SOC) // Газпром информ. – URL: https://www.gazprom-inform.ru/about/technology/information-security/soc/.
56. Концепция внешней политики Российской Федерации: утверждена Указом Президента РФ от 31.03.2023 № 229 // Официальный интернет-портал правовой информации. – URL: http://www.pravo.gov.ru.
57. Перспективы развития информационной безопасности в России // Cyberleninka. – URL: https://cyberleninka.ru/article/n/perspektivy-razvitiya-informatsionnoy-bezopasnosti-v-rossii.
58. Информационная безопасность: проблемы и решения // Cyberleninka. – URL: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-problemy-i-resheniya.
59. Государственная программа «Цифровая экономика Российской Федерации» (раздел «Информационная безопасность») // Минцифры России. – URL: https://digital.gov.ru/ru/activity/directions/858/.

С этим материалом также изучают

Разработка способа обнаружения конфликтов в программных средствах защиты информации компьютерных систем 3

... механизмов безопасности для построения СЗИ, синтезированной на основе модели с полным покрытием II Проблемы информационной безопасности. — 1998. 18. Попов И., Емельянова Н., Партыка Т. Защита информации в ...

Разработка способа обнаружения конфликтов в программных средствах защиты информации компьютерных систем 2

... механизмов безопасности для построения СЗИ, синтезированной на основе модели с полным покрытием II Проблемы информационной безопасности. — 1998. 18. Попов И., Емельянова Н., Партыка Т. Защита информации в ...

Разработка способа обнаружения конфликтов в программных средствах защиты информации компьютерных систем

... внедрении средств защиты информации в МСЧ-135-ФМБА России. Практическая значимость работы состоит в разработке готового решения, пригодного для обеспечения достаточного уровня безопасности информационной системы, соответствующего современным ...

Система пожарной безопасности для гостиницы вместимостью 200 человек

... безопасности 3 1.2 Требования к пожарной безопасности в средствах размещения 6 2. Характеристика оборудования для системы пожарной безопасности 10 2.1 Система ... должна обеспечиваться безопасность людей, и в первую очередь она предполагает защиту от ...

Разработка компьютерной службы каталогов для информационной базы данных организации

... Система обучения и инструктажей по охране труда и пожарной безопасности для ... Хорошко В.А.,. Методы и средства защиты информации (под редакцией Ковтанюка) / ... 124 c. 4. Волокитин А.В. Информационная безопасность государственных организаций и коммерческих ...

Банковская система России — все для курсовой работы от истории до современного анализа

Детальный разбор двухуровневой банковской системы России для вашей курсовой работы. Изучите историю от Дворянских банков до наших дней, ключевые принципы функционирования, роль ЦБ РФ и актуальное состояние сектора на основе проверенных данных.

Проектирование комплексной системы защиты информации в локальных вычислительных сетях: актуальные методы, средства и нормативно-правовое регулирование (для дипломной работы)

Глубокий анализ проектирования комплексной СЗИ для ЛВС: актуальные методы, эффективные средства, нормативно-правовое регулирование РФ и перспективные направления кибербезопасности. Идеально для дипломной работы.

Проектирование Системы Защиты Информации (СЗИ) силами сторонней организации: Нормативно-методологическая база и проектный подход

Исчерпывающее руководство по проектированию Системы Защиты Информации (СЗИ) в РФ силами сторонней организации: нормативная база (ФСТЭК, ФСБ), стадии по ГОСТ 34 и требования к лицензированию ТЗКИ.

Разработка проекта комплексной системы защиты информации для информационной системы Netschool: Актуальные угрозы, нормативно-правовые требования и методология реализации

Разработка КСЗИ для Netschool: анализ угроз (ИИ-фишинг, DDoS), нормативная база (ФСТЭК, ФСБ 2025), модель нарушителя, экономическая эффективность и аттестация.