Жёстче, шире, быстрее: как растут требования по ИБ к МСБ

Автор: Ольга Луценко, эксперт UDV Group

За последние пару лет государство заметно усилило требования по кибербезопасности – и теперь это касается не только крупных компаний, но и малого бизнеса. Формально новые правила предназначены для «больших», но по цепочке быстро доходят до всех подрядчиков. Если заказчик обязан выполнять жёсткие требования, он начинает требовать того же от своих партнёров.

Можно выделить три направления, где давление на МСБ растёт сильнее всего. 

• Первое – обработка персональных данных. Практически любая организация МСБ является оператором персональных данных и попадает под требования 152-ФЗ и подзаконных актов: услуги по записи, обработка обращений, ведение клиентской базы являются обработкой персональных данных. С ужесточением 152-ФЗ пришло максимально строгое отношение и к любым утечкам. Если раньше это могли считать технической ошибкой, то теперь – полноценным инцидентом с серьёзными последствиями.
• Второе – закон о критической инфраструктуре (187-ФЗ). Государство активно выясняет, какие компании до сих пор не определили, являются ли они субъектом КИИ, и в этот список всё чаще попадают те, кто раньше не думал о своей «критичности». Субъектом КИИ может быть не только организация, непосредственно функционирующая в заявленных 187-ФЗ отраслях деятельности, но и компании, обеспечивающие взаимодействие систем-объектов КИИ, а также подрядчики, которые эксплуатируют клиентские части таких систем и не задумываются, что владеют ими на праве аренды и обязаны защищать их как субъект КИИ. Примерами могут служить небольшие ЦОДы, на мощностях которых размещаются объекты КИИ. Ранее для малого и среднего бизнеса наблюдалось более лояльное отношение регулятора, который в частных случаях давал МСБ некоторое время на самоопределение и категорирование. На текущий момент взят тренд на ужесточение, и отсутствие выстроенного процесса категорирования и защиты объектов КИИ может привести к административной ответственности.
  
• Третье – работа с государственными структурами. На фоне текущей обстановки внимание к подрядчикам госорганизаций усиливается. Согласно приказу ФСТЭК № 117 государственные органы, государственные учреждения и государственные унитарные предприятия должны устанавливать требования по информационной безопасности к любым подрядным организациям, обрабатывающим чувствительную информацию. Так, к примеру, при получении доступа к любой информации ограниченного доступа и её последующем хранении в системах подрядчика, госорган будет диктовать подрядчику те же требования по ИБ, какие сам обязан выполнять по 117 приказу ФСТЭК. В ближайшее время ожидается дополнение и расширение Приказа, что сделает контроль для госорганов, а равно и для их подрядчиков, строже. Ответственность госорганов за безопасность своих подрядчиков увеличится, а значит, проверки внутри цепочек станут строже.

Фактически государство закрывает те точки риска, которые могут стать входом для злоумышленников.
И очень часто эти точки находятся именно в небольших компаниях, через которые можно добраться
до крупных игроков.

Это не временный тренд. Усиление требований будет расти

Исторически небольшим компаниям иногда делали поблажки. Например, если организация не успевала вовремя пройти категорирование по 187-ФЗ или поздно реагировала на новые требования, регулятор мог отнестись мягче. Но эта эпоха подходит к концу. Судя по последним публичным заявлениям, подход выравнивается: требования к качеству процессов безопасности становятся одинаковыми и для корпораций, и для малого бизнеса. Малые компании больше не рассматриваются как исключение – это полноправные участники цифровой экосистемы, от которых тоже ожидают зрелого уровня защиты.

Для части МСБ усиление требований – это не вопрос будущего, а уже текущая реальность. Компании-операторы персональных данных (ПДн), а также те, кто подпадает под 187-ФЗ как субъекты КИИ, автоматически попадают под требование о передаче информации в ГосСОПКА путем взаимодействия с НКЦКИ. Для операторов ПДн остается доступной опция оповещения НКЦКИ об инцидентах через Роскомнадзор, без прямого технического подключения к ГосСОПКА, но для субъектов КИИ взаимодействие с ГосСОПКА в технической части станет обязательным уже в ближайший год. И речь более не идёт о возможности взаимодействия по телефону, факсу или через сайт, как это было ранее, а о полноценном подключении к системе мониторинга, обмене данными об инцидентах и выполнении технических требований. Отсюда логично следуют два необходимых шага:

1. Нужно ещё раз внимательно пройтись по нормативным актам и понять, подпадает ли организация под 187-ФЗ или под требования 152-ФЗ по персональным данным.
2. Если компания подпадает под 187-ФЗ, важно учитывать, что регулятор может прийти с вполне конкретным запросом по подключению к ГосСОПКА и проверке технического исполнения требований.

По сути, расширение норм – это уже не гипотетический сценарий «когда-нибудь потом». Это устойчивый тренд, который постепенно становится обязательной частью реальности для малого и среднего бизнеса.

Как не надо делать: что ломает безопасность ещё на старте

У малого и среднего бизнеса есть два особенно неудачных подхода к выполнению регуляторных норм – оба приводят к проблемам, просто разного типа. 

• Первый вариант – это покупать всё подряд «на всякий случай». Иногда компании стараются решить вопрос деньгами: берут любое средство защиты, которое нашлось в интернете или которое продал настойчивый интегратор. В результате появляются дорогостоящие решения, которые либо не нужны, либо не подходят под реальные требования. Получается перегруженная система, которая тратит бюджет, но не делает безопасность качественнее. Это попытка «перестраховаться», которая часто превращается в лишние расходы без результата.

• Вторая крайность – просто ничего не делать, рассчитывая на то, что отсутствие защиты обойдётся дешевле. Эта стратегия давно устарела. Штрафы по 152-ФЗ теперь рассчитываются от оборота и капитала – суммы могут быть сопоставимы с годовой прибылью небольшой компании. То, что раньше можно было решить деньгами, сейчас может стоить бизнеса.

Обе стратегии ведут в тупик: в одном случае компания переплачивает, в другом – резко увеличивает риски.

Как выполнить требования законодательства: три ключевых направления для МСБ

Для малого и среднего бизнеса в России решение задач по информационной безопасности в 2025 году сопряжено с исполнением трех основных направлений законодательства. Важно не пытаться закрыть всё сразу, а понять, какие из них применимы к деятельности вашей организации, и действовать целенаправленно.

1. 152-ФЗ «О персональных данных» – касается почти всех

Кто обязан соблюдать: практически любая компания, которая собирает данные клиентов (даже только имя и телефон для записи), работает с данными сотрудников или партнёров.

Суть требований: Вы – оператор персональных данных (ПДн), законом закреплена ваша обязанность защищать обрабатываемые ПДн от несанкционированного доступа и от утечек. Перечень применяемых мер зависит от объема и типа обрабатываемых ПДн.

Что нужно сделать – базовый минимум:

1. Получать согласие на обработку ПДн от клиентов и сотрудников (через форму на сайте, подписанный документ; ст. 9 152-ФЗ).

2. Определить требуемый уровень защиты: провести инвентаризацию, сформировать перечень информационных систем (ресурсов) и обрабатываемых в них персональных данных. На основании полученной информации определить уровень защищённости (постановление Правительства от 01.11.2012 № 1119).

3. Издать обязательные документы:

• Приказ о назначении ответственного за обработку ПДн (п.1 ч.1 ст. 18.1 152-ФЗ).

• Политика обработки ПДн (публичный документ, должен быть размещен на сайте) (п.2 ч.1 ст. 18.1 152-ФЗ).

• Описание системы защиты ПДн (внутренний документ, где перечислены принятые меры; потребуется для заполнения уведомления в Роскомнадзор в соответствии с п. 7 ч.3 ст. 22 152-ФЗ).

4. Разработать комплект организационно-распорядительной документации (ОРД). В качестве начального этапа допустимо реализовать «нулевые меры» из Приказа ФСТЭК № 21 – это набор организационных документов (регламенты по инцидентам, управлению доступом, резервному копированию и т.д.), которые не требуют внедрения дорогостоящих средств защиты безопасности, но систематизируют обеспечение ИБ и строят основу для ИБ как постоянного процесса.

5. Со всеми сторонними сервисами, которые имеют доступ к вашим ПДн (хостинг, облачная CRM, рассылочный сервис), необходимо заключить договор поручения обработки ПДн. Это перекладывает на них часть ответственности по закону. Договор должен транслировать те же требования в части обработки ПДн, которые вы соблюдаете в соответствии с установленным уровнем защищённости (ч.3 ст. 6 152-ФЗ).

6. Уведомить Роскомнадзор: подать уведомление об обработке ПДн на сайте Роскомнадзора (есть исключения, например, если обрабатываются только данные сотрудников для трудовых договоров; п.1. Ст. 22 152-ФЗ).

К чему стремиться: для повышения зрелости и доверия партнёров, а также соблюдения требований законодательства, необходимо реализовать меры соответственно установленному уровню защищенности.

2. 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)» – для субъектов КИИ, а также их поставщиков и подрядчиков

Кто обязан соблюдать:

1. Организации, функционирующие в установленных сферах деятельности (Субъекты КИИ);

2. Поставщики услуг связи, обработки данных для субъектов КИИ; владельцы серверной части систем, функционирующих в установленных сферах деятельности (пример: размещение сервера системы покупки и оплаты билетов, предоставление услуг по модели “Platform as a service” (PaaS);

3. Компании, являющиеся подрядчиками организаций, выполняющих работы по гособоронзаказу (в части поставки работ, услуг и продукции в рамках контракта по гособоронзаказу).

Как проверить: если вы оказываете ИТ-услуги (хостинг, облачные серверы, техподдержку, разработку, обслуживание сетей) организациям в установленных сферах деятельности, спросите у вашего заказчика:

• Является ли он субъектом КИИ?
• Размещены ли на вашей ИТ-инфраструктуре компоненты объектов КИИ Заказчика?
• Какие категории значимости присвоены таким объектам?

Сферы деятельности субъектов КИИ: здравоохранение, наука, транспорт, связь, энергетика, государственная регистрация прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность.

Что нужно сделать, если вы попадаете под сферу действия 187-ФЗ:

1. Провести категорирование систем, функционирующих в установленных сферах деятельности (компонентов объектов КИИ Заказчика, функционирующих на вашей инфраструктуре), и направить результаты во ФСТЭК России (Постановление Правительства от 08.02.2018 № 127).
2. Внедрить организационные и технические меры защиты, соответствующие Приказу ФСТЭК России № 239.
3. Осуществлять мониторинг и реагирование на инциденты в установленном порядке (Приказ ФСБ России от 19.06.2019 № 282).

Важно: Требования 187-ФЗ довольно сложные и комплексные, требуют вложения ресурсов и больших трудозатрат. Главное для МСБ – заблаговременно выяснить отношения с заказчиком из скоупа действия 187-ФЗ, определить риски и заложить эти риски и расходы в стоимость контракта.

3. Приказ ФСТЭК № 117 – для подрядчиков государственных учреждений, государственных органов, государственных унитарных предприятий

Кто обязан соблюдать: Компании, которые являются исполнителями по государственным или муниципальным контрактам и в рамках этих контрактов получают доступ к информационным системам (ИС) госорганов или обрабатывают служебную информацию.

Суть требований: Вы должны обеспечить защиту информации в той ИС, к которой вас допустили, на уровне, требуемом классом защищённости этой ИС.

Что нужно сделать:

1. Выяснить у Заказчика класс защищённости ИС, с которой вам предстоит работать.

2. Подготовить свою инфраструктуру в соответствии с требованиями Приказа № 117 для этого класса. Это может касаться:

• Использования сертифицированных средств защиты информации (СЗИ);

• Организации защищённого канала связи;

• Управления уязвимостями и обновлениями;

• Обеспечения мониторинга информационной безопасности;

• Обеспечения защиты от атак, направленных на отказ в обслуживании (DDOS);

• Соответствия помещений определённым требованиям по физической безопасности: исключение несанкционированного доступа к средствам обработки информации, определение перечня пользователей, допущенных в помещения, контроль физического доступа и т.д.

3. Пройти аттестацию своих объектов информатизации (если Заказчиком предъявлено соответствующее требование) или предоставить заказчику необходимые документы, подтверждающие безопасность (например, паспорт ИС).

Практический совет: при участии в тендере на госзаказ внимательно изучите техническое задание (ТЗ) на предмет требований по безопасности. Их выполнение – ваша обязанность, и затраты на это нужно сразу закладывать в цену контракта.

Почему «пересидеть тихо» больше не стратегия безопасности

Малый и средний бизнес долгое время работал по принципу: «Ну и что, если требования сложные? Максимум – штраф. Заплатим и пойдём дальше». Эта модель была распространена почти повсеместно. Но сегодня она перестала работать сразу по нескольким причинам.

1. Штрафы больше не символические. Да, суммы выросли. Но главное – сами штрафы перестали быть основной проблемой. Они стали индикатором того, что компания не управляет рисками. И после такого сигнала внимание регулятора обычно только усиливается.
2. Последствия утечек стали реальными, а не «на бумаге». Раньше истории об утечках воспринимались как что-то далёкое. Сегодня каждый месяц появляются кейсы, когда даже небольшие компании оказываются в новостях. Статистика утечек подтверждает это: по результатам исследования Kaspersky Digital Footprint Intelligence, в 2024 г. сохраняется тенденция роста доли утечек информации в сегменте МСБ – показатель увеличился с 18,1% до 27,8%. При этом большинство инцидентов связано с утечками персональных данных – они составляют 64,8% от общего числа случаев в России. По итогам 2025 г. тренд на увеличение количества утечек из малых организаций сохраняется. Утекшие клиентские данные, договоры, переписка, доступы – всё это мгновенно становится репутационной проблемой.
3. Клиенты больше не готовы закрывать глаза. Уровень цифровой зрелости вырос. Клиенты стали внимательнее относиться к тому, кому доверяют данные и процессы. Если компания «засветилась» в контексте утечки, партнёр может отказаться от сотрудничества просто потому, что риск слишком высок. Особенно если речь идёт о подрядных цепочках, где МСБ является звеном между крупным заказчиком и его системой.
4. Потеря доверия бьёт сильнее штрафов. Штраф можно оплатить один раз. А вот восстановить доверие – месяцы или годы. И это напрямую влияет на продажи: клиенты уходят к более защищённым игрокам, партнёры выбирают более надёжных поставщиков, а крупные заказчики исключают компанию из тендеров.
5. Последствия инцидента стали дороже, чем его предотвращение. Когда бизнес останавливается на несколько дней, когда данные шифруют или крадут – это не только экстренные расходы. Это срыв обязательств, простой сотрудников, разрыв контрактов, потеря клиентов. Даже одна серьёзная атака может легко превысить все затраты на нормальную ИБ за несколько лет.