Регуляторы российского кибербеза. Инфографика SecPost
Государственная система управления информационной безопасностью строится на деятельности нескольких ведомств и межведомственных структур. SecPost систематизировал открытые сведения о них и представил в формате инфографики.
Структура органов власти, занимающихся вопросами информационной безопасности, с одной стороны, стабилизировалась много лет назад, с другой – продолжает непрерывно развиваться и обретать новые формы.
Ключевым новым межведомственным органом, отвечающим за противодействие интернет-мошенникам, должен стать Федеральный оперативный штаб. В его состав, как ожидается, войдут представители Минцифры, ФСБ, МВД, Роскомнадзора и ряда других ведомств. Предложения о составе и порядке работы штаба в Минцифры должны представить в марте 2026 года.
Повышенное внимание на самом высоком правительственном уровне кибербезопасность заслужила в связи с тем, что ущерб от мошеннических операций с использованием информационных и коммуникационных технологий может достигать 1 трлн рублей в год.
В то же время, костяк ведомств, занимающихся вопросами ИБ, остается неизменным.
За защиту государственной тайны и противодействие кибератакам со стороны других государств отвечает Федеральная служба безопасности (ФСБ). В ее компетенцию входит лицензирование деятельности, связанной с шифрованием и гостайной. Подразделения ФСБ, такие как Национальный координационный центр по компьютерным инцидентам (НКЦКИ), занимаются оперативным выявлением и ликвидацией последствий кибератак на объекты критической информационной инфраструктуры (КИИ).
В качестве свежего примера регулирования ФСБ можно привести приказ №554, вступающий в силу летом 2026 года. Он потребует от компаний модернизировать системы защиты и заложить на это бюджет. Документ запрещает техподдержку иностранными вендорами, обязывает анализировать поведение пользователей и автоматически передавать данные об инцидентах в ГосСОПКА.
Помимо этого, недавно ФСБ наделила НКЦКИ правом запрашивать у компаний отчеты об устранении уязвимостей. Ранее центр фокусировался на реактивном реагировании на атаки. Эксперты считают это важным сдвигом в сторону профилактической безопасности.
Полномочия по защите конфиденциальной информации, важной для государства, также сосредоточены в Федеральной службе по техническому и экспортному контролю (ФСТЭК). Служба является ключевым регулятором безопасности в государственных информационных системах и на объектах КИИ. ФСТЭК разрабатывает требования по защите информации, лицензирует деятельность по технической защите конфиденциальной информации и проводит сертификацию средств защиты нешифровальными методами (подробнее – в отдельной статье SecPost).
В январе 2026 года ФСТЭК отчиталась о том, что более 80% нарушений в сфере защиты критической информационной инфраструктуры носят типовой характер. Регулятор насчитал свыше 1,2 тысячи таких случаев и составил административные протоколы, которые могут обернуться для организаций штрафами до полумиллиона рублей.
Одним из новых направлений деятельности ФСТЭК является сертификация процессов безопасной разработки программного обеспечения (РБПО). По мнению экспертов, она стала эталоном зрелости процессов безопасной разработки, но число прошедших её компаний пока исчисляется единицами. Причина — в необходимости глубокой организационной трансформации, значительных ресурсах и комплексной проверке 25 процессов (подробнее – в отдельной статье SecPost).
Отдельную нишу занимает Центральный банк Российской Федерации. Как мегарегулятор финансового рынка, он устанавливает собственные строгие стандарты ИБ (СТО БР ИББС, ГОСТ Р 57580.x) для всех участников. Банк России контролирует их соблюдение, проводит проверки, анализирует киберугрозы для финансового сектора. Он формирует автономный регуляторный контур для киберустойчивости финансовой системы.
ФинЦЕРТ – центр взаимодействия и реагирования Департамента информационной безопасности ЦБ – отвечает за информационный обмен между участниками финансового рынка, правоохранительными органами, провайдерами и операторами связи, системными интеграторами, разработчиками антивирусного программного обеспечения и другими компаниями, работающими в сфере информационной безопасности.
В качестве примера регулирования ЦБ можно привести свежий приказ с обновленными требованиями по информационной безопасности для операторов значимых карточных платежных систем. Ключевые изменения касаются HSM-модулей, двухфакторной аутентификации для устройств и новых правил безопасности на всех этапах жизненного цикла средств защиты.
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) в контексте ИБ отвечает за законодательные инициативы в области защиты персональных данных граждан, противодействие телефонному мошенничеству, анализ защищённости государственных информационных систем, внедрение концептуально новых методов повышения безопасности (например, «багбаунти»). В частности, министерство ведет развитие платформы противодействия кибермошенникам и профилактики киберпреступлений «Антифрод» (читайте о ней в отдельной статье SecPost).
Контроль за соблюдением правил в части персональных данных осуществляет Роскомнадзор. Служба ведет реестр операторов персональных данных, проводит проверки на соответствие 152-ФЗ и контролирует локализацию баз данных россиян иностранными компаниями на территории РФ. Также в ее полномочия входит надзор за распространением информации в интернете и блокировка ресурсов с запрещенным контентом.
За оперативно-розыскную деятельность в сфере кибербезопасности отвечает управление по организации борьбы с противоправным использованием ИКТ МВД России или Киберполиция. С масштабами ее деятельности можно ознакомиться в отдельной статье SecPost.
Читайте также
