Российская нормативная база в области информационной безопасности представляет собой многоуровневую систему законов, подзаконных актов и технических стандартов. В 2025 году произошли значительные изменения, ужесточающие требования к защите информации и расширяющие ответственность организаций за соблюдение норм кибербезопасности.
Фундаментальные федеральные законы
Основу российской нормативной базы ИБ составляют ключевые федеральные законы. Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» определяет требования к защите объектов КИИ в энергетике, транспорте, банковском секторе, промышленности и других критически важных отраслях [web:79].
С 1 января 2025 года вступили в силу существенные поправки к закону о КИИ, расширившие перечень субъектов и включившие B2B-компании, оказывающие услуги в сфере связи, транспорта и финансов. Обновлены критерии категорирования объектов КИИ с введением обязательного аудита безопасности не реже одного раза в три года [web:81].
Указы Президента и их практическое значение
Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» кардинально изменил подходы к защите государственных и стратегических организаций. Документ возлагает персональную ответственность за обеспечение ИБ на руководителей организаций [web:78].
Ключевые требования указа включают создание специализированных подразделений по обнаружению кибератак, привлечение только лицензированных организаций для работ по ИБ и обеспечение ФСБ беспрепятственного доступа к информационным ресурсам. Переходный период в три года позволяет организациям адаптироваться к новым требованиям [web:78].
Новые требования ФСБ по криптографической защите
Приказ ФСБ России №117 от 18 марта 2025 года установил обновленные требования к защите информации в государственных информационных системах с использованием шифровальных средств. Документ заменил предыдущий приказ №524 от 2022 года, адаптировав требования к современным реалиям [web:80].
Новые требования обязывают использовать сертифицированные криптографические средства защиты информации (СКЗИ) при передаче данных за пределы контролируемой зоны, хранении на незащищенных носителях и для обеспечения юридической значимости электронных документов [web:80].
Роль ФСТЭК в техническом регулировании
Федеральная служба по техническому и экспортному контролю разрабатывает детальные технические требования по защите информации. ФСТЭК осуществляет сертификацию программных и аппаратных средств защиты, контролирует соответствие систем установленным стандартам [web:79].
Приказ ФСТЭК №117 от 11 апреля 2025 года утвердил новые внутренние стандарты и регламенты по защите информации, которые должны утверждаться руководителями организаций или ответственными лицами [web:86]. Это подчеркивает персонализацию ответственности за информационную безопасность на уровне топ-менеджмента.
Система государственных стандартов
Российские ГОСТы в области информационной безопасности обеспечивают техническую основу для практической реализации законодательных требований. ГОСТ Р 53114-2008 устанавливает основные термины и определения в области защиты информации [web:85].
В 2025 году утвержден новый ГОСТ Р 58900-2025 по управлению инцидентами ИБ, вводящий обязательность внедрения систем управления информационной безопасностью (СУИБ) для субъектов КИИ и крупных организаций. Документ требует ведения электронных журналов инцидентов с хранением не менее 5 лет [web:81].
Ужесточение административной ответственности
2025 год ознаменовался значительным усилением административной ответственности за нарушения в сфере информационной безопасности. Введены новые статьи КоАП РФ, предусматривающие штрафы для юридических лиц до 5 миллионов рублей, а для должностных лиц — до 500 тысяч рублей [web:81].
Особое внимание уделено использованию несертифицированных средств защиты информации. За нарушения предусмотрено не только финансовое наказание, но и принудительное изъятие и уничтожение несертифицированных решений, используемых в инфраструктуре КИИ [web:81].
Защита персональных данных: новые правила
Федеральный закон №152-ФЗ «О персональных данных» претерпел существенные изменения в 2025 году, затронувшие правила трансграничной передачи и обработки персональной информации. Ужесточены требования к согласию на обработку персональных данных и расширены права субъектов данных [web:81].
С 30 мая 2025 года вступили в силу дополнительные ограничения, связанные с Федеральным законом №420-ФЗ, который внес изменения в КоАП РФ и усилил контроль за соблюдением требований по защите персональных данных [web:90].
Международные стандарты в российской практике
Несмотря на курс на импортозамещение, российская нормативная база продолжает учитывать лучшие мировые практики. ГОСТ Р 57580.1-2017 адаптирует требования международных стандартов ISO/IEC 27001 и ISO/IEC 27002 к российским условиям [web:79].
Соответствие международным стандартам позволяет российским организациям поддерживать совместимость с глобальными системами безопасности при соблюдении национальных требований. Это особенно важно для компаний, работающих на международных рынках [web:79].
Практические рекомендации по соблюдению
Для эффективного соблюдения российской нормативной базы по информационной безопасности организациям рекомендуется разработать комплексную программу соответствия, включающую регулярный аудит существующих систем защиты, обучение персонала и внедрение сертифицированных решений.
Критически важным является своевременное отслеживание изменений в законодательстве и оперативная адаптация внутренних процессов к новым требованиям. Учитывая динамичность развития нормативной базы, рекомендуется привлечение специализированных консультантов и юридических фирм для обеспечения полного соответствия актуальным требованиям.