Российская нормативная база по информационной безопасности в 2025 году: полный обзор ключевых требований и изменений

Российская нормативная база в области информационной безопасности представляет собой многоуровневую систему законов, подзаконных актов и технических стандартов. В 2025 году произошли значительные изменения, ужесточающие требования к защите информации и расширяющие ответственность организаций за соблюдение норм кибербезопасности.

Фундаментальные федеральные законы

Основу российской нормативной базы ИБ составляют ключевые федеральные законы. Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» определяет требования к защите объектов КИИ в энергетике, транспорте, банковском секторе, промышленности и других критически важных отраслях [web:79].

С 1 января 2025 года вступили в силу существенные поправки к закону о КИИ, расширившие перечень субъектов и включившие B2B-компании, оказывающие услуги в сфере связи, транспорта и финансов. Обновлены критерии категорирования объектов КИИ с введением обязательного аудита безопасности не реже одного раза в три года [web:81].

Указы Президента и их практическое значение

Указ Президента РФ №250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» кардинально изменил подходы к защите государственных и стратегических организаций. Документ возлагает персональную ответственность за обеспечение ИБ на руководителей организаций [web:78].

Ключевые требования указа включают создание специализированных подразделений по обнаружению кибератак, привлечение только лицензированных организаций для работ по ИБ и обеспечение ФСБ беспрепятственного доступа к информационным ресурсам. Переходный период в три года позволяет организациям адаптироваться к новым требованиям [web:78].

Новые требования ФСБ по криптографической защите

Приказ ФСБ России №117 от 18 марта 2025 года установил обновленные требования к защите информации в государственных информационных системах с использованием шифровальных средств. Документ заменил предыдущий приказ №524 от 2022 года, адаптировав требования к современным реалиям [web:80].

Новые требования обязывают использовать сертифицированные криптографические средства защиты информации (СКЗИ) при передаче данных за пределы контролируемой зоны, хранении на незащищенных носителях и для обеспечения юридической значимости электронных документов [web:80].

Роль ФСТЭК в техническом регулировании

Федеральная служба по техническому и экспортному контролю разрабатывает детальные технические требования по защите информации. ФСТЭК осуществляет сертификацию программных и аппаратных средств защиты, контролирует соответствие систем установленным стандартам [web:79].

Приказ ФСТЭК №117 от 11 апреля 2025 года утвердил новые внутренние стандарты и регламенты по защите информации, которые должны утверждаться руководителями организаций или ответственными лицами [web:86]. Это подчеркивает персонализацию ответственности за информационную безопасность на уровне топ-менеджмента.

Система государственных стандартов

Российские ГОСТы в области информационной безопасности обеспечивают техническую основу для практической реализации законодательных требований. ГОСТ Р 53114-2008 устанавливает основные термины и определения в области защиты информации [web:85].

В 2025 году утвержден новый ГОСТ Р 58900-2025 по управлению инцидентами ИБ, вводящий обязательность внедрения систем управления информационной безопасностью (СУИБ) для субъектов КИИ и крупных организаций. Документ требует ведения электронных журналов инцидентов с хранением не менее 5 лет [web:81].

Ужесточение административной ответственности

2025 год ознаменовался значительным усилением административной ответственности за нарушения в сфере информационной безопасности. Введены новые статьи КоАП РФ, предусматривающие штрафы для юридических лиц до 5 миллионов рублей, а для должностных лиц — до 500 тысяч рублей [web:81].

Особое внимание уделено использованию несертифицированных средств защиты информации. За нарушения предусмотрено не только финансовое наказание, но и принудительное изъятие и уничтожение несертифицированных решений, используемых в инфраструктуре КИИ [web:81].

Защита персональных данных: новые правила

Федеральный закон №152-ФЗ «О персональных данных» претерпел существенные изменения в 2025 году, затронувшие правила трансграничной передачи и обработки персональной информации. Ужесточены требования к согласию на обработку персональных данных и расширены права субъектов данных [web:81].

С 30 мая 2025 года вступили в силу дополнительные ограничения, связанные с Федеральным законом №420-ФЗ, который внес изменения в КоАП РФ и усилил контроль за соблюдением требований по защите персональных данных [web:90].

Международные стандарты в российской практике

Несмотря на курс на импортозамещение, российская нормативная база продолжает учитывать лучшие мировые практики. ГОСТ Р 57580.1-2017 адаптирует требования международных стандартов ISO/IEC 27001 и ISO/IEC 27002 к российским условиям [web:79].

Соответствие международным стандартам позволяет российским организациям поддерживать совместимость с глобальными системами безопасности при соблюдении национальных требований. Это особенно важно для компаний, работающих на международных рынках [web:79].

Практические рекомендации по соблюдению

Для эффективного соблюдения российской нормативной базы по информационной безопасности организациям рекомендуется разработать комплексную программу соответствия, включающую регулярный аудит существующих систем защиты, обучение персонала и внедрение сертифицированных решений.

Критически важным является своевременное отслеживание изменений в законодательстве и оперативная адаптация внутренних процессов к новым требованиям. Учитывая динамичность развития нормативной базы, рекомендуется привлечение специализированных консультантов и юридических фирм для обеспечения полного соответствия актуальным требованиям.