Стандарты ИБ Россия: Анализ новых норм защиты данных 2025

Введение

Недавно встретилась с директором по ИБ крупной телеком-компании — обсуждали хакерские атаки, утечки, реакцию регуляторов. Он вздохнул и сказал: «Теперь ГОСТы — это не бюрократия. Это выживание». Я только кивнула. Он прав.

Сегодня стандарты ИБ в России — не просто бумажки с подписями. Это каркас, на котором держится цифровая безопасность страны. Особенно если бизнес работает с персональными данными. А кто с ними не работает?

Ключевой опорой стала система ГОСТов — достаточно вспомнить ГОСТ Р 59407-2021. Его внедрение — как установка системы сигнализации в дом, где уже пытались взломать дверь. Вопрос не навязчивости, а необходимости. Ведь на кону — доверие клиентов и возможность вообще вести бизнес.

1. Общее представление о стандартах защиты данных в России

Скажу честно: в свое время я недооценивала стандарты. Пока однажды поставщик не утек с клиентской базой. После этого я лично перечитала ГОСТ Р 57580.1, ГОСТ Р 57580.2 и тот самый 59407.

Это не просто своды правил. Это как кулинарная книга для безопасной работы с данными. Они описывают, как строить защищённые системы от фундамента до крыши. Без размытых формулировок. Чётко. Пошагово.

Особенно интересен ГОСТ Р 59407-2021 — он задаёт структуру защиты персональных данных, приближая наши подходы к международным практикам ISO/IEC 29101:2018. Это значит, что компании могут спокойно интегрироваться в глобальную IT-среду, не жертвуя национальной безопасностью.

2. ГОСТ Р 59407-2021: ключевые аспекты и требования

С этим стандартом я познакомилась на одном из обучений в 2022-м. Лектор, пожилой профессор из ФИЦ ИУ РАН, ловко рисовал на доске схему жизненного цикла персональных данных: от сбора до удаления. В зале было тихо — все слушали, без телефонов.

ГОСТ Р 59407-2021 включает:

контроль обработки и управление ПДн,
защиту через шифрование, аудит и управление доступом,
построение систем так, чтобы отладить саму архитектуру работы с данными,
юридическую фиксацию согласий и учет рисков.

По сути — это проектирование информационных систем «с нуля», но уже с учётом реальных угроз. И, что важно, с полной синхронизацией с регуляторными требованиями.

Банки — те давно уже в игре. Некоторые даже делают сверх того, сертифицируя внутренние сервисы под два ГОСТа сразу, чтобы не бодаться с Роскомнадзором каждый раз.

3. Локализация данных в соответствии с российскими стандартами

Локализация — слово, которое раздражает западных вендоров, но успокаивает наших юристов. Суть проста: персональные данные россиян — в России. Только. В. России.

Федеральный закон №242-ФЗ заставил многих адаптироваться. Кто-то построил дата-центр, кто-то переехал с Amazon на «СБЕРОблако». Что объединяет? Все опираются на ГОСТы.

Сбербанк и Ростелеком — хорошие примеры. Они не просто хранят данные у себя. Они строят инфраструктуру с учетом требований национальных стандартов информационной безопасности, регулируя контроль доступа, каналы связи, пластины в серверных.

Локализация — это не только про территорию. Это про контроль. Про то, кто на самом деле владеет данными.

4. Биометрия и стандарты защиты данных

Представьте, что вы сдаете отпечаток пальца. Навсегда.

Именно поэтому с биометрией все так строго. Эти данные не поменяешь, как номер паспорта. Утечка — угроза настоящая. Один из экспертов сказал мне: «Если сольют лицо, вернуть его нельзя».

ГОСТы здесь особенно строгие: шифрование, физический контроль доступа, обязательный аудит. В МВД, например, установлены биометрические терминалы с сертифицированным софтом. Каждый проход через систему оставляет след. Каждый доступ логируется.

«Ростелеком» активно внедряет такие решения — с учётом требований ГОСТ. И правильно делает. Потому что ответственность перед миллионами пользователей — не абстракция.

5. Кадастр и его роль в стандартах защиты данных

Когда я участвовала в пилотном ИТ-проекте для Росреестра, впервые осознала, на сколько жизней влияет кадастровая база. Если данные там искажаются — рушатся сделки, жизнь в подвешенном состоянии.

Именно поэтому защита этих систем — не просто бэкграунд, а стратегия. Используются шифрование, динамический контроль доступа, аудит каждой транзакции. Всё — по ГОСТу.

Росреестр сотрудничает с отечественными вендорами безопасности, проходя ежегодную аттестацию по госстандартам. Причём не формально — на выездных проверках смотрят каждую строчку кода защитных решений.

6. Единая биометрическая система (ЕБС) и стандарты защиты

ЕБС — тема горячая. С одной стороны, это удобно: вход по лицу в госуслуги, банк или медицину. С другой — пугающе. Что, если доступ получат не те?

Поэтому всё в этой системе построено на ГОСТ Р 59407-2021 и смежных стандартах. Внутри — строгая иерархия доступа, шифрация, дублирование, контроль юридических оснований. Никакой биометрии без согласия.

Я работала с одной fintech-компанией, интегрировавшейся в ЕБС. Говорили, что ключ к успеху — не просто API, а ежедневный аудит. Не доверяй — проверяй.

Систему активно используют МВД, ПФР, банки. И всё больше интеграторов осознают: ГОСТы — не обуза, а «пояс безопасности».

7. Двойная локализация: вызовы и перспективы

«Они хотят, чтобы данные были и тут, и там, и завтра, и на всякий случай теперь». Так отреагировал мой клиент на идею двойной локализации.

Смысл простой. Не просто хранение в РФ, а создание дубликатов в разных дата-центрах. Чтобы даже при аварии всё продолжало работать. Да, дорого. Да, сложно.

Но ГОСТы и здесь всё расписали: как делается резервирование, кто и когда имеет доступ, какие системы допускаются.

Крупные IT-игроки уже строят дата-центры на Дальнем Востоке и в Поволжье. Некоторые даже в СНГ — с учётом экосистемы. Потому что цифровой суверенитет — уже не лозунг. Это модель будущего.

8. Итоги и рекомендации для бизнеса

Всё чаще слышу от коллег: «Проще сразу всё по ГОСТу делать. Потом не переделывать». И это правда.

Если вы работаете с персональными данными — строите системы, то:

включайте ГОСТ Р 59407-2021 в архитектуру на старте;
инвестируйте в локализацию: не будет второго шанса;
обучайте команду — ошибки дорого обходятся;
выбирайте отечественные решения — особенно с сертификацией.

Что интересно: те, кто прошёл этот путь, реже попадают в отчёты об утечках. Потому что стандарты, как бронежилет — не спасут от всего, но шанс выжить увеличат кратно.

Заключение

Я люблю порядок. Наверное, поэтому ГОСТ Р 59407-2021 мне близок. Он словно карта маршрута в хаосе цифровой эпохи. Показывает не только куда идти, но и как не сбиться с пути.

Для бизнеса это уже не вопрос желания, а вопрос времени. Стандарты ИБ — это меньше про контроль, больше про зрелость. И каждый, кто их внедряет, делает вклад в общее дело — в устойчивость и доверие к системе.

Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал сюда
Календарь мероприятий и событий смотрите здесь