Нормативный шторм в ИБ 2026: как бизнесу успеть за регуляторами?
Регуляторы усиливают требования к информационной безопасности на фоне роста количества и сложности кибератак. Обновляется нормативная база, а приказ 117 ФСТЭК России вводит обязанность контролировать еще и подрядчиков. Как действовать компаниям без сильной юридической и ИБ-экспертизы? Как не пропустить важные изменения, выстроить системную работу еще до того как придет проверка? Разбираемся в вопросе с Андреем Бондюгиным, директором по сопровождению проектов промышленной безопасности Лаборатории Касперского. — С чем связана «нормативная лихорадка» последних лет? Это реакция на кибератаки или требование времени? — И то, и другое. Конечно, ландшафт угроз меняется, и мы видим, что год от года растет количество атак. Что еще более важно, меняются их качество: растет скорость реализации атак, появляются новые техники и тактики злоумышленников. Один из примеров — это применение технологий искусственного интеллекта для реализации и автоматизации вредоносных действий. В то же время такие технологии применяются и на стороне защищающихся. И задача регулятора — периодически адаптировать требования безопасности, к условиям меняющейся инфраструктуры, меняющейся модели угроз, а также учесть предыдущий опыт регулирования в отрасли. Сейчас как раз-таки мы проживаем тот этап, когда та нормативная база, которая была сформирована в середине 2010-х годов уточняется и дополняется с учетом современных реалий. — Давайте перейдем к конкретике. Приказ 117 ФСТЭК России теперь обязывает контролировать и подрядчиков в том числе. Насколько малый и средний бизнес, без большого штата юристов, способен такие вещи отслеживать? — Действительно, безопасность подрядчиков — это одно из нововведений в законодательстве. И это неспроста. По нашим данным, только в прошлом году более 30% кибератак как раз были связаны с атакой на цепочки поставок. То есть, проще говоря, на подрядчиков. Для малого и среднего бизнеса, конечно, это довольно серьезный вызов, потому что раньше подобных требований не предъявлялось. И сейчас многие из компаний стоят перед выбором: заниматься информационной безопасностью или нет. Если не заниматься, тогда, скорее всего, они будут неконкурентны в будущем на рынке своих услуг. Если заниматься, то это потребует определённых усилий и вложений, но зато они смогут использовать свой опыт и накопленную экспертизу в ИБ как существенное конкурентное преимущество. В крупном корпоративном бизнесе зачастую есть целые подразделения, которые занимаются комплайенсом — обеспечением соответствия нормативным требованиям в сфере ИБ. Но если мы говорим про компании из малого и среднего бизнеса, то для них это сложнее, потому что сейчас для выполнения данной функции выделенных специалистов, и тем более подразделений у них зачастую нет. Это означает, что компаниям придется либо наращивать свою экспертизу в этой области, возможно, нанимать специалистов в штат, либо прибегать к помощи надежных партнеров. — Как компании убедиться, что она трактует требования регулятора правильно? Есть ли возможность сверить свое понимание выполнения закона с тем, как понимает его регулятор? — Это зависит от области деятельности компании. Например, для государственных организаций предусматривается аттестация информационных систем. Это означает, что есть понятный алгоритм, как проверить, что требования приказа выполнены должным образом. В других случаях, например, в области безопасности объектов критической информационной инфраструктуры аттестация не обязательна, но компания может прибегнуть к помощи игроков рынка, которые имеют в этом вопросе большой опыт, насмотренность — это вендоры по информационной безопасности и компании-интеграторы. Они смогут направить усилия заказчика в нужное русло и определить, что конкретно и как нужно делать, чтобы эти требования выполнить. — Есть ли инструменты, которые помогают бизнесу быстро понять, что им нужно делать, не перерывая горы бумаг? — Да, такие инструменты есть. Как раз не так давно Лаборатория Касперского запустила свою бесплатную общедоступную базу знаний, которая называется «Регуляторный хаб». Это онлайн-портал, где собраны актуальные требования по информационной безопасности от нескольких регуляторов — федеральных и отраслевых. Более того, эти требования изложены понятным языком, чтобы даже новичкам в этой сфере было проще в них разобраться. Также там можно найти конкретные практические рекомендации о том, что нужно сделать — какие меры, процессы или технологии по информационной безопасности нужно у себя внедрить для того, чтобы выполнить требования регуляторов. На сегодняшний день этой базой знаний ежемесячно пользуется около 4000 человек, и мы рассчитываем, что эта цифра будет только расти.