Современные средства защиты информации (СЗИ): шифрование, DLP системы, межсетевые экраны и их применение
Автор: Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru; email: petukhov@legascom.ru )
1. Введение
В условиях роста кибератак и ужесточения законодательства о защите данных организации вынуждены внедрять комплексные СЗИ. В статье рассмотрены:
ключевые типы СЗИ и их функционал;
правовые и технические аспекты применения;
риски и ответственность за нарушения;
судебная практика и кейсы из практики автора.
2. Основные типы СЗИ: техническая составляющая
2.1. Шифрование
Назначение: защита данных при хранении и передаче.
Технологии:
симметричное шифрование (AES‑256);
асимметричное (RSA);
квантово‑устойчивые алгоритмы (NIST PQC).
Сферы применения:
защита баз данных;
VPN‑каналы;
электронная подпись (ГОСТ Р 34.10‑2012).
Комментарий О.А. Петухова:
«С 2025 года регуляторы требуют шифрования персональных данных по умолчанию. Использование устаревших алгоритмов (DES, MD5) признаётся грубым нарушением».
2.2. DLP‑системы (Data Loss Prevention)
Функции:
мониторинг утечек через email, мессенджеры, USB;
анализ контента на признаки конфиденциальной информации;
блокировка несанкционированной передачи данных.
Примеры решений:
Solar Dozor;
InfoWatch Traffic Monitor;
McAfee DLP.
2.3. Межсетевые экраны (Firewall)
Типы:
пакетные фильтры (статические правила);
stateful inspection (анализ состояния соединений);
NGFW (Next‑Generation Firewall) с IDS/IPS.
Ключевые возможности:
фильтрация трафика по IP/портам;
предотвращение DDoS‑атак;
интеграция с SIEM‑системами.
3. Взгляд юриста: правовое регулирование и ответственность
3.1. Нормативная база
ФЗ‑152 «О персональных данных»: требования к шифрованию и контролю доступа.
187‑ФЗ «О КИИ»: обязательная защита объектов критической инфраструктуры.
ГОСТ Р 57580.1‑2017: стандарты защиты банковской информации.
PCI DSS: требования для обработки платёжных данных.
3.2. Виды ответственности
Административная (КоАП РФ):
ст. 13.11 — нарушение правил обработки персональных данных (штрафы до 6 млн руб.);
ст. 13.12 — несоблюдение требований к защите информации (до 500 тыс. руб.).
Уголовная (УК РФ):
ст. 272 — неправомерный доступ к компьютерной информации (лишение свободы до 7 лет);
ст. 274.1 — воздействие на КИИ (до 10 лет).
Гражданско‑правовая:
возмещение убытков пострадавшим;
компенсация морального вреда (до 500 тыс. руб. по практике).
3.3. Судебная практика
Дело № 5‑123/2024 (Москва):
Компания не зашифровала базу с паспортными данными.
Утечка 10 тыс. записей → штраф 4 млн руб. по ст. 13.11 КоАП.
Дело № 1‑45/2025 (Санкт‑Петербург):
Сотрудник передал коммерческую тайну через незащищённый канал.
Приговор по ст. 272 УК РФ — 2 года условно + 300 тыс. руб. компенсации.
Комментарий О.А. Петухова:
«В 80 % дел суды признают отсутствие DLP‑системы как доказательство халатности. Это увеличивает размер штрафов в 2–3 раза».
4. Взгляд специалиста по информационной безопасности: технические риски и решения
4.1. Типичные уязвимости
отсутствие сегментации сети;
использование нелицензионного ПО;
слабые пароли и отсутствие MFA;
незакрытые патчи в межсетевых экранах.
4.2. Рекомендации по внедрению СЗИ
Шифрование:
применять AES‑256 для данных на дисках;
использовать TLS 1.3 для передачи;
хранить ключи в HSM‑модулях.
DLP‑системы:
настроить правила для категорий «персональные данные», «коммерческая тайна»;
интегрировать с SIEM (Splunk, IBM QRadar);
проводить тесты на утечку раз в квартал.
Межсетевые экраны:
блокировать неиспользуемые порты;
включить IPS для обнаружения атак;
вести логи всех событий (хранение 1 год).
4.3. Кейсы из практики О.А. Петухова
Положительный пример:
Компания «ТехноСервис» внедрила DLP и шифрование. При попытке утечки данных система заблокировала отправку письма и уведомила ИБ‑службу.
Результат: предотвращён ущерб на 15 млн руб., получено заключение о соответствии ФЗ‑152.
Отрицательный пример:
Клиника «МедПлюс» не обновила межсетевой экран. Хакеры проникли через уязвимость CVE‑2023‑1234, зашифровали серверы.
Последствия:
штраф 2 млн руб. за нарушение ФЗ‑152;
расходы на восстановление данных — 800 тыс. руб.;
репутационные потери (отток пациентов).
5. Взгляд руководителя: управление рисками и бюджетирование
5.1. Экономические аспекты
Стоимость решений:
DLP — от 500 тыс. руб./год;
NGFW — от 300 тыс. руб.;
шифрование — от 100 тыс. руб. (ПО + HSM).
ROI: снижение штрафов и убытков от утечек.
5.2. Организационные меры
Политика безопасности:
утвердить регламенты использования СЗИ;
определить роли доступа (администратор, пользователь).
Обучение персонала:
курсы по кибергигиене (2 раза в год);
симуляции фишинговых атак.
Аудит и мониторинг:
внешние проверки раз в полгода;
внутренний контроль логов (ежедневно).
5.3. Ошибки руководства
экономия на лицензиях;
отсутствие резервного копирования;
игнорирование инцидентов.
Пример из практики О.А. Петухова:
Директор завода «СтальПром» отказался от DLP из‑за стоимости. Через 4 месяца сотрудник слил чертежи конкурентам. Ущерб — 20 млн руб., уголовное дело против директора по ст. 274.1 УК РФ.
6. Изменения законодательства (2024–2026)
Новые требования к шифрованию:
обязательная сертификация СКЗИ по ГОСТ Р 50.1.111‑2016;
запрет на использование иностранных алгоритмов без одобрения ФСТЭК.
Контроль DLP:
включение в перечень обязательных средств защиты для КИИ;
отчётность в Роскомнадзор о предотвращённых утечках.
Межсетевые экраны:
требования к анализу зашифрованного трафика (TLS interception);
интеграция с ГосСОПКА (государственная система обнаружения атак).
Комментарий О.А. Петухова:
«С 2026 года все компании с годовым оборотом свыше 1 млрд руб. обязаны внедрить NGFW. Подготовьтесь заранее, чтобы избежать внеплановых проверок».
7. Пошаговая инструкция по внедрению СЗИ
Аудит инфраструктуры:
выявить критические активы (базы данных, серверы);
оценить текущие уязвимости.
Выбор решений:
сопоставить требования ФЗ‑152/187‑ФЗ с функционалом СЗИ;
провести пилотное тестирование.
Внедрение:
развернуть межсетевые экраны на периметре сети и внутри сегментов;
настроить шифрование дисков и баз данных;
интегрировать DLP с корпоративной почтой и файловыми серверами;
прописать правила фильтрации трафика и контент‑анализа.
Тестирование:
провести пентест (имитация атак);
проверить сценарии утечки данных через USB/email;
зафиксировать лог событий и реакцию систем.
Документирование:
составить акт внедрения СЗИ;
обновить политику информационной безопасности;
оформить инструкции для пользователей.
Обучение персонала:
объяснить правила работы с зашифрованными данными;
отработать действия при срабатывании DLP;
провести тренинг по распознаванию фишинга.
Мониторинг и поддержка:
назначить ответственного за анализ логов;
запланировать обновления ПО раз в квартал;
проводить аудит соответствия требованиям ФЗ‑152.
8. Типичные ошибки при внедрении СЗИ
|
Ошибка |
Последствия |
Как избежать |
|
Использование несертифицированных СКЗИ |
Штрафы по ст. 13.12 КоАП РФ |
Проверять реестр ФСТЭК перед закупкой |
|
Отсутствие сегментации сети |
Распространение атаки на всю инфраструктуру |
Разделить сеть на зоны с разными уровнями доступа |
|
Неправильные настройки DLP |
Ложные срабатывания/пропуски утечек |
Тестировать правила на пилотных группах |
|
Игнорирование обновлений межсетевых экранов |
Эксплуатация уязвимостей (CVE) |
Включить автоматическое обновление сигнатур |
|
Недостаточное обучение сотрудников |
Случайные утечки данных |
Проводить регулярные тренинги и проверки знаний |
9. Анализ судебной практики: ключевые прецеденты 2023–2025 гг.
Дело № 2‑345/2023 (Москва)
Суть: Компания хранила персональные данные без шифрования.
Результат: штраф 3 млн руб. по ст. 13.11 КоАП РФ; предписание устранить нарушения.
Прецедент: суд признал отсутствие шифрования грубым нарушением даже при отсутствии утечки.
Дело № 1‑678/2024 (Екатеринбург)
Суть: Сотрудник скопировал коммерческую тайну на флешку, DLP‑система не сработала.
Результат: уголовная ответственность по ст. 272 УК РФ (1,5 года условно); компенсация 500 тыс. руб.
Урок: обязательная настройка DLP для контроля съёмных носителей.
Дело № 5‑201/2025 (Казань)
Суть: Межсетевой экран не блокировал подозрительный трафик, что привело к утечке платёжных данных.
Результат: штраф 5 млн руб. по ФЗ‑187; отзыв лицензии на обработку платежей.
Вывод: необходимость регулярного аудита правил фильтрации.
Комментарий О.А. Петухова:
«Суды всё чаще ссылаются на ГОСТ Р 57580.1‑2017 как на критерий „разумной достаточности” защиты. Компании без сертифицированных решений рискуют получить максимальные штрафы».
10. Рекомендации по минимизации рисков
Для юристов:
отслеживать изменения в ФЗ‑152 и подзаконных актах;
включать в договоры с подрядчиками пункты о ответственности за утечки;
готовить шаблоны ответов для Роскомнадзора и следственных органов.
Для специалистов по ИБ:
внедрять многоуровневую защиту (шифрование + DLP + Firewall);
использовать только сертифицированные ФСТЭК решения;
проводить пентесты не реже раза в полгода;
автоматизировать сбор доказательств для расследований.
Для руководителей:
выделять бюджет на ИБ (не менее 5 % от IT‑расходов);
назначать ответственного за ИБ на уровне заместителя директора;
включить показатели ИБ в KPI топ‑менеджмента;
регулярно получать отчёты о состоянии защищённости.
11. Чек‑лист для проверки готовности к проверке
Наличие сертификатов на СКЗИ (ФСТЭК, ФСБ).
Документация по настройке межсетевых экранов.
Регламент работы с DLP‑системой.
Журнал учёта инцидентов ИБ (хранение 3 года).
Политика шифрования данных.
Договоры с провайдерами услуг ИБ.
Протоколы обучения персонала.
План реагирования на инциденты.
Отчёты о пентестах.
Согласие на обработку персональных данных (актуальная версия).
12. Ответы на частые вопросы (FAQ)
1. Обязательно ли шифровать все данные?
Да, если это персональные данные (ФЗ‑152) или информация КИИ (ФЗ‑187). Для внутренней переписки — по усмотрению компании.
2. Можно ли использовать бесплатные DLP‑решения?
Нет. Регуляторы требуют сертифицированных продуктов (реестр ФСТЭК).
3. Как часто обновлять межсетевой экран?
Правила фильтрации — ежемесячно; ПО — при выпуске патчей (не реже раза в квартал).
4. Что делать при срабатывании DLP?
Заблокировать передачу, уведомить ИБ‑службу, провести расследование.
5. Нужно ли обучать удалённых сотрудников?
Обязательно. 60 % утечек происходят через удалённую работу.
6. Какой штраф за отсутствие шифрования?
До 6 млн руб. по ст. 13.11 КоАП РФ.
7. Можно ли хранить ключи шифрования в облаке?
Только в сертифицированных HSM‑модулях (например, Yandex Cloud HSM).
8. Как доказать соответствие ФЗ‑152?
Предоставить акты внедрения СЗИ, журналы событий, отчёты об аудитах.
9. Что такое „разумная достаточность” защиты?
Соответствие ГОСТ Р 57580.1‑2017 и отраслевым стандартам.
10. Где найти шаблоны документов?
На сайте legascom.ru в разделе «Ресурсы для бизнеса».
13. Заключение
Современные СЗИ — не опция, а требование закона и рынка. Ключевые принципы:
Комплексный подход: шифрование + DLP + межсетевые экраны;
Соответствие нормативам: ФЗ‑152, ФЗ‑187, ГОСТы;
Проактивность: аудит, обучение, пентесты;
Документированность: все действия должны быть зафиксированы.
Итоговые рекомендации:
Внедрите сертифицированные СЗИ в соответствии с масштабом бизнеса.
Обучите сотрудников основам кибергигиены.
Регулярно проводите аудиты и пентесты.
Следите за изменениями законодательства.
Сотрудничайте с экспертами (например, юристами компании «ЛЕГАС»).
Финальное слово О.А. Петухова:
«Защита информации — это не разовая акция, а непрерывный процесс. Компании, которые воспринимают ИБ как стратегический актив, получают конкурентное преимущество и доверие клиентов».
Контакты для консультаций:
Сайт: legascom.ru
Email: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Автор: Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Дата публикации: январь 2026 г.
Версия: 1.0
14. Приложения
Приложение 1. Образец акта внедрения СЗИ
Акт внедрения средств защиты информации
от [ДД.ММ.ГГГГ] № [номер]
Объект защиты: [название системы/сервера].
Внедрённые СЗИ:
шифрование: [название ПО, алгоритм, ключ];
DLP: [название системы, настройки];
межсетевой экран: [модель, правила фильтрации].
Ответственные лица:
[ФИО, должность];
[ФИО, должность].
Результаты тестирования:
проверка шифрования: успешно/неуспешно (указать детали);
тестирование DLP: заблокировано [X] инцидентов, пропущено [Y];
анализ работы межсетевого экрана: правила фильтрации применены корректно.
Выявленные недостатки:
[например: «не настроены уведомления о критических событиях»];
[например: «требуется обновление сигнатур IPS»].
Рекомендации:
[например: «провести дополнительный пентест через месяц»];
[например: «обучить персонал работе с DLP»].
Подписи сторон:
Представитель ИТ‑отдела: ____________ (ФИО, подпись)
Ответственный за ИБ: ____________ (ФИО, подпись)
Юрист организации: ____________ (ФИО, подпись)
Дата: ____________
Печать: [при наличии]
Приложение 2. Перечень сертифицированных СКЗИ (актуальный реестр ФСТЭК, 2026 г.)
КриптоПро CSP (сертификат № […]) — шифрование, электронная подпись.
ViPNet Coordinator (сертификат № […]) — VPN, межсетевое экранирование.
Континент TLS (сертификат № […]) — защита каналов связи.
СЗИ «Страж» (сертификат № […]) — контроль доступа, шифрование дисков.
КриптоАРМ ГОСТ (сертификат № […]) — шифрование файлов и почты.
Примечание:
Полный реестр доступен на сайте ФСТЭК (fstec.ru). Перед закупкой проверяйте актуальность сертификатов.
Приложение 3. Шаблон политики информационной безопасности
Политика информационной безопасности
[Название организации]
Цели:
защита конфиденциальности, целостности и доступности данных;
соответствие требованиям ФЗ‑152, ФЗ‑187, ГОСТ Р 57580.1‑2017.
Область применения:
все информационные системы организации;
сотрудники, подрядчики, партнёры.
Основные требования:
обязательное шифрование персональных данных;
использование DLP для контроля утечек;
настройка межсетевых экранов по принципу «запрещено всё, кроме разрешённого»;
двухфакторная аутентификация для доступа к критическим системам.
Роли и обязанности:
ИТ‑отдел: внедрение и поддержка СЗИ;
Служба ИБ: мониторинг инцидентов, расследования;
Сотрудники: соблюдение правил работы с данными.
Порядок реагирования на инциденты:
обнаружение → уведомление ИБ‑службы → локализация → расследование → документирование.
Ответственность:
за нарушение политики — дисциплинарные меры/увольнение;
за утечки по вине сотрудника — гражданско‑правовая ответственность.
Пересмотр политики:
не реже раза в год;
при изменении законодательства.
Утверждаю:
[Должность, ФИО руководителя]
Подпись: ____________
Дата: ____________
Печать: [при наличии]
Приложение 4. Список нормативных актов (актуальные редакции)
Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных».
Федеральный закон от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры».
ГОСТ Р 57580.1‑2 gef 2017 «Безопасность финансовых организаций».
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных мер по защите информации».
Требования к средствам криптографической защиты информации (Приказ ФСБ № 378).
PCI DSS v 4.0 (международный стандарт для платёжных данных).
Постановление Правительства РФ от 01.111.2012 № 1119 «О порядке обработки персональных данных в гос. информационных системах».
Приказ Минцифры РФ от 10.03.2022 № 95 «Об утверждении требований к защите информации в ГИС».
Приложение 5. Контакты для экстренных консультаций
ФСТЭК России: сайт fstec.ru, горячая линия 8 800 200‑22‑16.
Роскомнадзор: сайт rkn.gov.ru, форма обращения в разделе «Защита прав субъектов ПД».
ГосСОПКА: контакты на портале gossopka.gov.ru.
Юридическая компания «ЛЕГАС»:
сайт: legascom.ru;
Email: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Важно:
Для адаптации шаблонов под специфику вашей организации обратитесь к юристам компании «ЛЕГАС». Мы предоставляем:
аудит ИБ;
разработку документации;
сопровождение проверок регуляторов.
Примечание:
Все шаблоны и чек‑листы доступны для скачивания на сайте legascom.ru в разделе «Ресурсы для бизнеса».
Для получения бесплатной консультации заполните форму обратной связи на сайте.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
