• Использовать сертифицированные средства защиты;
• Выполнять требования ФСТЭК и ФСБ;
• Обеспечить контроль цепочек поставок и источников данных.

Если вы директор компании, которая работает с инфраструктурными заказчиками, вопросы ИБ и импортозамещения напрямую влияют на участие в закупках и долгосрочных контрактах. Несоответствие требованиям — это не просто риск, а основание для исключения из реестров и тендеров.

Указ Президента №250: безопасность становится управленческой задачей

Указ Президента №250 усилил требования к тому, как организации, связанные с критической инфраструктурой, должны обеспечивать защиту информации:

• Назначить ответственного за информационную безопасность,
• Создать внутренние подразделения или назначить сотрудников по ИБ,
• Привлекать только аккредитованных подрядчиков — с лицензиями ФСТЭК, ФСБ или статусом центра ГосСОПКА.

В случае серьезной утечки регуляторы могут привлечь не только Роскомнадзор, но и прокуратуру — с вопросом, как руководство обеспечило защиту данных.

Ужесточение ответственности за утечки персональных данных

За последние два года штрафы за утечки ПД выросли в разы. Компании, допустившие компрометацию данных сотрудников или клиентов, могут столкнуться с:

• Многомиллионными штрафами;
• Предписаниями об ограничении или приостановке обработки данных;
• Публичными расследованиями и медийными скандалами;
• Потерей доверия партнеров и инвесторов.

По оценке экспертов, до 70–75 % утечек случаются из-за ошибок сотрудников: кто-то открыл письмо, перешёл по ссылке, ввел пароль на фишинговом сайте.

Достаточно одного письма с вредоносной ссылкой, чтобы злоумышленники получили доступ к данным. Если окажется, что сотрудники не были обучены, вина ляжет на компанию и ее руководство.

Закон о защите КИИ: можно попасть под требования, даже если вы не «атомная станция»

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» регулирует защиту тех систем, от которых зависит работа государства и экономики.
Под действие закона попадают информационные системы и сети в сферах:

• Банковская и иные сферы финансового рынка;
• Здравоохранение;

2025 год изменил правила игры в сфере кибербезопасности. Государство усилило требования, бизнес работает под строгим контролем, а количество кибератак выросло в разы.

Сегодня информационная безопасность — это не техническая задача, а зона личной ответственности генерального директора. Если раньше защиту можно было делегировать айтишникам, теперь она стоит в одном ряду с финансами, охраной труда и управлением рисками.

В требованиях законодательства указано: именно руководитель организации отвечает за то, насколько надежно защищены данные и процессы.

Указ Президента №166: курс на технологическую независимость и безопасность КИИ

Этот документ требует, чтобы все критические информационные инфраструктуры (КИИ) — банки, промышленные предприятия, транспорт, энергетика, госструктуры — использовали только отечественные решения и средства защиты.

Фактически это означает, что любая компания, имеющая дело с государственными заказами, инфраструктурой или персональными данными, должна отказаться от иностранного ПО и сервисов в критичных процессах:

• Транспорт и логистика;
• Связь и телеком;
• Энергетика и топливно-энергетический комплекс;
• Атомная, оборонная, промышленность и другие критичные отрасли. 

Если ваша компания работает в одной из этих сфер и ваши информационные системы влияют на устойчивость ключевых процессов — вы можете подпадать под требования 187-ФЗ как потенциальный субъект КИИ.

Это означает, что вам необходимо:

• Провести категорирование объектов КИИ;
• Внедрить средства защиты и мониторинга;
• Обучить сотрудников распознаванию угроз и правильным действиям при инцидентах.

Человеческий фактор — главный риск 2025 года

Даже идеальная инфраструктура не защитит, если бухгалтер, HR или менеджер по продажам не умеют отличить фишинг от настоящего письма. Именно поэтому ключевым элементом ИБ-стратегии становится обучение и повышение осведомленности.

Корпоративные курсы «для галочки» здесь не работают — нужна системная работа по формированию культуры цифровой гигиены.

Что должно быть у каждой компании:

1. Программа обучения сотрудников, которая обновляется ежегодно;
2. Регулярные фишинг-симуляции и проверка готовности;
3. Простые политики и инструкции ИБ, понятные каждому;
4. Четкий порядок реагирования на инциденты: кто, кому и как сообщает;
5. Единый центр ответственности за информационную безопасность.

Что делать генеральному директору уже сегодня

1. Проверить, кто отвечает за ИБ в компании.
Если защитой занимается «айтишник на полставки» - вы рискуете. Назначьте ответственного специалиста, для которого ИБ не второстепенная роль, а основная работа.

2. Провести оценку готовности к требованиям законов и указов.
Вендоры и консалтинговые компании помогут провести аудит и выдать понятный отчёт «где мы сейчас» и «что нужно сделать».

3. Организовать обучение сотрудников.
Фишинг, социнженерия и человеческая ошибка являются главными источниками инцидентов. Платформы повышения осведомленности позволяют в автоматическом режиме обучать, проверять и мотивировать персонал безопасно работать с данными.

4. Настроить мониторинг и отчетность.
Это нужно, чтобы в случае проверки можно было документально доказать, что компания выполняет требования.

Почему awareness-программа — это не затраты, а инвестиция

Каждый рубль, вложенный в осведомленность сотрудников, экономит десятки тысяч, которые компания потеряла бы из-за фишинга, ransomware или утечки данных.

Обученный сотрудник — это ваш «человеческий firewall». Он понимает логику фишеров, знает свои слабые места, распознаёт манипуляции и не ведётся на срочность и давление. Такой сотрудник снижает риск инцидента в разы — просто потому, что принимает правильное решение в нужный момент.

В условиях, когда кибератаки становятся массовыми, а ответственность руководства — персональной, обучение сотрудников является не просто мерой предосторожности, а частью стратегии выживания бизнеса.

Заключение

Информационная безопасность — это не айтишная история. Это вопрос доверия клиентов, стабильности бизнеса и личной ответственности руководителя.
2025 год окончательно разделил компании на две категории:

• Те, кто системно работает с ИБ и воспринимает её как часть корпоративной стратегии;
• И те, кто ждет первого инцидента и потом тушит пожар в авральном режиме.

Руководители, которые осознают масштаб изменений, начинают не с покупки оборудования, а с людей — с их знаний, привычек и цифровой дисциплины.

Обучение и осведомленность — ваш самый сильный инструмент, который защитит бизнес, людей и репутацию.