Что случилось 1 марта 2026 года

1 марта 2026 года в России вступило в силу Постановление Правительства № 1667 — правила централизованного управления сетью связи общего пользования. Роскомнадзор, ФСБ и Минцифры получили полномочия изменять маршрутизацию трафика и переводить сеть в режим изоляции. ФСБ может требовать от операторов связи отключения абонентов. Операторы освобождаются от ответственности перед клиентами за такие действия.

Параллельно ФСТЭК вводит обязательные требования по ИБ для подрядчиков критической инфраструктуры. С 1 сентября 2026 года домены .ru/.рф смогут регистрировать только компании из специальных реестров. С 1 июля 2025 года первичный сбор персональных данных россиян разрешён только на серверах, физически расположенных в России.

А оборотные штрафы по 420-ФЗ — до 500 млн рублей за повторную утечку — уже работают.

Контекст изменился. Раньше сертификация ИБ была «хорошим тоном». Теперь это условие выживания. Вопрос не «нужна ли сертификация», а «какая именно».

Марина — владелица бухгалтерской фирмы на 12 человек. Клиент спросил: «У вас есть подтверждение, что наши данные защищены?» Марина открыла Яндекс и утонула. ISO 27001, аттестация ФСТЭК, SOC 2, ГОСТ Р 57580... Каждый подрядчик продаёт своё. Цены — от 75 тысяч до нескольких миллионов. Сроки — от недели до года.

Три знакомых — три совета — три разных стандарта. И все три — не для Марины.

1. Аттестация ФСТЭК: когда государство требует бумагу

Аналогия: аттестация — это техосмотр автомобиля. Проверяют аптечку, огнетушитель, знак. Всё есть? Штамп. А что вы ездите на лысой резине и тормоза скрипят — не тема техосмотра.

Государственная процедура подтверждения, что информационная система соответствует требованиям ФСТЭК и ФСБ.

Реальная история

Компания «СтройПроект» (название изменено) выиграла тендер на госзаказ. Условие — аттестация ИС. Заплатили 340 тысяч. Ждали 4 месяца. Получили аттестат. Через полгода бухгалтер открыла письмо с вирусом-шифровальщиком — базу 1С зашифровало полностью. Аттестат висел на стене в рамке. Бэкапов не было — аттестация их не проверяет.

Кому обязательна

Государственные информационные системы (ГИС), объекты КИИ, организации с гостайной, лицензиаты ФСТЭК/ФСБ. С 2026 года — подрядчики значимых объектов КИИ. Для обычного коммерческого бизнеса — добровольна.

Сколько стоит

Масштаб	Стоимость	Сроки
1 рабочее место	от 75 000 ₽	1–2 мес.
Средняя ИС	200–500 тыс. ₽	2–4 мес.
ИСПДн (3 уровень)	от 1 млн ₽	3–6 мес.
Крупная ГИС	несколько млн ₽	6+ мес.

Плюс сертифицированные СЗИ (в 2–3 раза дороже обычных), полный пакет документации и переаттестация при каждом изменении. Добавили рабочее место? Обновили ОС? Формально — повторная проверка.

Главная проблема

710 миллионов записей утекло из аттестованных государственных систем в 2024 году. ФСБ, которая сама устанавливает требования, допустила утечку базы «Кордон» — 500 ГБ данных за 10 лет. ДИТ Москвы — 13,4 млн записей. Ростелеком. СДЭК.

Вердикт: если работаете с госзаказчиками или подрядчик КИИ — без аттестации не обойтись. Для остальных — дорогая бумага без гарантий. Как диплом: нужен при устройстве на работу, но не делает вас хорошим специалистом.

2. ISO 27001: корпоративный стандарт для больших

Аналогия: ISO — это как выстроить систему управления качеством на заводе. Не «закрутите болт», а «опишите процесс, по которому решаете, какие болты закручивать, кто проверяет, и как вы улучшаете этот процесс каждый квартал».

Международный стандарт системы управления ИБ — ISMS. Описывает не технические требования, а процессы: как выявлять риски, реагировать, контролировать.

Реальная история

Антон — директор IT-агентства на 30 человек. Немецкий заказчик попросил ISO 27001. Консалтинг — 1,2 млн. Аудит — 400 тысяч. 8 месяцев работы. Итого — 1,6 млн рублей. Но немецкий контракт принёс 12 млн за год. Окупился.

А для Марины с бухгалтерией? У неё нет международных клиентов. Её клиенты — ООО из соседнего бизнес-центра. Им ISO ни о чём не говорит.

Сколько стоит

Этап	Стоимость	Сроки
Подготовка (консалтинг)	500 тыс. — 3 млн ₽	3–9 мес.
Сертификационный аудит	300 тыс. — 1 млн ₽	2–4 недели
Ежегодный надзорный аудит	150–400 тыс. ₽	ежегодно
Ресертификация (каждые 3 года)	300–700 тыс. ₽	—

Итого за 3 года: от 1,5 до 6 млн. Плюс кто-то должен поддерживать документацию. В компании из 12 человек этот «кто-то» — вы сами.

Вердикт: мощный инструмент для IT-компаний с международными клиентами. Немецкий заказчик увидел ISO — подписал контракт. Для бухгалтерии, стоматологии, юрфирмы — грузовик для поездок в магазин.

3. SOC 2: пропуск на американский рынок

Аналогия: SOC 2 — это виза в США. Без неё не пустят. С ней — пустят. Если вы не собираетесь в США — виза не нужна.

Американский стандарт AICPA. Пять критериев: безопасность, доступность, целостность, конфиденциальность, приватность. Type I — фотография на дату. Type II — наблюдение 6–12 месяцев (вот это серьёзная проверка).

Реальная история

Дмитрий делает SaaS для логистики. Вышел на американский рынок. Первый клиент: «Where’s your SOC 2?» Без него — даже пилот не запускают. Потратил 2,8 млн и 9 месяцев. Но клиент приносит $15K/мес. Окупилось за полгода.

Тип	Стоимость	Сроки
SOC 2 Type I	1–3 млн ₽	2–4 мес.
SOC 2 Type II	2–5 млн ₽	6–12 мес.
Ежегодный аудит	1–3 млн ₽	ежегодно

Вердикт: обязателен для продажи IT-продукта в США. Для остальных — загранпаспорт для человека, который никуда не летает.

4. Практическая сертификация: проверяем провода, а не бумаги

Аналогия: вы покупаете квартиру. Формальная аттестация — проверяют разрешение на строительство и акт ввода. Практическая сертификация — инженер приходит, проверяет проводку, трубы, стены и говорит: «Здесь живите спокойно, а тут переделайте, иначе зальёте соседей».

Как это выглядит: история Марины

Марина оставила заявку. На следующий день наш инженер подключился удалённо и за 4 часа нашёл:

Данные клиентов — на локальном компьютере бухгалтера, без шифрования
Доступ ко всем данным — у всех 12 сотрудников, включая стажёра
Бэкапы — на внешнем диске, который лежит в том же столе
Wi-Fi — без пароля, один роутер от провайдера
Антивирус — бесплатная версия на половине машин
Уведомление в Роскомнадзор — не подавали

Марина получила отчёт: не 200 страниц регламентов, а 3 страницы конкретных действий. Через неделю данные перенесены в защищённый контур. Шифрование, контроль доступа, бэкапы в дата-центре Tier III. Сертификат + плашка на сайт. Клиент увидел плашку — подписал договор на год.

Сколько стоит

Этап	Стоимость	Сроки
Диагностика	бесплатно	1–2 дня
Сертификат (если всё ОК)	бесплатно	сразу
Доработка инфраструктуры	по объёму работ	3–5 дней
Повторная проверка	бесплатно	1 день

Вердикт: оптимальный вариант для 90% российского B2B. Бухгалтерия, юрфирма, стоматология, интернет-магазин, консалтинг. Быстро, понятно, без бюрократии.

Два B2B-кейса, которые решает только практическая сертификация

Кейс 1. Подтверждение режима коммерческой тайны (98-ФЗ)

Консалтинговая компания «ФинСтратегия» (название изменено) работает с крупными клиентами. В договорах — пункт о коммерческой тайне. Клиент присылает финансовую модель, стратегию выхода на рынок, данные о сделках. И спрашивает: «Как вы обеспечиваете режим коммерческой тайны?»

По 98-ФЗ для установления режима коммерческой тайны нужно:

Определить перечень информации, составляющей коммерческую тайну
Ограничить доступ — установить порядок обращения с информацией и контроль за его соблюдением
Вести учёт лиц, получивших доступ, и лиц, которым информация передана
Нанести гриф «Коммерческая тайна» на все носители

Звучит просто на бумаге. На практике — как это сделать, если данные лежат на обычном компьютере? Сотрудник может скопировать файл на флешку, переслать на личную почту, сфотографировать экран. Режим коммерческой тайны формально установлен — положение подписано, гриф стоит — но технически он не обеспечен.

В суде это ключевой момент. Если компания не может доказать, что предприняла реальные меры по ограничению доступа — суд откажет в защите коммерческой тайны. Положение на бумаге без технических мер — это как замок на открытой двери.

Что даёт практическая сертификация: данные хранятся на защищённых виртуальных машинах в дата-центре. Копирование на флешку — невозможно. Пересылка на личную почту — заблокирована. Каждое действие журналируется. Доступ — только у назначенных сотрудников. Это техническая база для тех «реальных мер», которые требует 98-ФЗ. Юридическое оформление режима — приказ, перечень сведений, грифы, ознакомление сотрудников — остаётся на стороне компании (или её юриста). Но без технических мер юридические документы бессмысленны: суд откажет в защите, если компания не смогла доказать, что физически ограничила доступ.

Кейс 2. Иностранная компания открывает представительство в России

Немецкая инжиниринговая компания открывает представительство в Москве. 8 сотрудников. Задача — быстро начать работать, соблюсти российское законодательство и не строить собственную серверную.

Проблема: с 1 июля 2025 года обновлённая ч. 5 ст. 18 152-ФЗ прямо запрещает первичный сбор и хранение персональных данных россиян на серверах за рубежом. Нельзя использовать CRM, ERP, почтовые сервисы, если их серверы за пределами РФ.

При этом передача данных из российского представительства в головной офис — это трансграничная передача. Для неё нужно:

Отдельно уведомить Роскомнадзор о намерении осуществлять трансграничную передачу
Получить от головного офиса сведения о мерах защиты ПДн
Документировать правовое регулирование ИБ в стране получателя

Немецкий директор в шоке: нужен сервер в России, нужна локализация данных, нужно соблюсти 152-ФЗ и 420-ФЗ, нужно оформить трансграничную передачу. А бизнес уже запущен — клиенты ждут.

Как решает практическая сертификация: мы разворачиваем виртуальные рабочие места в российском дата-центре Tier III за 3–5 дней. Данные физически в РФ — требование локализации выполнено. Доступ из любой точки мира через защищённый канал. Контроль, шифрование, журналирование — для трансграничной передачи есть документальное подтверждение мер защиты. Сертификат — доказательство для Роскомнадзора, что данные обрабатываются по стандартам ИБ. Ни аттестация ФСТЭК, ни ISO это не решают так быстро и комплексно.

Сводная таблица

Критерий	ФСТЭК	ISO 27001	SOC 2	Безопасный Офис
Стоимость	от 200 тыс. ₽	от 1,5 млн ₽	от 1 млн ₽	бесплатно*
Сроки	2–6 мес.	3–12 мес.	2–12 мес.	1–2 дня
Что проверяют	документы	процессы	контроли	инфраструктуру
Юр. сила в РФ	да	нет	нет	нет**
Тех. меры для 98-ФЗ (ком. тайна)	нет	косвенно	нет	да***
Решает локализацию ПДн	нет	нет	нет	да
Защитит от реальной атаки?	нет	зависит	Type II — да	да
Подходит B2B на 5–50 человек?	избыточна	слишком дорого	не актуально	идеально

* Диагностика и сертификат бесплатны. Оплачивается только доработка инфраструктуры, если необходима.
** Подтверждает соответствие 152-ФЗ и 420-ФЗ, но не является аттестатом ФСТЭК.
*** Обеспечивает технические меры (блокировка копирования, журналирование, контроль доступа). Юридическое оформление режима КТ — на стороне компании.

Три вопроса вместо 200 страниц стандартов

Вы работаете с государством? Тендеры, госконтракты, ГИС, подряды на КИИ? → Аттестация ФСТЭК, без вариантов. Но параллельно проверьте реальную инфраструктуру — аттестат не спасёт от шифровальщика.

Вы продаёте IT-продукт за рубеж? Европа, Азия → ISO 27001. США → SOC 2. Без них крупные зарубежные клиенты не выйдут даже на звонок.

Вы — B2B-компания с данными клиентов? Бухгалтерия, юрфирма, консалтинг, клиника, представительство иностранной компании? → Практическая сертификация. Реальная защита + соответствие 152-ФЗ и 420-ФЗ + техническая база для режима коммерческой тайны по 98-ФЗ. За дни, не за месяцы.

Пять заблуждений, которые стоят денег

«Без сертификата ФСТЭК/ISO нас оштрафуют»

Штрафуют за утечку данных и нарушение 152-ФЗ, а не за отсутствие конкретного сертификата. Компания с аттестатом ФСТЭК, из которой утекли данные, получит тот же штраф до 500 млн.

«Чем дороже — тем надёжнее»

Аттестация госсистем стоит сотни миллионов рублей. Результат — 710 млн утёкших записей за год. Цена не равна защищённости.

«Сертификат остановит хакера»

Хакера останавливает файрвол, шифрование и мониторинг. Сертификат — документ. Когда бухгалтер «СтройПроекта» открыла заражённое письмо, аттестат ФСТЭК не мигнул.

«Мы маленькие, нас не тронут»

43% кибератак — на малый бизнес. Штрафы по 420-ФЗ одинаковы для ООО на 5 человек и корпорации на 5 тысяч. 60% малых компаний закрываются в течение 6 месяцев после серьёзной атаки.

«Наш бизнес не интересен хакерам»

Хакеры атакуют не тех, кто интересен, а тех, кто не защищён. Автоматические сканеры проверяют миллионы IP-адресов в день. Им всё равно, бухгалтерия вы или банк. Нашли дыру — зашли.

Для юристов: границы ответственности

Если вы юрист компании или консультируете клиента — вот что важно понимать о разграничении.

Что обеспечиваем мы (технические меры):

Инфраструктура для хранения и обработки данных в российском дата-центре Tier III
Контроль доступа: авторизация по учётным записям, разграничение прав
Блокировка вывода данных: копирование на USB, пересылка на внешнюю почту
Журналирование действий пользователей (кто, когда, к каким файлам обращался)
Шифрование данных при хранении и передаче
Сертификат соответствия стандартам ИБ «Безопасный Офис»

Что остаётся на стороне компании (юридические меры):

Приказ об установлении режима коммерческой тайны (ст. 10 98-ФЗ)
Перечень сведений, составляющих коммерческую тайну
Нанесение грифа «Коммерческая тайна» на носители
Ознакомление сотрудников под подпись
Уведомление Роскомнадзора (152-ФЗ, трансграничная передача)
Подготовка локальных нормативных актов по ПДн

Ключевой момент: ст. 10 98-ФЗ требует и юридических, и технических мер одновременно. Без технических мер суд не признает режим коммерческой тайны установленным — даже если все документы оформлены идеально. Без юридического оформления технические меры не дают правовой защиты. Нужно и то, и другое. Мы закрываем техническую часть, ваш юрист — документальную.

Что делать прямо сейчас

Март 2026. Суверенный интернет уже работает. Оборотные штрафы уже действуют. Требования ФСТЭК к подрядчикам КИИ оформляются. Требование локализации ПДн — закон с июля 2025.

Не выбирайте сертификацию по принципу «что круче звучит». Начните с диагностики — поймите, в каком состоянии ваша инфраструктура сегодня.

Мы проводим диагностику бесплатно. За 1–2 дня покажем реальную картину: что защищено, что нет, какие законы нарушены прямо сейчас. Без обязательств.