Что случилось 1 марта 2026 года
1 марта 2026 года в России вступило в силу Постановление Правительства № 1667 — правила централизованного управления сетью связи общего пользования. Роскомнадзор, ФСБ и Минцифры получили полномочия изменять маршрутизацию трафика и переводить сеть в режим изоляции. ФСБ может требовать от операторов связи отключения абонентов. Операторы освобождаются от ответственности перед клиентами за такие действия.
Параллельно ФСТЭК вводит обязательные требования по ИБ для подрядчиков критической инфраструктуры. С 1 сентября 2026 года домены .ru/.рф смогут регистрировать только компании из специальных реестров. С 1 июля 2025 года первичный сбор персональных данных россиян разрешён только на серверах, физически расположенных в России.
А оборотные штрафы по 420-ФЗ — до 500 млн рублей за повторную утечку — уже работают.
Контекст изменился. Раньше сертификация ИБ была «хорошим тоном». Теперь это условие выживания. Вопрос не «нужна ли сертификация», а «какая именно».
Марина — владелица бухгалтерской фирмы на 12 человек. Клиент спросил: «У вас есть подтверждение, что наши данные защищены?» Марина открыла Яндекс и утонула. ISO 27001, аттестация ФСТЭК, SOC 2, ГОСТ Р 57580... Каждый подрядчик продаёт своё. Цены — от 75 тысяч до нескольких миллионов. Сроки — от недели до года.
Три знакомых — три совета — три разных стандарта. И все три — не для Марины.
1. Аттестация ФСТЭК: когда государство требует бумагу
Аналогия: аттестация — это техосмотр автомобиля. Проверяют аптечку, огнетушитель, знак. Всё есть? Штамп. А что вы ездите на лысой резине и тормоза скрипят — не тема техосмотра.
Государственная процедура подтверждения, что информационная система соответствует требованиям ФСТЭК и ФСБ.
Реальная история
Компания «СтройПроект» (название изменено) выиграла тендер на госзаказ. Условие — аттестация ИС. Заплатили 340 тысяч. Ждали 4 месяца. Получили аттестат. Через полгода бухгалтер открыла письмо с вирусом-шифровальщиком — базу 1С зашифровало полностью. Аттестат висел на стене в рамке. Бэкапов не было — аттестация их не проверяет.
Кому обязательна
Государственные информационные системы (ГИС), объекты КИИ, организации с гостайной, лицензиаты ФСТЭК/ФСБ. С 2026 года — подрядчики значимых объектов КИИ. Для обычного коммерческого бизнеса — добровольна.
Сколько стоит
| Масштаб | Стоимость | Сроки |
|---|---|---|
| 1 рабочее место | от 75 000 ₽ | 1–2 мес. |
| Средняя ИС | 200–500 тыс. ₽ | 2–4 мес. |
| ИСПДн (3 уровень) | от 1 млн ₽ | 3–6 мес. |
| Крупная ГИС | несколько млн ₽ | 6+ мес. |
Плюс сертифицированные СЗИ (в 2–3 раза дороже обычных), полный пакет документации и переаттестация при каждом изменении. Добавили рабочее место? Обновили ОС? Формально — повторная проверка.
Главная проблема
710 миллионов записей утекло из аттестованных государственных систем в 2024 году. ФСБ, которая сама устанавливает требования, допустила утечку базы «Кордон» — 500 ГБ данных за 10 лет. ДИТ Москвы — 13,4 млн записей. Ростелеком. СДЭК.
Вердикт: если работаете с госзаказчиками или подрядчик КИИ — без аттестации не обойтись. Для остальных — дорогая бумага без гарантий. Как диплом: нужен при устройстве на работу, но не делает вас хорошим специалистом.
2. ISO 27001: корпоративный стандарт для больших
Аналогия: ISO — это как выстроить систему управления качеством на заводе. Не «закрутите болт», а «опишите процесс, по которому решаете, какие болты закручивать, кто проверяет, и как вы улучшаете этот процесс каждый квартал».
Международный стандарт системы управления ИБ — ISMS. Описывает не технические требования, а процессы: как выявлять риски, реагировать, контролировать.
Реальная история
Антон — директор IT-агентства на 30 человек. Немецкий заказчик попросил ISO 27001. Консалтинг — 1,2 млн. Аудит — 400 тысяч. 8 месяцев работы. Итого — 1,6 млн рублей. Но немецкий контракт принёс 12 млн за год. Окупился.
А для Марины с бухгалтерией? У неё нет международных клиентов. Её клиенты — ООО из соседнего бизнес-центра. Им ISO ни о чём не говорит.
Сколько стоит
| Этап | Стоимость | Сроки |
|---|---|---|
| Подготовка (консалтинг) | 500 тыс. — 3 млн ₽ | 3–9 мес. |
| Сертификационный аудит | 300 тыс. — 1 млн ₽ | 2–4 недели |
| Ежегодный надзорный аудит | 150–400 тыс. ₽ | ежегодно |
| Ресертификация (каждые 3 года) | 300–700 тыс. ₽ | — |
Итого за 3 года: от 1,5 до 6 млн. Плюс кто-то должен поддерживать документацию. В компании из 12 человек этот «кто-то» — вы сами.
Вердикт: мощный инструмент для IT-компаний с международными клиентами. Немецкий заказчик увидел ISO — подписал контракт. Для бухгалтерии, стоматологии, юрфирмы — грузовик для поездок в магазин.
3. SOC 2: пропуск на американский рынок
Аналогия: SOC 2 — это виза в США. Без неё не пустят. С ней — пустят. Если вы не собираетесь в США — виза не нужна.
Американский стандарт AICPA. Пять критериев: безопасность, доступность, целостность, конфиденциальность, приватность. Type I — фотография на дату. Type II — наблюдение 6–12 месяцев (вот это серьёзная проверка).
Реальная история
Дмитрий делает SaaS для логистики. Вышел на американский рынок. Первый клиент: «Where’s your SOC 2?» Без него — даже пилот не запускают. Потратил 2,8 млн и 9 месяцев. Но клиент приносит $15K/мес. Окупилось за полгода.
| Тип | Стоимость | Сроки |
|---|---|---|
| SOC 2 Type I | 1–3 млн ₽ | 2–4 мес. |
| SOC 2 Type II | 2–5 млн ₽ | 6–12 мес. |
| Ежегодный аудит | 1–3 млн ₽ | ежегодно |
Вердикт: обязателен для продажи IT-продукта в США. Для остальных — загранпаспорт для человека, который никуда не летает.
4. Практическая сертификация: проверяем провода, а не бумаги
Аналогия: вы покупаете квартиру. Формальная аттестация — проверяют разрешение на строительство и акт ввода. Практическая сертификация — инженер приходит, проверяет проводку, трубы, стены и говорит: «Здесь живите спокойно, а тут переделайте, иначе зальёте соседей».
Как это выглядит: история Марины
Марина оставила заявку. На следующий день наш инженер подключился удалённо и за 4 часа нашёл:
- Данные клиентов — на локальном компьютере бухгалтера, без шифрования
- Доступ ко всем данным — у всех 12 сотрудников, включая стажёра
- Бэкапы — на внешнем диске, который лежит в том же столе
- Wi-Fi — без пароля, один роутер от провайдера
- Антивирус — бесплатная версия на половине машин
- Уведомление в Роскомнадзор — не подавали
Марина получила отчёт: не 200 страниц регламентов, а 3 страницы конкретных действий. Через неделю данные перенесены в защищённый контур. Шифрование, контроль доступа, бэкапы в дата-центре Tier III. Сертификат + плашка на сайт. Клиент увидел плашку — подписал договор на год.
Сколько стоит
| Этап | Стоимость | Сроки |
|---|---|---|
| Диагностика | бесплатно | 1–2 дня |
| Сертификат (если всё ОК) | бесплатно | сразу |
| Доработка инфраструктуры | по объёму работ | 3–5 дней |
| Повторная проверка | бесплатно | 1 день |
Вердикт: оптимальный вариант для 90% российского B2B. Бухгалтерия, юрфирма, стоматология, интернет-магазин, консалтинг. Быстро, понятно, без бюрократии.
Два B2B-кейса, которые решает только практическая сертификация
Кейс 1. Подтверждение режима коммерческой тайны (98-ФЗ)
Консалтинговая компания «ФинСтратегия» (название изменено) работает с крупными клиентами. В договорах — пункт о коммерческой тайне. Клиент присылает финансовую модель, стратегию выхода на рынок, данные о сделках. И спрашивает: «Как вы обеспечиваете режим коммерческой тайны?»
По 98-ФЗ для установления режима коммерческой тайны нужно:
- Определить перечень информации, составляющей коммерческую тайну
- Ограничить доступ — установить порядок обращения с информацией и контроль за его соблюдением
- Вести учёт лиц, получивших доступ, и лиц, которым информация передана
- Нанести гриф «Коммерческая тайна» на все носители
Звучит просто на бумаге. На практике — как это сделать, если данные лежат на обычном компьютере? Сотрудник может скопировать файл на флешку, переслать на личную почту, сфотографировать экран. Режим коммерческой тайны формально установлен — положение подписано, гриф стоит — но технически он не обеспечен.
В суде это ключевой момент. Если компания не может доказать, что предприняла реальные меры по ограничению доступа — суд откажет в защите коммерческой тайны. Положение на бумаге без технических мер — это как замок на открытой двери.
Что даёт практическая сертификация: данные хранятся на защищённых виртуальных машинах в дата-центре. Копирование на флешку — невозможно. Пересылка на личную почту — заблокирована. Каждое действие журналируется. Доступ — только у назначенных сотрудников. Это техническая база для тех «реальных мер», которые требует 98-ФЗ. Юридическое оформление режима — приказ, перечень сведений, грифы, ознакомление сотрудников — остаётся на стороне компании (или её юриста). Но без технических мер юридические документы бессмысленны: суд откажет в защите, если компания не смогла доказать, что физически ограничила доступ.
Кейс 2. Иностранная компания открывает представительство в России
Немецкая инжиниринговая компания открывает представительство в Москве. 8 сотрудников. Задача — быстро начать работать, соблюсти российское законодательство и не строить собственную серверную.
Проблема: с 1 июля 2025 года обновлённая ч. 5 ст. 18 152-ФЗ прямо запрещает первичный сбор и хранение персональных данных россиян на серверах за рубежом. Нельзя использовать CRM, ERP, почтовые сервисы, если их серверы за пределами РФ.
При этом передача данных из российского представительства в головной офис — это трансграничная передача. Для неё нужно:
- Отдельно уведомить Роскомнадзор о намерении осуществлять трансграничную передачу
- Получить от головного офиса сведения о мерах защиты ПДн
- Документировать правовое регулирование ИБ в стране получателя
Немецкий директор в шоке: нужен сервер в России, нужна локализация данных, нужно соблюсти 152-ФЗ и 420-ФЗ, нужно оформить трансграничную передачу. А бизнес уже запущен — клиенты ждут.
Как решает практическая сертификация: мы разворачиваем виртуальные рабочие места в российском дата-центре Tier III за 3–5 дней. Данные физически в РФ — требование локализации выполнено. Доступ из любой точки мира через защищённый канал. Контроль, шифрование, журналирование — для трансграничной передачи есть документальное подтверждение мер защиты. Сертификат — доказательство для Роскомнадзора, что данные обрабатываются по стандартам ИБ. Ни аттестация ФСТЭК, ни ISO это не решают так быстро и комплексно.
Сводная таблица
| Критерий | ФСТЭК | ISO 27001 | SOC 2 | Безопасный Офис |
|---|---|---|---|---|
| Стоимость | от 200 тыс. ₽ | от 1,5 млн ₽ | от 1 млн ₽ | бесплатно* |
| Сроки | 2–6 мес. | 3–12 мес. | 2–12 мес. | 1–2 дня |
| Что проверяют | документы | процессы | контроли | инфраструктуру |
| Юр. сила в РФ | да | нет | нет | нет** |
| Тех. меры для 98-ФЗ (ком. тайна) | нет | косвенно | нет | да*** |
| Решает локализацию ПДн | нет | нет | нет | да |
| Защитит от реальной атаки? | нет | зависит | Type II — да | да |
| Подходит B2B на 5–50 человек? | избыточна | слишком дорого | не актуально | идеально |
* Диагностика и сертификат бесплатны. Оплачивается только доработка инфраструктуры, если необходима.
** Подтверждает соответствие 152-ФЗ и 420-ФЗ, но не является аттестатом ФСТЭК.
*** Обеспечивает технические меры (блокировка копирования, журналирование, контроль доступа). Юридическое оформление режима КТ — на стороне компании.
Три вопроса вместо 200 страниц стандартов
Вы работаете с государством? Тендеры, госконтракты, ГИС, подряды на КИИ? → Аттестация ФСТЭК, без вариантов. Но параллельно проверьте реальную инфраструктуру — аттестат не спасёт от шифровальщика.
Вы продаёте IT-продукт за рубеж? Европа, Азия → ISO 27001. США → SOC 2. Без них крупные зарубежные клиенты не выйдут даже на звонок.
Вы — B2B-компания с данными клиентов? Бухгалтерия, юрфирма, консалтинг, клиника, представительство иностранной компании? → Практическая сертификация. Реальная защита + соответствие 152-ФЗ и 420-ФЗ + техническая база для режима коммерческой тайны по 98-ФЗ. За дни, не за месяцы.
Пять заблуждений, которые стоят денег
«Без сертификата ФСТЭК/ISO нас оштрафуют»
Штрафуют за утечку данных и нарушение 152-ФЗ, а не за отсутствие конкретного сертификата. Компания с аттестатом ФСТЭК, из которой утекли данные, получит тот же штраф до 500 млн.
«Чем дороже — тем надёжнее»
Аттестация госсистем стоит сотни миллионов рублей. Результат — 710 млн утёкших записей за год. Цена не равна защищённости.
«Сертификат остановит хакера»
Хакера останавливает файрвол, шифрование и мониторинг. Сертификат — документ. Когда бухгалтер «СтройПроекта» открыла заражённое письмо, аттестат ФСТЭК не мигнул.
«Мы маленькие, нас не тронут»
43% кибератак — на малый бизнес. Штрафы по 420-ФЗ одинаковы для ООО на 5 человек и корпорации на 5 тысяч. 60% малых компаний закрываются в течение 6 месяцев после серьёзной атаки.
«Наш бизнес не интересен хакерам»
Хакеры атакуют не тех, кто интересен, а тех, кто не защищён. Автоматические сканеры проверяют миллионы IP-адресов в день. Им всё равно, бухгалтерия вы или банк. Нашли дыру — зашли.
Для юристов: границы ответственности
Если вы юрист компании или консультируете клиента — вот что важно понимать о разграничении.
Что обеспечиваем мы (технические меры):
- Инфраструктура для хранения и обработки данных в российском дата-центре Tier III
- Контроль доступа: авторизация по учётным записям, разграничение прав
- Блокировка вывода данных: копирование на USB, пересылка на внешнюю почту
- Журналирование действий пользователей (кто, когда, к каким файлам обращался)
- Шифрование данных при хранении и передаче
- Сертификат соответствия стандартам ИБ «Безопасный Офис»
Что остаётся на стороне компании (юридические меры):
- Приказ об установлении режима коммерческой тайны (ст. 10 98-ФЗ)
- Перечень сведений, составляющих коммерческую тайну
- Нанесение грифа «Коммерческая тайна» на носители
- Ознакомление сотрудников под подпись
- Уведомление Роскомнадзора (152-ФЗ, трансграничная передача)
- Подготовка локальных нормативных актов по ПДн
Ключевой момент: ст. 10 98-ФЗ требует и юридических, и технических мер одновременно. Без технических мер суд не признает режим коммерческой тайны установленным — даже если все документы оформлены идеально. Без юридического оформления технические меры не дают правовой защиты. Нужно и то, и другое. Мы закрываем техническую часть, ваш юрист — документальную.
Что делать прямо сейчас
Март 2026. Суверенный интернет уже работает. Оборотные штрафы уже действуют. Требования ФСТЭК к подрядчикам КИИ оформляются. Требование локализации ПДн — закон с июля 2025.
Не выбирайте сертификацию по принципу «что круче звучит». Начните с диагностики — поймите, в каком состоянии ваша инфраструктура сегодня.
Мы проводим диагностику бесплатно. За 1–2 дня покажем реальную картину: что защищено, что нет, какие законы нарушены прямо сейчас. Без обязательств.