Главная
О нас
Новости
Обзор изменений в законодательстве январь-февраль 2026

Обзор изменений в законодательстве январь-февраль 2026

законодательство 18.03.2026 5 минут

UDV Group

Обзор изменений в законодательстве январь-февраль 2026

UDV Group закрывает ключевые нормативные риски января-февраля 2026, предлагая технологическую основу для выполнения требований нормативных правовых актов в рамках построения системы обеспечения ИБ.

Январь-февраль 2026 года продолжил курс на практическую детализацию требований в сфере информационной безопасности (ИБ) и защиты критической информационной инфраструктуры (КИИ). Регулятор продолжал совершенствование подходов к обеспечению безопасности КИИ и систем государственных органов (включая государственные информационные системы (ГИС), скорректировал подходы к использованию биометрии, усилил уголовную ответственность за обработку персональных данных (ПДн), обновил процедуры аттестации и выпустил серию технических рекомендаций.

UDV Group, как российский разработчик и интегратор полного стека решений для обеспечения информационной безопасности корпоративного и технологического сегмента, подготовил разбор законодательства с точки зрения собственной продуктовой линейки, предлагая технологическую основу для выполнения требований нормативных правовых актов в рамках построения системы обеспечения ИБ.

Основные изменения законодательства за прошедший период:

1. Регулирование в сфере КИИ: отраслевые особенности категорирования объектов КИИ. Утверждения перечня типовых отраслевых объектов КИИ. (Постановление Правительства РФ от 06.02.2026 № 92, Постановление Правительства РФ от 16.01.2026 № 4, Распоряжение Правительства РФ от 26.02.2026 № 360-р))

Суть изменений:
Утверждены отраслевые особенности категорирования для субъектов КИИ в области атомной энергии, банковской сферы и финансового рынка. Также опубликован проект отраслевых особенностей для сферы государственной регистрации прав на недвижимость. Введены требования к расчету показателей значимости с использованием экономических моделей, анализа сценариев атак и оценки социально-экономических последствий. Кроме того, утвержден и официально опубликован Перечень типовых отраслевых объектов КИИ. Данные документы направлены на стандартизацию процессов категорирования для каждой отрасли, при организации процесса категорирования в четком соответствии с этими требованиями у каждого субъекта КИИ может значительно расшириться перечень объектов КИИ, и, что немаловажно – значимых объектов КИИ. Несоблюдение требований категорирования может повлечь последствия при проведении плановых и внеплановых проверок ФСТЭК России в части привлечения к административной ответственности, поэтому важно в кратчайшие сроки провести пересмотр результатов категорирования и организовать повторное категорирование.

Мероприятия для организаций:
Субъектам КИИ рекомендуется:

Актуализировать внутренние регламенты по категорированию объектов КИИ в соответствии с отраслевыми требованиями, включая порядок формирования комиссий, используемые методики расчета критериев значимости и требования к оформлению материалов.
Инициировать процедуру повторного категорирования объектов КИИ с учетом подходов, описанных в отраслевых особенностях категорирования, и перечней типовых отраслевых объектов КИИ.
Подготовить и направить актуальные сведения о результатах категорирования во ФСТЭК России.

Продукты UDV Group для соблюдения требований:
Процедура категорирования – трудоемкий процесс, требующий системного подхода и проведения всеобъемлющей инвентаризации.

UDV NTA может использоваться с целью проведения инвентаризации активов для категорирования. Решение обеспечивает непрерывный мониторинг и наличие актуальной инвентаризационной информации для всех компонентов IT-инфраструктуры, включая рабочие станции, серверы и сетевые устройства, формируя достоверную базу для проведения процедуры категорирования и формирования сведений об объектах КИИ в соответствии с требованиями ФСТЭК России.
UDV DATAPK Industrial Kit закрывает потребность в инвентаризации для технологической сети. В отличие от классических методов инвентаризации для автоматизированных систем управления технологическими процессами (АСУ ТП), подразумевающих ручной анализ каждой системы, решение обеспечивает пассивный сбор информации с компонентов АСУ ТП и их постоянный учет, что также позволяет сформировать полные и достоверные сведения об объектах КИИ в соответствии с требованиями ФСТЭК России.

2. Регулирование сферы обеспечения информационной безопасности ГИС и систем государственных органов

Суть изменений:
Подготовлен проект изменений в Порядок аттестации объектов информатизации (Приказ ФСТЭК России № 77):

обязательное тестирование на проникновение для ГИС 1 и 2 классов защищенности;
периодический контроль с направлением отчетов во ФСТЭК не реже 1 раза в 3 года;
сегментная аттестация и распространение аттестата на иные сегменты.

Опубликован проект методических рекомендаций по мероприятиям и мерам защиты информации, вводящий новые группы мер:

защита контейнерных сред и их оркестрации;
защита сервисов электронной почты, веб-технологий, API;
защита устройств «Интернета вещей», беспроводного доступа;
защита систем искусственного интеллекта.

Опубликован проект изменений в Постановление Правительства РФ № 676, уточняющий:

полномочия заказчиков ГИС;
требования к созданию концепции ГИС;
оформление акта ввода в эксплуатацию с указанием даты начала эксплуатации;
актуализацию концепции при модернизации.

Мероприятия для организаций:

Обновление внутренних регламентов аттестации и контроля.
Организация регулярного пентеста для критичных систем.
Настройка процессов направления отчетности во ФСТЭК.
Анализ текущего состояния реализованных мер защиты.
Корректировка мер защиты с учетом новых методических рекомендаций.
Разработка концепции ГИС (технический документ с обоснованием вариантов построения).
Оформление акта ввода в эксплуатацию.
Актуализация концепции при развитии ГИС.
Четкое распределение ответственности между заказчиком, оператором и правообладателем.

Продукты UDV Group для соблюдения требований:

Задача	Продукт UDV Group	Как помогает
Мониторинг функционирования ГИС	UDV ITM	Контроль доступности и работоспособности компонентов ГИС
Сбор и анализ событий безопасности Выявление атак на ГИС и непрерывный мониторинг защищенности Документирование результатов эксплуатации Защита контейнерных сред Защита веб-технологий и API Автоматизация реагирования на инциденты	UDV SIEM + UDV NTA	Фиксация событий, связанных с эксплуатацией ГИС, для подтверждения корректности работы. Анализ сетевого трафика для обнаружения попыток эксплуатации уязвимостей. Формирование отчетов для подтверждения выполнения требований. Сбор и анализ логов контейнеров и оркестрации. Анализ трафика веб-приложений и API для выявления атак

3. Усиление требований к работе с биометрическими и персональными данными

Порядок применения биометрических персональных данных при проходе на территории объектов и помещений
(Законопроект о внесении изменений в статью 13 572-ФЗ)

Суть изменений:
Проект закона предлагает дифференцированный подход к использованию биометрии в зависимости от категории значимости объекта КИИ и статуса организации. Для объектов оборонно-промышленного, атомного, топливно-энергетического комплексов, а также помещений, предназначенных для обработки сведений, составляющих государственную тайну, предусматривается возможность применения собственных информационных систем (далее – ИС) государственных органов, Центрального банка РФ (при аккредитации), государственных корпораций и иных организаций, осуществляющих биометрическую аутентификацию, при условии, что они владеют соответствующими объектами или помещениями на законных основаниях и используют векторы Единой биометрической системы (далее – ЕБС).

Для контролируемых зон объектов КИИ первой и второй категорий значимости законопроект закрепляет право использовать как системы аккредитованных государственных органов и подведомственных им организаций, обеспечивающих пропускной режим, так и собственные системы Центрального банка РФ, государственных корпораций и аккредитованных организаций при соблюдении установленных условий. В отношении объектов третьей категории значимости либо объектов, которым категория не присвоена, предлагается более гибкая модель, допускающая использование собственных ИС государственных корпораций и дочерних обществ, региональных сегментов ЕБС, а также систем аккредитованных государственных органов.

В целом законопроект направлен на смягчение действующих требований статьи 13 572-ФЗ и расширение перечня допустимых сценариев использования биометрии при проходе через СКУД.

Иные изменения за период:

1. Внесен законопроект о расширении уголовной ответственности за незаконную автоматизированную обработку ПДн (ст. 272.1 УК РФ).
2. В изменениях в Положение ЦБ РФ № 821-П биометрические ПДн включены в перечень защищаемой информации, установлены требования к их криптографической защите.

Мероприятия для организаций:
1. Инвентаризация используемых СКУД и сценариев аутентификации.
2. Проверка статуса аккредитации для работы с биометрией.
3. Ревизия процессов обработки ПДн (особенно автоматизированной).
4. Усиление контроля доступа и журналирования операций с ПДн.
5. Обеспечение криптографической защиты биометрических данных.

Задача	Продукт UDV Group	Как помогает
Централизованный сбор журналов обработки ПДн	UDV SIEM	Сбор и долговременное хранение событий, связанных с доступом к ПДн
Мониторинг аномальных операций с ПДн	UDV NTA	Выявление подозрительных сетевых взаимодействий, связанных с передачей массивов ПДн
Обнаружение инцидентов в реальном времени	UDV SIEM + UDV SOAR	Выявление признаков несанкционированной обработки и автоматический запуск процедур реагирования

4. Изменения в регулировании финансового сектора (ЦБ РФ)

Суть изменений:
Опубликованы изменения в Положение ЦБ РФ № 757-П:

уточнение перечня организаций, обязанных соответствовать ГОСТ Р 57580.1-2017;
добавление микрофинансовых организаций и операторов инвестиционных платформ;
требование повторного подтверждения личности при входе через ЕСИА;
расширение перечня регистрируемых событий (действия клиентов);
дифференцированные сроки информирования об инцидентах (3/24 часа).

Опубликованы изменения в Положение ЦБ РФ № 821-П:

требования к сертификации/оценке прикладного ПО;
детализация требований к регистрации событий (синхронизация времени, резервирование);
включение биометрических ПДн в перечень защищаемой информации;
сроки информирования об инцидентах (3 часа).

Мероприятия для организаций

Пересмотр внутренней документации на соответствие новым требованиям.
Проверка выполнения требований по защите информации.
Подготовка к проведению оценки по ГОСТ Р 57580.1-2017 (для МФО и операторов инвестплатформ).
Обеспечение регистрации событий с синхронизацией времени.
Криптографическая защита биометрических данных.
Соблюдение сроков информирования об инцидентах.

Продукты UDV Group для выполнения требований:

Задача	Продукт UDV Group	Как помогает
Централизованный сбор и хранение событий	UDV SIEM	Сбор и хранение всех регистрируемых событий
Синхронизация времени	UDV ITM + UDV SIEM	Контроль синхронизации времени на всех компонентах инфраструктуры
Информирование об инцидентах в сроки ЦБ	UDV SOAR	Генерация и отправка уведомлений в установленные сроки (3/24 часа)
Оценка соответствия ГОСТ Р 57580.1	UDV SIEM + UDV SOAR + UDV NTA + UDV ITM	Технологическая база для подтверждения выполнения требований стандарта

5. Практические рекомендации по настройке ПО и устранению типовых ошибок

Суть изменений:

Выпущены рекомендации по защите SAP-систем в условиях прекращения поддержки.
Опубликованы рекомендации по безопасной настройке VMware (ESXi, vCenter).
Выпущены рекомендации по безопасной настройке Samba (файловый сервер, контроллер домена).
Опубликованы рекомендации по устранению типовых ошибок конфигурации ПО (парольная политика, аутентификация, протоколы, учетные записи, открытые порты).

Мероприятия для организаций:

Инвентаризация критических систем.
Централизованный сбор и хранение журналов.
Настройка автоматических оповещений.
Внедрение многофакторной аутентификации.
Отключение устаревших протоколов (SMBv1, NTLMv1).
Контроль учетных записей и прав доступа.
Регулярное резервное копирование.

Продукты UDV Group для выполнения требований:

Задача	Продукт UDV Group	Как помогает
Сбор и анализ событий SAP, VMware, Samba Контроль учетных записей и прав доступа	UDV SIEM	Сбор и корреляция событий системных журналов, логов безопасности, выявление признаков атак. Анализ событий, связанных с изменением привилегий и использованием учетных записей
Мониторинг сетевых взаимодействий Выявление аномалий в сетевом взаимодействии	UDV NTA	Анализ трафика (RFC, SMB, управляющие протоколы) для обнаружения аномалий. Обнаружение нехарактерных паттернов передачи данных
Контроль доступности критических систем	UDV ITM	Отслеживание работоспособности серверов, гипервизоров и файловых ресурсов
Автоматизация реагирования	UDV SOAR	Запуск сценариев реагирования при выявлении критичных событий

6. Ужесточение лицензионных требований

Суть изменений:
Подготовлены проекты изменений в:

Положение о лицензировании ТЗКИ (Постановление Правительства РФ № 79);
Положение о лицензировании разработки и производства СрЗИ (Постановление Правительства РФ № 171).

Ключевые требования:

Запрет на лицензирование иностранных юрлиц и компаний с руководителями-иностранцами.
Усиление требований к кадровому составу (численность, квалификация, стаж).
Обязательное использование отечественного оборудования и ПО.
Наличие аттестованных ИС и сертифицированных СрЗИ.
Внедрение процедур безопасной разработки по ГОСТ Р 5639-2024.

Позиция UDV Group:

Как российский разработчик, UDV Group строит процессы разработки с учетом этих требований. Продукты компании - UDV SIEM, UDV NTA, UDV SOAR, UDV DATAPK Industrial Kit, UDV ITM - разрабатываются в соответствии с принципами безопасной разработки и проходят необходимые процедуры сертификации.

7. Развитие системы стандартизации (ТК 362)

Опубликованы отчеты о работе ТК 362 за IV квартал 2025 и планы на 2026 год. Продолжается доработка проектов стандартов:

«Доверенная среда исполнения. Общие положения» (март 2026);
«Доверенная среда исполнения. Требования к аппаратной платформе» (июль 2026);
«Идентификация и аутентификация. Типовые угрозы и уязвимости» (февраль 2026);
«Композиционный анализ ПО. Общие требования» (март 2026).

Рассматриваются проекты стандартов по приватности данных и обезличиванию. Расширен состав ТК 362 (новые организации-наблюдатели). Утвержден и опубликован план работы ТК 362 на 2026 год.

Позиция UDV Group:

UDV Group отслеживает актуальные направления стандартизации и учитывает их при развитии продуктовой линейки. Это позволяет клиентам быть уверенными, что внедряемые решения будут соответствовать не только текущим, но и перспективным требованиям.

8. Архитектура соответствия на базе продуктов UDV Group

Продукт UDV Group	Основное назначение	Ключевые изменения январь-февраль 2026
UDV SIEM	Централизованный сбор и анализ событий	Категорирование КИИ, аттестация, SAP, VMware, Samba, ПДн, ЦБ, ГИС
UDV NTA	Анализ сетевого трафика	Аттестация, SAP, VMware, Samba, веб-технологии, API, ЦБ
UDV SOAR	Оркестрация и автоматизация реагирования	Аттестация, SAP, VMware, Samba, информирование ЦБ, ПДн
UDV ITM	Зонтичный мониторинг доступности	Категорирование КИИ, аттестация, SAP, VMware, Samba, ГИС, синхронизация времени
UDV DATAPK Industrial Kit	Мониторинг промышленных сетей	Категорирование КИИ (АСУ ТП)