связаться с нами
  1. Главная
  2. О нас
  3. Новости
  4. Обзор изменений в законодательстве за август 2025 года

Обзор изменений в законодательстве за август 2025 года

законодательство 10 минут
Картинка

Департамент консалтинга UDV Group

Обзор изменений в законодательстве за август 2025 года

Сотрудники Департамента консалтинга UDV Group подготовили обзор последних изменений в законодательстве в области информационной безопасности. Наши специалисты проанализировали новые нормы и требования, чтобы вы могли оперативно адаптировать бизнес-процессы и избежать рисков. Ниже — ключевые рекомендации.

В условиях динамично ужесточающихся требований к информационной безопасности и цифровому суверенитету середина 2025 года ознаменовалась выходом ряда ключевых нормативных актов, задающих новые векторы развития для всего рынка. Регуляторы существенно актуализировали правила игры в сфере использования программного обеспечения, защиты данных и обеспечения устойчивости критической информационной инфраструктуры. Эти изменения носят комплексный характер и затрагивают абсолютно все организации, работающие на территории Российской Федерации − от государственных структур и субъектов критической информационной инфраструктуры до коммерческих компаний и разработчиков программного обеспечения.

Основные тенденции этого периода
  1. Формирование системы доверенного ПО: закрепление на законодательном уровне единых реестров российского ПО и введение новых требований к его разработчикам, включая обязательные соглашения с Правительством РФ.
  2. Ужесточение режима работы с персональными данными: введение новых, детализированных методов и требований к их обезличиванию, а также значительные изменения в порядке контроля и надзора со стороны Роскомнадзора.
  3. Адаптация к новым киберугрозам: публикация комплексного государственного плана по противодействию киберпреступности и внесение масштабных изменений в Уголовный кодекс РФ, учитывающих использование цифровых активов и искусственного интеллекта в преступных целях.
  4. Продление переходных периодов и детализация требований: корректировка сроков адаптации для субъектов КИИ (в отношении любых их ИС), стратегических предприятий и прочих организаций, указанных в Указе Президента РФ № 250, а также уточнение процедур ведения реестров и лицензионного контроля ФСТЭК России.
  5. Развитие стандартизации в сфере ИБ: продвижение новых национальных стандартов по композиционному анализу ПО и угрозам аутентификации, а также актуализация перечня стандартов ТК 362.
Ключевые нормативные изменения

Доверенное ПО и единые реестры
Официально опубликован Федеральный закон от 31.07.2025 № 325-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации (далее − РФ)». Документ расширяет правовую основу для использования российского программного обеспечения (далее − ПО) и уточняет порядок его включения в государственные реестры.
Закреплены новые положения о перечне доверенных российских программ, установлены требования к разработчикам ПО и правила ведения их реестра. Также уточнены процедуры включения программ и баз данных в российские реестры, с учётом контроля со стороны государства и защиты национальных интересов.

В числе ключевых изменений:
  • создаётся перечень доверенных российских программ и баз данных;
  • вводятся дополнительные требования к разработчикам ПО (контроль со стороны государства, заключение соглашений с Правительством РФ по импортозамещению);
  • уточняется понятие «значимый разработчик ПО» и правила его включения в реестр;
  • закреплены нормы об использовании ПО только из доверенных перечней в ряде случаев;
  • вступление закона в силу − с 1 марта 2026 года.
Кому стоит подготовиться к переходу:
  • государственным органам и учреждениям − для закупок и эксплуатации ПО только из реестров;
  • государственным корпорациям и стратегическим предприятиям − в рамках выполнения политики импортозамещения;
  • субъектам критической информационной инфраструктуры (далее – КИИ);
  • организациям, работающим по государственным контрактам или получающим госфинансирование − для подтверждения применения ПО из реестров;
  • разработчикам ПО − для включения в реестр доверенного ПО и подтверждения соответствия новым требованиям.
Что должны сделать организации?
  1. Проверить, какие используемые программы и базы данных подпадают под новые критерии доверенного ПО.
  2. Подготовиться к переходу на ПО, включённое в реестры (с учётом срока до марта 2026 года).
  3. Разработчикам ПО − оценить соответствие новым требованиям (в том числе по структуре собственности и заключению соглашений с Правительством РФ).
  4. Сформировать план импортозамещения, учитывая включение в доверенные перечни.
  5. Следить за постановлениями Правительства РФ, которые уточнят порядок ведения реестров и требования к ПО.
Требования и методы обезличивания ПДн

С 1 сентября 2025 года вступают в силу два ключевых документа, которые вводят новые правила обезличивания персональных данных (далее − ПДн):
  1. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 19.06.2025 № 140 «Об утверждении требований к обезличиванию ПДн и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ)».
  2. Постановление Правительства РФ от 01.08.2025 № 1154 «Об утверждении требований к обезличиванию ПДн, методов обезличивания ПДн и Правил обезличивания ПДн».
Приказ Роскомнадзора отменяет ранее действовавший документ (приказ Роскомнадзора от 05.09.2013 № 996). Оба новых акта согласованы с уполномоченными органами, включая Федеральную службу безопасности России (далее – ФСБ России).

Ключевые требования и правила:
  1. Утверждены методы: для обезличивания необходимо использовать только утвержденные методы, в частности, введение идентификаторов, изменение состава или семантики данных, декомпозиция, перемешивание и агрегирование.
  2. Раздельное хранение: строго запрещено совместное хранение исходных и обезличенных данных.
  3. Документирование: все операции по обезличиванию должны фиксироваться.
  4. Локальные акты: организации обязаны разработать и утвердить внутренние регламенты, определяющие порядок обезличивания.
  5. Защита ключей: ключи для деобезличивания должны храниться отдельно и не передаваться третьим лицам.
  6. Передача данных: обезличенные данные в предусмотренных случаях подлежат передаче в государственную информационную систему (далее – ИС) Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России).
  7. ПО: рекомендовано использовать сертифицированные средства защиты информации или программы, предоставляемые Минцифры России.
Что должны сделать организации?
  1. Ознакомиться с новыми требованиями и отменить в локальных нормативных актах применение устаревших норм.
  2. Разработать и утвердить локальные акты, регламентирующие внутренний порядок обезличивания ПДн.
  3. Внедрить утвержденные методы обезличивания в свои процессы и ИС.
  4. Обеспечить техническую и организационную защиту данных:
    • исключить совместное хранение исходных и обезличенных данных;
    • обеспечить безопасность ключей деобезличивания;
    • вести учет всех операций по обезличиванию и деобезличиванию.Подготовиться к возможным проверкам Роскомнадзора и к передаче обезличенных данных в государственную ИС (если это требуется).
Переходный период по Указу Президента РФ № 250

Официально опубликован Приказ ФСБ России от 21.07.2025 № 282 «О внесении изменения в приказ ФСБ России от 01.11.2022 № 543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности (далее – ИБ) РФ» (далее − Указ Президента РФ № 250)». Документ вносит изменение в ранее действовавший приказ ФСБ России, касающийся определения переходного периода деятельности по обнаружению и реагированию на инциденты ИБ.

Основные положения:
  • срок переходного периода увеличен с 3 до 5 лет (изменение вступает в силу с даты подписания приказа − с 21 июля 2025 года);
  • в этот период не требуется аккредитация центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) для выполнения задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак, а также реагированию на инциденты, вместо аккредитации допускается участие иных организаций (не имеющих статуса центра ГосСОПКА), но только при условии заключения соглашения с Национальным координационным центр по компьютерным инцидентам (далее – НКЦКИ).
Что должны сделать организации?
  1. Проверить, подпадает ли организация под действие Указа Президента РФ № 250.
  2. При необходимости привлечения сторонних организаций для реагирования на инциденты − убедиться, что у них заключено соглашение с НКЦКИ.
  3. Следить за возможными дополнительными разъяснениями со стороны ФСБ России и других регуляторов относительно применения продлённого срока.
План мероприятий по противодействию киберпреступности

Официально опубликовано Распоряжение Правительства РФ от 14.08.2025 № 2207-р, утверждающее План мероприятий по реализации Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий. Документ направлен на комплексное укрепление правового, организационного и технического базиса для борьбы с киберпреступностью и защиту граждан в цифровом пространстве.

План включает меры по совершенствованию законодательства, профилактике правонарушений, развитию международного сотрудничества, кадровому и научному обеспечению. Особое внимание уделяется противодействию новым вызовам, таким как использование технологий искусственного интеллекта (далее – ИИ) в преступных целях и оборот цифровых активов.

Ключевые направления регулирования и меры:
  1. Ужесточаются требования к обработке и хранению сведений о пользователях, включая процедуры регистрации и авторизации.
  2. ИТ-компании и операторы связи должны уведомлять правоохранительные органы о выявленных признаках противоправной деятельности.
  3. Ужесточается наказание за нарушения в сфере защиты ПДн и за совершение киберпреступлений.
  4. Внедряются механизмы проверки абонентских номеров для повышения безопасности государственных услуг и банковских систем.
  5. Разрабатываются меры по идентификации владельцев доменных имен и противодействию мошенническим схемам.
  6. Активно развивается взаимодействие на международной арене, включая подготовку к ратификации Конвенции Организации Объединённых Наций против киберпреступности.
  7. Для выявления запрещенного контента применяются технологии ИИ и машинного обучения.
  8. Оказывается поддержка молодым специалистам в сфере кибербезопасности, и повышается квалификация сотрудников правоохранительных органов.
Что должны сделать организации?
  1. Оценить соответствие своих процессов новым требованиям к обработке ПДн и хранению информации о пользователях.
  2. Разработать механизмы взаимодействия с правоохранительными органами при выявлении киберинцидентов.
  3. Внедрить системы проверки абонентских номеров и усилить аутентификацию в сервисах, связанных с госуслугами и финансовыми операциями.
  4. Актуализировать внутренние политики безопасности с учётом новых рисков, включая использование ИИ в противоправных целях.
  5. Осуществлять мониторинг подзаконных актов и разъяснений регуляторов (Министерство внутренних дел РФ (далее – МВД России), ФСБ России, Роскомнадзор, Банк России) для своевременного выполнения требований Плана.
  6. Участвовать в разработке отраслевых инициатив по противодействию киберпреступности в рамках государственно-частного партнерства.
Усиление защиты от мошенничества и неправомерного использования ПДн

Опубликован проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий)».

Основные изменения:
  1. Создание государственной системы противодействия правонарушениям с реестром подозрительных номеров.
  2. Обязательная проверка IMEI устройств и идентификация юрлиц при звонках.
  3. Уточнение правил обработки персональных данных (включая использование Единой системы идентификации и аутентификации (далее − ЕСИА).
  4. Борьба с мошенничеством: проверка номеров клиентов, ограничение числа карт (макс. 5/10).
  5. Создание национального удостоверяющего центра с сертификатами безопасности.
  6. Блокировка фишинга и вредоносного контента.
Что должны сделать организации?
  1. Операторам связи: внедрить проверку IMEI, настроить информирование о вызовах, передавать данные о мошенничестве.
  2. Обработчикам ПДн: обновить процессы согласия, передавать сведения в ЕСИА, привести в соответствие локальные акты.
  3. Финансовым организациям: интегрироваться с государственной системой, внедрить анализ транзакций, ограничить число карт.
  4. ИТ-компаниям: использовать домены .ru/.рф, внедрить взаимодействие с государственной системой.
  5. Государственным органам: перейти на сертификаты национального удостоверяющего центра.
  6. Всем организациям: провести аудит, назначить ответственных, обучить сотрудников.
Сроки выполнения: до 01.03.2026 (основные требования), до 01.09.2028 (обработка ПДн).

Ужесточение уголовной ответственности за киберпреступления и мошенничество

Официально внесен проект Федерального закона, вносящий масштабные изменения в Уголовный кодекс (далее − УК) РФ и Уголовно-процессуальный кодекс (далее − УПК) РФ. Документ направлен на адаптацию уголовного законодательства к современным вызовам, связанным с использованием цифровых технологий, ИИ и криптовалют в преступной деятельности.

Законопроект уточняет составы преступлений, ужесточает наказания за киберпреступления и мошенничество, а также вводит новые нормы, регулирующие обращение цифровых валют в рамках уголовного процесса.

В числе ключевых изменений:
Что должны сделать организации?
  1. Оценить, какие виды деятельности и операции могут подпадать под новые составы преступлений, особенно в части использования ИТ-систем, обработки данных и операций с цифровыми валютами.
  2. Пересмотреть и укрепить меры защиты информационных систем от несанкционированного доступа и воздействия, включая защиту от атак с использованием ИИ.
  3. Внедрить внутренние правила и процедуры, обеспечивающие соблюдение новых требований, особенно в части идентификации пользователей и противодействия сокрытию их личности.
  4. Привести договоры об оказании услуг связи и ИТ-услуг в соответствие с новыми нормами об ответственности.
  5. Провести обучение сотрудников, особенно в области ИТ, финансов и безопасности, по новым составам преступлений и мерам по их недопущению.
  6. Разработать внутренние регламенты взаимодействия с правоохранительными органами в случае проведения следственных действий, связанных с цифровой валютой.
  7. Обеспечить возможность работы с заявлениями о мошенничестве, подаваемыми через портал госуслуг, если это касается деятельности организации.
Требования к защите профессиональной тайны органов государственной охраны

Официально утвержден приказ Федеральной службы охраны РФ (далее − ФСО России) от 07.07.2025 № 92 «Об утверждении Требований к защите информации, составляющей профессиональную тайну федерального органа исполнительной власти в области государственной охраны», устанавливающий требования к защите информации, составляющей профессиональную тайну федерального органа исполнительной власти в области государственной охраны. Документ регламентирует порядок обращения с такой информацией, включая её обработку, хранение и передачу, а также определяет круг лиц, имеющих к ней доступ, и их обязанности по обеспечению конфиденциальности.

Ключевые положения:
  • информация, составляющая профессиональную тайну, является информацией ограниченного доступа и не подлежит разглашению;
  • обработка информации с использованием средств вычислительной техники и в ИС должна соответствовать требованиям по технической защите информации;
  • доступ к информации предоставляется военнослужащим, государственным служащим и работникам органов государственной охраны в рамках исполнения ими должностных обязанностей, а также должностным лицам государственных органов и организаций, взаимодействующих с органами государственной охраны, и работникам сторонних организаций в рамках совместных работ;
  • документы и носители информации должны содержать пометку «Для служебного пользования» с указанием пункта перечня соответствующей информации;
  • лица, получившие доступ к информации, обязаны соблюдать её конфиденциальность, предотвращать несанкционированный доступ и немедленно информировать руководство о любых инцидентах, связанных с её возможным разглашением или утратой;
  • за разглашение информации предусмотрена ответственность в соответствии с законодательством РФ.
Что должны сделать организации?
  1. Определить, относится ли их деятельность к взаимодействию с органами государственной охраны и предполагает ли доступ к профессиональной тайне.
  2. Обеспечить соответствие своих ИС и средств вычислительной техники требованиям по технической защите информации.
  3. Разработать и внедрить внутренние регламенты по обращению с информацией ограниченного доступа, включая её маркировку и учёт.
  4. Провести обучение сотрудников, имеющих доступ к профессиональной тайне, их обязанностям и мерам ответственности за её разглашение.
  5. Обеспечить получение подписок от сотрудников об ознакомлении с требованиями защиты информации и предупреждении об ответственности.
  6. Наладить процедуры оперативного информирования органов государственной охраны о любых инцидентах, связанных с нарушением режима конфиденциальности.
  7. При работе по государственным контрактам с органами государственной охраны включать в договоры условия, определяющие взаимные обязательства по защите передаваемой информации.
Изменения в контроле за обработкой ПДн

Официально опубликовано Постановление Правительства РФ от 27.08.2025 № 1286 «О внесении изменений в постановление Правительства РФ и от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой ПДн» (вместе с «Положением о федеральном государственном контроле (надзоре) за обработкой ПДн»)», вносящее изменения в Положение о федеральном государственном контроле (надзоре) за обработкой ПДн. Документ уточняет порядок проведения контрольных мероприятий, вводит новые инструменты дистанционного взаимодействия и актуализирует подходы к категорированию объектов контроля по уровню риска.

Ключевые изменения:
  • установлена периодичность плановых контрольных мероприятий и обязательных профилактических визитов в зависимости от категории риска объекта контроля. Для высокорисковых объектов − одно плановое мероприятие в 2 года или один обязательный профилактический визит в год;
  • внедрено проведение профилактических визитов и контрольных мероприятий с использованием дистанционных средств, включая видео-конференц-связь и мобильное приложение «Инспектор»;
  • уточнены и дополнены группы тяжести видов обработки ПДн (А, Б, В, Г) с учетом новых рисков, таких как обработка данных несовершеннолетних, трансграничная передача и обезличивание данных;
  • сокращены сроки рассмотрения жалоб: до 15 рабочих дней для общих жалоб и до 5 рабочих дней − на решения о категорировании рисков;
  • введены новые основания для выдачи предписаний об устранении нарушений по итогам профилактических визитов, инспекционных визитов и проверок.
Что должны сделать организации?
  1. Пересмотреть внутренние процессы обработки ПДн на соответствие новым группам тяжести и категориям риска.
  2. Обеспечить готовность к дистанционным проверкам, включая использование видео-конференц-связи и мобильного приложения «Инспектор».
  3. Актуализировать документы по защите ПДн с учетом новых требований к трансграничной передаче, обезличиванию и обработке данных несовершеннолетних.
  4. Наладить оперативное взаимодействие с Роскомнадзором и его территориальными органами в рамках профилактических визитов и контрольных мероприятий.
  5. Разработать механизмы устранения нарушений в сжатые сроки (до 10 рабочих дней) для минимизации рисков при проверках.
Методики и стандарты ИБ

Новые стандарты
Федеральное агентство по техническому регулированию и метрологии (далее − Росстандарт) опубликовало проекты двух новых государственных стандартов РФ (далее − ГОСТ Р):
1. ГОСТ Р по композиционному анализу ПО (далее − SCA):
  • цель данного стандарта − безопасность цепочки поставок и борьба с уязвимостями в сторонних компонентах;
  • суть: Обязательное создание Перечня Программных Компонентов (ППК, аналог SBoM), интеграция с базами уязвимостей, использование контролируемых репозиториев и инструментов SCA.
2. ГОСТ Р по угрозам идентификации и аутентификации (далее − ИА):
  • цель данного стандарта: систематизация угроз и уязвимостей процессов ИА;
  • суть: описание сценариев атак, ошибок проектирования и рекомендаций по защите для различных механизмов аутентификации.
Что должны сделать организации?
  1. По SCA: назначить ответственных, внедрить инструменты анализа, создать ППК и контролируемые репозитории.
  2. По ИА: провести аудит используемых механизмов аутентификации, пересмотреть политики безопасности и усилить контроль администрирования.
Оба стандарта носят превентивный характер, и организациям следует начать подготовку к их внедрению.

Обновлён перечень национальных стандартов ФСТЭК России (ТК 362)

Опубликован актуализированный перечень национальных стандартов, разработанных техническим комитетом по стандартизации «Защита информации» (далее – ТК 362) и принятых Росстандартом. Список охватывает широкий спектр тем: общие термины и определения, требования к автоматизированным системам в защищённом исполнении, биометрическую аутентификацию, защиту от электромагнитных воздействий, формальные модели управления доступом, разработку безопасного ПО, реагирование на компьютерные инциденты, а также международные стандарты ISO/IEC в сфере ИБ.

Основные положения:
  • в перечень вошли более 70 ГОСТов и рекомендаций по стандартизации;
  • уточнены даты введения в действие новых документов (в том числе ГОСТ Р 56939-2024, ГОСТ Р 59453.3-2025, ГОСТ Р 59453.4-2025, ГОСТ Р 70262.2-2025, ГОСТ Р 72118-2025);
  • часть стандартов заменяет или актуализирует ранее действовавшие редакции;
  • систематизация стандартов упрощает их использование в практике организаций.
Что должны сделать организации?
  1. Сверить применяемые стандарты с обновлённым перечнем.
  2. Учесть новые требования при проектировании и эксплуатации ИС.
  3. Разработчикам ПО и средств защиты – адаптировать процессы к обновлённым ГОСТам.
  4. Включить актуальные ГОСТы в документацию по ИБ и сертификационные процедуры.
Справка-доклад ТК 362 (30.07.2025)

На сайте Федеральной службы по техническому и экспортному контролю РФ (далее − ФСТЭК России) была опубликована Справка-доклад
о ходе работ по плану ТК 362 на 2025 год по состоянию на 30 июля 2025 года.

Основные итоги:

1. Завершены работы по подготовке и представлению:
  • результатов анализа работы ТК 362 и активности организаций-членов во II квартале 2025 года;
  • решения о назначении председателей подкомитетов ТК 362.
2. Рассмотрение и согласование проектов стандартов:
  • проект ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования» доработан по замечаниям, согласован и представлен для решения о публичном обсуждении;
  • проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости» доработан по итогам публичного обсуждения и представлен для согласования перед голосованием об утверждении.
  • организовано рассмотрение членами ТК 362 проекта стандарта по требованиям к органам аудита системы менеджмента ИБ (срок до 20.08.2025);
  • организовано рассмотрение членами ТК 362 проектов стандартов по биометрии (срок до 14.08.2025).
3. Взаимодействие с другими техническими комитетами:
  • направлены результаты рассмотрения проектов стандартов в технический комитет по стандартизации ТК 164 «Искусственный интеллект»;
  • направлены результаты рассмотрения проектов стандартов в технический комитет по стандартизации ТК 22 «Информационные технологии»;
  • направлено письмо о согласовании проекта стандарта в технический комитет по стандартизации ТК 058 «Функциональная безопасность».
4. Работа с государственными органами и организациями:
  • направлены информационные письма в Минцифры России, ИЦ НТИ «Автонет» и ФГБУ «ВНИИР» по вопросам стандартизации.
5. Членский состав ТК 362:
  • принято решение о принятии АО «ФЦНИВТ «СНПО «Элерон» в состав ТК 362 со статусом «Наблюдатель»;
  • проведено голосование и утверждено изменение статуса ФГБУ «НИЦ «Курчатовский институт» с «Наблюдатель» на «Постоянный член»;
  • подготовлены письма об изменении статуса с «Наблюдатель» на «Постоянный член» для 10 организаций, включая ООО «Облачные технологии», АО «Сбербанк Технологии» и другие;
  • принято участие в семинаре «Формирование ПНС 2026».
Контроль и надзор

Изменения в форму направления сведений по категорированию объектов КИИ
Официально опубликован приказ ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (далее −Приказ ФСТЭК России № 236), в соответствии с которым вносятся изменения в форму направления сведений о результатах категорирования объектов КИИ, утвержденную ранее приказом ФСТЭК России № 236.

Ключевые изменения в форме сведений:

1. Уточнены и дополнены сведения об объекте КИИ:
  • детализировано указание сферы деятельности субъекта КИИ, которому принадлежит объект КИИ;
  • добавлены новые обязательные для заполнения поля:
    • o наименование типового отраслевого объекта КИИ, которому соответствует объект заявителя (при наличии);
    • o доменное имя и внешний сетевой адрес информационных ресурсов.
2. Детализированы сведения о лице, эксплуатирующем объект КИИ:
3. Расширен и конкретизирован перечень элементов (компонентов) объекта КИИ (например, добавлены ЦОД, серверное и технологическое оборудование, исполнительные устройства).
4. Уточнена информация о программных и программно-аппаратных средствах:
  • расширен перечень указываемых программно-аппаратных средств (добавлены средства беспроводного доступа и иные средства);
  • дополнены требования к описанию применяемых средств защиты информации. Теперь необходимо указывать не только наименование и модель, но и реквизиты сертификатов соответствия или иные документы, подтверждающие оценку соответствия, либо фиксировать их отсутствие.
Что должны сделать организации?
  1. Ознакомиться с новой редакцией формы направления сведений.
  2. При подготовке документов для категорирования объектов КИИ или актуализации сведений обеспечивать предоставление информации в соответствии с новыми требованиями.
  3. Обеспечить сбор и внесение в форму новых обязательных сведений: данных о соответствии типовому отраслевому объекту, доменных именах и сетевых адресах, детализированной информации об элементах объекта.
  4. Учитывать изменения при проведении внутренних аудитов и подготовке к взаимодействию с ФСТЭК России.
Изменения в порядок ведения реестра значимых объектов КИИ
Официально опубликован приказ ФСТЭК России от 17.07.2025 № 254 «О внесении изменений в Порядок ведения реестра значимых объектов КИИ РФ», который вступает в силу с 1 сентября 2025 года.

Ключевые изменения:
  1. Обновлен состав сведений о значимом объекте КИИ, включаемых в реестр: теперь обязательно указывается не только наименование, но и доменное имя и сетевой адрес.
  2. Уточнена и детализирована структура регистрационного номера, присваиваемого каждому объекту КИИ при включении в реестр. Новый формат номера: `ХХХХХХ/Х/ХХ/Х`, где:
    • первая группа (6 цифр): порядковый номер объекта в реестре:
    • вторая группа (1 цифра): код федерального округа, на территории которого расположен объект;
    • третья группа (2 цифры): код сферы деятельности субъекта КИИ (например, 01 - здравоохранение, 05 - банковская сфера, 06 - энергетика и т.д.);
    • четвертая группа (1 буква): тип объекта КИИ (`А` - ИС, `Б` - АСУ ТП, `В` - сеть).
  3. Установлена обязанность предоставлять сведения для ежемесячного актуализации реестра (ранее формулировка была «могут предоставляться ежеквартально»).
Что должны сделать организации?
  1. Обеспечить предоставление в ФСТЭК России полных и актуальных сведений об объектах КИИ, включая доменные имена и сетевые адреса.
  2. Контролировать корректность представленных данных, поскольку регистрационные номера объектов КИИ присваиваются ФСТЭК России.
Картинка

Департамент консалтинга UDV Group

UDV Group предоставляет единый портфель решений для защиты технологических сетей, корпоративного сегмента и автоматизации в области объектовой безопасности. Продукты компании сертифицированы ФСТЭК России.

законодательство 10 минут

другие новости

Изображение.

оставьте заявку

напишите нам,
если у вас есть вопросы

Ответим в рабочие дни с 9:00 до 18:00 по Москве

Картинка

Спасибо за подписку!

Теперь вы сможете оперативно получать
уведомления о наших новостях

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Картинка

Спасибо за регистрацию!

Отправили ссылку для подключения на ваш e‑mail

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Расскажите о себе

Прикрепите резюме или сопроводительное письмо

доступные форматы: .doc, .docx, .rtf, .pdf, .txt

Нажимая на кнопку “Отправить анкету”, вы соглашаетесь с политикой обработки персональных данных.

Оставьте заявку

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей