Обзор изменений в законодательстве за июнь 2025 года

В обзоре изменений за июнь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

   Уточнены и унифицированы правила категорирования ОКИИ. Расширен состав данных для категорирования, добавлены новые типовые ОКИИ по отраслям. Усилены требования к безопасности и управлению КИИ.

2. Персональные данные

   Уточнены правила аутентификации с использованием ЕБС. Введен сервис для защищенного обмена данными. Установлен порядок передачи данных в ИС Минцифры России и через СМЭВ.

3. Иное

   Для облачных услуг на ГЕОП введены строгие требования по ИБ. Усилены требования по защите государственной информации, введены регулярные проверки и отчёты, обязательная аттестация систем с марта 2026. Ужесточены правила защиты профессиональной тайны ФСО.

4. ФСТЭК России

   Уточнены требования и процедуры сертификации. Приняты новые стандарты по аутентификации и безопасности. ТК 362 продолжает разрабатывать и обновлять стандарты по ИБ.

Критическая информационная инфраструктура

Изменения в ПП-127

Правительство Российской Федерации (далее − РФ) представило проект постановления «О внесении изменений в постановление Правительства РФ от 08.02.2018 г. № 127» (далее − ПП РФ № 127), которым вносятся существенные поправки в правила категорирования объектов критической информационной инфраструктуры (далее – КИИ) РФ, а также в перечень показателей критериев значимости таких объектов.

Проект разработан в рамках реализации положений Федерального закона от 26.06.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (далее – 187-ФЗ) и направлен на унификацию и уточнение процедур категорирования КИИ с учётом новых отраслевых перечней типовых объектов и особенностей.

Согласно проекту, категорированию подлежат объекты, соответствующие типам информационных систем (далее – ИС), сетей и автоматизированных систем управления (далее – АСУ), включённым в перечни типовых отраслевых объектов КИИ. Расширен состав и структура данных, необходимых для категорирования, и введено понятие «отраслевых особенностей категорирования».

Постановление вступает в силу с 1 сентября 2025 года.

Что должны сделать организации?

1. Выявить объекты КИИ, соответствующие типам из перечней типовых отраслевых объектов КИИ.
2. Оценить значимость каждого объекта с учётом показателей и отраслевых особенностей.
3. Присвоить категорию значимости либо принять решение об её отсутствии и документально зафиксировать это.
4. Направить сведения в Федеральную службу по техническому и экспортному контролю (далее – ФСТЭК России), включая доменные имена и IP-адреса, если объект взаимодействует с публичной сетью.
5. Обеспечить пересмотр категории не реже одного раза в 5 лет или при изменении условий функционирования.
6. Соблюдать отраслевые особенности категорирования и отслеживать их обновления.
7. При выявлении несоответствий – представить предложения о дополнении перечней типовых объектов в уполномоченный орган.
8. В случае нарушений при категорировании – уведомить ФСТЭК России в течение 30 дней с момента их выявления.

Перечни типовых отраслевых ОКИИ и особенности их категорирования

Правительство РФ представило для общественного обсуждения проекты постановлений:

1. «Об утверждении Перечней типовых отраслевых объектов КИИ», разработанного в соответствии с 187-ФЗ». Документ утверждает перечни типовых отраслевых объектов КИИ – ИС, АСУ и информационно-телекоммуникационных сетей – сгруппированных по отраслям: здравоохранение, наука, транспорт и др. Эти системы признаются потенциально значимыми с точки зрения угроз национальной безопасности, с учетом их роли в управлении и выполнении критически важных функций.

2. Акты об отраслевых особенностях категорирования КИИ − устанавливают специфические подходы к категорированию для отдельных сфер:

   • транспорта;
   • топливно-энергетического комплекса и энергетики;
   • атомной энергии;
   • химической промышленности;
   • металлургической промышленности;
   • горнодобывающей промышленности;
   • оборонной промышленности;
   • науки.

Проекты разработаны в рамках общей реформы нормативного регулирования безопасности КИИ, в соответствии с обновлёнными требованиями к категорированию, унифицированными в ПП РФ № 127.

Что должны сделать организации?

1. Идентификация объектов КИИ
   • провести инвентаризацию всех ИС, АСУ и ИТ-сетей;
   • установить, подпадают ли они под признаки значимых объектов КИИ.
2. Категорирование объектов: если система соответствует типу, указанному в перечне – инициировать процедуру категорирования КИИ в соответствии с 187-ФЗ, учитывая отраслевые особенности при расчете значимости. Оформить документы по категорированию и уведомить ФСТЭК России.
3. Приведение в соответствие требованиям по безопасности
   • обеспечить соответствие объектов КИИ требованиям по информационной безопасности (далее – ИБ);
   • разработать меры по технической и организационной защите (в т.ч. антивирусная защита, контроль доступа, аудит событий безопасности и др.).
4. Организационные и регламентные меры
   • обновить внутренние регламенты, инструкции, политики;
   • назначить ответственных за безопасность объектов КИИ;
   • организовать взаимодействие с регуляторами (ФСТЭК России, Федеральная служба безопасности (далее – ФСБ России), Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) и др.);
   • провести обучение персонала, задействованного в эксплуатации КИИ.
5. Подготовка к контролю и проверкам
   • подготовить объекты к аудиту регуляторов, в том числе предоставить подтверждающие документы;
   • готовиться к проверкам соблюдения требований по защите КИИ.
6. Дополнительные меры
   • реализовать резервирование и аварийное восстановление ключевых систем;
   • участвовать в межведомственном обмене данными и координации по линии КИИ;
   • обеспечить непрерывность выполнения критических процессов, даже в случае инцидентов.
7. Актуализация
   • пересматривать категории каждые 5 лет или при изменении условий;
   • при несоответствиях – направлять предложения по корректировке перечней типовых объектов.

Персональные данные

Биометрическая идентификация и аутентификация

Миницифры России представило проект Федерального закона «О внесении изменений в статью 13 Федерального закона от 29.12.2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных (далее − ПДн), о внесении изменений в отдельные законодательные акты РФ признании утратившими силу отдельных положений законодательных актов РФ», подготовленный в рамках реализации положений государственной политики по ИБ и защите КИИ.

Проект закона направлен на уточнение порядка использования биометрических ПДн при идентификации и аутентификации физических лиц в процессе прохода на территорию государственных органов, Центрального банка РФ, государственных корпораций, организаций, а также на объекты, относящиеся к КИИ.

В новой редакции статьи 13 устанавливаются условия и допустимые информационные системы для биометрической аутентификации, включая использование Единой биометрической системы (далее − ЕБС) и её векторов, а также возможность применения собственных или дочерних информационных систем в случае их аккредитации. Также определены особенности биометрического доступа на объекты КИИ с учётом их категорий значимости.

Проект разработан с учётом необходимости унификации подходов к идентификации в стратегически значимых зонах и повышения защищённости от несанкционированного доступа. Документ не предполагает введения дополнительных затрат для бюджета и не содержит новых мер ответственности.

Что должны сделать организации?

1. Государственные органы, Центральный банк РФ, органы местного самоуправления: обеспечить биометрическую идентификацию/аутентификацию через аккредитованные ИС, региональные сегменты или векторы ЕБС.
2. Государственные корпорации и дочерние общества: использовать аккредитованные собственные или дочерние системы, применять векторы ЕБС для доступа.
3. Субъекты КИИ:
   • для объектов 1 − 2 категорий — применять охранные системы с векторами ЕБС;
   • для 3-й и не имеющих категории — можно использовать ЕБС, её сегменты или свои ИС.
4. Для всех: аккредитовать ИС, соблюдать требования по защите ПДн и предусмотреть биометрию при проектировании или модернизации КИИ.

Сервис обмена информацией

Правительство РФ приняло Федеральный закон от 24.06.2025 г. № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ», направленный на развитие защищённой цифровой среды для обмена сообщениями между гражданами, организациями и государственными структурами.

Создаётся многофункциональный сервис обмена информацией − информационная система и программа, предназначенные для обмена электронными сообщениями между пользователями без размещения информации в открытом доступе.

Сервис используется:

• при получении и подтверждении сведений из ЕСИА и других ГИС;
• для подачи документов, подтверждения личности, подписания ЭП;
• в образовательной сфере, а также при оказании госуслуг.

Функционирование обеспечивается российской организацией − владельцем отечественного программного обеспечения, включённого в реестр.

Что должны сделать организации?

Государственные органы и учреждения:

• интегрировать сервис для приёма и обработки данных от граждан;
• использовать сервис для направления сообщений без дополнительного согласия пользователя.

Юридические лица и индивидуальные предприниматели:

• приравнивать документы, полученные через сервис, к бумажным;
• применять усиленные электронные подписи через сервис.

Граждане:

• получают возможность передавать документы и подтверждать личность онлайн;
• освобождаются от повторного предоставления данных, если они уже переданы через сервис.

ГИС для обработки обезличенных ПДн

Правительство РФ утвердило постановление от 26.06.2025 г. № 966 «О взаимодействии федерального органа исполнительной власти с операторами при предоставлении обезличенных ПДн», в развитие положений статьи 13.1 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – 152-ФЗ).

Постановление устанавливает порядок обмена обезличенными данными между операторами персональных данных и государственной информационной системой, определённой Минцифры России. Передача данных осуществляется:

• через личные кабинеты операторов в ИС Минцифры или на портале «Госуслуги»;
• через единую систему межведомственного электронного взаимодействия (далее – СМЭВ);
• с использованием средств криптографической защиты, сертифицированных ФСБ России;
• на съёмных носителях − в исключительных случаях.

Операторы передают обезличенные данные по требованию уполномоченного органа, подписывая их усиленной квалифицированной электронной подписью. В случае отсутствия данных направляется мотивированный отказ.

Контроль осуществляется через сопоставление с утверждённым перечнем случаев и при необходимости − повторным требованием об уточнении или исправлении.

Что должны сделать организации-операторы?

Операторы персональных данных:

1. Подключиться к ИС Минцифры и (или) СМЭВ;
2. Принимать и обрабатывать запросы на предоставление обезличенных данных;
3. Обеспечить защиту передаваемых данных с использованием сертифицированных средств;
4. Отправлять данные в установленные сроки (не менее 5 или 30 рабочих дней в зависимости от способа подключения);
5. В случае отсутствия части данных − направить частичный отказ и предоставить остальную информацию;
6. Исправлять и повторно направлять данные при получении запроса с замечаниями.

Постановление вступает в силу с 1 сентября 2025 года и направлено на развитие безопасной цифровой среды обмена обезличенной информацией между государством и организациями.

Доступ к ПДн силовиков

ФСБ России официально опубликовала приказ «Об установлении Порядка предоставления доступа ‎к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 152-ФЗ, обработки содержащихся в них ПДн указанных лиц и формы предписания о предоставлении доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 152-ФЗ. Утверждён порядок доступа к ИС и базам с персональными данными защищаемых лиц (152-ФЗ, ст. 6). Введена единая форма предписания, установлены правила его исполнения. Владельцы ИС обязаны обеспечить доступ, ИБ и соблюдение требований по гостайне. Удалённый доступ возможен с согласия ФСБ, и не должен ограничиваться технически или по времени.

Подробнее с изменениями можно ознакомиться в обзоре за май 2025 года Департамента консалтинга UDV Group.

Иное

ГЕОП и ИБ

Минцифры России утвердило приказ об установлении требований к обеспечению ИБ при предоставлении облачных услуг через государственную единую облачную платформу (далее − ГЕОП). Документ принят в развитие постановления Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе».

Приказ устанавливает обязательные требования к информационно-телекоммуникационной инфраструктуре (далее − ИТИ) поставщиков облачных услуг, обеспечивающие устойчивую и безопасную работу ГЕОП. Платформа не используется для обработки сведений, составляющих государственную тайну. Все технические средства и данные должны находиться на территории РФ.

Требования к безопасности включают:

1. Комплексную систему защиты информации, охватывающую:
   • физическую защиту;
   • защиту от несанкционированного доступа и привилегированных пользователей;
   • антивирусную и криптографическую защиту;
   • обнаружение и предотвращение вторжений;
   • контроль инцидентов и событий безопасности;
   • защиту виртуальной среды и управление доступом.
2. Размещение всех технических средств и хранилищ данных на территории РФ
3. Постоянную актуализацию системы защиты в соответствии с актуальными моделями угроз и нормативными документами ФСТЭК России и ФСБ России.

Что должны сделать поставщики облачных услуг?

1. Привести свою ИТИ в соответствие с требованиями приказа, включая применение сертифицированных и отечественных решений.
2. Аттестовать ИС и ИТИ по требованиям ИБ.
3. Обеспечить защиту от актуальных угроз, в том числе по линии государственной системы противодействия кибератакам.
4. Поддерживать комплексную систему ИБ, включающую все указанные подсистемы.
5. Разместить центры обработки данных и технические компоненты на территории РФ.
6. До начала оказания услуг − пройти проверку Минцифры России на соответствие.

Требования о защите информации, содержащейся в ГИС и иных ИС госорганов и госорганизаций

Официально опубликован приказ ФСТЭК России от 11.04.2025 № 117 (далее – Приказ ФСТЭК России № 117), который утвердил новые Требования к защите информации, содержащейся в государственных информационных системах (далее − ГИС) и иных ИС государственных органов, государственных унитарных предприятий (далее − ГУП) и государственных учреждений.

Ключевые требования Приказа ФСТЭК России № 117 направлены на обеспечение комплексной защиты информации в ГИС и ИС органов власти. Безопасность должна обеспечиваться на всех этапах жизненного цикла систем − от создания до вывода из эксплуатации, включая инфраструктуру, на которой они размещены.

Приказ № 117 значительно расширяет и углубляет требования по сравнению с Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС» (далее – Приказ ФСТЭК России № 17), делая акцент на процессное управление ИБ, актуальность угроз, контроль исполнения и внедрение современных технологий. Сравнение приказов представлено ниже в таблице:

Таблица 1 - Сравнение Приказов ФСТЭК России № 17 и № 117

Что должны сделать организации?

1. Провести инвентаризацию ИС, оценить их класс защищённости.
2. Подготовить и утвердить внутренние документы по ИБ (политики, регламенты, стандарты).
3. Назначить ответственных за защиту информации и создать ИБ-подразделение.
4. Обеспечить выполнение технических мер защиты согласно классу ИС.
5. Выполнить аттестацию ГИС, рассчитать Кзи и Пзи, передать отчёты в ФСТЭК России.
6. Обновить процедуры защиты при взаимодействии с подрядчиками и в случаях применения искусственного интеллекта.

Документ вступает в силу с 1 марта 2026 года и отменяет ранее действующие приказы, включая Приказ № 17.

Профессиональная тайна в ФСО

Федеральная служба охраны (далее – ФСО) представила для общественного обсуждения проект приказа «Об утверждении Требований к защите информации, составляющей профессиональную тайну федерального органа исполнительной власти в области государственной охраны». В соответствии с изменениями, внесенными в статью 17 Федерального закона от 27 мая 1996 г. № 57-ФЗ «О государственной охране», разработаны Требования к защите информации, составляющей профессиональную тайну федерального органа исполнительной власти в области государственной охраны.

Информация, составляющая профессиональную тайну, является сведениями ограниченного доступа. Работа с ней допускается только для уполномоченных лиц и требует соблюдения особого режима безопасности. Документ регламентирует требования к допуску, маркировке, защите, передаче и ответственности за утечку сведений, в том числе при работе с подрядными организациями по государственным контрактам.

Что должны сделать организации?

1. Обеспечить конфиденциальность (помещения, защита данных).
2. Назначить ответственных за соблюдение режима.
3. Ознакомить сотрудников с требованиями, взять подписки.
4. Запретить работу с тайной через незащищённые устройства.
5. Контролировать доступ и фиксировать его.
6. Сообщать ФСО об утечках, инцидентах, потерях.
7. Заключить договор с условиями защиты информации.
8. Уничтожать/возвращать носители по завершении работ.
9. Контролировать соблюдение требований подрядчиками.

Эти меры обязательны для всех организаций, получающих или обрабатывающих сведения, составляющие профессиональную тайну ФСО, и направлены на исключение несанкционированного доступа и утечки информации.

ФСТЭК России

Изменения в Порядок сертификации процессов безопасной разработки ПО СрЗИ

Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России от 01.12.2013 г. № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации» (далее – Приказ ФСТЭК России № 240). Проект представляет собой изменения в существующий Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденный приказом ФСТЭК России №240. Изменения направлены на актуализацию нормативных ссылок, уточнение требований к руководству по безопасной разработке, а также на корректировку процедур сертификации и оформления протоколов.

Основные изменения и их смысл:

1. Обновление нормативных ссылок.
2. Уточнение требований к руководству по безопасной разработке.
3. Изменения в процедуре сертификации:
   • сертификация теперь проводится на материально-технической базе изготовителя в РФ, с обеспечением доступа сертифицирующего органа к необходимым средам разработки и сборки;
   • расширена процедура проверки: оценка руководства, артефактов процессов, наличие инструментов для анализа программного обеспечения, инструментальный контроль, проверка компетентности сотрудников.
4. Корректировки оформления документации.
5. Уточнение срока действия сертификата. Сертификат выдается на срок, указанный в заявке, но не более пяти лет, и на область действия из руководства.

Что должны сделать организации?

1. Обновить и утвердить руководство по безопасной разработке.
2. Организовать инфраструктуру и обеспечить доступ для проверки.
3. Подготовить и предоставить доказательства соответствия требованиям.
4. Обеспечить обучение и квалификацию сотрудников.
5. Согласовывать и поддерживать взаимодействие с сертифицирующим органом.
6. Правильно вести документацию и протоколы.
7. Следить за актуальностью сертификата и своевременным обновлением.

Опубликованные стандарты

В июне 2025 года были опубликованы новые национальные стандарты в сфере ИБ, направленные на усиление нормативной базы:

• ГОСТ Р 70262.2-2025 − устанавливает уровни доверия аутентификации для систем идентификации, регламентируя требования к надёжности процессов входа и доступа (приказ Росстандарта от 29.05.2025 г. № 503-ст «Об утверждении национального стандарта»).
• ГОСТ Р 72118-2025 − описывает методологию разработки систем с конструктивной информационной безопасностью, что особенно важно при проектировании ИТ-систем с заложенными средствами защиты (приказ от 06.06.2025 г. № 539-ст «Об утверждении национального стандарта»).
• ПНСТ 1007-2025 − предлагает классификацию программно-аппаратных комплексов критической информационной инфраструктуры по их назначению, что способствует стандартизации подходов в КИИ.

Деятельность ТК 362

На сайте ФСТЭК России опубликованы «Сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации «Защита информации» (далее – ТК 362)», которые необходимы для ориентирования организаций и регуляторов в актуальных требованиях по ИБ.

Также была опубликована Справка-доклад о ходе работ по ТК 362 на 2025 год по состоянию на 29 мая 2025 года. Основные итоги:

1. Разработка и доработка проектов стандартов:
   • проекты ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации» (АО «Аладдин Р.Д.») и «Системы с конструктивной информационной безопасностью. Методология разработки» (АО «Лаборатория Касперского») завершили издательское редактирование и получили штамп «В набор».
   • ГОСТ Р «Композиционный анализ программного обеспечения. Общие требования» дорабатывается ООО «Профископ» по замечаниям ПК 2; срок представления в ТК 362 − июнь 2025 года.
   • ГОСТ Р «Методика оценки уровня реализации процессов разработки безопасного ПО» (АО «Лаборатория Касперского») дорабатывается по замечаниям, полученным на заседании РГ 5; обсуждение планируется завершить в мае-июне 2025 года.
2. Рассмотрение и согласование ПНСТ:
   • подготовлены заключения ТК 362 на ПНСТ по ПО для доверенных программно-аппаратных комплексов КИИ, разработанных ТК 167, и направлены в ФСТЭК России (исх. № 240/83/1356 от 16.05.2025).
   • организовано рассмотрение ПНСТ по синтезу данных (разработчик − ТК 164); срок рассмотрения − до 06.06.2025.
3. Работа с организациями и структурами:
   • в адрес ФГБУ «Институт стандартизации», ФГБУ «ВИНИТИ РАН», Бюро по стандартам и других организаций направлены информационные письма по актуализации сведений о МТК 362, согласованию кодов ОК 001-2021 и отсутствию межгосударственных стандартов;
   • в ТК 362 приняты с наблюдательским статусом организации: ООО «СайберЛимфа», ООО «ПК Аквариус», ООО «Юзергейт»;
   • по итогам голосования повышен статус с «наблюдателя» до «постоянного члена» у ООО «Открытая мобильная платформа», ООО «Код Безопасности» и ООО «КНС ГРУПП».