Обзор изменений в законодательстве за май 2025 года

В обзоре изменений за май 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

   Рассмотрены поправки к 149-ФЗ, вводящие обязательное использование цифровой платформы «ГосТех» для ГИС, а также требования к облачным провайдерам. Представлены проекты отраслевых методик категорирования объектов КИИ в сфере связи и в сфере госрегистрации недвижимости.

2. Персональные данные

   Опубликован проект порядка доступа к ИС с особыми ПДн по предписанию ФСБ России. Принято постановление Правительства РФ № 702, устанавливающее порядок проверки пользователей ГИС. Также внесены изменения в 152-ФЗ, касающиеся конфиденциальности ИП и физлиц. Подготовлены изменения в приказ Минцифры № 453, обновляющие требования к биометрии.

3. Иное

   Минцифры России представило методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности. Введен новый подход к моделированию угроз и инцидентов. Федеральным законом № 104-ФЗ существенно увеличены штрафы за нарушения в области защиты информации, включая использование несертифицированных СрЗИ. Утверждён план мероприятий по реализации Стратегии развития отрасли связи до 2035 года: развитие инфраструктуры, импортозамещение, научные исследования и кадровая подготовка.

4. ФСТЭК России

   Опубликована справка-доклад о ходе выполнения плана ТК 362: подготовка и доработка проектов ГОСТ Р в области защиты информации, организация взаимодействия с ТК 167 и ТК 26, рассмотрение проектов ПНСТ, прием новых организаций в состав ТК 362.

Критическая информационная инфраструктура

Изменения в 149-ФЗ

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для общественного обсуждения проект Федерального закона «О внесении изменений в Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ), в соответствии с отдельными требованиями которого предусматривается, что на единой государственной цифровой технологической платформе Российской Федерации (далее − РФ) «ГосТех» (далее − платформа «ГосТех») поставщики облачных услуг по предоставлению программного обеспечения (далее − ПО) и (или) по предоставлению вычислительных ресурсов должны будут обеспечивать соответствие информационно-телекоммуникационной инфраструктуры и (или) ПО требованиям, предъявляемым к защите информации ‎в соответствии с законодательством РФ ‎об информации, информационных технологиях и о защите информации, ‎и (или) предъявляемым к обеспечению безопасности критической информационной инфраструктуры (далее − КИИ) РФ.

С 2025 года «ГосТех» становится обязательной платформой для создания и эксплуатации ГИС и ИСорганов власти. Платформа объединяет SaaS, IaaS и общие правила по информационной безопасности. Функциональный заказчик − орган власти, технический − ведомство или учреждение; оператор – Минцифры России или его подведомственная организация. Исключительные права на ПО не передаются, все облачные услуги должны соответствовать требованиям информационной безопасности и защиты КИИ.

Кроме того, с 1 января 2027 года все облачные сервисы расчётов на платформе обязаны использовать сертифицированные автоматизированные системы расчётов (далее − АСР), подлежащие государственной сертификации, за соблюдение которой отвечают владельцы сертификатов.

Что должны сделать организации?

Для государственных органов и подведомственных учреждений:

1. Планировать переход на «ГосТех» при создании, развитии или модернизации своих информационных систем (далее − ИС) и государственных информационных систем (далее – ГИС).
2. Согласовывать архитектуру новых ИС с требованиями платформы.
3. Выбирать поставщиков облачных услуг, способных обеспечить размещение на «ГосТех» и соответствие требованиям безопасности.
4. Обеспечить участие в роли функционального или технического заказчика — в зависимости от полномочий.
5. С 2027 года — использовать только сертифицированные АСР для облачных услуг на «ГосТех».

Для ИТ-компаний и облачных провайдеров, работающих с государственным сектором:

1. Привести свои услуги и инфраструктуру в соответствие требованиям «ГосТех» по защите информации и безопасности КИИ.
2. Получить сертификацию автоматизированных систем расчетов, если они планируют предоставление соответствующих услуг на «ГосТех».
3. Обеспечить совместимость архитектуры с платформой «ГосТех».
4. Подготовиться к проверкам и контролю со стороны госорганов в рамках системы сертификации.

Общественное обсуждение проекта завершилось 30 мая 2025 года.

Категорирование ОКИИ в сфере связи

Минцифры России представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере связи».

До настоящего момента категорирование объектов КИИ в сфере связи осуществлялось по общим правилам. Теперь же вступают в силу специализированные нормы, учитывающие особенности отрасли связи. Эти нормы:

• вводят отраслевые критерии значимости для объектов КИИ;
• уточняют порядок оценки последствий инцидентов с учетом масштаба возможных потерь (например, по числу абонентов, нарушению международных обязательств, ущербу бюджету или госорганам);
• определяют детальную процедуру категорирования, включая создание постоянной комиссии, требования к её составу и порядку оформления результатов;
• допускают объединение взаимозависимых систем в один объект КИИ, что особенно актуально для операторов связи со сложной инфраструктурой;
• устанавливают основания для решения об отсутствии необходимости категорирования, если нет систем, соответствующих типовым объектам КИИ.

Что должны сделать организации?

Все субъекты КИИ в сфере связи, к которым относятся государственные органы и учреждения, действующие в сфере связи, юридические лица, оказывающие услуги связи и имеющие соответствующие лицензии, организации, обеспечивающие взаимодействие ИС, информационно-телекоммуникационной системы (далее − ИТКС) и автоматизированной системы управления (далее − АСУ) в этой сфере, обязаны:

1. Необходимо сделать анализ инфраструктуры, при котором нужно выявить системы, попадающие под категорирование и определить процессы, нарушение которых может повлечь компьютерные инциденты.
2. Создать постоянно действующую комиссию по категорированию.
3. Провести категорирование:
   • оценить возможные последствия инцидентов по отраслевым критериям;
   • присвоить объектам соответствующую категорию значимости или обосновать её отсутствие;
   • оформить результаты в виде акта, который хранится до вывода объекта из эксплуатации или смены категории.
4. Сформировать перечень объектов КИИ, подлежащих категорированию, на основе сопоставления своих систем с типовыми отраслевыми объектами, утвержденными государством.

Общественное обсуждение проекта завершилось 28 мая 2025 года.

Категорирование ОКИИ в сфере государственной регистрации прав на недвижимое имущество

Федеральная служба государственной регистрации, кадастра и картографии (далее – Росреестр) представила для общественного обсуждения проект постановления Правительства РФ «Об утверждении отраслевых особенностей категорирования объектов КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним».

В сфере государственной регистрации недвижимости уточнены отраслевые особенности категорирования объектов КИИ, включая специфические признаки значимости, а также правила расчёта критериев значимости, адаптированные под сферу. Субъектами КИИ признаны государственные органы и юридические лица, осуществляющие госрегистрацию и предоставляющие сведения из Единого государственного реестра недвижимости (далее − ЕГРН). Установлен порядок оценки значимости КИИ по социальным, политическим и экономическим показателям, а также введены формулы и критерии, позволяющие учитывать время простоя, возможный ущерб бюджету и влияние на доступность государственных услуг.

Что должны сделать организации?

1. Провести категорирование КИИ с учётом отраслевых особенностей в соответствии с Постановлением Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» и настоящим постановлением, а также применить показатели значимости (5а, 5б, 6, 9) по новым формулам.
2. Оценить объекты по новым формулам расчета показателей.
3. Использовать отраслевые методики расчёта: учитывать особенности реестровых услуг: максимальное время восстановления, прогноз снижения доходов, влияние инцидентов на предоставление государственных услуг.
4. Обновить внутреннюю документацию и процедуры:
5. Зарегистрировать присвоенные категории КИИ: направить результаты категорирования в Федеральную службу по техническому и экспортному контролю РФ (далее − ФСТЭК России).

Общественное обсуждение проекта завершилось 13 июня 2025 года.

Персональные данные

Новый порядок предоставления доступа к ИС с особыми персональными данными

Федеральная служба безопасности РФ (далее − ФСБ России) подготовила проект приказа «Об установлении Порядка предоставления доступа ‎к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», обработки содержащихся в них персональных данных (далее − ПДн) указанных лиц и формы предписания о предоставлении доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ).

Утверждён новый порядок доступа к ИС и базам данных с персональными данными защищаемых лиц (ст. 6, ч. 11–12, 152-ФЗ). Введена единая форма предписания и установлены правила его подготовки, подписания и исполнения. Обязанности владельцев ИС включают обеспечение доступа, информационной безопасности и соблюдение требований по работе с государственной тайной. Удалённый доступ возможен при наличии технической возможности и согласования с ФСБ России. Доступ не должен ограничиваться техническими средствами, скоростью или временем.

Что должны сделать организации?

1. Оценить, подпадают ли под действие приказа — если ИС содержит данные о судьях, прокурорах, силовиках и др., или данные в интересах ФСБ России, Службы внешней разведки РФ, Федеральной службы охраны РФ, Министерства внутренних дел РФ, Министерства обороны РФ.
2. Обеспечить готовность к приёму предписаний:
   • назначить ответственных за доступ;
   • организовать приём и обработку предписаний;
   • реализовать доступ без раскрытия учётных данных.
3. Соблюдать требования по защите информации:
   • не допускать разглашения факта получения предписаний и данных, получивших доступ;
   • при работе с государственной тайной — обеспечить допуск, специальные помещения и защищённые каналы связи.
4. Обеспечить технические условия доступа.
5. Организовать учёт и взаимодействие с уполномоченными органами.

Общественное обсуждение проекта завершилось 21 мая 2025 года.

Постановление Правительства РФ от 22 мая 2025 г. № 702

Официально опубликовано постановление Правительства Российской Федерации от 22.05.2025 № 702 «Об утверждении Правил проверки соответствия пользователей государственной информационной системы, определенной в соответствии с частью 2 статьи 13-1 Федерального закона «О персональных данных», требованиям, указанным в части 7 статьи 13-1 Федерального закона «О персональных данных».

Вводится обязательная проверка соответствия для всех физических и юридических лиц, желающих получить или сохранить доступ к ГИС. Заявку можно подать лично, по почте или через Единый портал государственных и муниципальных услуг (далее – ЕПГУ) с использованием усиленной электронной подписи и машиночитаемой доверенности. Установлен единый порядок подачи и перечень обязательных данных: для граждан – фамилия, имя, отчество, паспорт, страховой номер индивидуального лицевого счета, идентификационный номер налогоплательщика, дата и место рождения, контактные данные; для организаций − реквизиты, информация о руководстве и подтверждение российского контроля. Проверка занимает до 15 рабочих дней, по итогам заявитель получает уведомление о соответствии, мотивированный отказ или запрос уточнений, что продлевает срок рассмотрения ещё на 15 дней. Подтверждение актуальности данных требуется ежегодно, иначе доступ к ГИС приостанавливается.

Что должны сделать организации?

1. Оценить необходимость доступа − относится ли организация к числу пользователей указанной ГИС.
2. Подготовить документы:
   • собрать сведения о юрлице, его руководителях, структуре владения;
   • подтвердить контроль со стороны РФ, субъекта РФ, муниципалитета или граждан РФ (без двойного гражданства);
   • оформить машиночитаемую доверенность и квалифицированную электронную подпись.
3. Подать запрос через личный кабинет на ЕПГУ или по почте/лично в уполномоченный орган.
4. Организовать мониторинг актуальности сведений и соблюдение сроков уведомлений.

Изменения в 152-ФЗ и приватность операторов ПДн

В Государственную Думу внесен законопроект «О внесении изменения в статью 22 Федерального закона «О персональных данных», в соответствии с которым предпринимается попытка к повышению приватности отдельных категорий операторов ПДн.

Адрес физического лица или индивидуального предпринимателя (далее – ИП) больше не публикуется в открытом реестре Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). Но этот адрес по-прежнему должен указываться в уведомлении при подаче в Роскомнадзор − просто он будет виден только уполномоченному органу, а не всем в интернете.

Что должны сделать организации?

1. Если вы − юридическое лицо, то изменений для вас нет. Адрес вашей организации продолжает отображаться в открытом реестре.
2. Если вы − ИП или физическое лицо, обрабатывающее персональные данные, то вам по-прежнему нужно подавать уведомление в Роскомнадзор, при этом указывать адрес в уведомлении – обязательно, но теперь ваш адрес не будет публиковаться в открытом доступе.

Изменения в приказ Минцифры № 453

Для общественного обсуждения представлен проект приказа Минцифры России «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, и в Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», утвержденные приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12 мая 2023 г. № 453».

Параметры и требования к качеству биометрических данных (далее – БПД) обновлены: для изображения лица допущена более высокая размытость − до 0,6 (ранее 0,3), при этом уточнено, что лицо должно быть в фокусе и с детализацией не хуже размытости 0,9; для записи голоса минимальная длительность чистой речи теперь фиксирована − 30 секунд, запись не должна прерываться, а человек при записи должен находиться в нормальном эмоциональном и психическом состоянии без искажений тембра; устаревшие и дублирующие требования (пункты 3, 13 и 14) удалены. При изменении технических требований оператор Единой биометрической системы обязан проверить ранее загруженные данные и при соответствии новым нормам использовать их без изменений. Кроме того, срок хранения биометрических данных увеличен с 2 до 4 лет до необходимости повторной актуализации или записи.

Что должны сделать организации?

1. Обновить процедуры сбора БПД: убедитесь, что новые технические параметры применяются при фото- и голосовой записи (особенно − 30 сек. непрерывной речи, фокус и детализация лица). Обучите персонал новым требованиям.
2. Проверить свои данные в Единой биометрической системе (далее – ЕБС). Если вы — оператор, ранее загрузивший биометрию, вы обязаны:
   • проверить соответствие параметров новым требованиям;
   • оставить данные в ЕБС, если они соответствуют;
   • иначе — обновить их.
3. Актуализировать внутреннюю документацию: внести изменения в политику обработки БПД, инструкции и технические регламенты. При необходимости — изменить согласие на обработку БПД, если в нём отражены параметры или сроки хранения.

Иное

Формирование перечня недопустимых событий

Минцифры России представило «Методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию».

Вводится новый фокус на обеспечение непрерывности операционной деятельности через учет недопустимых событий, а не только на обеспечение информационной безопасности. Уточнены роли и состав рабочей группы в организации − делается акцент на межфункциональное взаимодействие. Включены практики моделирования гипотетических сценариев (в том числе с имитацией компьютерных атак). Применяются конкретные критерии оценки возможности реализации недопустимых событий, например: доступ к операционной системе, приложению, сетевому сегменту, документам и т. д. Предлагается встроенный цикл постоянной актуализации Перечня, в том числе через привлечение внешних экспертов.

Что должны сделать организации?

1. Организовать управление процессом:
   • назначить ответственное лицо (рекомендуется — заместитель руководителя по рискам и непрерывности);
   • издать внутренний приказ об организации Рабочей группы и закрепить её состав и задачи.
   • включить в Рабочую группу представителей по направлениям: управление рисками и непрерывностью, сопровождение и развитие ИТ, информационная безопасность.
2. Подготовить информационную базу и проанализировать:
• ключевые показатели эффективности;
• бизнес-процессы и технологические процессы;
• критические ИС и зависимости;
• результаты риск-оценки;
• инциденты информационной безопасности;
• отраслевые перечни недопустимых событий;
• стратегические документы и SWOT-анализ.

Увеличение штрафов

Официально опубликован Федеральный закон от 23.05.2025 № 104-ФЗ «О внесении изменений в статьи 4.5 и 13.12 Кодекса Российской Федерации об административных правонарушениях (далее − КоАП РФ) и статью 1 Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», в соответствии с которым увеличиваются штрафы за правонарушения (Табл. 1), связанные с использованием несертифицированных Средств защиты информации и нарушением требований о защите информации.

Основные изменения:

1. Продлены сроки давности по статье 13.12 КоАП РФ («Нарушение правил защиты информации»).
2. Существенно увеличены размеры административных штрафов в 3–10 раз (Табл. 1)

Таблица 1 - Увеличение штрафов

Аналогично повышены штрафы по другим частям этой статьи − включая те, что касаются нарушений порядка обработки конфиденциальной информации, несоблюдения требований к защите информации, и др.

Что должны сделать организации?

1. Пересмотреть процессы ИБ:
   • проверить соответствие требованиям по защите данных и доступу;
   • убедиться в наличии документированной политики безопасности.
2. Обновить внутренние документы:
   • положения о защите информации;
   • регламенты обработки ПДн;
   • журналы доступа и инцидентов.
3. Провести инструктаж персонала, особенно тех, кто работает с конфиденциальной информацией.
4. Усилить контроль:
• внедрить или обновить аудит ИБ;
• регулярно проводить проверки.

Определение исполнителя работ по созданию унифицированной среды разработки

Правительство РФ опубликовало Распоряжение Правительства РФ от 21.05.2025 № 1266-р, в котором определило единственного исполнителя работ по созданию унифицированной среды разработки безопасного отечественного программного обеспечения.

Распоряжением Правительства РФ № 1266-р от 21.05.2025 Институт системного программирования РАН (далее − ИСП РАН) назначен единственным исполнителем работ по созданию унифицированной среды разработки безопасного отечественного ПО. Решение принято в рамках проектов «Инфраструктура кибербезопасности» и «Экономика данных», без конкурсных процедур. Закупки проводит ФСТЭК в 2025–2026 гг.

Что должны сделать организации?

1. Рассмотреть участие как соисполнители. Федеральные ИТ-организации могут выступить субподрядчиками.
2. Отслеживать разработки ИСП РАН. Они могут стать обязательными или рекомендованными для госсектора.
3. Адаптировать цифровые стратегии. Учесть необходимость интеграции с отечественным ПО из проекта.
4. Следить за законодательством РФ. Вероятно, появятся дополнительные подзаконные акты или методические рекомендации от ФСТЭК России, Минцифры России и других органов в рамках проекта.

Стратегия развития отрасли связи

Официально опубликовано распоряжение Правительства РФ от 24.05.2025 № 1312-р, которым утверждается план мероприятий по реализации Стратегии развития отрасли связи до 2035 года. Документ определяет меры по развитию телекоммуникаций: создание современной инфраструктуры, внедрение технологий, поддержку отечественного ПО и оборудования, развитие кадров и науки.

Что должны сделать организации?

Для операторов связи:

1. Изучить разделы плана, касающиеся поддержки отрасли, особенно по снижению издержек и радиочастотному регулированию.
2. Подать инициативы по участию в мероприятиях плана.
3. Подготовить проекты для локализации оборудования и программного обеспечения.

Для производителей и разработчиков:

1. Активно включаться в программы по разработке и внедрению российского телеком-оборудования.
2. Участвовать в проектах по информационной безопасности.

Для вузов и НИИ:

1. Пересмотреть образовательные программы с фокусом на потребности отрасли связи.
2. Запускать научные и прикладные исследования по заказу отрасли.

Для органов власти:

1. Учитывать цели плана при планировании цифровой трансформации и инфраструктурных проектов.
2. Координировать свои инициативы с планом мероприятий по стратегии.

ФСТЭК России

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 29 апреля 2025 года. Основные итоги:

1. Подведены итоги I квартала – направлены аналитические материалы председателю и членам ТК 362.
2. ГОСТы на финальной стадии:
   • Идентификация и аутентификация (АО «Аладдин Р.Д.») – завершение в августе.
   • Доверенная среда исполнения (ООО «Открытая мобильная платформа»), методология разработки ИБ-систем (АО «Лаборатория Касперского»), композиционный анализ ПО, методика оценки разработки безопасного ПО – в доработке, срок – май–июнь.
3. Проекты ГОСТ Р, представленные на рассмотрение:
   • Управление защитой информации (ООО «ЦБИ»);
   • Защита от неправомерной передачи (АО «Солар Секьюрити» и др.).
4. Планируются новые разработки – членам ТК направлен запрос предложений на включение в программу на 2025–2030 гг.
5. Обрабатываются проекты ТК 167 по классификации КИИ и ПО для доверенных комплексов.
6. Изменения в составе ТК 362 – приняты новые члены: «Юзергейт», «СайберЛимфа», «Аквариус». Обновлены статусы участия организаций.
7. Международная деятельность – направлены обновлённые сведения в Росстандарт о МТК 362.
8. Участие в семинаре по межгосударственной стандартизации – 03.04.2025, ВКС.