связаться с нами
  1. Главная
  2. О нас
  3. Новости
  4. Обзор изменений в законодательстве за сентябрь 2025 года

Обзор изменений в законодательстве за сентябрь 2025 года

законодательство 10 минут
Картинка

Департамент консалтинга UDV Group

Обзор изменений в законодательстве за сентябрь 2025 года

Сотрудники Департамента консалтинга UDV Group подготовили обзор последних изменений в законодательстве в области информационной безопасности. Наши специалисты проанализировали новые нормы и требования, чтобы вы могли оперативно адаптировать бизнес-процессы и избежать рисков. Ниже — ключевые рекомендации.

В условиях активного развития цифровой экономики и ужесточения требований к технологической независимости сентябрь 2025 года ознаменовался выходом ряда значимых нормативных документов. Контролирующие органы сфокусировались на защите критической инфраструктуры, продвижении российского программного обеспечения и установлении новых технических стандартов в области информационной безопасности. Эти изменения затрагивают широкий круг организаций − от операторов спутниковой связи до разработчиков ПО и субъектов КИИ.

Основные тенденции последних месяцев:
  1. Усиление защиты критически важных систем: формируются требования по обязательному использованию российских СКЗИ для управления космическими аппаратами, а также вводятся новые методики тестирования систем защиты на проникновение.
  2. Стимулирование перехода на доверенное российское ПО: разрабатываются строгие требования к ПО для его включения в специальный перечень, а для субъектов КИИ формализуются этапы и сроки перехода на отечественные программные решения.
  3. Детализация требований к обработке ПДн: обновляются технические стандарты сбора биометрических данных в ЕБС, а Роскомнадзор планирует акцентировать внимание на проверке корректности оформления согласий на обработку данных, разрешённых для распространения.
  4. Централизация и развитие государственных цифровых платформ: планируется реформа управления платформой «ГосТех», направленная на упрощение взаимодействия и расширение её функционала, включая внедрение технологий искусственного интеллекта.
  5. Активная работа по стандартизации: технический комитет ТК 362 ведёт разработку целого ряда новых национальных стандартов в области защиты информации, включая стандарты по доверенным средам исполнения и безопасной разработке ПО.
Ключевые нормативные изменения

Требования к защите радиолиний управления космическими аппаратами средствами СКЗИ

Для общественного обсуждения представлен проект приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее − Минцифры России) «Об утверждении Требований к защите радиолиний управления космическими аппаратами связи и вещания средствами криптографической защиты информации (далее − СКЗИ), сертифицированными Федеральной службой безопасности (далее − ФСБ России)».

Документ закрепляет обязательное использование сертифицированных ФСБ России СКЗИ на радиолиниях управления спутниками связи и вещания. Основная цель − предотвращение вмешательства в управление российскими спутниковыми системами и защита передаваемой информации, включая её шифрование и имитозащиту.

Ключевые положения:
  • радиолинии управления спутниками должны оснащаться СКЗИ, сертифицированными ФСБ России;
  • класс применяемых СКЗИ определяется ФСБ России на основе модели угроз безопасности информации, согласованной с ведомством;
  • эксплуатация СКЗИ осуществляется в соответствии с приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и
  • эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – приказ ФСБ России № 66) и нормами законодательства Российской Федерации (далее – РФ) о защите государственной тайны;
  • срок действия приказа установлен с 1 марта 2026 года по 1 марта 2032 года.
Кому важно подготовиться:
  • операторам спутниковой связи и вещания;
  • государственным органам, ответственным за управление и эксплуатацию космических аппаратов;
  • организациям-разработчикам и производителям средств СКЗИ;
  • предприятиям оборонно-промышленного комплекса и субъектам критической информационной инфраструктуры (далее − КИИ), функционирующим в ракетно-космической промышленности.
Что должны сделать организации?
  1. Проверить наличие сертифицированных СКЗИ в используемых системах управления спутниками.
  2. Согласовать с ФСБ России модели угроз для выбора соответствующего класса СКЗИ.
  3. Обеспечить переход на сертифицированные средства защиты (далее – СрЗИ) до вступления приказа в силу (1 марта 2026 г.).
  4. Организовать эксплуатацию СКЗИ в строгом соответствии с приказом ФСБ России № 66 и требованиями законодательства о государственной тайне.
  5. Планировать модернизацию систем управления спутниками на период действия приказа (до 2032 г.).
Требования к биометрическим данным в Единой биометрической системе

С 1 июня 2025 года вступают в силу изменения, вводящие новые требования к сбору и обработке биометрических персональных данных (далее − ПДн) в Единой биометрической системе (далее − ЕБС): приказ Минцифры России от 19.06.2025 № 553 «О внесении изменений в приложения № 1, 2 и 5 к приказу Минцифры России от 12.05.2023 № 453 «О порядке обработки биометрических ПДн и векторов ЕБС в ЕБС и в информационных системах аккредитованных государственных органов, Центрального банка РФ (далее – ЦБ РФ) в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц». Документ согласован с ФСБ России и ЦБ РФ и действует до 1 июня 2029 года.

Ключевые изменения и требования:

1.     Требования к изображению лица:

  • уровень зашумленности изображения увеличен с «не более 0,3» до «не более 0,6»;
  • требование «быть в фокусе» заменено на более конкретное: «иметь достаточные фокусировку и детализацию черт лица (размытость изображения не более 0,9)».

2.     Требования к голосовой записи:

  • установлена единая минимальная длина чистой речи: не менее 30 секунд без прерываний;
  • запись должна производиться, когда физическое лицо находится в нормальном эмоционально-психологическом состоянии, без возбуждения и признаков заболеваний, влияющих на голос.

3.     Введено новое правило: оператор ЕБС обязан не реже одного раза в год проводить автоматическую проверку уже размещенных в системе биометрических данных на соответствие актуальным требованиям.

4.     Срок хранения определенных данных увеличен с 2 до 4 лет.

5.     Технические требования к оборудованию:

  • уточнены типы поддерживаемых микрофонов: конденсаторный, конденсаторный электронный или цифровой MEMS, без автоматической регулировки усиления
  • для планшетов указана обязательная форма диаграммы направленности микрофона: всенаправленный (круг)
Что должны сделать организации?
  1. Пересмотреть и настроить процедуры записи голоса и фотофиксации лица в соответствии с новыми техническими требованиями (длительность речи, качество изображения).
  2. Убедиться, что используемое оборудование (камеры, микрофоны) и программное обеспечение (далее − ПО) соответствуют обновленным спецификациям, особенно при использовании планшетов.
  3. Внести изменения во внутренние регламенты и системы хранения данных в связи с увеличением срока хранения некоторых биометрических данных до 4 лет.
  4. Учитывать, что биометрические данные организации будут ежегодно автоматически проверяться в ЕБС на соответствие требованиям, и некачественные данные могут быть отсеяны.
  5. Провести инструктаж сотрудников, отвечающих за биометрическую идентификацию, по новым правилам съемки и записи.
Переход на российское ПО для объектов КИИ: сроки, правила и требования

Минцифры РФ представило для общественного обсуждения проект Постановления Правительства РФ «О порядке и сроках перехода субъектов КИИ РФ на использование программ для электронных вычислительных машин и баз данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный статьей 12¹ Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», на значимых объектах КИИ РФ»

Ключевые этапы и требования:
  1. Уполномоченные органы (федеральные органы исполнительной власти, ЦБ РФ) до 1 июня 2026 года разрабатывают и утверждают отраслевые планы перехода.
  2. Субъекты КИИ в течение месяца после получения отраслевого плана разрабатывают и согласовывают индивидуальные планы перехода.
  3. Планы перехода должны содержать: 
  • перечень значимых объектов КИИ;
  • сведения об используемом ПО;
  • плановые и фактические доли российского ПО;
  • прогнозные объёмы затрат на переход;
  • предельные сроки завершения перехода.
  1. Ежегодная актуализация планов перехода – до 1 апреля.
  2. Отчётность: субъекты КИИ направляют отчёты о завершении перехода до 1 января 2028 года.
Что должны сделать субъекты КИИ?
  1. До 1 мая 2026 года назначить ответственное должностное лицо (не ниже заместителя руководителя) за организацию перехода.
  2. До 1 июня 2026 года получить от уполномоченного органа отраслевой план перехода.
  3. В течение месяца после получения отраслевого плана разработать и согласовать с уполномоченным органом индивидуальный план перехода.
  4. До 1 августа 2026 года (при наличии исключительных обстоятельств) направить в уполномоченный орган информацию об отсутствии аналогов российского ПО и/об участии в особо значимых проектах для получения продления срока перехода.
  5. До 1 января 2028 года завершить переход на российское ПО и направить отчёт уполномоченному органу.
  6. Ежегодно до 1 апреля (начиная с 2027 года) участвовать в актуализации отраслевых и индивидуальных планов перехода.
Планируется, что Постановление вступит в силу с 1 апреля 2026 года.

Изменения в Порядок сертификации процессов безопасной разработки ПО СрЗИ

Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) официально опубликовала приказ ФСТЭК России от 30.06.2025 № 230 «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки ПО СрЗИ, утвержденный приказом ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки ПО СрЗИ». Изменения направлены на актуализацию нормативных ссылок, уточнение требований к руководству по безопасной разработке, а также корректировку процедур сертификации и оформления протоколов.

Подробнее с изменениями можно ознакомиться в обзоре за июнь 2025 года Департамента консалтинга UDV Group.

Согласие на обработку ПДн, разрешенных для распространения

Минцифры России опубликовала проект Перечня нормативных правовых актов (далее − НПА), содержащих обязательные требования, выполнение которых подлежит оценке в 2026 году в сфере обработки ПДн.

Перечень разработан в соответствии с Планом проведения оценки применения обязательных требований, содержащихся в нормативных правовых актах, на 2026 год (утв. Министерством экономического развития РФ 19.08.2025 г.).

Ключевым документом для оценки является приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее − Роскомнадзор) от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения» (далее – Приказ Роскомнадзора № 18).

На практике это означает, что в 2026 году деятельность операторов, осуществляющих обработку ПДн, разрешенных для распространения, будет проверяться на соответствие требованиям к содержанию и оформлению согласия, установленным указанным приказом Роскомнадзора № 18. Организациям необходимо заранее убедиться в полноте и правильности оформления таких согласий.

Что должны сделать организации?
  1. Проверить все процессы, связанные с получением согласий на обработку ПДн, разрешенных для распространения, на соответствие требованиям Приказа Роскомнадзора № 18.
  2. Убедиться, что формы согласий, размещаемые на интернет-сайтах и в мобильных приложениях, содержат все обязательные сведения, предусмотренные приказом.
  3. Проверить, что механизм получения отдельного, информированного и сознательного согласия от субъекта ПДн реализован корректно.
  4. Учитывать, что в 2026 году Роскомнадзор будет целенаправленно оценивать соблюдение именно этих требований в ходе контрольно-надзорных мероприятий.
Актуализирован порядок функционирования единой цифровой платформы

Правительство РФ постановлением от 08.09.2025 № 1388 «О внесении изменений в некоторые акты Правительства РФ» планирует внести масштабные изменения в регулирование единой цифровой платформы «ГосТех». Поправки направлены на централизацию управления, расширение функционала платформы и упрощение процедур взаимодействия.

Ключевые изменения:
  1. Минцифры России назначено единым техническим заказчиком и оператором платформы «ГосТех» с правом делегирования функций подведомственному учреждению.
  2. Расширен перечень предоставляемых услуг: введено предоставление «функциональных сервисов» (ПО и баз данных для автоматизации государственных органов) и «технологий искусственного интеллекта».
  3. Создан Центр экспертизы и координации для управления межведомственными проектами по созданию и развитию государственных информационных систем (далее − ГИС).
  4. Упразднены отдельные системы и процедуры, включая систему «Управление платформой «ГосТех» и систему «Госмаркет», что упрощает взаимодействие.
  5. Четко разграничена ответственность: оператор платформы не несет ответственности за достоверность информации в ГИС, а технический заказчик не является их оператором.
Что должны сделать организации?

1. При создании и развитии ГИС на платформе «ГосТех»:
  • заключать соглашения с оператором платформы («ГосТех»);
  • взаимодействовать с новым Центром экспертизы и координации мероприятий;
  • руководствоваться утвержденными регламентами взаимодействия.
2. При использовании платформы:
  • обеспечить соответствие своих цифровых продуктов методическим документам платформы «ГосТех»;
  • активно использовать новые «функциональные сервисы» и «технологии искусственного интеллекта».
3. При планировании ИТ-расходов:
  • учитывать установленные единые расценки на функциональные сервисы;
  • согласовывать технико-экономические обоснования с обновленными требованиями.
Признается утратившим силу Постановление Правительства РФ от 30.11.2022 № 2194 «Об утверждении Положения о федеральной ГИС «Управление единой цифровой платформой РФ «ГосТех» и Положения о федеральной государственной информационной системе «Госмаркет».

Порядок формирования и ведения перечня доверенных российских программ для электронных вычислительных машин и баз данных

Опубликован проект постановления Правительства РФ «О доверенных российских программах для электронных вычислительных машин и баз данных», который утверждает правила формирования перечня доверенного ПО и требования к таким программам.

Ключевые положения:

1. Ведение перечня доверенного ПО:
  • формируется Минцифры России в электронной форме с использованием ФГИС «Реестры программ для ЭВМ и БД»;
  • подтверждением включения является специальный признак в реестровой записи российского ПО или в перечне ПО для собственных нужд.
2. Требования к ПО:
  • совместимость с российскими процессорами (соответствующими требованиям к интегральным схемам 1 или 2 уровня);
  • обновления только с разрешения пользователя, без использования зарубежных технических и программных средств;
  • наличие технической поддержки на всей территории РФ, включая исправление ошибок и уязвимостей;
  • использование доверенных средств разработки и тестирования, включенных в реестр российского ПО;
  • наличие исходных текстов, инфраструктуры разработки и сборочной среды на территории РФ;
  • устранение уязвимостей в течение 30 дней с момента их опубликования;
  • для ПО с функциями защиты информации − наличие сертификата СрЗИ.
3. Процедура включения в перечень:
  • правообладатель подает заявление через официальный сайт оператора реестра;
  • проводится экспертиза в аккредитованном центре тестирования (срок − 30 рабочих дней);
  • решение о включении принимает президиум Правительственной комиссии по цифровому развитию;
  • сведения вносятся в перечень сроком на 3 года.
4. Требования к центрам тестирования:
  • наличие в штате не менее 10 специалистов с ИТ-образованием;
  • опыт работы в сфере ИТ не менее 3 лет;
  • наличие испытательного стенда и страховки ответственности на сумму не менее 10 млн рублей;
  • чистые активы − не менее 10 млн рублей;
  • сведения об аттестации центра действительны в течение 1 года.
Что должны сделать организации?
  1. Ознакомиться с утвержденными требованиями к доверенному ПО для соответствующих классов программ.
  2. При наличии программных продуктов, претендующих на статус доверенных, обеспечить их соответствие установленным требованиям.
  3. Подготовить необходимую документацию и подать заявление на включение в перечень через установленный электронный канал.
  4. Заключить договор с аккредитованным центром тестирования для проведения экспертизы.
  5. Учитывать, что положения об аттестации центров тестирования вступают в силу с момента официального опубликования, что требует заблаговременной подготовки.
Перечень российских программ для ЭВМ и БД для собственных нужд российскими юридическими лицами

Опубликован проект постановления Правительства РФ «Об утверждении Правил формирования и ведения перечня российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами», который утверждает правила формирования перечня ПО и требования к таким программам.

Ключевые положения:

1. Формируется отдельный перечень российского ПО, разработанного и используемого юридическими лицами для собственных нужд, сведения не подлежат публикации.
2. Строгие требования к правообладателям:
  • 100% российское владение (государство, субъекты РФ, муниципалитеты, российские некоммерческие/коммерческие организации под контролем российских лиц);
  • запрет на выплаты иностранным лицам за разработку и модификацию ПО;
  • использование только для собственных нужд или внутри группы лиц.
3. Технические требования:
  • совместимость с российскими/евразийскими операционными системами;
  • русскоязычный интерфейс;
  • хранение исходного кода и средств компиляции на территории РФ;
  • отсутствие принудительного обновления из-за рубежа;
  • отечественная техническая поддержка и разработка.
4. Особая процедура для Москвы – включение в перечень в упрощенном порядке в течение 30 дней без решения Правительственной комиссии.

5. Критические сроки:
  • регистрация заявления: 15 рабочих дней;
  • экспертиза: 15 рабочих дней;
  • рассмотрение комиссией: 20 рабочих дней;
  • включение в перечень: 5 рабочих дней.
Что должны сделать организации?

1. Проанализировать внутреннее ПО на соответствие требованиям к правообладателям и техническим характеристикам.
2. Подготовить пакет документов для включения в перечень:
    • декларации соответствия установленным требованиям;
    • полную документацию (руководства пользователя и администратора, технические требования);
    • экземпляр ПО без СрЗИ авторских прав;
    • документы, подтверждающие права на ПО и соответствие критериям.
3. Назначить ответственных за взаимодействие с Минцифрами России и ведение реестровой записи.
4. Обеспечить оперативное внесение изменений в перечень при смене реквизитов или характеристик ПО.
5. Учесть особенности для финансовых организаций: необходимость согласования с ЦБ РФ.

Методики и стандарты ИБ

Методика испытаний систем защиты информации методами тестирования на проникновение
ФСТЭК России сообщает об утверждении Методики испытаний систем защиты информации (далее – СЗИ) информационных систем методами тестирования на проникновение (далее – Методика) в Информационном сообщение ФСТЭК России от 08.09.2025 № 240/24/4734.

Общее описание:
1. Назначение и область применения Методики:
  • определяет организацию, порядок проведения и содержание работ по испытаниям СЗИ в информационных системах, автоматизированных системах управления и информационно-телекоммуникационных сетях.
  • применяется в ходе:
    • аттестации информационных систем на соответствие требованиям по защите информации;
    • контроля защищенности информации от несанкционированного доступа;
    • оценки соответствия систем требованиям по защите информации и достаточности принимаемых мер безопасности.
2. Методика подлежит обязательному применению при проведении работ по тестированию на проникновение в отношении ГИС и иных информационных систем государственных органов, унитарных предприятий и учреждений. При этом данные системы должны иметь 1, 2 классы защищенности и соответствовать одному из критериев:
  • иметь подключение к сети «Интернет»;
  • осуществлять взаимодействие с другими информационными системами, в том числе подрядных организаций (за исключением случаев, когда такое взаимодействие осуществляется по защищенным каналам связи с применением сертифицированных шифровальных средств);
Важное уточнение:
  • для ГИС и иных систем государственных организаций (органов) 3-го класса защищенности и негосударственных информационных систем проведение тестирования на проникновение по данной Методике не является обязательным, решение о применении Методики принимается обладателем информации, заказчиком или оператором системы.
3. Для негосударственных систем: решение о применении Методики принимается обладателем информации, заказчиком или оператором информационной системы.

Что должны сделать организации?
  1. Ознакомиться с утвержденной Методикой, направив для её получения официальный запрос в ФСТЭК России, так как Методика является документов ограниченного доступа.
  2. Определить необходимость применения Методики для своих информационных систем.
  3. При планировании аттестационных испытаний государственных информационных систем 1-2 классов защищенности, имеющих выход в интернет или взаимодействующих с другими системами, обеспечить обязательное применение данной Методики.
  4. Использовать Методику при проведении работ по оценке защищенности и аттестации информационных систем.
  5. Учесть требования Методики при заключении контрактов на создание и эксплуатацию информационных систем.
  6. Методика предоставляется по запросу.

Справка-доклад ТК 362

На сайте ФСТЭК России была опубликована Справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) по состоянию на 29 августа 2025 года. Основные итоги:

1. Программное планирование:
  • подготовлен и направлен на согласование проект Перспективной программы работ ТК 362 на период до 2030 года.
2. Разработка стандартов по защите информации:
  • организовано публичное обсуждение проекта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;
  • подготовлен к утверждению проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации»;
  • разработаны и представлены на согласование:
  1. ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
  2. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения».
  3. Межкомитетское взаимодействие:
  • направлены результаты рассмотрения проектов стандартов в ТК 079 «Оценка соответствия»;
  • переданы заключения по проектам стандартов в области биометрии в ТК 098 «Биометрия и биомониторинг»;
  • принято участие в объединенном заседании ТК 164 и МТК 566 «Искусственный интеллект».
4. Организационная работа:
  • утверждены председатели подкомитетов 1 и 2 ТК 362;
  • принято в состав ТК 362 АО «Расчетные решения» со статусом наблюдателя;
  • инициировано изменение статуса ФГБУ «НИЦ «Курчатовский институт» с «Наблюдатель» на «Постоянный член»;
  • направлены в Федеральное агентство по техническому регулированию и метрологии РФ результаты рассмотрения проектов программ разработки межгосударственных стандартов.
Картинка

Департамент консалтинга UDV Group

Разработчик решений для кибербезопасности

UDV Group предоставляет единый портфель решений для защиты технологических сетей, корпоративного сегмента и автоматизации в области объектовой безопасности. Продукты компании сертифицированы ФСТЭК России.

законодательство 10 минут

другие новости

Изображение.

оставьте заявку

напишите нам,
если у вас есть вопросы

Ответим в рабочие дни с 9:00 до 18:00 по Москве

Картинка

Спасибо за подписку!

Теперь вы сможете оперативно получать
уведомления о наших новостях

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Картинка

Спасибо за регистрацию!

Отправили ссылку для подключения на ваш e‑mail

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей

Расскажите о себе

Прикрепите резюме или сопроводительное письмо

доступные форматы: .doc, .docx, .rtf, .pdf, .txt

Нажимая на кнопку “Отправить анкету”, вы соглашаетесь с политикой обработки персональных данных.

Оставьте заявку

Картинка

Спасибо за запрос!

Мы свяжемся с вами в ближайшее время
для уточнения деталей