Обзор изменений в законодательстве ИТ и ИБ за июль 2025

В обзоре изменений за июль 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура ^[1]

Подготовлены проекты постановлений Правительства об отраслевых особенностях категорирования объектов КИИ в сфере здравоохранения и ракетно-космической промышленности.

2. Персональные данные ^[2]

Вступил в силу совместный приказ ФСБ России, СВР России, МО России, ФСО России и МВД России, устанавливающий порядок доступа к ИС и (или) БД, содержащим ПДн специальных служб и лиц, находящихся под государственной охраной. Введена форма предписания на доступ к таким базам и ИС.

3. Иное ^[3]

Официально опубликованы приказы ФСТЭК России, определяющие сроки и последовательность административных процедур при проведении лицензионного контроля за деятельностью:

• по технической защите конфиденциальной информации;

• по разработке и производству средств защиты конфиденциальной информации.

Утверждены требования к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации видео- и веб-конференций.

Рассмотрим внесенный в Госдуму проект изменений в 149-ФЗ, а также проект указания Банка России о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств.

Ознакомимся с опубликованными национальными стандартами Российской Федерации, устанавливающими требования к интеллектуальным системам предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных ИС.

4. Деятельность ФСТЭК России ^[4]

Рассмотрим справку-доклад о деятельности ТК 362 по состоянию на 30.07.2025 и принятый национальный стандарт ISO/IEC 27031:2025 «Информационная технология. Компьютерная безопасность. Готовность информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ

Во исполнение изменений, внесенных в Федеральный закон от 26.07.2017 № 187- ФЗ ^[5] «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), Госкорпорация «Роскосмос» и Министерство здравоохранения Российской Федерации (далее – РФ) представили для общественного обсуждения проекты отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ) в сферах:

• ракетно-космической промышленности ^[6];

• здравоохранения ^[7].

В целях категорирования объектов КИИ, функционирующих в области ракетно- космической промышленности, определены следующие показатели критериев значимости:

• причинение ущерба жизни и здоровью людей;

• возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода по всем видам деятельности;

• возникновение ущерба бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом КИИ;

• вредные воздействия на окружающую среду;

• снижение показателей государственного оборонного заказа.

К объектам КИИ, функционирующих в сфере здравоохранения, применимы следующие показатели критериев значимости:

• причинение ущерба жизни и здоровью людей;

• отсутствие доступа к государственной услуге;

• прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции;

• возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода по всем видам деятельности;

• вредные воздействия на окружающую среду.

Общественные обсуждения проектов отраслевых особенностей категорирования объектов КИИ в области ракетно-космической промышленности завершились 16.07.25, а в сфере здравоохранения – 18.07.25.

Персональные данные

Порядок доступа к ПДн сотрудников силовых ведомств

11.07.2025 вступил в силу приказ Федеральной службы безопасности Российской Федерации (далее – ФСБ России), Службы внешней разведки Российской Федерации (далее – СВР России), Министерства обороны Российской Федерации, Федеральной службы охраны Российской Федерации, Министерства внутренних дел Российской Федерации от 25.06.2025 № 245/56/399/85/441 ^[8] «Об установлении Порядка предоставления доступа к информационным системам (далее – ИС) и (или) базам данных (далее – БД), содержащим сведения о лицах, указанных в ч. 1-1 и 1-2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), обработки содержащихся в них персональных данных (далее – ПДн) указанных лиц и формы предписания о предоставлении доступа к ИС и (или) БД, содержащим сведения о лицах, указанных в ч. 1-1 и 1-2 ст. 6 152-ФЗ» (далее – приказ о порядке доступа к ПДн).

Приказ о порядке доступа к ПДн определяет, что предоставление должностным лицам органов ФСБ России, СВР России, государственной охраны и полиции (далее – уполномоченные органы) доступа к информационной системе (далее – ИС), и (или) базам данных, содержащим сведения о лицах, указанных в частях 1¹ и 1² статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ ^[9] «О персональных данных» (далее – защищаемые лица), предоставляется владельцем ИС на основании предписания, которое подписывается следующими должностными лицами:

• в ФСБ России – руководителями (начальниками) подразделений ФСБ России;

• во внешней разведке РФ – руководителями (начальниками) структурных (самостоятельных) подразделений;

• в ФСО России – начальником и заместителями Оперативного управления ФСО России;

• в полиции – уполномоченными должностными лицами.

Предписание подготавливается на бумажном носителе в 2 экземплярах или в форме электронного документа. Один экземпляр направляется уполномоченным органом владельцу ИС. После владельцем ИС организуется предоставление доступа, определяется сотрудник, ответственный за предоставление доступа, о чем информируются уполномоченные органы не позднее 24 часов с момента получения предписания (о незамедлительном предоставлении – не позднее 3 часов).

Согласно приказу о порядке доступа к ПДн, владельцы ИС должны информировать уполномоченные органы о разглашении:

• факта направления предписаний;

• ПДн уполномоченных должностных лиц.

Информирование проводится в течение 24 часов с момента выявления факта разглашения.

Иное

Государственный контроль за деятельностью лицензиатов по ТЗКИ и СЗКИ

Опубликованы приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 12.05.2025 № 163 ^[10] «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации (далее – ТЗКИ)» и приказ ФСТЭК России от 12.05.2025 № 164 ^[11] «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ) (в пределах компетенции ФСТЭК России)».

Документы фиксируют процедурные основы лицензионного контроля ФСТЭК России по ТЗКИ и СЗКИ, устанавливают регламент взаимодействия между ФСТЭК России и лицензиатами. В рамках контроля ФСТЭК России проводит плановые и внеплановые проверки, оформляет результаты актами, выдает предписания об устранении нарушений, также может повторно проверить устранение выявленных недостатков. Оба положения пришли на смену ранее действующим приказу ФСТЭК России от 01.06.2023 № 107 ^[12] «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации» и приказу ФСТЭК России от 01.06.2023 № 108 ^[13] «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)»  и применяются до 31.12.2025 включительно.

Требования к организации видеосвязи в ФОИВ

01.07.2025 вступило в силу постановление Правительства РФ от 30.06.2025 № 984 ^[14] «Об утверждении требований к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации применения систем видео-конференц-связи и веб-конференции».

Серверное оборудование должно быть размещено только на территории РФ. Программные средства, которые используют федеральные органы власти и их сотрудники для проведения видеосвязи, должны обеспечивать:

• возможность работы в браузере с поддержкой сертификатов безопасности, выданных национальным удостоверяющим центром;

• поддерживать технологию WebRTC для организации связи в режиме реального времени;

• наличие средств антивирусной защиты.

Технические и программные средства должны иметь доступ к сети Интернет, соответствовать требованиям о защите информации в ГИС и иных ИС государственных органов, установленными приказом ФСБ России от 24.10.2022 № 524 ^[15] «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств» и приказом ФСТЭК России от 11.02.2013 № 17 ^[16] «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». При их использовании должны применяться средства защиты информации, которые обеспечивают защиту ПДн и иной информации от угроз, определенных в модели угроз.

Технические и программные средства, используемые при организации веб- конференции, должны обеспечивать идентификацию лиц без личного присутствия с использованием единой системы идентификации и аутентификации, единой биометрической системы и (или) аутентификацию физический лиц с использованием биометрических ПДн.

Изменения в 149-ФЗ

07.07.2025 был внесен в Государственную думу законопроект ^[17] «О внесении изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ).

В данном законопроекте предлагают ввести новые термины: государственная информационная система, государственная цифровая платформа, государственный информационный ресурс, ведомственный сервис.

Предлагается уточнить классификацию ИС – подробно раскрыть правовые основания создания ИС. Для федеральных и региональных государственных ИС (далее – ГИС) прописаны уровни нормативных актов, на которых они основываются, муниципальные ИС (далее – МИС) создаются не по решению органа местного самоуправления, а на основании муниципальных нормативных правовых актов, также ввести дополнительный тип – ведомственные ИС.

В законопроекте предлагается дополнить перечень организаций, на которых распространяется требование размещать технические средства (далее – ТС) на территории РФ:

• органы управления государственными внебюджетными фондами;

• публично-правовые компании;

• государственные компании и государственные корпорации.

Также предусматривается установление требования размещать на территории РФ ТС, обеспечивающие функционирование ГИС и МИС.

Предлагается установить, что операторы государственных, муниципальных, ведомственных и иных ИС государственных учреждений, государственных внебюджетных фондов РФ, государственных компаний, публично-правовых компаний (далее – иные ИС), если их системы обрабатывают данные из государственных, муниципальных или ведомственных ИС, обязаны непрерывно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) и сообщать о компьютерных инцидентах, приведшие к непрерывной передачи информации.

Согласно проекту изменений 149-ФЗ, требования по защите информации ранее применявшиеся к ИС, которые обмениваются данными с ГИС, теперь нормативно закрепляются в законе. Предлагается установить, что такие ведомственные и иные ИС должны соответствовать тем же требованиям по защите информации, что и сами ГИС, а также не допускается использовать такие ИС для обработки данных содержащейся в ГИС информации, если у оператора отсутствует аттестат соответствия требованиям безопасности информации.  

Правительство РФ утверждает требования к нормативным актам, являющихся основанием для создания, модернизации и эксплуатации ГИС, а также требования к порядку создания, модернизации, эксплуатации ведомственных сервисов и входящих в состав государственных цифровых платформ ГИС.

Если данный законопроект примут и он вступит в силу, то ГИС или МИС, которые были созданы или находились в процессе создания на основании нормативных правовых актов, не предусмотренных новой редакцией, и при этом использовались для организационного, информационного, документационного, коммуникационного, финансово-экономического, хозяйственного и иного обеспечения органов власти, должны быть переведены в статус ведомственных ИС  тогда до 31.12.2026 они должны быть переведены в статус ведомственной ИС решением государственных органов и органов местного самоуправления. Если такого решения не будет принято, то с 01.01.2027 такая ИС будет считаться ведомственной.

Согласно проекту изменений 149-ФЗ ИС, которые не имеют статуса ГИС или МИС, но при этом используются для исполнения государственных, муниципальных или иных публичных полномочий государственных органов, органов местного самоуправления, до 31.12.2026 должны быть переведены в статус ГИС или МИС в порядке, установленном Правительством РФ, которым устанавливаются критерии для определения соответствующих ИС. Если перевод не будет осуществлен в срок, такие ИС будут признаны ведомственными и не смогут использоваться для выполнения государственных или муниципальных полномочий.

Изменения в требованиях к обеспечению защиты информации при осуществлении переводов денежных средств

Для обсуждения был представлен проект указания Центрального банка Российской Федерации (далее – Банк России) «О внесении изменений в Положение Банка России от 17.08.2023 № 821-П». ^[18]

Исходные указания дополнены применением защиты при переводах с использованием биометрических ПДн клиентов.

Операторы по переводу денежных средств, банковские платежные агенты, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, совмещающие деятельность с деятельностью кредитной организации, иностранного банка, осуществляющего деятельность на территории РФ через свой филиал, некредитной финансовой организации (далее – Операторы)и формирующие в отношении объектов информационной инфраструктуры один контур безопасности обязаны применять усиленный уровень защиты информации, соответствующий ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» ^[19].

Операторы должны проводить сертификацию или оценку соответствия прикладного программного обеспечение (далее – ПО), а также отдельного ПО при внесении изменений в исходный текст ПО, реализующий технологию обработки информации. Операторы, сами разработавшие ПО и прошедшие сертификацию процессов безопасной разработки ПО ФСТЭК России в части реализации безопасного жизненного цикла разработки ПО, вправе не проводить сертификацию или оценку соответствия.

В изменениях под защиту попадает не только общая информация о клиентах, но и биометрические ПДн, а также результаты их обработки.

Для регистрации действий, связанных с доступом к защищаемой информации, операторы и банковские платежные агенты при эксплуатации объектов информационной инфраструктуры должны использовать точное московское время с использованием глобальной навигационной спутниковой системы с синхронизацией не реже 1 раза в 24 часа, резервировать объекты информационной инфраструктуры, реализовывать меры защиты информации, регистрировать случаи отклонения времени на объектах информационной инфраструктуры, поддержание расхождения времени не более 3-5 секунд.

Регистрация осуществляется в отношении действий клиентов, выполняемых на технологических участках идентификации, аутентификации и авторизации, в то время как ранее подлежали любые действия с защищаемой информацией.  Дополнены параметры, подлежащие регистрации: дана и время начала окончании сессии на транспортном уровне, идентификационная информация устройств (IP-адрес, номер порта), географическое местоположение устройства.

Обеспечение защиты информации, предназначенной для получения информации об идентификаторе электронного средства платежа в целях осуществления переводов денежных средств с использованием биометрических ПДн клиентов операторов осуществляется на прикладном и транспортном уровне с использованием СКЗИ не ниже класса КС1.

Операторы, являющиеся системно значимыми кредитными организациями и кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны проводить сертификацию ПО автоматизированных систем и приложений не ниже 4 уровня доверия не позднее 18 месяцев после того, как стали такими операторами.

Указания устанавливают сроки информирования Банка России о выявленных инцидентах:

Интеллектуальные системы предотвращения копирования данных

В июле были опубликованы национальные стандарты, которые вводятся в действие 01.08.2025:

• ГОСТ Р 71895.1-2025 ^[20] «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 1. Общие требования» – требования к составу, компонентам и функционированию интеллектуальной системы защиты;

• ГОСТ Р 71895.2-2025 ^[21] «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 2. Методология проведения испытаний» – устанавливает классификацию видов испытаний, требования к подготовке испытаний, процедуры проведения испытаний и оформление результатов. 

ФСТЭК России

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад ^[22] о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 30.07.2025.

Подготовлены и направлены отчеты об активности организаций-членов ТК 362 во II квартале 2025 года. Назначены председатели подкомитетов ТК 362.

Были проведены следующие работы:

• доработаны следующие проекты:

  • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования» и представлен для принятия решения об организации публичного обсуждения;

  • ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации».

• направлены результаты рассмотрения проекта:

  • ГОСТ Р «Искусственный интеллект ^[23] в критической информационной инфраструктуре. Общие положения»;

  • «Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных» и «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных».

• направлено письмо о согласовании проекта предварительного национального стандарта «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»;

• организовано рассмотрение проектов:

  • ГОСТ Р «Информационная безопасность, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Часть 1. Общие положения»;

  • ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 5. Расширенная классификация разновидностей атак»;

  • ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 6. Оценка потенциала атаки»;

  • ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 7. Морфинг»

Также были опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во II квартале 2025 года ^[24]. Основные направления деятельность во II квартале 2025 года:

• разработка и согласование проектов национальных стандартов;

• взаимодействие со смежными техническими комитетами (далее – ТК);

• планирование и организация деятельности комитета.

Подготовлены к согласованию следующие ГОСТы:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;

• ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;

• ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;

• ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;

• ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;

• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;

• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня внедрения процессов разработки безопасного программного обеспечения». по организации защиты информации, защите от неправомерной передачи, доверенной среде исполнения и безопасной разработке ПО.

Рассмотрены проекты от ТК 26 по криптографической защите, ТК 167 по классификации программно-аппаратных комплексов, ТК 164 по синтезу данных и искусственный интеллект в КИИ, ТК 22 по кибербезопасности и анонимизации, ТК 058 по защите информации в системах управления, обеспечивающие функциональную безопасность.

ФСТЭК России опубликовал проекты документов, поступивших на рассмотрение в ТК 362.

Технический комитет 22 «Информационные технологии»: ^[25]

• ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных».

• ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных».

Технический комитет 164 «Искусственный интеллект» ^[26]:

• проект ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения».

Принятые национальные и международные стандарты за II квартал 2025 года

ФСТЭК России 03.07.2025 опубликовала сведения ^[27] о принятых национальных и международных стандартах, разработанных в результате деятельности ТК 362, с апреля по июнь 2025 года.  В этот перечень вошел стандарт, принятый Международной организацией по стандартизации и Международной электротехнической комиссией – ISO/IEC 27031:2025 «Информационная технология. Компьютерная безопасность. Готовность информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», предназначенный для готовности информационно- коммуникационных технологий (далее – ИКТ) к поддержке непрерывной работы бизнеса, содержит рекомендации по планированию, внедрению и поддержке процессов, необходимых для восстановления ИКТ и минимизации простоев. 

Автор: Диана Дильмухаметова, младший аналитик УЦСБ