Обзор изменений в законодательстве ИТ и ИБ за октябрь 2025 года

В обзоре изменений за октябрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура ^[1]

Рассмотрим уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ.

2. Иное ^[2]

Разберем положение о ГИС для противодействия киберпреступности.

3. Стандартизация ^[3]

Рассмотрим окончательную версию стандарта для систем ИИ в КИИ, новый стандарт в области криптографической защиты информации и стандарт для доверенной среды исполнения.

4. ФСТЭК России ^[4]

Разберем риски использования Windows 10 и Exchange Server 2016/2019 и отмену дублирующих требований к уровням доверия СрЗИ.

Рассмотрим Справку-доклад о ходе работ по плану ТК 362 по состоянию на 31 октября 2025 года.

Критическая информационная инфраструктура

Уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ

Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) опубликовала информационное сообщение от 22.10.2025 № 240/84/3451 ^[5] «О порядке представления субъектами критической информационной инфраструктуры (далее – КИИ) сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Уточняется порядок заполнения и актуализации сведений о результатах категорирования объектов КИИ. Уточнения связаны с внесением изменений в статью 8 Федерального закона от 26.07.2017 № 187-ФЗ ^[6] «О безопасности КИИ РФ» и конкретизируются приказом ФСТЭК России от 11.07.2025 № 247 ^[7] «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – форма), утвержденную приказом ФСТЭК России от 22.12.2017 № 236 ^[8]».

Требования к заполнению формы:

• в пункте 1.7 формы ставится прочерк до утверждения перечней типовых отраслевых объектов КИИ. После их утверждения субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения об объектах КИИ;

• в пункте 1.8 формы необходимо указать доменное имя и внешний (публичный) IP-адрес объекта КИИ. При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не подключен к сети «Интернет» заполнение этого поля не требуется.

Процедура актуализации сведений о результатах категорирования в соответствии с пунктом 19¹ постановления Правительства РФ от 08.02.2018 № 127 ^[9] «Об утверждении правил категорирования объектов КИИ РФ, а также показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования):

• без изменения категории значимости: сведения направляются электронным документом, записанным на машинном носителе информации, с сопроводительным письмом, содержащим размер электронных документов;

• с изменением категории значимости: сведения направляются в печатном и электронном виде (в формате .ods или .odt) по форме, установленной пунктом 18 Правил категорирования.

Иное

Положение о ГИС для противодействия киберпреступности

9 октября 2025 года опубликован проект постановления Правительства РФ ^[10] «О государственной информационной системе (далее – ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий».

Будет введено положение о ГИС и утвердятся правовые и организационные основы ее функционирования. Создание, развитие и эксплуатация ГИС будут осуществляться на единой цифровой платформе «ГосТех». Положением будет установлен порядок подключения и доступа к ГИС.

Оператором ГИС будет назначено Министерство цифрового развития, связи и массовых коммуникаций РФ.

Участниками информационного взаимодействия станут оператор ГИС и оператор платформы «ГосТех», а также следующие пользователи:

• федеральные органы исполнительной власти ^[11];

• Генеральная прокуратура РФ;

• Следственный комитет РФ;

• Центральный банк РФ;

• кредитные организации;

• операторы связи;

• организаторы сервиса обмена мгновенными сообщениями, являющиеся российскими юридическими лицами или гражданами РФ;

• провайдеры хостинга;

• владельцы социальных сетей;

• владельцы сервисов размещения объявлений;

• иные государственные органы и организации.

Пользователи будут обязаны:

• предоставлять в ГИС достоверные и актуальные сведения;

• немедленно сообщать о сбоях в работе системы;

• соблюдать требования законодательства РФ по защите информации ^[12];

• предоставлять данные:

  • об абонентских номерах, используемых для противоправных действий;

  • о лицах, совершивших противоправные действия (с указанием масок номеров банковских карт, счетов, паспортов, IP-адресов, доменных имен, URL-адресов, временных меток событий и иной информации);

  • об информационных ресурсах, распространяющих информацию, направленную на введение в заблуждение.

В системе будет запрещено использовать сведения, составляющие государственную тайну.

Дата окончания общественного обсуждения проекта – 7 ноября 2025 года.

Стандартизация

Стандарт для систем ИИ в КИИ

Технический комитет по стандартизации «Искусственный интеллект ^[13] (далее – ИИ)» опубликовал окончательную версию проекта национального стандарта ГОСТ Р «ИИ в КИИ. Общие положения» ^[14].

Стандарт будет обязателен для применения субъектами КИИ при проектировании, разработке, внедрении, эксплуатации, сопровождении и выводе из эксплуатации систем ИИ, которые являются частью программно-аппаратных комплексов (далее – ПАК) объектов КИИ.

Стандарт не будет распространяться на исследовательские и экспериментальные системы ИИ, не используемые в КИИ.

Стандартом предложена следующая классификация систем ИИ для КИИ:

• по уровню автономности принятия решений:

  • низкая (рекомендательные системы и иные);

  • средняя (частичная автоматизация с возможностью контроля человеком);

  • высокая (автономные решения с прямым воздействием на критические процессы принятия решений);

• по функциональному назначению (системы обеспечения информационной безопасности (далее – ИБ), анализа физической инфраструктуры, автоматизированного управления процессами, физической безопасности (включая ИИ-дроны), анализа данных и иные);

• по области применения в отрасли (здравоохранение, транспорта и иные);

• по источнику данных (работающие на внутренних, доверенных внешних или публичных данных).

Будет введена система критичности:

• уровень 1 (критический): системы ИИ, играющие ключевую роль в обеспечении ИБ и непрерывности функционирования объектов КИИ;

• уровень 2 (высокий): системы ИИ, автоматически принимающие решения, непосредственно влияющие на функционирование объектов КИИ;

• уровень 3 (средний): системы ИИ, участвующие в управлении процессами, но с обязательным контролем человеком перед исполнением критически важных решений;

• уровень 4 (низкий): системы ИИ, используемые для аналитики и поддержки принятия решений без прямого воздействия на процессы.

Для систем ИИ, применяемых в КИИ, должна будет проводиться комплексная оценка рисков на всех этапах жизненного цикла, включая проектирование, внедрение, эксплуатацию и вывод из эксплуатации.

Организации, применяющие системы ИИ в КИИ, должны будут разработать и внедрить следующие политики и процедуры:

• политику ИБ систем ИИ;

• процедуры управления жизненным циклом систем ИИ, включая учет внедренных решений ИИ;

• процедуры управления доступом к системам ИИ; 

• процедуры тестирования и валидации систем ИИ;

• процедуры реагирования ^[15] на инциденты ИБ;

• процедуры резервного копирования и восстановления;

• процедуры управления изменениями;

• процедуры обучения ^[16] персонала, работающего с системами ИИ, мониторингу и реагированию на специфические риски ИИ.

Для систем ИИ, применяемых в КИИ, должны будут проводиться проверки, включающие в себя:

• внутренний аудит ИБ;

• функциональное тестирование;

• тестирование на проникновение;

• проверку соответствия требованиям нормативных документов;

• проверку процедур резервного копирования и восстановления;

• проверку защищенности от компьютерных атак на обучающие выборки и манипуляции данными для искажения работы моделей ИИ;

• проверку защищенности от постоянных серьезных угроз с помощью эвристического анализа или иных методов.

Для систем ИИ, применяемых в КИИ, должна будет формироваться следующая отчетность:

• оперативные отчеты о состоянии систем ИИ (для систем с уровнями критичности 1 и 2 при наличии критических инцидентов ИБ – в режиме реального времени, без инцидентов ИБ и для систем с уровнями критичности 3 и 4 – ежедневно);

• отчеты об инцидентах ИБ (немедленно после инцидента и по завершении расследования);

• отчеты о результатах мониторинга показателей эффективности (еженедельно);

• отчеты по результатам проверок (после каждой проверки);

• периодические отчеты о функционировании систем ИИ (в соответствии с периодичностью, установленной для конкретного субъекта КИИ).

Стандарт в области криптографической защиты информации

Опубликован национальный стандарт ГОСТ Р 34.14-2025 «Информационная технология (далее – ИТ). Криптографическая защита информации. Термины и определения» ^[17].

Стандарт содержит систематизированный перечень терминов и определений, сгруппированных по следующим тематическим разделам:

• ключевая система;

• система шифрования;

• система цифровой подписи;

• система имитозащиты;

• система аутентификации стороны;

• средства криптографической защиты информации.

Стандарт вводится взамен предварительного национального стандарта ПНСТ 799-2022 ^[18] «ИТ. Криптографическая защита информации. Термины и определения».

Стандарт вводится в действие 1 января 2026 года.

Стандарт для доверенной среды исполнения

Технический комитет по стандартизации «Защита информации» (далее – ТК 362) приступил к рассмотрению проекта национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения (далее – ДСИ). Общие положения» ^[19].

Стандарт устанавливает общие положения, которые следует учитывать при проектировании, создании и использовании ПАК с ДСИ, включая взаимодействия ДСИ с иными компонентами ПАК.

Стандарт предназначен для следующих категорий пользователей:

• разработчиков ДСИ;

• разработчиков программного обеспечения (далее – ПО), взаимодействующего с ДСИ;

• разработчиков аппаратных платформ;

• разработчиков информационных систем (далее – ИС), применяющих ДСИ;

• организаций, выполняющих оценку соответствия ДСИ требованиям стандарта.

Стандарт устанавливает требования к обязательным и опциональным функциям ДСИ, ее аппаратной и программной архитектуре, функциям безопасности и иным аспектам, а также общие требования к ДСИ с целью создания и применения для обеспечения:

• конфиденциальности и целостности при обработке и хранении данных;

• изоляции и безопасности при выполнении операций, критически важных для безопасного функционирования устройства, универсальной среды исполнения, приложений;

• доступности обрабатываемых и хранимых данных.

Для каждого ПАК сможет применяться одна или несколько технологий для реализации ДСИ. В качестве примеров таких технологий приведены:

• аппаратная виртуализация;

• Arm TrustZone;

• eSIM и иные.

Также ДСИ может использоваться для:

• управления криптографическими ключами;

• идентификации и аутентификации пользователей устройства;

• поддержки функций доверенной загрузки;

• реализации компонентов финансовых сервисов платежных систем и иных задач.

ФСТЭК России

Риски использования Windows 10 и Exchange Server 2016/2019

ФСТЭК России опубликовала информационное сообщение ^[20] «О применении операционной системы (далее – ОС) Microsoft Windows 10 и серверного ПО Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки».

С 14 октября 2025 года компания Microsoft официально прекратила техническую поддержку и выпуск обновлений для ОС Windows 10 и серверных продуктов Exchange Server 2016 и Exchange Server 2019, в том числе обновлений, направленных на устранение ошибок и уязвимостей.

Microsoft выпустила финальные публичные обновления безопасности для Exchange Server 2016 и 2019 ^[21]. Новые обновления безопасности для этих версий будут получать только те клиенты, которые приобрели программу расширенного обновления безопасности Extended Security Update (ESU) ^[22].

ФСТЭК России акцентирует внимание ^[23] на двух ключевых рисках:

• непосредственная угроза ИБ: прекращение выпуска обновлений в сочетании с неизбежным обнаружением новых уязвимостей создаёт прямую возможность для кибератак (системы, работающие на неподдерживаемом ПО, становятся уязвимыми целями);

• повышенное внимание злоумышленников: прогнозируется, что хакерские группировки активизируют поиск и разработку эксплойтов для указанных версий, так как их эксплуатация со временем будет становиться все более вероятной.

ФСТЭК России рекомендует органам государственной власти, субъектам КИИ и организациям, использующим в своих ИС указанное ПО, в короткие сроки спланировать и осуществить переход:

• на российские ОС или сертифицированные версии;

• на почтовые серверы, имеющие действующую техническую поддержку.

В случае невозможности перехода ФСТЭК России установила компенсирующие меры, направленные на нейтрализацию угроз безопасности информации:

• установить все актуальные обязательные обновления для ОС и серверного ПО Microsoft в соответствии с методиками:

  • тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28.10.2022 ^[24];

  • оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30.06.2025 ^[25];

• ограничить с помощью межсетевых экранов (далее – МЭ) уровень периметра внешнего доступа к автоматизированным рабочим местам (далее – АРМ) с ОС Windows 10 и серверному ПО Microsoft Exchange, а при отсутствии такой возможности, применять в обязательном порядке меры по сегментированию ИС, защите периметра ИС и ее сегментов, в том числе с использованием:

  • МЭ;

  • средств антивирусной защиты;

  • систем обнаружения вторжений;

  • DLP-систем;

  • средств однонаправленной передачи данных;

• организовать постоянный мониторинг общедоступных источников на предмет появления сведений о новых уязвимостях в ОС и серверном ПО Microsoft, а также принимать меры по нейтрализации выявленных уязвимостей;

• регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей в соответствии с методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17.05.2023 ^[26];

• обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, ПО АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft;

• проводить периодическое сканирование АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft, на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов ОС;

• обеспечить применение дополнительных сертифицированных средств защиты информации (далее – СрЗИ), реализующих (дублирующих) функции по безопасности информации ОС.

Общество с ограниченной ответственностью «Уральский центр систем безопасности» успешно реализует проекты по переходу на российское ПО и оборудование ^[27].

Отмена дублирующих требований к уровням доверия СрЗИ

ФСТЭК России опубликовала информационное сообщение от 16.10.2025 № 240/24/5531 ^[28] «О внесении изменений в приказ ФСТЭК России от 02.06.2020 № 76 ^[29] «Требования по безопасности информации, устанавливающие уровни доверия к СрЗИ и средствам обеспечения безопасности ИТ (далее – Требования доверия)».

Цель изменений – устранение дублирования регулирования с постановлением Правительства РФ от 17.07.2015 № 719 ^[30] «О подтверждении производства промышленной продукции на территории РФ».

Утратили силу положения Требований доверия, касающиеся необходимости наличия сведений об аппаратных платформах СрЗИ и их компонентах в едином реестре радиоэлектронной продукции ^[31], а именно положения о применении:

• в составе СрЗИ аппаратных платформ, сертифицируемых на соответствие 1-5 уровням доверия;

• в составе аппаратных платформ СрЗИ, сертифицируемых на соответствие 1-4 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти ^[32], сетевых карт, графических адаптеров;

• в качестве среды функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, аппаратных платформ средств вычислительной техники;

• в составе аппаратных платформ средств вычислительной техники, являющихся средой функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти, сетевых карт, графических адаптеров.

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад ^[33] о ходе работ по плану ТК 362 на 2025 год по состоянию на 31 октября 2025 года.

В интересах выполнения плана были проведены следующие работы:

• председателю ТК 362 представлены:

  • результаты анализа работы в 3 квартале 2025 года ^[34], также разосланы руководителям организаций-членов ТК 362;

  • Перспективная программа работ ТК 362 на период до 2030 года, дополненная проектом ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»;

  • проект ГОСТ Р «Защита информации. Разработка безопасного ПО, реализующего технологии ИИ. Общие требования» для принятия решения об организации его публичного обсуждения;

• организовано публичное обсуждение проекта ГОСТ Р «Защита информации. ДСИ. Общие положения» ^[19];

• проект ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» ^[35] дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года ^[36] Аналитического центра УЦСБ;

• подготовлены и направлены в ТК 057 «Интеллектуальные транспортные системы» результаты согласования проекта Перспективной программы стандартизации по приоритетному направлению «Интеллектуальные транспортные системы» на 2026-2028 годы;

• разослана на рассмотрение в организации-члены ТК 362 окончательная редакция проекта ГОСТ Р «ИИ в КИИ. Общие положения» ^[14].

Автор: Виктор Бармак, аналитик УЦСБ