Обзор изменений в законодательстве ИТ и ИБ за декабрь 2025 года

В обзоре изменений за декабрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура ^[1]

Рассмотрим правила проверки сведений о категорировании объектов КИИ в атомной отрасли.

Проанализируем изменения в положении о НКЦКИ.

Рассмотрим порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения.

Разберем новые порядки обмена информацией между субъектами КИИ РФ и информирования ФСБ России о компьютерных атаках и инцидентах.

Изучим порядок непрерывного взаимодействия субъектов КИИ.

Проанализируем требования к средствам ГосСОПКА и ППКА, а также технические условия их установки и эксплуатации.

2. Персональные данные ^[2]

Разберем изменения порядка идентификации иностранных абонентов операторами связи с использованием ЕБС.

3. Иное ^[3]

Рассмотрим изменения в 149-ФЗ, корректировки требований к ПАК для включения в Реестр российского ПО и обновление проекта постановления о ГИС по противодействию киберпреступности.

4. ФСТЭК России ^[4]

Разберем стандарт по защите от неправомерной передачи данных из информационных и автоматизированных систем.

Разберем методику анализа защищенности ИС.

Рассмотрим продление срока действия регламентов лицензионного контроля в сфере ТЗКИ и разработки СЗКИ.

Разберем изменения в положении о системе сертификации СрЗИ.

Рассмотрим справку-доклад о ходе работ по плану ТК 362 по состоянию на 28 ноября и 24 декабря 2025 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

5. Судебная практика ^[5]

Рассмотрим судебную практику в области ИБ за 4 квартал 2025 года.

Критическая информационная инфраструктура

Правила проверки сведений о категорировании объектов КИИ в атомной отрасли

8 декабря 2025 года Государственной корпорацией по атомной энергии «Росатом» (далее – Госкорпорация Росатом) опубликован проект приказа ^[6] «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 ^[7], и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127 ^[7]».

Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения о категорировании) для субъектов КИИ в области атомной энергии, оценят на актуальность и достоверность по правилам Госкорпорации Росатом (далее – Правила о��енки сведений о категорировании).

Правила оценки сведений о категорировании Госкорпорацией Росатом включат следующие этапы:

• формирование рабочей группы для проведения оценки;

• ежегодный запрос сведений от Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) о всех субъектах КИИ в области атомной энергии;

• запрос Сведений о категорировании субъектам КИИ (срок ответа на запрос составит – 10 рабочих дней);

• утверждение до 10 апреля ежегодного графика выездных оценок по месту нахождения объектов КИИ;

• проведение выездной оценки объекта КИИ (не более 10 рабочих дней) с предварительным согласованием с субъектом КИИ даты, времени проведения оценки и иных условий;

• формирование и утверждение экспертного заключения в течение 15 рабочих дней по итогам оценки.

Субъекты КИИ смогут направить возражение на экспертное заключение в Госкорпорацию Росатом в течение 20 рабочих дней.

К организациям, привлекаемым для проведения оценки, установят требования, включающие:

• наличие действующей лицензии:

  • на проведение работ с использованием сведений, составляющих государственную тайну;

  • на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ) в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа (далее – НСД) и ее модификации в средствах и системах информатизации или услуг по мониторингу информационной безопасности (далее – ИБ) средств и систем информатизации.

• отсутствие в организации процедур реорганизации, ликвидации или банкротства;

• ведение основного вида деятельности в области информационных технологий (далее – ИТ) и иные требования.

Дата окончания общественного обсуждения – 23 декабря 2025 года.

Изменения положения о НКЦКИ

25 декабря официально опубликован приказ Федеральной службы безопасности РФ (далее – ФСБ России) от 24.12.2025 № 540 ^[8] «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам (далее – НКЦКИ), утвержденное приказом ФСБ России от 24.07.2018 № 366 ^[9]».

Различия между опубликованной и проектной ^[10] версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения

26 декабря официально опубликован приказ ФСБ России от 23.12.2025 № 539 ^[12] «Об утверждении Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

Ключевые отличия опубликованной версии документа от проекта ^[13]:

• введена прямая обязанность субъектов КИИ по получению информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;

• установлен фиксированный срок ответа на запрос НКЦКИ – 30 рабочих дней.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Новый порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ РФ

30 декабря официально опубликован приказ ФСБ России № 546 от 25.12.2025 ^[14] «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования ^[15] на компьютерные инциденты».

Различия между опубликованной и проектной ^[16] версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Новый порядок информирования ФСБ России о компьютерных атаках и инцидентах

30 декабря официально опубликован приказ ФСБ России № 547 от 25.12.2025 ^[17] «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ и иных информационных ресурсов РФ, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» (далее – 187-ФЗ)».

Ключевые отличия опубликованной версии документа от проекта ^[18]:

• новый порядок будет распространяться и на субъектов КИИ, владеющих   объектами КИИ без присвоенной категории значимости;

• включена обязанность по информированию ФСБ России о компьютерных атаках и инцидентах в объектах КИИ без присвоенной категории значимости, срок составил 24 часа с момента обнаружения;

• уточнен порядок согласования плана реагирования с Центром защиты информации и специальной связи ФСБ России и Центральным банком РФ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок непрерывного взаимодействия субъектов КИИ

30 декабря официально опубликован приказ ФСБ России № 548 от 25.12.2025 ^[19] «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов КИИ РФ, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ РФ, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 187-ФЗ, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) на информационные ресурсы РФ».

Различия между опубликованной и проектной ^[20] версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок и технические условия установки и эксплуатации средств ГосСОПКА и ППКА

30 декабря официально опубликован приказ ФСБ России № 553 от 26.12.2025 ^[21] «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средств ГосСОПКА), в том числе средств, предназначенных для поиска признаков компьютерных атак (далее – средств ППКА), за исключением средств ППКА в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ»

Ключевые отличия опубликованной версии документа от проекта ^[22]:

• дополнены технические требования для средств ППКА;

• из технических условий убраны требования ГОСТ Р 59316-2021 «Слаботочные системы. Кабельные системы. Телекоммуникационные пространства и помещения. Аппаратная комната. Общие требования» ^[23] к помещениям, в которых размещаются средства ППКА.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Требования к средствам ГосСОПКА и ППКА

30 декабря официально опубликован приказ ФСБ России № 554 от 26.12.2025 ^[24] «Об установлении требований к средствам ГосСОПКА, в том числе к средствам, предназначенным для ППКА»

Ключевые отличия опубликованной версии документа от проекта ^[25]:

• из требований к средствам обнаружения и средствам ППКА исключены классы соответствия сертификатов для средств обнаружения компьютерных атак, разрабатываемых согласно пункту 1.4 Положения о системе сертификации средств защиты информации (далее – СрЗИ) по требованиям безопасности для сведений, составляющих государственную тайну, утвержденному приказом ФСБ России от 13.11.1999 № 564 ^[26].

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года ^[11] Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Персональные данные

Изменения порядка идентификации иностранных абонентов операторами связи

5 декабря 2025 года опубликован проект постановления Правительства РФ ^[27] «О внесении изменений в Порядок подтверждения достоверности сведений об иностранном гражданине или лице без гражданства при заключении договора об оказании услуг подвижной радиотелефонной связи с использованием единой системы идентификации и аутентификации (далее – ЕСИА) и единой биометрической системы (далее – ЕБС), утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) от 02.12.2024 № 1012 ^[28]».

Согласно проекту, представление иностранным гражданином или лицом без гражданства своих биометрических персональных данных (далее – ПДн) в ЕБС для проверки их соответствия будет осуществляться:

• с применением пользовательского оборудования с идентификационным модулем;

• с применением технических средств оператора связи или лица, действующего от имени оператора связи.

По результатам проверки биометрических ПДн оператору связи или лицу, действующему от имени оператора связи, предоставят:

• идентификатор учетной записи в ЕСИА;

• информацию о результатах проверки соответствия.

Дата окончания общественного обсуждения – 20 декабря 2025 года.

Иное

Изменения в проект постановления о ГИС по противодействию киберпреступности

3 декабря 2025 года опубликована измененная редакция проекта постановления Правительства РФ ^[29] «О государственной информационной системе (далее – ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий».

Ключевые отличия измененной версии документа от проекта ^[30]:

• добавлен пункт с определением используемых понятий;

• детализирован перечень пользователей ГИС;

• дополнен перечень предоставляемых данных от пользователей ГИС.

Подробнее с проектом можно ознакомиться в обзоре за октябрь 2025 года ^[31] Аналитического центра УЦСБ.

Дата окончания общественного обсуждения – 10 декабря 2025 года.

Скорректированы требования к ПАК для включения в Реестр российского ПО

10 декабря опубликовано постановление Правительства РФ от 09.12.2025 № 2001 ^[32] «О внесении изменений в постановление Правительства РФ от 16.11.2015 № 1236 ^[33]».

Изменения внесены в правила формирования и ведения единого реестра российских программ для электронных вычислительных машин (далее – ЭВМ) и баз данных ^[34] (далее – БД, Реестр российского ПО) и единого реестра программ для ЭВМ и БД из государств – членов Евразийского экономического союза ^[35], за исключением РФ, утвержденные постановлением Правительства РФ от 16.11.2015 № 1236 ^[33].

Изменениями предусмотрены дополнительные требования к программно-аппаратным комплексам (далее – ПАК) для генеративных моделей:

• производителю ПАК должны принадлежать на праве собственности здания (помещения) не менее одного центра обработки данных, находящегося на территории РФ и обладающего электрической мощностью не менее 10 мегаватт;

• программное обеспечение (далее – ПО) в составе ПАК, должно обеспечивать:

  • хранение данных не менее одного эксабайта;

  • решение задач машинного обучения ^[36] не менее чем на 1000 графических процессоров.

Внесены уточнения и дополнения в требования к техническим средствам в составе ПАК для включения в Реестр российского ПО включающие:

• интегральные схемы (чипы) с матричными умножителями или их аналогами, с определенными характеристиками;

• сетевые адаптеры со скоростью не менее 400 гигабит в секунду каждый с поддержкой технологии RDMA (Remote Direct Memory Access) для объединения в высокоскоростную сеть.

Изменения в 149-ФЗ

29 декабря официально опубликован Федеральный закон от 29.12.2025 № 568-ФЗ ^[37] «О внесении изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, ИТ и о защите информации» ^[38] (далее – 149-ФЗ)».

Ключевые изменения в 149-ФЗ:

• ГИС разделены на федеральные и региональные;

• государственные органы смогут создавать ИС, не являющиеся ГИС, для обеспечения своей деятельности (далее – иные ИС);

• закреплена обязанность операторов ГИС и иных ИС обеспечивать взаимодействие с ГосСОПКА;

• допускается использование облачных сервисов для создания и эксплуатации как ГИС, так и иных ИС.

Федеральный закон вступит в силу с 1 сентября 2026 года.

ФСТЭК России

Стандарт по защите от неправомерной передачи данных из информационных и автоматизированных систем

12 декабря 2025 года ФСТЭК России опубликовала проект национального стандарта «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения» ^[39].

Стандарт установит мероприятия и рекомендации по защите информации от неправомерной передачи или распространения из информационных и автоматизированных систем в результате действий пользователей с правами доступа к защищаемой информации.

Положения стандарта применят для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Стандарт предназначен для организаций:

• федеральных органов исполнительной власти ^[40];

• субъектов КИИ;

• операторов ГИС;

• операторов информационных систем (далее – ИС) ПДн и иных.

Мероприятия по защите информации реализуют в процессе создания, модернизации или эксплуатации систем на этапах:

• подготовки к эксплуатации:

  • определение каналов неправомерной передачи информации;

  • уведомление пользователей о мониторинге их действий;

  • определение запретов и правил для пользователей;

  • подготовка и взаимодействие подразделений ИБ и иное.

• в процессе эксплуатации:

  • выявление признаков неправомерной передачи или распространения информации;

  • реагирование на выявленные факты или попытки передачи информации;

  • анализ результатов деятельности по защите информации от неправомерной передачи или распространения.

Рекомендации по проведению мероприятий по защите информации структурируют по 4 уровням контроля:

• уровень объектов контроля (серверы, средства вычислительной техники и иное);

• уровень взаимодействия с объектами контроля (получение копии сетевого трафика, перехват трафика сервисов коммуникации и иное);

• уровень выявления признаков возможной неправомерной передачи или распространения (предварительная обработка файлов, реагирование на нарушения и иное);

• уровень представления результатов неправомерной передачи или распространения (отчеты о событиях безопасности, пользователях и их связях).

Методика анализа защищенности ИС

4 декабря 2025 года ФСТЭК России опубликовала информационное сообщение от 04.12.2025 № 240/22/6902 ^[41] «Об утверждении Методики анализа защищенности ИС ^[42]».

Методика определяет организацию, порядок проведения и содержание работ, выполняемых в ходе испытаний систем защиты информации ИС, автоматизированных систем управления, информационно-телекоммуникационных сетей.

Методика применяется в ходе:

• аттестации ИС на соответствие требованиям по защите информации;

• контроля уровня защищенности конфиденциальной информации от НСД и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации;

• оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.

Методика имеет 4 основных этапа проведения анализа уязвимостей:

• сбор исходной информации;

• внешний анализ уязвимостей;

• внутренний анализ уязвимостей;

• оценка выявленных уязвимостей.

По результатам анализа уязвимостей исполнитель составляет отчет (протокол), который должен содержать:

• информацию об использованных средствах выявления уязвимостей;

• результаты инвентаризации ИС;

• перечень и описание выявленных уязвимостей с отчетами средств выявления уязвимостей и иную информацию.

Отмечаем, что общество с ограниченной ответственностью «Уральский центр систем безопасности» (ООО «УЦСБ») успешно реализует проекты по анализу защищенности ^[43] и имеет необходимую лицензию на оказание таких услуг.

Продление срока действия регламентов лицензионного контроля в сфере ТЗКИ и разработки СЗКИ

30 декабря 2025 года официально опубликован приказ ФСТЭК России от 29.12.2025 № 487 ^[44] «О внесении изменений в приказы ФСТЭК России от 12.05.2025 № 163 и от 12.05.2025 № 164»

Приказ продлевает до 31 декабря 2028 года применение следующих документов:

• приказа ФСТЭК России от 12.05.2025 № 163 ^[45] «Об установлении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по ТЗКИ»;

• приказа ФСТЭК России от 12.05.2025 № 164 ^[46] «Об установлении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ) (в пределах компетенции ФСТЭК России)».

Приказ вступил в силу с 31 декабря 2025 года.

Изменение положения о системе сертификации СрЗИ

25 декабря 2025 года ФСТЭК России опубликовала проект приказа ^[47] «О внесении изменений в Положение о системе сертификации СрЗИ, утвержденное приказом ФСТЭК России от 03.04.2018 № 55 ^[48]».

К документам, прилагаемым к заявке на сертификацию СрЗИ, добавят:

• перечень заимствованных программных компонентов с открытым исходным кодом;

• перечень образов контейнеров (при их наличии в составе СрЗИ).

Требование о предоставлении новых перечней документов распространится на последующие этапы сертификации СрЗИ. Детализируется способ предоставления документов в электронном или бумажном виде.

Дополнительным основанием для аннулирования решения о проведении сертификации СрЗИ станет наличие в заключении органа по сертификации вывода о невозможности выдачи сертификата соответствия.

Новым основанием для приостановления действия сертификата СрЗИ станет непредставление сведений о внесении изменений в перечень заимствованных программных компонентов с открытым исходным кодом, входящих в состав СрЗИ.

Дата окончания общественного обсуждения – 25 декабря 2025 года.

Деятельность ТК 362 в ноябре 2025

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад ^[49] о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 28 ноября 2025 года.

В интересах выполнения плана были проведены следующие работы:

• председателем ТК 362 утверждена перспективная программа работы ТК 362 на период до 2030 года ^[50];

• подготовлено и разослано информационное письмо о подготовке предложений в план работы ТК 362 на 2026 год;

• председателю ТК 362 представлены:

  o проект ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения» ^[39] для принятия решения об организации голосования по вопросу его представления на утверждение в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);

• проведено рассмотрение организациями-членами ТК 362 проектов национальных стандартов:

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 1. Подсистема сравнения – биометрическая верификация» ^[51];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО Часть 2. Подсистема сравнения – биометрическая идентификация» ^[52];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 3. Подсистема обнаружения атаки на биометрическое предъявление» ^[53];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 4. Биометрическая система – биометрическая верификация» ^[54];

  • ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 1. Общие требования» ^[55];

  • ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 2. Методология оценки эксплуатационных характеристик ПО» ^[56].

• организовано и проведено рассмотрение организациями-членами ТК 362 проектов предварительных национальных стандартов:

  o ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;
  o ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».

• проект ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» ^[57] дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года ^[58] Аналитического центра УЦСБ;

• проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» ^[59] дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года ^[31] Аналитического центра УЦСБ;

• подготовлены и направлены в технический комитет «Искусственный интеллект» (далее – ТК 164) результаты рассмотрения окончательной редакции проекта ГОСТ Р «Искусственный интеллект в КИИ. Общие положения» ^[60]. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года ^[31] Аналитического центра УЦСБ.

Деятельность ТК 362 в декабре 2025

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад ^[61] о ходе работ по плану ТК 362 на 2025 год по состоянию на 24 декабря 2025 года.

В интересах выполнения плана были проведены следующие работы:

• подготовлен и направлен на согласование председателям подкомитетов проект плана работы ТК 362 на 2026 год;

• организовано голосование по вопросу представления в Росстандарт проекта ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;

• дорабатываются проекты национальных стандартов:

  ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» ^[57]. Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года ^[58] Аналитического центра УЦСБ;
  ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» ^[59]. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года ^[31] Аналитического центра УЦСБ.

• в технический комитет «ИТ» направлены результаты рассмотрения проектов предварительных национальных стандартов:

  • ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;

  • ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».

• в технический комитет по стандартизации «Биометрия и биомониторинг» направлены результаты рассмотрения проектов национальных стандартов:

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 1. Подсистема сравнения – биометрическая верификация» ^[51];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО Часть 2. Подсистема сравнения – биометрическая идентификация» ^[52];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 3. Подсистема обнаружения атаки на биометрическое предъявление» ^[53];

  • ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 4. Биометрическая система – биометрическая верификация» ^[54];

  • ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 1. Общие требования» ^[55];

  • ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 2. Методология оценки эксплуатационных характеристик ПО» ^[56].

• отправлены на рассмотрение в организации-члены ТК 362 проекты национальных стандартов:

  • ГОСТ Р «ИТ. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 5.2. Расширенная классификация инструментов атаки на биометрическое предъявление. Модальность «лицо»;

  • ГОСТ Р ИСО/МЭК 27006-1 «ИБ, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ. Часть 1. Общие положения».

• в Ассоциацию ^[62] больших данных и в ТК 164 направлен запрос на получение окончательных редакций проектов:

  • ПНСТ «Синтез данных. Термины и определения процесса синтеза. Часть 1»

  • ПНСТ «Синтез данных. Архитектура процесса синтезирования данных. Методы синтезирования. Часть 2»

  • ПНСТ «Синтез данных. Описание результатов процесса синтезирования. Методика оценки качества. Часть 3»

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России ^[63] размещены обновленные перечни и реестры:

• реестр лицензий на деятельность по ТЗКИ ^[64];

• реестр лицензий на деятельность по разработке и производству СЗКИ ^[65];

• государственный реестр сертифицированных СрЗИ ^[66];

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации ^[67];

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации ^[68];

• реестр аккредитованных ФСТЭК России органов по сертификации ^[69];

• реестр аккредитованных ФСТЭК России испытательных лабораторий ^[70];

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну ^[71];

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну ^[72];

• перечень сертификатов соответствия процессов безопасной разработки ПО ^[73].

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

• деятельность по разработке и (или) производству СЗКИ (№Л050-00107-00/00579687 от 08 октября 2007 года) ^[74];

• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года) ^[75].

Судебная практика

Средства массовой информации не обязаны удалять устаревшие сведения о субъекте ПДн

27 мая 2025 года Верховный Суд РФ, рассмотрев гражданское дело ^[76] по иску гражданина к ООО «Редакция газеты «Новый вариант», федеральному государственному унитарному предприятию «Всероссийская государственная телевизионная и радиовещательная компания», а также к его филиалу государственной телевизионной и радиовещательной компании «Вятка», постановил, что на средства массовой информации (далее – СМИ) не может быть возложена обязанность по удалению правомерно опубликованных материалов о гражданине и его изображений только на основании утраты актуальности этих материалов.

В 2023 году бывший директор городского рынка потребовал прекратить распространение статей и видеосюжетов, посвященных реорганизации городского рынка, где были отражены его фамилия, имя и отчество (далее – ФИО), должность и фотографии. Истец считает, что эти сведения утратили актуальность, перестали представлять общественный интерес ^[77]. Но СМИ отклонили требование истца, утверждая, что материалы были созданы и опубликованы законно.

В ходе судебного разбирательства судебная коллегия по гражданским делам Верховного Суда РФ указала, что в соответствии с п. 1 ст. 152 ^[78] Гражданского кодекса РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускается только с согласия этого гражданина. Такое согласие не требуется в случаях, когда:

• использование изображения осуществляется в государственных, общественных или иных публичных интересах;

• изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является объектом использования;

• гражданин позировал за плату.

Суд установил, что ПДн истца использованы ответчиками в общественных интересах в контексте, связанном освещением деятельности Центрального рынка г. Кирова и профессиональной деятельностью истца, которая в тот период была непосредственно связана с деятельностью указанной коммерческой организации. В соответствии с этим, получение согласия истца на использование его изображения не является необходимым. Опубликованные СМИ сведения не затрагивали частную жизнь истца и не выходили за рамки информации о работе Центрального рынка г. Кирова.

Судебная коллегия по гражданским делам Верховного Суда РФ постановила отменить апелляционное определение и определение кассационного суда, оставив в силе решение Савеловского районного суда г. Москвы.

Пересылка сообщения самому себе является разглашением коммерческой тайны

5 августа 2025 года Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции, рассмотрев дело ^[79] о правомерности увольнения работника по пп. «в» п. 6 ч. 1 ст. 81 ^[80] Трудового кодекса РФ, постановила, что передача конфиденциальной информации в личный Telegram-аккаунт считается разглашением такой информации, независимо от того, имел ли место факт ознакомления с ней третьих лиц.

Истец обратился в суд с иском к ООО «Микрофинансовая компания «Лайм Займ» о защите трудовых прав, содержащим следующие требования:

• отменить приказ о расторжении трудового договора;

• восстановить его на работе в должности директора департамента управления рисками;

• аннулировать запись в трудовой книжке об увольнении;

• взыскать средний заработок за период вынужденного прогула;

• взыскать компенсацию морального вреда в размере 500 тыс. руб.

В ходе судебного разбирательства было установлено, что в результате проведения внутренней проверки с 28.12.2023 по 29.12.2023 работодатель выявил факт неоднократного нарушения истцом трудового договора, должностной инструкции, соглашения о конфиденциальности и требований внутренних документов компании. Истец неоднократно пересылал конфиденциальные документы и информацию, включая данные, составляющие коммерческую тайну и содержащие ПДн других работников, на сторонний адрес посредством сервиса Telegram, используя собственный аккаунт в данной платформе.

Суды первой инстанции и апелляционной инстанции признали увольнение работника законным. Они указали, что передача информации с рабочего аккаунта на личный Telegram-аккаунт создает риски неконтролируемого распространения и противоречит правовым нормам. Решение основано на постановлении Конституционного Суда РФ от 26.10.2017 № 25-П ^[81] «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации». В соответствии с указанным нормативным правовым документом передача информации с адреса электронной почты, контролируемой обладателем информации, на свой (личный) адрес электронной почты квалифицируется как нарушение прав обладателя информации при наличии мер по предотвращению несанкционированного доступа и запретов на такую передачу

Судебная коллегия Восьмого кассационного суда оставила без изменения решения судов первой и апелляционной инстанций. Кассационная жалоба истца отклонена.

Привлечение к ответственности оператора ПДн за некорректное согласие на обработку ПДн субъекта ПДн

22 сентября 2025 года Арбитражный суд г. Москвы, рассмотрев дело ^[82] об административном правонарушении, возбужденное 05.06.2025, вынес решение о признании образовательной автономной некоммерческой организации дополнительного профессионального образования «СКАЕНГ» (далее – ОАНО ДПО «СКАЕНГ») виновной в совершении административного правонарушения, предусмотренного по ч. 2 ст. 13.11 ^[83] Кодекса РФ об административных правонарушениях (далее – КоАП РФ): обработка ПДн без письменного согласия субъекта ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПДн, а также обработка ПДн с нарушением требований к составу сведений, включаемых в такое согласие.

На сайте ОАНО ДПО «СКАЕНГ» (https://skyeng.ru ^[84]) при регистрации в личном кабинете пользователь дает согласие на обработку ПДн и получение рекламной рассылки (далее – Согласие). В соответствии с текстом Согласия «Согласие распространяется на следующие категории данных, включая ПДн: ФИО; номер телефона; адрес электронной почты. Согласие на обработку ПДн предоставляется с целью получения рекламы от Организации».

В процессе судебного разбирательства было установлено, что при регистрации на официальном веб-сайте ОАНО ДПО «СКАЕНГ» пользователь получает доступ к личному кабинету, который предоставляет возможность приобретать образовательные услуги. В разделе «Профиль» личного кабинета пользователь может заполнить поле «Основная информация», которое включает графы для ввода ПДн, в частности, пол и дата рождения. Также предусмотрена возможность загрузки фотографии пользователя. При вводе данных в поле «Основная информация» появляется информационное сообщение следующего содержания: «Фотография поможет преподавателю идентифицировать вас, если ваше имя совпадает с именем другого учащегося».

В соответствии с Политикой конфиденциальности ОАНО ДПО «СКАЕНГ», размещенной на официальном веб-сайте, организация осуществляет обработку ПДн потребителей с целью продвижения товаров, работ и услуг на рынке, а также для подготовки, заключения и исполнения гражданско-правовых договоров. Кроме того, в Политике конфиденциальности ОАНО ДПО «СКАЕНГ» указана возможность обработки большего объема ПДн, чем тот, который был представлен в Согласии.

Судом было назначено наказание в виде административного штрафа в размере 150 тысяч рублей, так как представитель ответчика указал, что общество находится в реестре социально ориентированных некоммерческих организаций и, в соответствии со ст. 4.1.2 ^[85] КоАП РФ имеет право на назначение штрафа в размере половины административного штрафа.

Штраф за несоблюдение сохранности ПДн

25 ноября 2025 года Арбитражный суд г. Москвы, рассмотрев дело ^[86] об административном правонарушении, признал АО «Почта России» виновным по ч.1 ст.13.11 ^[87] КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн.

В ходе мониторинга электронных средств массовой информации Роскомнадзор выявил массив ПДн объёмом более 26 миллионов строк, размещенный в открытом доступе. База данных содержала ФИО клиентов АО «Почта России», номера телефонов, адреса электронной почты, а также информацию о почтовых отправлениях. В процессе внеплановой проверки ИС «Сервис отслеживания регистрируемых почтовых отправлений» АО «Почта России» было установлено соответствие данных в обнаруженном массиве с реальными данными клиентов. По данным АО «Почта России» к распространению ПДн привели действия внутреннего нарушителя, датой выявления АО «Почта России» инцидента является 05.12.2024.

В представленных материалах дела содержатся доказательства, подтверждающие наличие у АО «Почта России» возможности соблюдения установленных правил и норм, нарушение которых квалифицируется по ч.1 ст.13.11 ^[87] КоАП РФ. Однако, несмотря на это, организация не предприняла всех необходимых и возможных мер для обеспечения их соблюдения.

Суд назначил административное наказание в виде штрафа в размере 150 тыс. руб.

Наказание за отсутствие уведомления о трансграничной передаче ПДн

8 сентября 2025 года Арбитражный суд Республики Башкортостан, рассмотрев дело ^[88] об административном правонарушении, признал виновным директора ООО «Образовательное агентство «Инкорт» (далее – ООО «ОА «Инкорт») по ч. 10. ст. 13.11 ^[89] КоАП РФ: невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн.

ООО «ОА «Инкорт» осуществляет деятельность по организации поездок несовершеннолетних лиц в зарубежные страны.

В ходе прокурорской проверки, направленной на контроль за соблюдением законодательства о противодействии экстремизму и обеспечение безопасности ПДн, был проведен анализ электронного почтового ящика организации (incort2@mail.rul ^[90]). В результате данной проверки установлено, что в июне-июле 2025 года ПДн девяти несовершеннолетних лиц были переданы представителю учебного центра Е1ас (andrew@elac.co.uk ^[91]), расположенного в Соединенном Королевстве Великобритания. Переданные данные включали следующую информацию: ФИО, дата рождения, пол, национальность, гражданство, номер и срок действия заграничного паспорта. Датой совершения административного правонарушения является 20.06.2025 – день отправки ПДн.

На основании ч. 2 ст. 12 ^[92] Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) приказом Роскомнадзора от 05.08.2022 № 128 ^[93] «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» утвержден перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, в который включено Соединенное Королевство Великобритании и Северной Ирландии.

ООО «ОА «Инкорт» до начала осуществления деятельности по трансграничной передаче ПДн не направило уведомление в Роскомнадзор в соответствии со ст. 12 ^[92] 152-ФЗ.

Судом назначено административное наказание в виде предупреждения.

Штраф за несанкционированную передачу компьютерной информации

Суд г. Хакасии, рассмотрев дело об уголовном правонарушении, вынес решение о признании 17-летнего гражданина виновным по ч. 3 ст. 272.1 ^[94] Уголовного кодекса (далее – УК) РФ: незаконные сбор и хранение компьютерной информации, содержащей ПДн, полученной незаконным путем, совершенные из корыстной заинтересованности.

В ходе судебного заседания установлено, что подросток, используя личный персональный компьютер, осуществил сбор из закрытых источников в сети Интернет ПДн граждан РФ, в том числе несовершеннолетних. Указанную информацию гражданин хранил в памяти ^[95] личного компьютера для дальнейшей продажи путем создания специализированной системы в мессенджере, однако его преступные действия были пресечены сотрудниками правоохранительных органов.

Суд назначил наказание в виде штрафа в размере 40 тыс. руб. 

Лишение свободы за неправомерное воздействие на критическую информационную инфраструктуру

1. АО «Почта Банк»

17 июня 2025 года Волжский городской суд Волгоградской области, рассмотрев дело ^[96] об уголовном правонарушении, вынес решение о признании гражданки виновной по ч. 4 ст. 274.1 ^[97] УК РФ: неправомерное воздействие на КИИ РФ.

Подсудимая, используя служебный компьютер, оснащенный программным обеспечением АО «Почта Банк» для интеграции с Единой Автоматизированной Системе Отделений Почтовой Связи АО «Почта Банк», осуществляла вход в интерфейс АО «Почта Банк» под своей служебной учетной записью и оформляла заявления на открытие сберегательных счетов и выдачу расчетных (дебетовых) карт без фактического согласия клиентов. Это привело к искажению критической информации, нарушению целостности ИС и утрате ее объективности, достоверности и актуальности. Так как АО «Почта Банк» является субъектом КИИ, был нанесен вред объекту КИИ.

Суд признал гражданку виновной в совершении преступления, предусмотренного ч. 4 ст. 274.1 ^[97] УК РФ. По совокупности преступлений ей назначено наказание в виде 4 лет лишения свободы на основании ч. 3 ст. 69 ^[98] УК РФ (открытие сберегательных счетов и выдача расчетных (дебетовых) карт для каждого физического лица было рассмотрено в индивидуальном порядке). В соответствии со ст. 73 ^[99] УК РФ назначенное наказание признано условным с испытательным сроком 3 года.

2. Салон сотовой связи

21 апреля 2025 года Псковский городской суд Псковской области, рассмотрев дело ^[100] об уголовном правонарушении, вынес решение о признании гражданки виновной по ч. 4 ст. 274.1 ^[97] УК РФ: неправомерное воздействие на КИИ РФ.

Управляющая салоном сотовой связи, осуществляющего деятельность в сфере телекоммуникаций и являющегося субъектом КИИ. В обязанности гражданки входило оформление договоров об оказании услуг связи, приём и обработка заявлений от абонентов по документу, удостоверяющему личность клиента, а также только при его личном присутствии в салоне сотовой связи.

В процессе сверки договоров на оказание услуг связи подсудимая обнаружила активированную сим-карту, не прошедшую процедуру официальной регистрации. С целью устранения данного нарушения, гражданка приняла решение зарегистрировать сим-карту в установленном порядке. Используя служебный компьютер и данные своей учетной записи, она заполнила регистрационную форму в автоматизированной информационной системе «Автоматизированная система расчетов», которая внесена в реестр значимых объектов КИИ. В регистрационной форме гражданка указала вымышленные данные абонента. После заполнения формы, подсудимая распечатала и подписала ее своего имени как оператора и от имени абонента. Данные действия были предприняты гражданкой с целью оказания помощи коллеге, так как за незарегистрированные сим-карты накладывались штрафные санкции.

Подсудимая своими действиями нанесла вред КИИ – автоматизированной информационной системе «Автоматизированная система расчетов», который выразился в модификации информации, содержащейся в базе данных указанной системы, в результате чего информация, циркулирующая в ней, перестала соответствовать объективности, достоверности и актуальности.

Суд назначил наказание с применением ст. 64 ^[101] УК РФ в виде лишения свободы на срок 1,5 года. На основании ст. 73 ^[99] УК РФ назначенное наказание признано условным с испытательным сроком 1 год.

Наказание за DDoS-атаку

26 марта 2025 года Аксайский районный суд Ростовской области, рассмотрев дело ^[102] об уголовном правонарушении, вынес решение о признании гражданина виновным по ч. 1 ст. 274.1 ^[103] УК РФ: неправомерное воздействие на КИИ РФ.

Подсудимый создал Телеграмм-аккаунт, под названием «Добро», на котором предлагал услуги по проведению атак типа «отказ в обслуживании» (DDoS) на объекты КИИ за денежное вознаграждение. Получив сообщение от аккаунта «Андрей» о намерении провести DDoS-атаку на веб-сайт «https://ниисва.орг» ^[104], принадлежащий Федеральному государственному автономному научному учреждению «Научно-исследовательский институт «Специализированные вычислительные устройства защиты и автоматика», являющемуся объектом КИИ, за денежное вознаграждение в размере 350 долларов, подсудимый осуществил блокировку интернет-ресурса с использованием вредоносной компьютерной программы и иной компьютерной информации «ддгстрессер.ком ^[105]», что привело к реализации DDoS-атаки.

В соответствии с заключением эксперта, ресурс «ддгстрессер.ком ^[105]» является специализированным инструментом для осуществления компьютерных атак, классифицируемых как DDoS-атаки.

Суд назначил наказание в виде лишения свободы сроком на 2 года с отбыванием в колонии-поселении со штрафом в размере 500 тыс. руб.

Авторы: Виктор Бармак и Александра Чельдинова аналитики УЦСБ