- BrainTools - https://www.braintools.ru -
В обзоре изменений за апрель 2026 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура [1]
Рассмотрим отраслевые особенности категорирования объектов КИИ в сфере связи, а также ракетно-космической промышленности.
Разберем изменения в приказах ФСТЭК России № 235 и № 239.
Рассмотрим порядок взаимодействия операторов ГИС с ГосСОПКА.
Разберем изменения в уголовной ответственности за причинение вреда КИИ и введение административной ответственности за нарушения правил доступа к объектам КИИ и их и эксплуатации.
2. Иное [2]
Рассмотрим изменения в положениях о лицензировании деятельности по ТЗКИ, а также по разработке и производству СрЗИ.
Разберем изменения в Указе Президента РФ № 250.
Изучим требования к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС.
3. ФСТЭК России [3]
Разберем официально опубликованный методический документ по мероприятиям и мерам защиты информации в ИС.
Изучим изменения в приказе ФСТЭК России № 117 и в положении о системе сертификации СрЗИ.
Разберем порядок расчета уровня защищенности объектов информационной инфраструктуры органов (организаций).
Рассмотрим справки-доклады о ходе работ по плану ТК 362 по состоянию на 27 марта и 29 апреля 2026 года.
Приведем список обновленных перечней и реестров ФСТЭК России.
Отраслевые особенности категорирования объектов КИИ в сфере ракетно-космической промышленности
1 апреля официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 31.03.2026 № 356 [4] «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере ракетно-космической промышленности».
Субъектами КИИ в сфере ракетно-космической промышленности признаются организации, владеющие на праве собственности, аренды или ином законном основании информационными системами (далее – ИС), информационно-телекоммуникационными сетями (далее – ИТКС) и автоматизированными системами управления (далее – АСУ), функционирующими в данной сфере.
Дополнительные особенности процедуры категорирования:
при наличии каналов взаимодействия между различными ИС, ИТКС или АСУ решением субъекта КИИ они могут быть объединены в один объект КИИ;
при модернизации объект КИИ может быть разделен на несколько отдельных объектов;
после завершения присвоения категории значимости объектам КИИ субъекты направляют копии протоколов заседаний комиссии и актов категорирования в Государственную корпорацию по космической деятельности «Роскосмос» (далее – Госкорпорация «Роскосмос»).
Оценка показателей критериев значимости объектов КИИ, утвержденных постановлением Правительства № 127 от 08.02.2018 [5] «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее – перечень критериев значимости), проводится с учетом отраслевой специфики.
|
Номер показателя из перечня критериев значимости |
Условия применения показателя |
При расчете значения показателя учитывается |
Особые условия применения показателя |
|
1 |
Всеми субъектами КИИ, кроме Госкорпорации «Роскосмос» |
Анализ проектной и эксплуатационной документации на наличие опасных факторов; прогнозирование ущерба жизни и здоровью на основе моделирования компьютерного инцидента; статистика нештатных ситуаций на объекте КИИ; количество людей в зоне возможного поражения при возникновении чрезвычайных ситуаций |
|
|
8 |
Всеми субъектами КИИ |
Ущерб субъекту КИИ в процентах от среднего годового дохода |
Данные по доходам и налогам усредняются за предыдущий 5-летний период |
|
9 |
Всеми субъектами КИИ |
Ущерб федеральному бюджету РФ в процентах от среднего годового дохода субъекта КИИ |
Данные по доходам и налогам усредняются за предыдущий 3-летний период |
|
11 |
Субъектами, чьи объекты относятся к опасным производственным объектам (кроме Госкорпорации «Роскосмос») |
Наличие и задействованность объектов КИИ в управлении опасными производственными объектами; масштаб территории возможного вредного воздействия на окружающую среду; количество людей, потенциально подверженных вредному воздействию |
Сравнивается с субпозициями «а» и «б» позиции 11 перечня критериев значимости |
|
13 |
Субъектами КИИ – государственными заказчиками, головными исполнителями, исполнителями и соисполнителями государственного оборонного заказа (далее – гособоронзаказа) |
Порядок расчета определяется отраслевыми особенностями категорирования объектов КИИ в сфере оборонной промышленности |
|
|
13.1 |
Субъектами КИИ – головными исполнителями, исполнителями контракта с головным исполнителем, соисполнителями, субподрядчиками или поставщиками в рамках гособоронзаказа |
|
13 апреля официально опубликовано постановление Правительства РФ от 13.04.2026 № 402 [6] «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в сфере связи».
Субъектами КИИ в сфере связи признаются государственные органы, государственные учреждения, российские юридические лица, осуществляющие деятельность в области оказания услуг связи, владеющие на праве собственности, аренды или ином законном основании ИС, ИТКС и АСУ, функционирующими в данной сфере, а также российские юридические лица, обеспечивающие взаимодействие указанных систем или сетей.
Дополнительные особенности процедуры категорирования:
комиссия по категорированию может включать представителей Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) или Федеральной службы по надзору в сфере связи, информационных технологий (далее – ИТ) и массовых коммуникаций для подведомственных им организаций, а также представителей Минцифры России в комиссиях операторов универсального обслуживания;
применяются два метода расчета значений показателей критериев значимости:
o метод расчета наихудших последствий (оценка максимально возможного ущерба от компьютерных атак, компьютерных инцидентов);
o метод моделирования компьютерных атак, компьютерных инцидентов и их негативных последствий на основе типовых отраслевых объектов КИИ [7].
отраслевым признаком значимости является фактическое количество абонентов, обслуживаемых с использованием объекта КИИ.
Оценка показателей критериев значимости объектов КИИ проводится с учетом отраслевой специфики.
|
Номер показателя из перечня критериев значимости |
Условия применения показателя |
При расчете значения показателя учитывается |
Особые условия применения показателя |
|
4 «а» |
Всеми субъектами КИИ |
Количество абонентов (физических и юридических лиц), с которыми заключены договоры об оказании услуг связи с использованием объекта КИИ. При оказании нескольких услуг связи расчет ведется раздельно по каждой услуге |
Категория значимости присваивается по совокупности значений показателя, полученных применительно к каждой услуге |
|
4 «б» |
Субъектами КИИ (участниками закупок при наличии действующих контрактов на услуги связи, государственных, муниципальных контрактов на услуги связи или договоров услуг связи с Центральным банком РФ) |
Уровень и количество органов государственной власти (организаций), перечисленных в значениях показателя, для которых могут быть нарушены или недоступны услуги связи |
|
|
6 |
Субъектами КИИ (участниками закупок при наличии действующих контрактов на услуги связи, государственных, муниципальных контрактов на услуги связи или договоров услуг связи с Центральным банком РФ) в случае, если в отсутствие услуг связи государственный орган (организация) не сможет выполнять возложенную функцию (полномочие) |
Вероятность прекращения или нарушения функционирования государственных органов (организаций) в части невыполнения их функции (полномочия) из-за невозможности реализации обеспечиваемого объектом КИИ процесса |
Оценивается критичность недоступности услуг именно для выполнения государственных функций |
|
8 |
Субъектами КИИ, являющимися государственными корпорациями, унитарными предприятиями, компаниями, организациями оборонно-промышленного комплекса, стратегическими акционерными обществами или предприятиями [8] |
Ущерб субъекту КИИ в процентах от среднего годового дохода |
Учитываются все обязательные платежи (НДС, акцизы и иные) |
|
9 |
Всеми субъектами КИИ |
Ущерб федеральному бюджету РФ в процентах от среднего годового дохода субъекта КИИ |
Масштаб ущерба оценивается относительно прогнозируемого дохода федерального бюджета |
Документ вступает в силу 1 сентября 2026 года и действует до 1 сентября 2032 года.
7 апреля опубликован проект приказа [9] Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 [10] и от 25.12.2017 № 239 [11]».
Ключевые изменения в требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России 21.12.2017 № 235:
добавится новый пункт, регламентирующий проведение контроля состояния безопасности значимых объектов КИИ, в рамках которого должен проводиться расчет:
o не реже 1 раза в 6 месяцев показателя защищенности (Кзи), который характеризует текущее состояние обеспечения безопасности от базового уровня угроз (проводится в соответствии с методикой оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ, утвержденной ФСТЭК России от 11.11.2025 [12]);
o не реже 1 раза в 2 года показателя уровня зрелости (Пзи), который определяет достаточность и эффективность проведенных мероприятий по обеспечению безопасности (соответствующая методика ФСТЭК России по оценке Пзи еще не представлена).
если значения показателей не будут соответствовать нормированным (установленным методическими документами), в течение 3 календарных дней информируется руководитель субъекта КИИ для принятия решения о проведении дополнительных мероприятий по обеспечению безопасности;
результаты оценки показателей в срок не позднее 5 рабочих дней после расчета должны будут направляться в ФСТЭК России.
Ключевые изменения в требованиях по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России 25.12.2017 № 239:
требование о технической поддержке будет касаться только средств защиты информации (далее – СрЗИ), а упоминание гарантийной поддержки исключено;
учет возможных ограничений со стороны разработчика будет обязателен только для СрЗИ;
меры по обеспечению безопасности значимых объектов КИИ могут быть дополнены организационными и техническими мерами, решение о необходимости осуществления которых будет принимать ФСТЭК России.
Вступление в силу приказа запланировано на 1 сентября 2026 года.
Дата окончания общественного обсуждения 22 апреля 2026 года.
Порядок взаимодействия операторов ГИС с ГосСОПКА
30 апреля Федеральной службой безопасности РФ (далее – ФСБ России) опубликован проект приказа [13] «Об утверждении Порядка взаимодействия операторов государственных информационных систем (далее – ГИС), иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных ИС информации».
Будет установлен единый порядок взаимодействия с ГосСОПКА через Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) для операторов:
ГИС;
иных ИС государственных органов;
ИС государственных унитарных предприятий;
ИС государственных учреждений.
Взаимодействие будет осуществляться через личный кабинет субъекта ГосСОПКА, зарегистрированного посредством подключения к технической инфраструктуре НКЦКИ.
Подключение к личному кабинету и начало взаимодействия будет возможно только после заключения регламента взаимодействия с НКЦКИ.
Срок в 24 часа установится как для передачи и получения информации в рамках взаимодействия с НКЦКИ, так и для ответов на запросы НКЦКИ.
Дата окончания общественного обсуждения 15 мая 2026 года.
Изменения в уголовной ответственности за причинение вреда КИИ
9 апреля официально опубликован Федеральный закон от 09.04.2026 № 76-ФЗ [14] «О внесении изменений в статью 274-1 Уголовного кодекса РФ [15]».
Различия между опубликованной и проектной [16] версиями документа носят уточняющий характер и не меняют его концептуальную основу.
Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года [17] Аналитического центра УЦСБ.
Административная ответственность за нарушения правил доступа и эксплуатации в КИИ
9 апреля официально опубликован Федеральный закон от 09.04.2026 № 77-ФЗ [18] «О внесении изменений в Кодекс РФ об административных правонарушениях [19]»
Различия между опубликованной и проектной [20] версиями документа носят уточняющий характер и не меняют его концептуальную основу.
Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года [17] Аналитического центра УЦСБ.
Изменения в положении о лицензировании деятельности по разработке и производству СрЗИ
10 апреля опубликован проект постановления Правительства [21] РФ «О внесении изменений в Положение о лицензировании деятельности по разработке и производству СрЗИ, утвержденное постановлением Правительства РФ от 03.03.2012 № 171 [22]»
Запрет на осуществление деятельности дополнится:
юридическими лицами, руководители которых имеют гражданство иностранного государства
индивидуальными предпринимателями, имеющими гражданство иностранного государства.
Для лицензирующих органов (ФСТЭК России и ФСБ России) изменятся требования к соискателям лицензий и лицензиатам. Логика [23] и перечень изменений совпадают с приведенным в таблице примером требований к соискателям лицензий.
|
Элемент требования для соискателя лицензии (ФСТЭК России) |
Действующая редакция |
Редакция проекта |
|
Руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо |
Одно из перечисленного: 1. высшее образование по направлению информационной безопасности (далее – ИБ) + стаж 5 лет; 2. высшее образование (математических, естественных, инженерных, технических наук) + стаж 7 лет; 3. иное высшее + стаж 5 лет + профпереподготовка по ИБ (≥ 360 ч) |
Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 5 лет; 2. иное высшее + стаж 5 лет + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ |
|
Инженерно-технические работники (далее – ИТР) |
Не менее 2 человек. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по ИБ (≥ 360 ч) |
Не менее 5 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ |
|
Помещения |
Наличие по месту осуществления деятельности помещений (нежилых), принадлежащих на праве собственности или ином законном основании. Созданы условия для размещения работников, оборудования и обсуждения информации ограниченного доступа |
Без существенных изменений по тексту |
|
Оборудование и программные средства |
Наличие на праве собственности или ином законном основании оборудования по перечню ФСТЭК России, в том числе: производственное и испытательное;измерительные приборы с поверкой;программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов программного обеспечения (далее – ПО) |
Добавлено:1. применение СрЗИ должно соответствовать требованиям п. 6 Указа Президента РФ от 01.05.2022 № 250 [24] «О дополнительных мерах по обеспечению ИБ РФ» (запрет использования СрЗИ недружественных стран).2. право собственности на СрЗИ должно предусматривать владение и пользование |
|
Документация |
Наличие технической и технологической документации, национальных стандартов и методических документов по перечню ФСТЭК России. Документы с ограниченным доступом получены в установленном порядке |
Упоминание технической и технологической документации по тексту заменено упоминанием нормативных правовых актов. Документы с ограниченным доступом могут быть не только получены, но и учтены в установленном порядке |
|
Система производственного контроля (разработка) |
Наличие системы производственного контроля, включающей правила проверки системы разработки и учета изменений в документации |
Разделено на два блока: 1. для технических СрЗИ: система контроля качества, правила проверки качества, учет изменений в конструкторскую документацию. 2. для программных СрЗИ: система контроля качества, в которой реализованы процессы безопасной разработки ПО, соответствующие требованиям национального стандарта ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования» [25] |
|
Система производственного контроля (производство) |
Наличие системы производственного контроля, включающей правила проверки системы производства, оценки качества продукции, учета изменений и готовой продукции |
Без существенных изменений по тексту |
|
Аттестованная информационная система |
Отсутствует |
Наличие по месту осуществления деятельности информационной системы, предназначенной для обработки конфиденциальной информации, средств защиты такой информации, прошедших оценку соответствия (аттестованной и/или сертифицированной по требованиям безопасности информации) |
Расширится перечень оснований, считающихся грубыми нарушениями, включая осуществление деятельности иностранными лицами.
Скорректируется состав документов для получения лицензии. В перечень будут включены копии:
руководства по безопасной разработке ПО СрЗИ;
документов, подтверждающих систему контроля качества, в которой реализованы процессы безопасной разработки ПО, соответствующие требованиям ГОСТ Р 56939-2024 [25].
Оценка соответствия соискателя лицензии (лицензиата) лицензионным требованиям сможет проводиться как в форме документарной, так и выездной оценки.
Порядок приостановления, возобновления и аннулирования лицензии будет устанавливаться лицензирующим органом.
Вступление в силу постановления запланировано на 1 марта 2027 года.
Дата окончания общественного обсуждения 2 мая 2026 года.
Изменения в положение о лицензировании деятельности по ТЗКИ
6 апреля опубликован проект постановления Правительства РФ [26] «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации (далее – ТЗКИ), утвержденное постановлением Правительства РФ от 03.02.2012 № 79 [27] (далее – Постановление № 79)».
Запрет на осуществление деятельности дополнится:
юридическими лицами, руководители которых имеют гражданство иностранного государства;
индивидуальными предпринимателями, имеющими гражданство иностранного государства.
Для лицензирующего органа изменится требование к соискателям лицензий и лицензиатам. Логика и перечень изменений совпадают с приведенным в таблице примером требований к соискателям лицензий.
|
Элемент требования для соискателя лицензии |
Действующая редакция |
Редакция проекта |
|
Руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо |
Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 3 года; 2. высшее образование (математических, естественных, инженерных, технических наук) + стаж 5 лет; 3. иное высшее + стаж 5 лет + профпереподготовка по ИБ (≥ 360 ч) |
Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 3 года; 2. иное высшее + стаж 5 лет + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ |
|
Инженерно-технические работники |
Не менее 2 человек. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по ИБ (≥ 360 ч) |
Дифференцировано по видам работ: 1. для услуг, предусмотренных подпунктами «а», «б», «д», «е» пункта 4 Постановления №79: Не менее 5 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию. 2. для услуг, предусмотренных подпунктом «в» пункта 4 Постановления №79: Не менее 15 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию. 3. для услуг, предусмотренных подпунктом «г» пункта 4 Постановления №79: Не менее 9 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию |
|
Помещения |
Наличие по месту осуществления деятельности помещений (нежилых), принадлежащих на праве собственности или ином законном основании. Созданы условия для размещения работников, оборудования и обсуждения информации ограниченного доступа |
Без существенных изменений по тексту |
|
Оборудование и программные средства |
Наличие на праве собственности или ином законном основании оборудования по перечню ФСТЭК России, в том числе: – производственное и испытательное; – измерительные приборы с поверкой; – программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов ПО |
Добавлено:1. Применение СрЗИ должно соответствовать требованиям п. 6 Указа Президента РФ от 01.05.2022 № 250 [24] «О дополнительных мерах по обеспечению ИБ РФ» (запрет использования СрЗИ недружественных стран).2. Право собственности на СрЗИ должно предусматривать владение и пользование |
|
Документация |
Наличие технической и технологической документации, национальных стандартов и методических документов по перечню ФСТЭК России. Документы с ограниченным доступом получены в установленном порядке |
Упоминание технической и технологической документации по тексту заменено упоминанием нормативных правовых актов. Документы с ограниченным доступом могут быть не только получены, но и учтены в установленном порядке |
|
Система производственного контроля |
Отсутствует |
Наличие системы производственного контроля качества выполняемых работ и (или) оказываемых услуг (при выполнении работ, указанных в подпунктах «а», «б», «в», «г» пункта 4 Постановления №79) |
|
Аттестованная информационная система |
Наличие по месту осуществления деятельности автоматизированной системы, предназначенной для обработки конфиденциальной информации, средств защиты такой информации, прошедших оценку соответствия (аттестованной и/или сертифицированной по требованиям безопасности информации) |
Без существенных изменений по тексту |
Расширится перечень оснований, считающихся грубыми нарушениями, включая осуществление деятельности иностранными лицами.
Скорректируется состав документов для получения лицензии.
Порядок приостановления, возобновления и аннулирования лицензии будет устанавливаться лицензирующим органом.
Вступление в силу постановления запланировано на 1 марта 2027 года.
Дата окончания общественного обсуждения 27 апреля 2026 года.
Изменение в Указе Президента РФ № 250
30 апреля опубликован проект указа [28] Президента РФ «О внесении изменений в Указ Президента РФ от 01.05.2022 № 250 [24] «О дополнительных мерах по обеспечению ИБ РФ».
Проект дополнит существующий перечень обязанностей подпунктом «ж», обязывающим принимать меры по достижению целевых значений показателей, характеризующих уровень защищенности принадлежащих им ГИС, иных ИС и значимых объектов КИИ.
Установятся показатели уровня защищенности объектов информационной инфраструктуры и их целевые значения:
обеспечена защищенность объектов информационной инфраструктуры в органе (организации) от актуальных угроз в информационной сфере;
на не менее 80 % объектов информационной инфраструктуры, функционирующих в отрасли (сфере деятельности), обеспечена защищенность от актуальных угроз в информационной сфере;
на не менее 80 % объектов информационной инфраструктуры, находящихся в ведении органов исполнительной власти субъектов РФ, обеспечена защищенность от актуальных угроз в информационной сфере.
Дата окончания общественного обсуждения 15 мая 2026 года.
Требования к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС
23 апреля опубликован проект постановления [29] Правительства РФ «Об утверждении требований к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС (далее – Требования) и внесении изменений в постановление Правительства РФ от 16.11.2015 [30]»
Требования будут распространяться на ИС, создаваемые государственными органами для организационного, информационного, документационного, финансового и технического обеспечения своей деятельности и не подпадающие под режим ГИС.
Вводятся два новых ключевых понятия:
фасеты систем – укрупненные группировки уникальных классификационных признаков систем по характеристикам и иным параметрам;
стандарт – документ, устанавливающий минимальные требования для соответствующей фасеты, включая состав функций, процессов и иных характеристик, которым должна соответствовать система.
Стандарты разрабатываются Минцифры России и размещаются на портале федеральной ГИС координации информатизации [31].
Системы будут создаваться с учетом модели угроз безопасности информации и уровней защищенности персональных данных.
В реестровые записи для ведения единого реестра российских программ для электронных вычислительных машин (далее – ЭВМ) и баз данных (далее – БД) и единого реестра программ для ЭВМ и БД из государств – членов Евразийского экономического союза, за исключением РФ, внесут новые специальные признаки для обеспечения маркировки ПО, применяемого в ИС государственных органов, не являющихся ГИС.
Дата окончания общественного обсуждения 8 мая 2026 года.
Методический документ по мероприятиям и мерам защиты информации в ИС
Информационным сообщением ФСТЭК России от 14.04.2026 № 240/22/2457 [32] утвержден методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в ИС» [33].
Положения методического документа ФСТЭК России 11.02.2014 «Меры защиты информации в ГИС» больше не применяются.
Подробнее с документом можно ознакомиться в обзоре за февраль 2026 года [34] Аналитического центра УЦСБ.
Ключевые отличия официальной версии [33] документа от проекта [35]:
переработаны мероприятия (процессы) по обеспечению защиты информации при использовании искусственного интеллекта [36] (далее – ИИ), но убраны меры по защите систем ИИ (ЗИИ);
исключено упоминание об оценке достаточности и эффективности проведения мероприятий по защите информации на основе оценки уровня зрелости органа (организации) (Пзи), но остался показатель защищенности ИС (Кзи);
онлайн-обновления программных, программно-аппаратных средств теперь возможны, когда реализована проверка целостности и аутентичности обновлений на основе сертификатов безопасности с применением российских криптографических стандартов;
из мероприятий (процессов) удаленного доступа (УД) убран запрет на конкретные протоколы, но добавлена общая формулировка об обеспечении безопасной дистанционной работы;
в мероприятиях (процессах) по взаимодействию с подрядными организациями (ЗП) конкретизировано требование: «Удаленный доступ подрядных организаций к ИС должен осуществляться только с программно-аппаратных средств, размещенных на территории РФ»;
периодичность контроля уровня защищенности снижена: не реже 1 раза в 3 года или после компьютерного инцидента;
переработаны приложения № 1 и 2, значительно расширен перечень мер, для которых установлены обязательные требования;
добавлено приложение № 3, которое детально описывает методологию выбора мер защиты информации, включая определение класса защищенности, адаптацию базового набора мер, верификацию с моделью угроз и итоговое формирование требований.
Изменения в приказ ФСТЭК России № 117
17 апреля представлен проект приказа ФСТЭК России [37] «О внесении изменений в Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (далее –Требования), утвержденные приказом ФСТЭК России 11.04.2025 № 117 [38]».
В сферу действия документа включат технические средства и программы для ЭВМ и БД в соответствии с будущей редакцией [39] ч. 5.1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ [40] «Об информации, ИТ и о защите информации» (далее – 149-ФЗ). Внесены соответствующие дополнения нового объекта регулирования в политиках, взаимодействии с подрядчиками и иное.
Создание и эксплуатация ИС на базе информационно-телекоммуникационной инфраструктуры и (или) с использованием технических средств и программ для ЭВМ и БД допускается при условии защиты информационно-телекоммуникационной инфраструктуры и (или) технических средств и программ для ЭВМ и БД в соответствии с Требованиями.
В отношении информационно-телекоммуникационной инфраструктуры, на которой функционируют технические средства и программы для ЭВМ и БД, используемые для функционирования ГИС, должна быть проведена ее аттестация по классу защищенности не ниже класса защищенности ГИС.
Исключено требование о постоянном доступе конечных устройств в сеть «Интернет». Внутренний стандарт по защите информации должен будет содержать требования к защите всех устройств, имеющих доступ в Интернет.
Расчет показателя уровня зрелости (Пзи) будет проводиться только подрядными организациями и до получения доступа к ИС.
Во ФСТЭК России будут направляться только результаты оценки показателя защищенности (Кзи).
Результатом реализации мероприятий плана по совершенствованию защиты информации должно быть достижение значений только показателя защищенности.
Достаточность и эффективность проводимых мероприятий будет оцениваться оператором по результатам определения показателя защищенности.
Допускается замена строгой аутентификации на усиленную многофакторную аутентификацию при использовании пользователями мобильных устройств.
Дата окончания общественного обсуждения 2 мая 2026 года.
Изменения в положении о системе сертификации СрЗИ
21 апреля официально опубликован приказ ФСТЭК России от 20.01.2026 № 9 [41] «О внесении изменений в Положение о системе сертификации СрЗИ, утвержденное приказом ФСТЭК России от 03.04.2018 № 55 [42]».
В перечень документации, предоставляемой в лабораторию вместе с образцом СрЗИ, в приложения к заявке, а также в состав документов, предусмотренных иными процедурами сертификации, включены:
перечень заимствованных программных компонентов с открытым исходным кодом;
перечень образцов контейнеров.
Перечень оснований для аннулирования решения о проведении сертификации дополнен новым пунктом: «наличие в заключении органа по сертификации вывода о невозможности выдачи сертификата соответствия».
Для проведения сертификационных испытаний лаборатория отбирает образцы исключительно из числа СрЗИ от утечки по техническим каналам.
Срок рассмотрения и утверждения программы и методики сертификационных испытаний сокращен с 10 рабочих дней до 10 календарных дней.
Органу по сертификации установлен срок в 5 рабочих дней для информирования ФСТЭК России об утверждении программы и методики сертификационных испытаний.
Установлено четкое разделение материалов сертификационных испытаний СрЗИ на бумажный и электронный форматы представления.
При любом изменении состава заимствованных программных компонентов с открытым исходным кодом в составе СрЗИ изготовитель обязан направить во ФСТЭК России скорректированные данные в течение 5 календарных дней. В случае непредставления указанных сведений действие сертификата приостанавливается.
Порядок расчета уровня защищенности объектов информационной инфраструктуры органов (организаций)
30 апреля опубликован проект постановления Правительства РФ [43] «О порядке расчета количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций)».
Документ утвердит правила определения количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций) (далее – Правила).
Действие Правил распространяется на следующие категории органов и организаций:
в отношении определения уровня защищенности ГИС и иных ИС:
o федеральные органы исполнительной власти;
o органы исполнительной власти субъектов РФ.
в отношении определения уровня защищенности значимых объектов КИИ РФ:
o государственные фонды;
o государственные корпорации (компании) и иные организации, созданные на основании федеральных законов;
o стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, являющиеся субъектами КИИ.
Уровень защищенности будет определяться по следующим показателям:
уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации);
уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности);
уровень защищенности объектов информационной инфраструктуры в субъекте РФ.
Дата окончания общественного обсуждения 15 мая 2026 года.
Деятельность ТК 362 в марте 2026 года
7 апреля ФСТЭК России на своем официальном сайте опубликовала Справку-доклад [44] о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 27 марта 2026 года.
В интересах выполнения плана были проведены следующие работы:
дорабатываются проекты национальных стандартов:
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» [45]. Плановый срок представления проекта национального стандарта в ТК 362 – апрель 2026 года. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года [46] [БВВ Аналитического центра УЦСБ;
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;
o ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;
o ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации». Плановый срок представления проекта национального стандарта в ТК 362 – апрель 2026 года.
Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт) утверждены приказы:
o от 27.02.2026 № 350 [47] «О внесении изменений в структуру ТК 362»;
o от 18.03.2026 № 505 [48] «О внесении изменения в состав ТК 362».
В ТК 22 «ИТ» направлены результаты рассмотрения проектов предварительных национальных стандартов:
o ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;
o ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».
Деятельность ТК 362 в апреле 2026 года
6 мая ФСТЭК России на своем официальном сайте опубликовала Справку-доклад [49] о ходе работ по плану ТК 362 на 2026 год по состоянию на 29 апреля 2026 года.
В интересах выполнения плана были проведены следующие работы:
председателю ТК 362 представлены:
o результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в I квартале 2026 года;
o авторская редакция проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Среда разработки безопасного ПО. Общие требования».
дорабатываются проекты национальных стандартов:
o ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования». Плановый срок представления проекта национального стандарта в ТК 362 – май 2026 года;
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» [45]. Плановый срок представления проекта национального стандарта в ТК 362 – май 2026 года. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года [46] Аналитического центра УЦСБ;
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;
в Росстандарт направлено:
o разъяснение об отличиях между активным и пассивным механизмами отказоустойчивости по ГОСТ Р ИСО/МЭК 15408-2-2013 «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные компоненты безопасности» [50];
o поправка и мотивированное предложение о ее внесении в ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной ИБ. Методология разработки» [51].
Обновление перечней и реестров ФСТЭК России
На сайте ФСТЭК России [52] размещены обновленные перечни и реестры:
реестр лицензий на деятельность по разработке и производству СрЗИ [54];
перечень организаций, имеющих право проведения работ по аттестации объектов информатизации [56];
реестр аккредитованных ФСТЭК России органов по сертификации [58];
реестр аккредитованных ФСТЭК России испытательных лабораторий [59];
перечень сертификатов соответствия процессов безопасной разработки ПО [62].
ООО «УЦСБ» имеет лицензию ФСТЭК России на:
Автор: Виктор Бармак, аналитик УЦСБ
Автор: USSC
Источник [65]
Сайт-источник BrainTools: https://www.braintools.ru
Путь до страницы источника: https://www.braintools.ru/article/30824
URLs in this post:
[1] 1. Критическая информационная инфраструктура: #1
[2] 2. Иное: #2
[3] 3. ФСТЭК России: #3
[4] постановление Правительства Российской Федерации (далее – РФ) от 31.03.2026 № 356: http://publication.pravo.gov.ru/document/0001202604010039
[5] постановлением Правительства № 127 от 08.02.2018: https://fstec.ru/dokumenty/vse-dokumenty/postanovleniya/postanovlenie-pravitelstva-rossijskoj-federatsii-ot-8-fevralya-2018-g-n-127
[6] постановление Правительства РФ от 13.04.2026 № 402: http://publication.pravo.gov.ru/document/0001202604130022?pageSize=100&index=1
[7] типовых отраслевых объектов КИИ: http://publication.pravo.gov.ru/document/0001202602260020?pageSize=100&index=1
[8] стратегическими акционерными обществами или предприятиями: https://base.garant.ru/187281/
[9] проект приказа: https://regulation.gov.ru/projects/166998/
[10] ФСТЭК России от 21.12.2017 № 235: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-235
[11] 25.12.2017 № 239: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239
[12] ФСТЭК России от 11.11.2025: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-11-noyabrya-2025-g
[13] проект приказа: https://regulation.gov.ru/projects/167649/
[14] Федеральный закон от 09.04.2026 № 76-ФЗ: http://publication.pravo.gov.ru/document/0001202604090002?pageSize=100&index=1
[15] статью 274-1 Уголовного кодекса РФ: https://www.consultant.ru/document/cons_doc_LAW_10699/34672bc8c82c4b6f4b7c8cd4e77a9f414fed6cb1/
[16] проектной: https://sozd.duma.gov.ru/bill/1071966-8
[17] обзоре за ноябрь 2025 года: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-noyabr-2025-goda/
[18] Федеральный закон от 09.04.2026 № 77-ФЗ: http://publication.pravo.gov.ru/document/0001202604090003?pageSize=100&index=1
[19] Кодекс РФ об административных правонарушениях: https://www.consultant.ru/document/cons_doc_LAW_34661/
[20] проектной: https://sozd.duma.gov.ru/bill/1071997-8#bh_histras
[21] проект постановления Правительства: https://regulation.gov.ru/projects/167110/
[22] постановлением Правительства РФ от 03.03.2012 № 171: https://www.consultant.ru/document/cons_doc_LAW_127010/2b44e442185cf861f9a9c2c0d90caf172d81b539/
[23] Логика: http://www.braintools.ru/article/7640
[24] Указа Президента РФ от 01.05.2022 № 250: https://base.garant.ru/404561984/
[25] ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования»: https://docs.cntd.ru/document/1310017763
[26] проект постановления Правительства РФ: https://regulation.gov.ru/projects/166970/
[27] постановлением Правительства РФ от 03.02.2012 № 79: https://fstec.ru/dokumenty/vse-dokumenty/postanovleniya/postanovlenie-pravitelstva-rossijskoj-federatsii-ot-3-fevralya-2012-g-n-79
[28] проект указа: https://regulation.gov.ru/projects/167660/
[29] проект постановления: https://regulation.gov.ru/projects/167504/
[30] постановление Правительства РФ от 16.11.2015: https://base.garant.ru/71252170/
[31] портале федеральной ГИС координации информатизации: https://gis.gov.ru/
[32] Информационным сообщением ФСТЭК России от 14.04.2026 № 240/22/2457: https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-14-aprelya-2026-g-n-240-22-2457
[33] методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в ИС»: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-12-aprelya-2026-g
[34] обзоре за февраль 2026 года: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-fevral-2026-goda/
[35] проекта: https://fstec.ru/dokumenty/vse-dokumenty/proekty/proekt-metodicheskogo-dokumenta-4
[36] интеллекта: http://www.braintools.ru/article/7605
[37] проект приказа ФСТЭК России: https://regulation.gov.ru/projects/167285/
[38] приказом ФСТЭК России 11.04.2025 № 117: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot-11-aprelya-2025-g-n-117
[39] будущей редакцией: http://publication.pravo.gov.ru/document/0001202512290056?pageSize=100&index=1
[40] Федерального закона от 27.07.2006 № 149-ФЗ: https://www.consultant.ru/document/cons_doc_LAW_61798/78b773a28f3ad19eb234697b20ab1d48c09f748a/
[41] приказ ФСТЭК России от 20.01.2026 № 9: http://publication.pravo.gov.ru/document/0001202604210031?pageSize=100&index=1
[42] приказом ФСТЭК России от 03.04.2018 № 55: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-3-aprelya-2018-g-n-55
[43] проект постановления Правительства РФ: https://regulation.gov.ru/projects/167663/
[44] Справку-доклад: https://fstec.ru/tk-362/deyatelnost-tk362/otchety-o-rezultatakh-deyatelnosti/spravka-doklad-po-sostoyaniyu-na-27-03-2026-g
[45] ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»: https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-16
[46] октябрь 2025 года: https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-oktyabr-2025-goda/
[47] от 27.02.2026 № 350: https://fstec.ru/tk-362/dokumenty-tk362/prikazy-rosstandarta-po-tk-362/prikaz-rosstandarta-ot-27-fevralya-2026-g-n-350
[48] от 18.03.2026 № 505: https://fstec.ru/en/tk-362/dokumenty-tk362/prikazy-rosstandarta-po-tk-362/prikaz-rosstandarta-ot-18-marta-2026-g-n-505
[49] Справку-доклад: https://fstec.ru/tk-362/deyatelnost-tk362/otchety-o-rezultatakh-deyatelnosti/spravka-doklad-po-sostoyaniyu-na-29-04-2026-g
[50] ГОСТ Р ИСО/МЭК 15408-2-2013 «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные компоненты безопасности»: https://docs.cntd.ru/document/1200105710
[51] ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной ИБ. Методология разработки»: https://rst.gov.ru:8443/file-service/file/load/1752747875014
[52] сайте ФСТЭК России: https://reestr.fstec.ru/
[53] реестр лицензий на деятельность по ТЗКИ: https://reestr.fstec.ru/reg1
[54] реестр лицензий на деятельность по разработке и производству СрЗИ: https://reestr.fstec.ru/reg2
[55] государственный реестр сертифицированных СрЗИ: https://reestr.fstec.ru/reg3
[56] перечень организаций, имеющих право проведения работ по аттестации объектов информатизации: https://reestr.fstec.ru/reg4
[57] перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации: https://reestr.fstec.ru/reg5
[58] реестр аккредитованных ФСТЭК России органов по сертификации: https://reestr.fstec.ru/reg6
[59] реестр аккредитованных ФСТЭК России испытательных лабораторий: https://reestr.fstec.ru/reg7
[60] перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну: https://reestr.fstec.ru/reg8
[61] перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну: https://reestr.fstec.ru/reg9
[62] перечень сертификатов соответствия процессов безопасной разработки ПО: https://reestr.fstec.ru/reg10
[63] деятельность по разработке и (или) производству СрЗИ (№Л050-00107-00/00579687 от 08 октября 2007 года): https://reestr.fstec.ru/regview2?guid=590a508d-3f63-43c9-99d9-81a4047f1eaf
[64] деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года): https://reestr.fstec.ru/regview1?guid=e7856a41-325d-498e-bcc3-a8146ca53513
[65] Источник: https://habr.com/ru/companies/ussc/news/1039930/?utm_source=habrahabr&utm_medium=rss&utm_campaign=1039930
Нажмите здесь для печати.