Квартальный отчёт. О нормативном регулировании в сфере ИБ в III квартале 2025 года

Квартальный отчёт. О нормативном регулировании в сфере ИБ в III квартале 2025 года

Персональные данные (ПДн)

29.09.2025 был принят предварительный национальный стандарт (ПНСТ) 1022-2025 «Информационные технологии. Биометрия. Применение биометрических технологий для граждан пожилого возраста». Стандарт действует с 01.01.2026 до 01.01.2029.

Критическая информационная инфраструктура (КИИ)

23.06.2025 принят ПНСТ 1008-2025 «Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности», устанавливающий единые требования к защите критической информационной инфраструктуры (КИИ) в сфере ЖКХ, включая информационные системы, телекоммуникационные сети и автоматизированные системы управления, описывающий процедуры категорирования объектов КИИ ЖКХ, дающий определения критических процессов, оценки масштаба возможных последствий дестабилизирующих воздействий, а также формулирующий требования к внедрению систем информационной безопасности. Стандарт будет действовать с 01.01.2026 до 01.01.2027.

30.06.2025 принят предварительный национальный стандарт 1009-2025 «Критическая информационная инфраструктура. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения». Срок действия стандарта — с 01.10.2025 по 01.10.2028.

23.07.2025 опубликован утверждённый 19.06.2025 ПНСТ 1008-2025 «Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности».

Стандарт устанавливает единые требования к защите КИИ в сфере ЖКХ, включая информационные системы, телекоммуникационные сети и автоматизированные системы управления. Содержит процедуры категорирования объектов КИИ ЖКХ, определения критических процессов, оценки масштаба возможных последствий дестабилизирующих воздействий, а также требования к внедрению систем информационной безопасности. Данный стандарт будет действовать с 01.01.2026 до 01.01.2027.

19.09.2025 был опубликован проект постановления Правительства Российской Федерации «Об утверждении Правил осуществления мониторинга за исполнением субъектами КИИ Российской Федерации обязанности по использованию на значимых объектах КИИ программ для электронных вычислительных машин и баз данных, включённых в реестр отечественного ПО».

В числе предполагаемых положений проекта следующие:

— в рамках мониторинга будут оценивать результаты перехода субъектов КИИ на использование программ из реестра отечественного ПО, а также собирать и анализировать информацию об используемом программном обеспечении;

— субъекты КИИ, завершившие до 01.01.2028 переход на российское ПО, должны будут предоставить в уполномоченные органы отчёты об исполнении обязанности по переходу;

— информация, выявляемая в рамках мониторинга, в частности по доле используемых лицензий на российское ПО, будет передаваться в ФСБ России для проверки актуальности и достоверности сведений об объектах КИИ.

Планируется, что постановление вступит в силу с 01.04.2026.

Также 19.09.2025 опубликован проект постановления Правительства Российской Федерации «О порядке и сроках перехода субъектов критической информационной инфраструктуры Российской Федерации на использование программ для электронных вычислительных машин и баз данных, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный статьёй 121 Федерального закона "Об информации, информационных технологиях и о защите информации", на значимых объектах критической информационной инфраструктуры Российской Федерации».

Президент и Правительство Российской Федерации

24.06.2025 был опубликован Указ Президента Российской Федерации от 24.06.2025 №412 «О внесении изменений в перечень сведений, отнесённых к государственной тайне, утверждённый Указом Президента Российской Федерации от 30.11.1995 №1203». В числе прочего, в перечень сведений, отнесённых к государственной тайне, Указом были включены сведения, раскрывающие основы государственной политики в сфере мобилизационной подготовки и мобилизации в Российской Федерации, уточнено понятие объекта административного управления. Документ вступил в силу со дня подписания.

Также 24.06.2025 опубликован Федеральный закон от 24.06.2025 №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации». Согласно данному закону создаётся многофункциональный сервис обмена информацией. С его помощью можно будет подписывать документы, взаимодействовать с органами власти и образовательными организациями, подтверждать возраст при покупке товаров (если это требуется), подтверждать право на льготы, заселяться в гостиницы и др. При использовании сервиса бумажные документы не потребуются.

Закон также предусматривает, что согласие на обработку персональных данных должно будет оформляться отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект ПДн. Федеральный закон вступил в силу со дня его официального опубликования, за исключением отдельных положений, которые действуют с 01.09.2025.

26.06.2025 Правительство Российской Федерации опубликовало постановление от 26.06.2025 №966 «Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определённой в соответствии с частью 2 статьи 13-1 Федерального закона "О персональных данных", и информационных систем операторов».

Согласно данному документу:

— взаимодействие уполномоченного органа и оператора может осуществляться через личный кабинет оператора в информационной системе уполномоченного органа, единый портал или с использованием почтовой связи;

— при взаимодействии между информационными системами операторов и уполномоченного органа должна обеспечиваться защита информации от неправомерного уничтожения, блокирования, модификации либо копирования;

— уполномоченный орган предоставляет оператору на безвозмездной основе типовое тиражируемое программное обеспечение, которое используется для доступности обезличенных данных, и оказывает содействие в его настройке и адаптации;

— оператор должен рассматривать требование о предоставлении обезличенных данных в срок, установленный в самом требовании.

Постановление вступило в силу 01.09.2025.

01.07.2025 вступило в силу постановление Правительства Российской Федерации от 30.06.2025 №984 «Об утверждении требований к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации применения систем видео-конференц-связи и веб-конференции». Документом определены требования к техническим и программным средствам, используемым при организации применения систем видео-конференц-связи и веб-конференции в процессе рассмотрения дела об административном правонарушении без личного присутствия участников такого производства.

07.07.2025 в Государственную думу Российской Федерации был внесён законопроект №960721-8 «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"», направленный на повышение эффективности создания и последующего учёта государственных информационных систем.

14.07.2025 в Государственную думу Российской Федерации был внесёнзаконопроект №967013-8 «О внесении изменений в статью 46 Федерального закона "О связи" в части противодействия правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий». Изменения должны обязать операторов телефонной связи по умолчанию предоставлять каждому абоненту безвозмездный сервис автоматизированной фильтрации входящих вызовов и сообщений, предназначенный для выявления и блокирования мошеннических действий, при сохранении права абонента отказаться от использования сервиса.

31.07.2025 был опубликован Федеральный закон от 31.07.2025 №325-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Изменения устанавливают требования к значимым разработчикам программного обеспечения (ПО) и вступают в силу с 01.03.2026. Значимым разработчиком ПО будет являться контролируемая Российской Федерацией компания, заключившая с Правительством соглашение о разработке или модернизации ПО за счёт собственных средств в целях импортозамещения в рамках особо значимых проектов. Государство, будет обеспечивать/стимулировать закупки этого продукта. Правительство сможет вводить дополнительные требования к таким разработчикам, а Минцифры будет вести их перечень. Кроме того, Минцифры будет вести специальный перечень ПО, разработанного российскими юридическими лицами для собственных нужд.

05.08.2025 опубликовано постановление Правительства Российской Федерации от 01.08.2025 №1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных». Документ вступил в силу 01.09.2025.

20.08.2025 опубликовано распоряжение Правительства Российской Федерации от 14.08.2025 №2207-р «Об утверждении плана мероприятий по реализации Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий».

Распоряжение предусматривает в числе прочего следующие меры:

— обязать операторов связи, интернет-провайдеров, организаторов распространения информации, организации, предоставляющих услуги хостинга, и провайдеров услуг в сфере виртуальных активов сообщать правоохранительным органам о выявленных фактах мошенничества;

— увеличить срок исковой давности привлечения к административной ответственности за нарушение законодательства в области персональных данных;

— внедрить в популярные мобильные приложения модуль обязательного информирования граждан о рисках мошенничества;

— разработать алгоритм выявления технологий искусственного интеллекта в противоправной деятельности.

28.08.2025 было опубликовано постановление Правительства Российской Федерации от 27.08.2025 №1286 «О внесении изменений в постановление Правительства Российской Федерации от 29.06.2021 №1046». Постановлением уточнены положения о профилактических и инспекционных визитах и выездных проверках. Установлено, что в отношении объектов категории высокого риска проводится одно плановое контрольное (надзорное) мероприятие в два года или один обязательный профилактический визит в год, при этом плановые контрольные мероприятия в отношении объектов категории значительного, среднего, умеренного или низкого риска и обязательные профилактические визиты в отношении объектов категории низкого риска проводиться не будут.

26.09.2025 опубликован проект Федерального закона Российской Федерации «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"». Предлагается внести в текст закона статью 11.2 «Обмен информацией в форме электронных документов».

25.09.2025 опубликован проект постановления Правительства Российской Федерации «Об утверждении Правил формирования и ведения реестра центров обработки данных, расположенных на территории Российской Федерации». Планируется, что постановление вступит в силу с 01.03.2026 года и будет действовать в течение шести лет. Проект включает в себя в числе прочего следующие положения:

—  Реестр будет вестись Минцифры России в электронном виде на русском языке;

— Реестр будет состоять из двух разделов: для коммерческих центров обработки данных и для дата-центров, работающих на нужды конкретных организаций;

— каждый раздел будет содержать подразделы с указанием уровня надёжности центров обработки данных.

Важным условием включения в Реестр станет отказ от размещения в нём майнинговой инфраструктуры.

Минцифры России

12.09.2025 для общественного обсуждения был опубликован проект приказа Минцифры России «Об утверждении Требований к защите радиолиний управления космическими аппаратами связи и вещания средствами криптографической защиты информации, сертифицированными ФСБ России».

ФСБ России

20.08.2025 Федеральная служба безопасности Российской Федерации опубликовала приказ от 21.07.2025 №282 «О внесении изменения в приказ ФСБ России от 01.11.2022 №543 "Об определении переходного периода, предусмотренного подпунктом „б“ пункта 5 Указа Президента Российской Федерации от 01.05.2022 № 250"». Приказ увеличивает с 3 до 5 лет переходный период, в течение которого центрам ГосСОПКА допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, упомянутых в Указе Президента Российской Федерации от 01.05.2022 №250.

ФСТЭК России

В период с 07.07.2025 по 15.07.2025 ФСТЭК России были опубликованы проекты:

— ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных»;

— ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных»;

— ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения».

16.07.2025 ФСТЭК России опубликован методический документ от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств».

19.09.2025 опубликовано информационное сообщение ФСТЭК России от 08.09.2025 №240/24/4734 «Об утверждении Методики испытаний систем защиты информации информационных систем методами тестирования на проникновение». Применение данной Методики обязательно для государственных информационных систем (ИС) и других систем госорганов, госпредприятий и госучреждений 1 и 2 классов защищённости, если они подключены к сети общего пользования «Интернет» или взаимодействуют с внешними системами, в остальных случаях решение о применении методики принимает обладатель информации, заказчик, заключивший контракт на создание ИС, оператор ИС. Тестирование на проникновение по новой методике должно проводиться после выполнения двух обязательных этапов: проведения функционального тестирования всех реализованных функций безопасности и проведения анализа уязвимостей с помощью сканеров и устранения всех известных недостатков системы защиты.

Также 19.09.2025 был опубликован приказ ФСТЭК России от 30.06.2025 №230 «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённый приказом ФСТЭК России от 01.12.2023 №240». Большая часть поправок связана с обновлением ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Включены требования к содержанию руководства по безопасной разработке ПО, проверке артефактов реализации процессов безопасной разработки ПО.

Центральный Банк Российской Федерации

30.06.2025 Банк России опубликовал проект указания «О внесении изменений в Положение Банка России от 30 июня 2023 года № 819-П», уточняющий:

— пороговый уровень допустимого времени простоя и (или) деградации для технологического процесса, обеспечивающего предоставление информации, содержащейся в АИС страхования, пользователям АИС страхования в целях осуществления обязательного страхования;

— особенности определения допустимого суммарного времени простоя и (или) деградации технологического процесса, обеспечивающего предоставление информации;

— состав целевых показателей операционной надёжности.

09.07.2025 Банком России опубликован проект указания «О внесении изменений в Положение Банка России от 17.08.2023 №821-П», разработанный в целях гармонизации требований Положения Банка России от 17.08.2023 года №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», а также установления дополнительных требований по защите информации для субъектов национальной платёжной системы.

07.08.2025 Банк России опубликовал обзор отчётности об инцидентах информационной безопасности при переводе денежных средств за II квартал 2025 года.

09.09.2025 Банком России опубликован проект указания «О порядке направления в Банк России и получения от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке запроса и получения Банком России информации о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел получены сведения о совершенных противоправных действиях в соответствии с частью 8 статьи 27 Федерального закона от 27 июня 2011 года №161-ФЗ "О национальной платёжной системе", а также о порядке реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента».

Отраслевые документы

С 25.06.2025 по 30.06.2025 были приняты стандарты:

— ГОСТ Р 71895.1-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 1. Общие требования»;

— ГОСТ Р 71895.2-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 2. Методология проведения испытаний».

— ГОСТ Р 72161-2025 «Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования»;

— ГОСТ Р ИСО 24143-2025 «Информация и документация. Стратегическое управление информацией. Концепция и принципы»;

01.08.2025 введены в действие стандарты:

— ГОСТ Р 71895.1-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 1. Общие требования»;

— ГОСТ Р 71895.2-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 2. Методология проведения испытаний».

17.09.2025 утверждён и введён в действие ГОСТ Р 34.14–2025 «Информационная технология. Криптографическая защита информации. Термины и определения».

26.09.2025 приняты и введены в действие с 01.01.2026 стандарты:

— ГОСТ Р 58624.4-2025 «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 4. Профиль для испытаний на мобильных устройствах»;

— ГОСТ Р 72303-2025 «Информационные технологии. Биометрия. Биометрическое сравнение на идентификационной карте. Механизм распределения»;

— ПНСТ 1019-2025 «Информационные технологии. Биометрия. Методология оценки эксплуатационных характеристик биометрических систем с использованием статистических моделей». Срок действия стандарта — до 01.01.2029.

29.09.2025 был принят ПНСТ 1021-2025 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности». Стандарт действует с 01.03.2026 до 01.03.2029.