В обзоре изменений за июль 2025 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Подготовлены проекты постановлений Правительства об отраслевых особенностях категорирования объектов КИИ в сфере здравоохранения и ракетно-космической промышленности.
2. Персональные данные
Вступил в силу совместный приказ ФСБ России, СВР России, МО России, ФСО России и МВД России, устанавливающий порядок доступа к ИС и (или) БД, содержащим ПДн специальных служб и лиц, находящихся под государственной охраной. Введена форма предписания на доступ к таким базам и ИС.
3. Иное
Официально опубликованы приказы ФСТЭК России, определяющие сроки и последовательность административных процедур при проведении лицензионного контроля за деятельностью:
по технической защите конфиденциальной информации;
по разработке и производству средств защиты конфиденциальной информации.
Утверждены требования к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации видео- и веб-конференций.
Рассмотрим внесенный в Госдуму проект изменений в 149-ФЗ, а также проект указания Банка России о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств.
Ознакомимся с опубликованными национальными стандартами Российской Федерации, устанавливающими требования к интеллектуальным системам предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных ИС.
4. Деятельность ФСТЭК России
Рассмотрим справку-доклад о деятельности ТК 362 по состоянию на 30.07.2025 и принятый национальный стандарт ISO/IEC 27031:2025 «Информационная технология. Компьютерная безопасность. Готовность информационно-коммуникационных технологий к обеспечению непрерывности бизнеса».
Критическая информационная инфраструктура
Отраслевые особенности категорирования объектов КИИ
Во исполнение изменений, внесенных в Федеральный закон от 26.07.2017 № 187- ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), Госкорпорация «Роскосмос» и Министерство здравоохранения Российской Федерации (далее – РФ) представили для общественного обсуждения проекты отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ) в сферах:
ракетно-космической промышленности;
здравоохранения.
В целях категорирования объектов КИИ, функционирующих в области ракетно- космической промышленности, определены следующие показатели критериев значимости:
причинение ущерба жизни и здоровью людей;
возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода по всем видам деятельности;
возникновение ущерба бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом КИИ;
вредные воздействия на окружающую среду;
снижение показателей государственного оборонного заказа.
К объектам КИИ, функционирующих в сфере здравоохранения, применимы следующие показатели критериев значимости:
причинение ущерба жизни и здоровью людей;
отсутствие доступа к государственной услуге;
прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции;
возникновение ущерба субъекту КИИ, который является государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса, стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода по всем видам деятельности;
вредные воздействия на окружающую среду.
Общественные обсуждения проектов отраслевых особенностей категорирования объектов КИИ в области ракетно-космической промышленности завершились 16.07.25, а в сфере здравоохранения – 18.07.25.
Персональные данные
Порядок доступа к ПДн сотрудников силовых ведомств
11.07.2025 вступил в силу приказ Федеральной службы безопасности Российской Федерации (далее – ФСБ России), Службы внешней разведки Российской Федерации (далее – СВР России), Министерства обороны Российской Федерации, Федеральной службы охраны Российской Федерации, Министерства внутренних дел Российской Федерации от 25.06.2025 № 245/56/399/85/441 «Об установлении Порядка предоставления доступа к информационным системам (далее – ИС) и (или) базам данных (далее – БД), содержащим сведения о лицах, указанных в ч. 1-1 и 1-2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), обработки содержащихся в них персональных данных (далее – ПДн) указанных лиц и формы предписания о предоставлении доступа к ИС и (или) БД, содержащим сведения о лицах, указанных в ч. 1-1 и 1-2 ст. 6 152-ФЗ» (далее – приказ о порядке доступа к ПДн).
Приказ о порядке доступа к ПДн определяет, что предоставление должностным лицам органов ФСБ России, СВР России, государственной охраны и полиции (далее – уполномоченные органы) доступа к информационной системе (далее – ИС), и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – защищаемые лица), предоставляется владельцем ИС на основании предписания, которое подписывается следующими должностными лицами:
в ФСБ России – руководителями (начальниками) подразделений ФСБ России;
во внешней разведке РФ – руководителями (начальниками) структурных (самостоятельных) подразделений;
в ФСО России – начальником и заместителями Оперативного управления ФСО России;
в полиции – уполномоченными должностными лицами.
Предписание подготавливается на бумажном носителе в 2 экземплярах или в форме электронного документа. Один экземпляр направляется уполномоченным органом владельцу ИС. После владельцем ИС организуется предоставление доступа, определяется сотрудник, ответственный за предоставление доступа, о чем информируются уполномоченные органы не позднее 24 часов с момента получения предписания (о незамедлительном предоставлении – не позднее 3 часов).
Согласно приказу о порядке доступа к ПДн, владельцы ИС должны информировать уполномоченные органы о разглашении:
факта направления предписаний;
ПДн уполномоченных должностных лиц.
Информирование проводится в течение 24 часов с момента выявления факта разглашения.
Иное
Государственный контроль за деятельностью лицензиатов по ТЗКИ и СЗКИ
Опубликованы приказ Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 12.05.2025 № 163 «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации (далее – ТЗКИ)» и приказ ФСТЭК России от 12.05.2025 № 164 «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ) (в пределах компетенции ФСТЭК России)».
Документы фиксируют процедурные основы лицензионного контроля ФСТЭК России по ТЗКИ и СЗКИ, устанавливают регламент взаимодействия между ФСТЭК России и лицензиатами. В рамках контроля ФСТЭК России проводит плановые и внеплановые проверки, оформляет результаты актами, выдает предписания об устранении нарушений, также может повторно проверить устранение выявленных недостатков. Оба положения пришли на смену ранее действующим приказу ФСТЭК России от 01.06.2023 № 107 «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации» и приказу ФСТЭК России от 01.06.2023 № 108 «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)» и применяются до 31.12.2025 включительно.
Требования к организации видеосвязи в ФОИВ
01.07.2025 вступило в силу постановление Правительства РФ от 30.06.2025 № 984 «Об утверждении требований к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации применения систем видео-конференц-связи и веб-конференции».
Серверное оборудование должно быть размещено только на территории РФ. Программные средства, которые используют федеральные органы власти и их сотрудники для проведения видеосвязи, должны обеспечивать:
возможность работы в браузере с поддержкой сертификатов безопасности, выданных национальным удостоверяющим центром;
поддерживать технологию WebRTC для организации связи в режиме реального времени;
наличие средств антивирусной защиты.
Технические и программные средства должны иметь доступ к сети Интернет, соответствовать требованиям о защите информации в ГИС и иных ИС государственных органов, установленными приказом ФСБ России от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств» и приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». При их использовании должны применяться средства защиты информации, которые обеспечивают защиту ПДн и иной информации от угроз, определенных в модели угроз.
Технические и программные средства, используемые при организации веб- конференции, должны обеспечивать идентификацию лиц без личного присутствия с использованием единой системы идентификации и аутентификации, единой биометрической системы и (или) аутентификацию физический лиц с использованием биометрических ПДн.
Изменения в 149-ФЗ
07.07.2025 был внесен в Государственную думу законопроект «О внесении изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ).
В данном законопроекте предлагают ввести новые термины: государственная информационная система, государственная цифровая платформа, государственный информационный ресурс, ведомственный сервис.
Предлагается уточнить классификацию ИС – подробно раскрыть правовые основания создания ИС. Для федеральных и региональных государственных ИС (далее – ГИС) прописаны уровни нормативных актов, на которых они основываются, муниципальные ИС (далее – МИС) создаются не по решению органа местного самоуправления, а на основании муниципальных нормативных правовых актов, также ввести дополнительный тип – ведомственные ИС.
В законопроекте предлагается дополнить перечень организаций, на которых распространяется требование размещать технические средства (далее – ТС) на территории РФ:
органы управления государственными внебюджетными фондами;
публично-правовые компании;
государственные компании и государственные корпорации.
Также предусматривается установление требования размещать на территории РФ ТС, обеспечивающие функционирование ГИС и МИС.
Предлагается установить, что операторы государственных, муниципальных, ведомственных и иных ИС государственных учреждений, государственных внебюджетных фондов РФ, государственных компаний, публично-правовых компаний (далее – иные ИС), если их системы обрабатывают данные из государственных, муниципальных или ведомственных ИС, обязаны непрерывно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) и сообщать о компьютерных инцидентах, приведшие к непрерывной передачи информации.
Согласно проекту изменений 149-ФЗ, требования по защите информации ранее применявшиеся к ИС, которые обмениваются данными с ГИС, теперь нормативно закрепляются в законе. Предлагается установить, что такие ведомственные и иные ИС должны соответствовать тем же требованиям по защите информации, что и сами ГИС, а также не допускается использовать такие ИС для обработки данных содержащейся в ГИС информации, если у оператора отсутствует аттестат соответствия требованиям безопасности информации.
Правительство РФ утверждает требования к нормативным актам, являющихся основанием для создания, модернизации и эксплуатации ГИС, а также требования к порядку создания, модернизации, эксплуатации ведомственных сервисов и входящих в состав государственных цифровых платформ ГИС.
Если данный законопроект примут и он вступит в силу, то ГИС или МИС, которые были созданы или находились в процессе создания на основании нормативных правовых актов, не предусмотренных новой редакцией, и при этом использовались для организационного, информационного, документационного, коммуникационного, финансово-экономического, хозяйственного и иного обеспечения органов власти, должны быть переведены в статус ведомственных ИС тогда до 31.12.2026 они должны быть переведены в статус ведомственной ИС решением государственных органов и органов местного самоуправления. Если такого решения не будет принято, то с 01.01.2027 такая ИС будет считаться ведомственной.
Согласно проекту изменений 149-ФЗ ИС, которые не имеют статуса ГИС или МИС, но при этом используются для исполнения государственных, муниципальных или иных публичных полномочий государственных органов, органов местного самоуправления, до 31.12.2026 должны быть переведены в статус ГИС или МИС в порядке, установленном Правительством РФ, которым устанавливаются критерии для определения соответствующих ИС. Если перевод не будет осуществлен в срок, такие ИС будут признаны ведомственными и не смогут использоваться для выполнения государственных или муниципальных полномочий.
Изменения в требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
Для обсуждения был представлен проект указания Центрального банка Российской Федерации (далее – Банк России) «О внесении изменений в Положение Банка России от 17.08.2023 № 821-П».
Исходные указания дополнены применением защиты при переводах с использованием биометрических ПДн клиентов.
Операторы по переводу денежных средств, банковские платежные агенты, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, совмещающие деятельность с деятельностью кредитной организации, иностранного банка, осуществляющего деятельность на территории РФ через свой филиал, некредитной финансовой организации (далее – Операторы)и формирующие в отношении объектов информационной инфраструктуры один контур безопасности обязаны применять усиленный уровень защиты информации, соответствующий ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Операторы должны проводить сертификацию или оценку соответствия прикладного программного обеспечение (далее – ПО), а также отдельного ПО при внесении изменений в исходный текст ПО, реализующий технологию обработки информации. Операторы, сами разработавшие ПО и прошедшие сертификацию процессов безопасной разработки ПО ФСТЭК России в части реализации безопасного жизненного цикла разработки ПО, вправе не проводить сертификацию или оценку соответствия.
В изменениях под защиту попадает не только общая информация о клиентах, но и биометрические ПДн, а также результаты их обработки.
Для регистрации действий, связанных с доступом к защищаемой информации, операторы и банковские платежные агенты при эксплуатации объектов информационной инфраструктуры должны использовать точное московское время с использованием глобальной навигационной спутниковой системы с синхронизацией не реже 1 раза в 24 часа, резервировать объекты информационной инфраструктуры, реализовывать меры защиты информации, регистрировать случаи отклонения времени на объектах информационной инфраструктуры, поддержание расхождения времени не более 3-5 секунд.
Регистрация осуществляется в отношении действий клиентов, выполняемых на технологических участках идентификации, аутентификации и авторизации, в то время как ранее подлежали любые действия с защищаемой информацией. Дополнены параметры, подлежащие регистрации: дана и время начала окончании сессии на транспортном уровне, идентификационная информация устройств (IP-адрес, номер порта), географическое местоположение устройства.
Обеспечение защиты информации, предназначенной для получения информации об идентификаторе электронного средства платежа в целях осуществления переводов денежных средств с использованием биометрических ПДн клиентов операторов осуществляется на прикладном и транспортном уровне с использованием СКЗИ не ниже класса КС1.
Операторы, являющиеся системно значимыми кредитными организациями и кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны проводить сертификацию ПО автоматизированных систем и приложений не ниже 4 уровня доверия не позднее 18 месяцев после того, как стали такими операторами.
Указания устанавливают сроки информирования Банка России о выявленных инцидентах:
№ п/п
Вид сведений
Срок предоставления
1.
О выявлении инцидента защиты информации
В течение 3 часов с момента выявления инцидента или раскрытия
2.
О выявлении незаконного раскрытия банковской тайны и (или) защищаемой информации
3.
О результатах расследования инцидента защиты информации или незаконного раскрытия банковской тайны и (или) защищаемой информации
В течение 30 дней с момента направления в Банк России формы представления данных о выявленном инциденте или раскрытия
4.
Сведения о компьютерных инцидентах
В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта КИИ.
В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях
Интеллектуальные системы предотвращения копирования данных
В июле были опубликованы национальные стандарты, которые вводятся в действие 01.08.2025:
ГОСТ Р 71895.1-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 1. Общие требования» – требования к составу, компонентам и функционированию интеллектуальной системы защиты;
ГОСТ Р 71895.2-2025 «Системы киберфизические. Интеллектуальная система предотвращения несанкционированного копирования информации с рабочих мест операторов автоматизированных информационных систем. Часть 2. Методология проведения испытаний» – устанавливает классификацию видов испытаний, требования к подготовке испытаний, процедуры проведения испытаний и оформление результатов.
ФСТЭК России
Деятельность ТК 362
ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 30.07.2025.
Подготовлены и направлены отчеты об активности организаций-членов ТК 362 во II квартале 2025 года. Назначены председатели подкомитетов ТК 362.
Были проведены следующие работы:
доработаны следующие проекты:
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования» и представлен для принятия решения об организации публичного обсуждения;
ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации».
направлены результаты рассмотрения проекта:
ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения»;
«Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных» и «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных».
направлено письмо о согласовании проекта предварительного национального стандарта «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности»;
организовано рассмотрение проектов:
ГОСТ Р «Информационная безопасность, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Часть 1. Общие положения»;
ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 5. Расширенная классификация разновидностей атак»;
ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 6. Оценка потенциала атаки»;
ГОСТ Р «Информационные технологии. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 7. Морфинг»
Также были опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во II квартале 2025 года. Основные направления деятельность во II квартале 2025 года:
разработка и согласование проектов национальных стандартов;
взаимодействие со смежными техническими комитетами (далее – ТК);
планирование и организация деятельности комитета.
Подготовлены к согласованию следующие ГОСТы:
ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»;
ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня внедрения процессов разработки безопасного программного обеспечения». по организации защиты информации, защите от неправомерной передачи, доверенной среде исполнения и безопасной разработке ПО.
Рассмотрены проекты от ТК 26 по криптографической защите, ТК 167 по классификации программно-аппаратных комплексов, ТК 164 по синтезу данных и искусственный интеллект в КИИ, ТК 22 по кибербезопасности и анонимизации, ТК 058 по защите информации в системах управления, обеспечивающие функциональную безопасность.
ФСТЭК России опубликовал проекты документов, поступивших на рассмотрение в ТК 362.
Технический комитет 22 «Информационные технологии»:
ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных».
ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных».
Технический комитет 164 «Искусственный интеллект»:
проект ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения».
Принятые национальные и международные стандарты за II квартал 2025 года
ФСТЭК России 03.07.2025 опубликовала сведения о принятых национальных и международных стандартах, разработанных в результате деятельности ТК 362, с апреля по июнь 2025 года. В этот перечень вошел стандарт, принятый Международной организацией по стандартизации и Международной электротехнической комиссией – ISO/IEC 27031:2025 «Информационная технология. Компьютерная безопасность. Готовность информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», предназначенный для готовности информационно- коммуникационных технологий (далее – ИКТ) к поддержке непрерывной работы бизнеса, содержит рекомендации по планированию, внедрению и поддержке процессов, необходимых для восстановления ИКТ и минимизации простоев.
Автор: Диана Дильмухаметова, младший аналитик УЦСБ
Источник: habr.com