Обзор изменений в законодательстве ИТ и ИБ за февраль 2025 года

1. Персональные данные

1.1. Изменения в 152-ФЗ

Суть изменений:

• Федеральный закон № 23-ФЗ от 28.02.2025 уточняет правила обработки персональных данных (ПДн) для сотрудников спецслужб (ФСБ, СВР, ФСО, МВД) и лиц, содействующих им. Теперь их данные обрабатываются с учетом профильных законов, таких как № 40-ФЗ «О ФСБ» и № 119-ФЗ «О государственной защите участников уголовного судопроизводства». Это исключает противоречия между общими нормами 152-ФЗ и узкоспециализированными актами.
• Запрет на хранение ПДн за рубежом: В статье 18 152-ФЗ четко прописано, что запись, хранение и обработка ПДн граждан РФ в зарубежных базах данных запрещены. Это касается даже уточнения или извлечения данных.
  Последствия:
  Компании, работающие с ПДн россиян, обязаны перенести все базы на серверы в РФ.
  Нарушителям грозит блокировка ресурсов и штрафы (до 100 тыс. руб. для юрлиц по новому законопроекту).

Срок вступления: 1 июля 2025 года.

1.2. Единая информационная платформа (ЕИП НСУД)

Нововведения:

• Цель: Создание централизованной системы для работы с обезличенными ПДн.
• Ключевые термины:
  Состав данных — группы обезличенных ПДн, которые нельзя связать с конкретным человеком даже при дальнейшей обработке (например, статистика по возрасту и полу без идентификаторов).
  Обезличенные ПДн — данные, обработанные методами, утвержденными Минцифры (хеширование, агрегация, маскирование).
• Функционал ЕИП НСУД:
  Формирование составов данных для госорганов и бизнеса.
  Интеграция подсистемы обработки обезличенных данных.
  Пример использования:
  Минздрав может запросить состав данных по заболеваемости COVID-19 для прогнозирования эпидемиологической ситуации.

Срок вступления: 1 сентября 2025 года.

1.3. Требования к пользователям ГИС

Кто может получить доступ:

• Государственные органы, муниципалитеты, российские юрлица и граждане, соответствующие критериям:
  Отсутствие иностранного гражданства у физлиц и руководства юрлиц.
  Отсутствие судимостей.
  Включение в реестр операторов ПДн.

Процедура проверки:

• Для физлиц:
  Подача СНИЛС, ИНН, паспортных данных.
  Подтверждение отсутствия связей с экстремизмом.
• Для юрлиц:
  Предоставление выписки из ЕГРЮЛ.
  Документы на руководство (паспорта, справки о судимости).

Сроки:

• Рассмотрение заявки — до 30 рабочих дней.
• Повторная проверка — каждые 12 месяцев.

Риски:

• Приостановка доступа к системе, если юрлицо не прошло проверку или не обновило данные.

1.4. Случаи формирования составов данных

Когда создаются составы:

• Чрезвычайные ситуации: Например, для координации действий при наводнениях или пожарах.
• Миграционная политика: Анализ данных для управления миграционными потоками.
• Эпидемиологический контроль: Прогнозирование вспышек заболеваний.

Пример данных в составе:

• Обезличенный идентификатор (например, хеш номера телефона).
• Год рождения, пол, гражданство.
• Геолокация (без точных адресов).

Ограничения:

• Запрещено включать данные, позволяющие идентифицировать человека (ФИО, точный адрес).

1.5. Взаимодействие с операторами ПДн

Обязанности операторов:

• По запросу Минцифры предоставлять выборки данных для обезличивания.
• Использовать методы, утвержденные ст. 13.1 152-ФЗ (например, замену идентификаторов на псевдонимы).
• Подписывать данные усиленной электронной подписью.

Способы передачи:

• Через ГИС Минцифры.
• На съемных носителях, если нет технической возможности подключиться к системе.

Контроль:

• Минцифры вправе запрашивать исправления при выявлении ошибок.
• Данные уничтожаются после формирования составов.

2. Иные изменения

2.1. Ужесточение штрафов за нарушения ИБ

Что меняется:

• Штрафы за использование несертифицированных средств защиты информации (СрЗИ):
  Для юрлиц: до 100 тыс. руб. (ранее — 25 тыс.).
  Для должностных лиц: до 50 тыс. руб. (ранее — 3 тыс.).
• Нарушение защиты информации, не относящейся к гостайне:
  Для граждан: до 10 тыс. руб. (ранее — 1 тыс.).

Примеры нарушений:

• Использование VPN-сервисов без сертификации ФСТЭК.
• Хранение ПДн в незащищенных облачных хранилищах.

Последствия для бизнеса:

• Рост затрат на сертификацию ПО и обучение сотрудников.

2.2. Обновление порядка обращения со служебной информацией

Основные изменения:

• Расширение сферы действия: Теперь правила распространяются на электронные документы с пометкой «Для служебного пользования».
• Новые субъекты:
  Муниципальные учреждения.
  Госкорпорации (например, Ростех, Росатом).
• Новые пометки:
  «Без пунктов ДСП» — для документов, части которых не содержат секретной информации.
  «Без приложений» — если дополнительные материалы не подлежат ограничению.

Практика:

• Организации должны пересмотреть систему маркировки документов и обучить сотрудников.

2.3. Расширение полномочий Роскомнадзора

Новые функции РКН:

• Управление сетью связи:
  Блокировка IP-адресов, используемых для DDoS-атак.
  Формирование «черных списков» небезопасных ресурсов.
• Реестр популярных страниц:
  Мониторинг контента в соцсетях с аудиторией от 10 тыс. пользователей.
• Утверждение методов обезличивания:
  РКН разработает единые стандарты для всех операторов ПДн.

Цель: Усиление контроля за распространением незаконного контента и защита персональных данных.

2.4. Продление эксперимента по защите ГИС

Цели эксперимента (2025–2027):

• Провести аудит 500+ государственных информационных систем.
• Выявить уязвимости в архитектуре и ПО (например, устаревшие алгоритмы шифрования).
• Разработать рекомендации по модернизации систем.

Участники:

• ФСТЭК, Минцифры, Роскомнадзор, ведущие ИБ-компании (например, «Код Безопасности»).

Ожидаемый результат: Снижение числа кибератак на госресурсы на 30–40%.

2.5. Создание ГИС противодействия киберпреступлениям

Структура системы:

• ГИС №1: Борьба с дезинформацией.
  Автоматический поиск фейковых новостей и вводящих в заблуждение материалов.
• ГИС №2: Противодействие преступлениям.
  База данных биометрических признаков злоумышленников (голос, фото).
  Хранение номеров телефонов жертв мошенничества.

Технологии:

• Искусственный интеллект для анализа текстов и голосовых записей.
• Интеграция с Единой биометрической системой.

3. Деятельность ФСТЭК России

3.1. Итоги работы ТК 362 за 2024 год

Утвержденные стандарты:

• ГОСТ Р 71206-2024: Требования к безопасным компиляторам C/C++.
  Запрет на использование уязвимых библиотек.
• ГОСТ Р 71207-2024: Стандарты статического анализа кода.
  Выявление ошибок до запуска программы.

Разработанные проекты:

• ГОСТ по управлению доступом (например, двухфакторная аутентификация для госсистем).

3.2. План работы ТК 362 на 2025 год

Приоритеты:

• Безопасность ПО:
  Стандарты для динамического анализа (тестирование в реальном времени).
  Рекомендации по защите от zero-day уязвимостей.
• Идентификация и аутентификация:
  Введение уровней доверия (например, «высокий» для банковских систем).
  Требования к биометрическим данным (качество сканирования отпечатков).

Сроки:

• Все проекты ГОСТ должны быть представлены до конца 2025 года.

Заключение

Февральские изменения направлены на:

1. Усиление контроля за ПДн: Жесткие требования к обезличиванию и хранению данных.
2. Борьбу с киберпреступностью: Новые ГИС и увеличение штрафов.
3. Модернизацию госсистем: Эксперименты и стандарты ФСТЭК.

Рекомендации для бизнеса:

• Провести аудит ИТ-инфраструктуры на соответствие новым нормам.
• Инвестировать в сертифицированные средства защиты.
• Начать подготовку к переходу на ГОСТ 2025 в области разработки ПО.