Добавить в корзинуПозвонить
Найти в Дзене
Юрстрасти
36 подписчиков

Обязательная кибербезопасность для юрлиц: что изменилось в требованиях ФСТЭК и ФСБ в 2025 году

1
5 мин
Статья актуальна на февраль 2026 года 2025 год стал переломным для большинства российских организаций в сфере выполнения требований по кибербезопасности. Регуляторы, прежде всего ФСТЭК России и ФСБ России, не только ужесточили контроль, но и ввели новые, более детализированные обязательства. Ключевой тренд — переход от формального соответствия к реальной эффективности защитных мер. Самое главное, что произошло, — это значительное расширение перечня объектов критической информационной инфраструктуры (КИИ). Под критерии КИИ после уточнений Регламента оценки значимости (Приказ ФСТЭК № 359) подпало гораздо больше компаний из самых разных отраслей: логистика, ритейл, телеком, а не только традиционные энергетика, финансы и здравоохранение. Что это значит для юрлица?
Если ваша организация признана субъектом КИИ (ей присвоена категория значимости — высшая, высокая или средняя), требования к ней многократно ужесточаются, включая: ФСТЭК продолжает развивать системуционный подход. Основные новаци
Оглавление

Статья актуальна на февраль 2026 года

2025 год стал переломным для большинства российских организаций в сфере выполнения требований по кибербезопасности. Регуляторы, прежде всего ФСТЭК России и ФСБ России, не только ужесточили контроль, но и ввели новые, более детализированные обязательства. Ключевой тренд — переход от формального соответствия к реальной эффективности защитных мер.

📌 Ключевое изменение: Расширение круга поднадзорных организаций

Самое главное, что произошло, — это значительное расширение перечня объектов критической информационной инфраструктуры (КИИ). Под критерии КИИ после уточнений Регламента оценки значимости (Приказ ФСТЭК № 359) подпало гораздо больше компаний из самых разных отраслей: логистика, ритейл, телеком, а не только традиционные энергетика, финансы и здравоохранение.

Что это значит для юрлица?
Если ваша организация признана субъектом КИИ (ей присвоена категория значимости — высшая, высокая или средняя), требования к ней многократно ужесточаются, включая:

  • Обязательное использование только сертифицированных средств защиты информации (СЗИ).
  • Обязательную аттестацию информационных систем (ИС) на соответствие требованиям по защите информации.
  • Жесткие сроки устранения нарушений и информирования регулятора об инцидентах.

1. Новые требования ФСТЭК России: Фокус на процессы и зрелость

ФСТЭК продолжает развивать системуционный подход. Основные новации касаются не столько новых документов, сколько ужесточения применения существующих.

а) Уточнения в Приказе № 239 (Защита информации в ИСПДн)

  • Обязательность модели угроз. Требование разрабатывать частную модель угроз для каждой системы персональных данных (ИСПДн) стало применяться более жестко. Регулятор ждет не формального документа, а реального анализа рисков, увязанного с применяемыми мерами защиты.
  • Отчетность по инцидентам. Установлены четкие, сокращенные сроки уведомления Роскомнадзора и ФСТЭК о нарушении безопасности персональных данных. Пропуск сроков ведет к крупным штрафам.

б) Эволюция требований к безопасности КИИ (Приказы ФСТЭК № 239 и 360)

  • Планы защиты информации (ПЗИ) стали живым документом. Регулятор требует не просто его наличия, а доказательств выполнения всех запланированных мероприятий и их актуализации. Проверки часто включают запросы на предоставление отчетов о выполнении ПЗИ.
  • Ответственный за безопасность КИИ. Требования к квалификации и обязанностям ответственного лица стали более детальными. Фактически, это должна быть отдельная штатная единица или даже подразделение для объектов высокой и высшей значимости.

2. Новые требования ФСБ России: Шифрование и противодействие угрозам

ФСБ России сфокусировалась на защите от целевых атак и использовании криптографии.

а) Ужесточение Приказа № 113 (Использование криптосредств)

  • Обязательность сертификации. Для защиты каналов связи, передачи персданных и коммерческой тайны практически повсеместно требуется использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ. Исключения стали крайне редкими.
  • Контроль целостности ПО. Введены требования к использованию средств контроля целостности программного обеспечения для предотвращения внедрения вредоносного кода. Это прямое следствие борьбы с инсайдерскими угрозами и целевым вредоносным ПО.

б) Приказ № 418 (Противодействие техническим разведкам)

  • Расширение на виртуальные среды. Требования по противодействию утечке информации за счет побочных электромагнитных излучений и наводок (ПЭМИН) теперь в явной форме распространяются на облачные и виртуальные инфраструктуры, что актуально при использовании российских облаков.
  • Обследования стали обязательнее. Для ввода в эксплуатацию новых ИС, обрабатывающих гостайну или критически важные данные, требуется проведение инструментального контроля на соответствие требованиям по ПЭМИН.

3. Универсальные тренды 2025-2026 годов, обязательные для всех юрлиц

а) Судебная практика и штрафы

  • Штрафы за нарушение 152-ФЗ (персональные данные) и 187-ФЗ (безопасность КИИ) выросли и стали применяться массово. Регуляторы научились эффективно выявлять нарушения, в том числе с помощью автоматизированных систем мониторинга.
  • В случае утечки данных ответственность несет не только компания, но и ее руководитель. Участились случаи дисквалификации директоров за системные нарушения в области кибербезопасности.

б) Требование к «цифровой гигиене»

  • Обязательность обновлений. Невыполнение требований по своевременному обновлению ПО (особенно операционных систем и СУБД) стало одним из самых частых оснований для предписаний и штрафов. Регулятор рассматривает это как грубое нарушение.
  • Сегментация сетей. Требование к разделению сетей (например, офисной и производственной) стало обязательным к исполнению для всех субъектов КИИ и активно проверяется.

🚨 Что делать организации в 2026 году? Практический план

  1. Определить свой статус. Является ли организация субъектом КИИ? Какая у нее категория значимости? Обрабатывает ли она персональные данные в значительном объеме? Это определяет набор требований.
  2. Провести аудит. Оценить текущее состояние защиты информации на соответствие актуальным требованиям ФСТЭК и ФСБ. Особое внимание уделить политикам и процессам, а не только техническим средствам.
  3. Разработать и выполнить План защиты информации (ПЗИ). Сделать его основным рабочим документом, зафиксировать сроки, ответственных и бюджет.
  4. Усилить работу с инцидентами. Настроить процедуры их обнаружения, фиксации и уведомления регуляторов в установленные сроки.
  5. Инвестировать в команду. Назначить ответственного за кибербезопасность с достаточными полномочиями и квалификацией. Обучить сотрудников.

Заключение

Требования 2025 года показали, что государство серьезно намерено сделать кибербезопасность не декларативной, а реальной практикой для бизнеса. Отсутствие действий в этом направлении сегодня — это прямой финансовый, операционный и репутационный риск для компании завтра. Соответствие не просто «для галочки» больше не работает; регуляторы требуют доказательств эффективности внедренных мер защиты.

Рекомендуется проконсультироваться с профильными специалистами по аттестации для получения точной информации применительно к вашей организации.