Март 2026 года характеризуется масштабным обновлением нормативной базы в сфере информационной безопасности и защиты КИИ. Принятые изменения затрагивают вопросы обращения со служебной информацией, отраслевого категорирования объектов КИИ, регулирования искусственного интеллекта, защиты сетевого периметра, а также перехода на новые стандарты защиты информации.
1) СЛУЖЕБНЫЕ ДОКУМЕНТЫ ТРЕБУЮТ АБСОЛЮТНОГО КОНТРОЛЯ
Что произойдет, если документ утечет?
Раньше компании могли спать спокойно, если документ был электронным. Теперь нет. Постановление №226 требует, чтобы каждая копия или отправка коллеге требовали письменного разрешения руководителя. Никаких исключений. Никаких «я только быстро скопирую».
Внесенные изменения устанавливают более строгий порядок работы с документами «для служебного пользования», включая их электронные формы. Электронные документы приравниваются к бумажным и подлежат аналогичным требованиям защиты. Вводится обязательное получение разрешений на копирование, передачу и печать, а также регламентируется порядок уничтожения документов. Это направлено на повышение уровня защищенности информации, однако усложняет процессы документооборота.
2) РАЗВИТИЕ ОТРАСЛЕВОГО КАТЕГОРИРОВАНИЯ ОБЪЕКТОВ КИИ
Можно ли одинаково оценивать риски для научной системы и, например, системы регистрации недвижимости?
Очевидно, что нет. Утверждены отраслевые особенности категорирования объектов КИИ, в частности в сфере науки и государственной регистрации недвижимости. Новые подходы предусматривают использование уточненных показателей значимости и оценку последствий по наихудшему сценарию. Несмотря на повышение точности оценки рисков, данные изменения требуют от субъектов КИИ проведения дополнительного анализа и пересмотра установленных категорий.
3) ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ − НОВОЕ ПОЛЕ БОЯ
Если вы разрабатываете ИИ или используете его − читайте внимательно.
Предложен законопроект, устанавливающий основы регулирования ИИ, включая принципы его применения, классификацию моделей и требования к их использованию. Вводятся понятия суверенных, национальных и доверенных моделей, а также требования к сертификации и маркировке синтезированного контента. Это формирует единый подход к развитию технологий ИИ, одновременно усиливая контроль за их применением.
4) ПОВЫШЕНИЕ ТРЕБОВАНИЙ К ЗАЩИТЕ СЕТЕВОГО ПЕРИМЕТРА
С чего чаще всего начинается инцидент информационной безопасности?
Как правило, с уязвимости на границе сети. Методические рекомендации ФСТЭК России направлены на усиление защиты сетевого периметра организаций. Предусматриваются меры по администрированию граничного оборудования, защите от атак, сегментации сети, резервному копированию и мониторингу событий безопасности. Актуальность данных мер обусловлена существующими уязвимостями сетевой инфраструктуры в ряде организаций.
5) МИКРОСХЕМЫ БЕЗ ЗАКЛАДОК − ФАНТАСТИКА ИЛИ РЕАЛЬНОСТЬ?
Можно ли полностью доверять аппаратной базе, если она зависит от внешних поставщиков?
ГОСТ Р 72507-2026 регламентирует производство доверенных микросхем для использования в объектах КИИ. Он предусматривает контроль поставщиков, сертификацию оборудования, обеспечение физической безопасности, проверку персонала и прослеживаемость продукции. Данные меры направлены на снижение зависимости от иностранных компонентов и повышение уровня доверия к аппаратной базе.
6) ИИ УПРАВЛЯЕТ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРОЙ И НЕ ОШИБАЕТСЯ
Можно ли передать управление критическими процессами системе, которую сложно полностью контролировать?
ГОСТ Р 1046-2026 устанавливает требования к системам искусственного интеллекта, используемым в объектах КИИ. Определяются уровни критичности таких систем, требования к их надежности, безопасности, контролируемости и мониторингу. Для систем высокой критичности предусмотрены дополнительные ограничения и меры контроля.
7) НОВЫЕ СТАНДАРТЫ ЗАЩИТЫ – ПЛАВНЫЙ ПЕРЕХОД
С 1 марта вступили в силу новые Требования ФСТЭК России №117.
ФСТЭК России опубликовала информационное сообщение, разъясняющее требования к защите информации в ГИС, а также в иных ИС государственных органов, государственных учреждений и государственных унитарных предприятий. Организациям необходимо обеспечить соответствие этим требованиям, включая модернизацию систем, пересмотр документации и проведение процедур оценки соответствия. Переход сопровождается необходимостью планирования сроков и ресурсов.
Таким образом, изменения марта 2026 года направлены на повышение уровня защищенности информации и развитие нормативной базы в сфере информационной безопасности, а также на формирование единых подходов к категорированию объектов КИИ и применению новых технологий. Значительная часть документов носит методический или стандартизирующий характер (включая ГОСТы и рекомендации), что предполагает их применение в зависимости от контекста и требований конкретных нормативных актов.
В то же время отдельные изменения, такие как обновление правил обращения со служебной информацией и вступление в силу новых требований к защите информации в государственных системах, требуют от организаций пересмотра внутренних процессов и планирование мероприятий по приведению в соответствие. В целом речь идет не о резком ужесточении регулирования, а о последовательном развитии требований и уточнении механизмов их применения.