Разбираем главное: что уже вступило в силу, что планируется и что нужно сделать прямо сейчас.
Защита критической информационной инфраструктуры становится измеримой
Главный тренд месяца − переход от «галочек» к цифрам. Федеральная служба по техническому и экспортному контролю Российской Федерации (далее − ФСТЭК России) опубликовала два проекта: проект указа Президента Российской Федерации (далее − РФ)«О внесении изменений в Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» и проект постановления Правительства РФ «О порядке расчета количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций)». Теперь недостаточно просто выполнять требования − нужно доказать, что не менее 80% объектов защищены от актуальных угроз. Показатель рассчитывается раз в полгода и уходит наверх − вплоть до доклада Президенту РФ. Формальное соответствие требованиям больше не спасает: важен измеримый результат. Подробнее − в нашей отдельной статье.
Одновременно предложен проектоб изменениях в двух действующих приказах ФСТЭК России: № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее − КИИ) РФ и обеспечению их функционирования» и № 239 от 25.12.2017 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ». Проект предлагает ввести два обязательных показателя эффективности для субъектов КИИ: показатель защищенности Кзи − рассчитывается раз в 6 месяцев и отражает текущее состояние безопасности объекта; показатель уровня зрелости Пзи − рассчитывается раз в 2 года и оценивает достаточность принятых мер. Не достиг нормы − руководитель должен узнать об этом в течение 3 дней, результаты уходят в ФСТЭК России в течение 5 рабочих дней. Методический документ от 11.11.2025 «Методика оценки показателя состояния технической защиты информации в информационных системах (далее – ИС) и обеспечения безопасности значимых объектов КИИ РФ» утвержден ФСТЭК России ранее – подробный разбор методики доступен в обзоре за ноябрь 2025 года «КИТ».
Тот же проект существенно ужесточает требования к значимым объектам КИИ. Удаленный доступ для внешних лиц − под фактическим запретом. Если технически избежать его невозможно, требуется полный набор компенсирующих мер: определенный круг допущенных лиц и устройств с минимальными полномочиями, контроль доступа, защита передаваемых данных по каналам связи, мониторинг и регистрация всех действий, а также невозможность отказа от выполненных действий. Под запрет также подпадает бесконтрольный локальный доступ внешних лиц и передача технологической информации разработчику без контроля со стороны субъекта КИИ.
Новая методичка вместо документа 2014 года
ФСТЭК России утвердила новый методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах», согласно Информационному сообщению ФСТЭК России от 14.04.2026 № 240/22/2457«Об утверждении Состава и содержания мероприятий и мер по защите информации, содержащейся в информационных системах». С момента вступления в силу нового методического документа утрачивает применение ранее действовавший документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11.02.2014 года.
Подход изменился принципиально: если старый документ описывал конкретный набор мер защиты, то новый структурирует защиту информации через 19 обязательных процессов − от управления уязвимостями и мониторинга информационной безопасности до защиты при использовании искусственного интеллекта и безопасной разработки программного обеспечения (далее − ПО). Документ является продолжением приказа № 117: он конкретизирует, как именно реализовывать меры, установленные приказом. Для субъектов приказа ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных ИС (далее – ГИС), иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений» (далее – приказ ФСТЭК России № 117) руководство документом обязательно; для остальных − служит практическим ориентиром.
Отдельный акцент − на архитектурную безопасность: сегментацию сетей, минимизацию поверхности атаки, принцип минимальных привилегий. Документ прямо требует анализировать риски использования зарубежных программных и программно-аппаратных средств и отдавать приоритет отечественным решениям.
Требования к государственным информационным системам расширяются: теперь и облака под контролем
Опубликован проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117». Ключевое новшество − расширение сферы действия требований: под регулирование теперь явно подпадают отдельные технические средства, программы и базы данных, доступ к которым предоставляется через сети. Проще говоря, если государственный орган пользуется сторонним ПО или облачным сервисом через сетевое соединение − на него тоже распространяются требования по защите информации, а инфраструктура должна быть аттестована по классу не ниже класса самой ГИС.
Проект разграничивает ответственность за расчет показателей: Кзи остается за оператором и направляется в ФСТЭК России, а Пзи переходит к подрядным организациям − они рассчитывают его до получения доступа к системам заказчика (оператора) и далее раз в 2 года. Результаты Пзи остаются между оператором и подрядчиком − передавать их в ФСТЭК России не требуется. При этом проект пока не устанавливает никаких последствий для подрядчика при низком значении показателя: ограничений на предоставление доступа не предусмотрено.
Также расширяется спектр допустимых механизмов подтверждения личности пользователей: понятие строгой аутентификации дополняется понятием усиленной многофакторной аутентификации.
За нарушения в КИИ − уголовная или административная ответственность, но теперь четко
Два федеральных закона − Федеральный закон от 09.04.2026 № 76-ФЗ «О внесении изменений в статью 274.1 Уголовного кодекса РФ» (далее – 76-ФЗ), который вносит изменения в статью 274.1 Уголовного кодекса РФ от 13.06.1996 № 63-ФЗ, и Федеральный закон от 09.04.2026 № 77-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях» − наконец разграничили ответственность, которая прежде была размытой. Статья 274.1 Уголовного кодекса РФ от 13.06.1996 № 63-ФЗ теперь четко описывает, что именно считается преступлением: уничтожение, блокирование, модификация или копирование компьютерной информации, обрабатываемой в КИИ. Ранее в статье говорилось о «вреде КИИ» без конкретики, что на практике приводило к неоднозначным приговорам. Все, что формально не образует уголовного состава, теперь влечет административный штраф по новой статье 13.12.2 Кодекса РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ: до 10 тысяч рублей для граждан, до 50 тысяч для должностных лиц, до 500 тысяч для организаций. Дела рассматривает ФСТЭК России. Подробнее − в обзоре за ноябрь 2025 года.
Лицензиатам ФСТЭК России − готовиться заранее
Опубликованы два проекта: проектизменений в Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и проект изменений в Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» − оба вступают в силу 1 марта 2027 года, но готовиться нужно уже сейчас. Вводится прямой запрет на иностранных лицензиатов и руководителей, имеющих гражданство иностранного государства. Требования к персоналу ужесточаются: конкретные цифры по численности, образованию и стажу в зависимости от вида выполняемых работ, повышение квалификации − не реже одного раза в 5 лет. Разработчики и производители средств защиты информации (далее − СрЗИ) дополнительно обязаны выстроить систему безопасной разработки ПО по ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» и подтвердить это документально. Оценка соответствия лицензионным требованиям дополняется выездными проверками − только документарной формой больше не обойтись.
Категорирование КИИ: теперь с отраслевой спецификой
Приняты отраслевые особенности категорирования для двух сфер. Операторы связи (Постановление Правительства РФ от 13.04.2026 № 402 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в сфере связи») должны считать категорию по количеству абонентов с расчетом по каждому виду услуг отдельно; состав комиссии по категорированию зависит от ведомственной принадлежности субъекта − Министерство цифрового развития, связи и массовых коммуникаций РФ или Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Предприятия ракетно-космической промышленности (Постановление Правительства РФ от 31.03.2026 № 356 «Об утверждении отраслевых особенностей категорирования объектов КИИ, функционирующих в сфере ракетно-космической промышленности») обязаны учитывать зоны поражения и экологический ущерб, а результаты категорирования направлять не только в ФСТЭК России, но и в Государственную корпорацию по космической деятельности.
Операторы государственных информационных систем − подключайтесь к ГосСОПКА
Опубликован проект приказа Федеральной службы безопасности Российской Федерации (далее − ФСБ России)«Об утверждении Порядка взаимодействия операторов государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных информационных системах информации», закрепляющий порядок взаимодействия с Национальным координационным центром по компьютерным инцидентам (далее − НКЦКИ) в рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Правила четкие: обнаружил инцидент − сообщи за 24 часа; получил запрос − ответь за 24 часа; нет связи с личным кабинетом − используй резервные каналы. Для подключения необходимо заключить регламент взаимодействия с НКЦКИ.
Сертификация СрЗИ: открытый код теперь под учетом
Приказ ФСТЭК России от 20.01.2026 № 9 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55» обязал разработчиков и производителей СрЗИ раскрывать при сертификации перечни заимствованных программных компонентов с открытым исходным кодом и образов контейнеров. Испытательные лаборатории обязаны проверять эти перечни на полноту. При изменении состава компонентов скорректированный перечень необходимо направить в ФСТЭК России в течение 5 календарных дней − иначе сертификат может быть аннулирован.
Налоговый мониторинг: новые требования к информационным системам
Началась разработка проекта приказа Федеральной налоговой службы РФ (далее – ФНС РФ), который издан во исполнение пункта 6 статьи 105.26 Налогового кодекса РФ от 31.07.1998 № 146-ФЗ и разработан в связи с принятием Федерального закона от 28.11.2025 № 425-ФЗ «О внесении изменений в части первую и вторую Налогового кодекса РФ, отдельные законодательные акты РФ и признании утратившими силу законодательных актов (отдельных положений законодательных актов) РФ», который установит требования к ИС организаций, участвующих в налоговом мониторинге. Требования охватывают функциональность систем, интерфейс, внутренний контроль, ведение нормативной справочной информации, журналирование действий пользователей и специализированный интерфейс для работы налогового органа. Дополнительно вводится ежегодная оценка уровня цифровизации организации по состоянию на 1 июля − по четырем направлениям с интегральным показателем от 0 до 100 баллов. Требование об оценке вступает в силу за отчетные периоды после 01.01.2028.
Организационные новости
ФСТЭК России сообщает в Информационном сообщении ФСТЭК России от 08.04.2026 № 240/13/2236 «О получении выписок из реестров лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации и деятельность по разработке и производству средств защиты конфиденциальной информации» о завершении технических работ на портале Единого портала государственных и муниципальных услуг (функций) (далее – Госуслуги) в части взаимодействия с ИС лицензирования. Выписки из реестров лицензий ФСТЭК России теперь можно получить через портал Госуслуг − технические работы завершены.
Официально опубликован приказ Министерства промышленности и торговли РФ от 14.11.2025 № 5620 «Об определении организации, привлекаемой Министерством промышленности и торговли Российской Федерации к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127». Министерство промышленности и торговли РФ закрепил за ФГУП «НПП «Гамма»» функцию оценки достоверности сведений от субъектов КИИ в своей сфере ведения − подробнее в обзоре за октябрь 2025 года.