Май оказался не менее насыщенным, чем предыдущий месяц — уполномоченные органы продолжили активную нормотворческую деятельность. Рассматриваем ключевые изменения: что уже вступило в силу, что находится в разработке и на что стоит обратить внимание уже сейчас.
Облачные услуги через ГЕОП – теперь с обязательными требованиями по ИБ
Минцифры России официально опубликовало приказ от 02.12.2025 № 1106 «Об утверждении Требований к обеспечению информационной безопасности (да-лее – ИБ) в рамках предоставления облачных услуг посредством государственной единой облачной платформы», устанавливающий требования к обеспечению ИБ при предоставлении облачных услуг через государственную единую облачную платформу (ГЕОП, неофициально «ГосОблако»). Поставщики обязаны:
- выполнять требования по защите информации в государственных информационных системах (далее – ГИС) (приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, со-держащейся в ГИС, иных информационных системах (далее – ИС) государ-ственных органов, государственных унитарных предприятий, государствен-ных учреждений» (далее – приказ ФСТЭК России № 117);
- применять российские сертифицированные средства защиты;
- размещать всё оборудование на территории Российской Федерации (далее – РФ);
- назначить ответственное подразделение за защиту информации и реагирование на инциденты;
- пройти аттестацию инфраструктуры;
- реализовать мероприятия по противодействию от атак типа «отказ в обслуживании» только через аккредитованные центры Государственной си-стемы обнаружения, предупреждения и ликвидации последствий компью-терных атак на информационные ресурсы РФ (далее – ГосСОПКА).
ФСТЭК России разработала методику оценки уровня зрелости защиты информации
ФСТЭК России опубликовала проект методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в ИС и обеспечения безопасности значимых объектов критической информационной инфраструктуре (далее – КИИ)». Методика вводит пять уровней зрелости (от нулевого до верифицируемого) и охватывает 21 направление оценки: от управления уязвимостями и мониторинга ИБ до защиты при использовании искусственного интеллекта и безопасной разработки программного обеспечения (далее – ПО). Оценка проводится самостоятельно или с привлечением лицензированной организации. Рекомендуемый целевой уровень зависит от класса ГИС и категории значимых объектов КИИ. Методика напрямую связана с показателем Пзи, который вводится изменениями в приказы ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» и ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» как обязательный к оценке показатель для значимых объектов КИИ. А проект изменений в приказ ФСТЭК России № 117 возлагает расчет Пзи на подрядные организации (подробнее с изменениями можно ознакомиться в обзоре за апрель 2026 года «КИТ»).
Хостинг для ГИС – расширение круга адресатов требований
Минцифры России вынесло на общественное обсуждение проект приказа о защите информации при предоставлении вычислительной мощности операторам ГИС и иных ГИС. По существу, это переиздание приказа Минцифры России от 31.07.2024 № 677 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам ГИС, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений» с ключевым расширением: под действие требований теперь явно подпадают иные ИС государственных органов, которые ранее отдельно не выделялись. Провайдеры хостинга дополнительно обязаны применять средства криптографической защиты в соответствии с приказом ФСБ России от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств».
Рекомендации ФСТЭК России по защите от атак типа «отказ в обслуживании»
ФСТЭК России опубликовала Рекомендациипо повышению защищенности информационной инфраструктуры от атак типа «отказ в обслуживании». Документ адресован операторам ГИС, субъектам КИИ и операторам связи. Он содержит конкретный набор мер: инвентаризацию доступных из интернета сервисов, сегментацию сети, мониторинг трафика (NetFlow, sFlow, IPFIX), применение межсетевых экранов уровня приложений (WAF), механизма защитных меток (SYN cookies), блокировку трафика по странам через «ГеоIP» и из теневого интернета, резервирование каналов. Для операторов связи — дополнительно включают: инвентаризацию магистральных каналов, защиту от подмены адресов («анти-спуфинг») через проверку обратного пути (uRPF), ограничение скорости на узлах широкополосного доступа (BRAS/BNG), технологию удаленно инициируемой «черной дыры» (BGP Remote Triggered Black Hole) на границе с вышестоящими провайдерами (аплинками), перенаправление трафика на очистку (scrubbing). Документ также содержит пошаговый порядок действий при реализации атаки, включая уведомление Национальный координационный центр по компьютерным инцидентам и ФСТЭК России.
Упрощение лицензирования работ с шифровальными средствами для собственных нужд
Подготовлен проект постановления Правительства РФ, выводящий из-под обязательного лицензирования работы по монтажу, установке и наладке шифровальных (криптографических) средств, если они выполняются для собственных нужд организации или индивидуальных предпринимателей и предусмотрены эксплуатационной документацией без привлечения лицензиата ФСБ России. Важно: исключение не распространяется на оказание аналогичных услуг сторонним организациям — там лицензия по-прежнему обязательна. Одновременно ФСБ России наделяется полномочиями по определению порядка регистрации и учёта нормативно-технической документации на специальные технические средства для негласного получения информации.
Обезличенные персональные данные: упрощение передачи в ГИС
Минцифры России подготовило проект постановления Правительства РФ, снижающий административную нагрузку на операторов при передаче обезличенных персональных данных в ГИС Минцифры России. Действующий порядок обязывает создавать и поддерживать «витрину данных» через системы межведомственного электронного взаимодействия. Проект расширяет допустимые способы передачи: операторы, применяющие метод преобразования (агрегация / статистические показатели), смогут использовать собственные программно-аппаратные средства и иные способы из Постановления Правительства РФ от 26.06.2025 № 966 «Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия ГИС, определенной в соответствии с частью 2 статьи 13.1 152-ФЗ, и ИС операторов». Одновременно появляется возможность дополнять обезличенные данные статистическими и пространственными сведениями при условии соблюдения требований безопасности и уведомления федерального органа в области обеспечения безопасности.
Порядок аккредитации центров ГосСОПКА – официально опубликован
Официально опубликован приказ ФСБ России от 22.04.2026 № 161, утверждающий Порядок аккредитации центров ГосСОПКА и требования к ним. Документ завершает оформление правовой базы для деятельности центров в рамках ГосСОПКА. Подробнее с требованиями можно ознакомиться в обзоре за ноябрь 2025 года «КИТ».
КИИ в сфере атомной энергии – порядок оценки при категорировании
Официально опубликован приказ Государственной корпорации по атомной энергии «Росатом» от 20.03.2026 № 1/9-НПА «Об утверждении порядка проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127», устанавливающий порядок оценки актуальности и достоверности сведений при категорировании объектов КИИ в области атомной энергии, а также критерии определения организаций, привлекаемых к такой оценке. Подробнее — в нашем обзоре за декабрь 2025 года.
Стандартизация: ТК 362 продолжает работу
На сайте ФСТЭК России опубликована справка-доклад о ходе работ по техническому комитету по стандартизации «Защита информации» на 2026 год по состоянию на 29 апреля 2026 года. В активной стадии разработки и доработки находятся несколько проектов ГОСТ Р: по композиционному анализу ПО при безопасной разработке, по доверенной среде исполнения (общие положения и требования к аппаратно-программной платформе), по среде разработки безопасного ПО. Параллельно направлены разъяснения в Федеральное агентство по техническому регулированию и метрологии РФ о механизмах отказоустойчивости по ГОСТ Р ИСО/МЭК 15408-2 и поправка к ГОСТ Р 72118-2025.