Главные изменения

• Внесены изменения в Уголовном кодексе Российской Федерации и Кодексе об административных правонарушениях Российской Федерации - подписаны принятые Госдумой в марте законы о смягчении ответственности за ненадлежащую эксплуатацию объектов КИИ. Это должно повысить эффективность государственной кибербезопасности, поскольку установленные законом суровые санкции затрудняли найм ИБ-специалистов.

• ФСТЭК России утвердила методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Документ определяет общие подходы и детальное содержание мер по защите информации в ГИС, ИС, АСУ ТП, сетях госорганов и на значимых объектах КИИ.

• Опубликованы отраслевые особенности категорирования объектов КИИ для организаций в сфере связи и ракетно-космической промышленности.

• Для учреждений и организаций, подведомственных Министерству промышленности и торговли Российской Федерации, определена организация, привлекаемая к оценке актуальности и достоверности сведений об объектах КИИ.

• Внесены изменения в порядок сертификации средств защиты информации.

• Представлены проекты документов для общественного обсуждения для лицензиатов ФСТЭК России по технической защите конфиденциальной информации и разработке средств защиты конфиденциальной информации. Ужесточаются требования к количеству и качеству квалификации персонала.

Детальный разбор изменений по направлениям

Критическая информационная инфраструктура (КИИ)

Основание:

Постановление Правительства Российской Федерации от 31.03.2026 № 356 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в сфере ракетно-космической промышленности».

Постановление Правительства Российской Федерации от 13.04.2026 № 402 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи».

Суть изменений:

Утверждаются отраслевые особенности для организаций и предприятий, функционирующих в сферах связи и ракетно-космической промышленности.

Уточнены отраслевые признаки значимости объектов КИИ, и отражены требуемые порядки расчета значений показателей критериев значимости с учетом особенностей функционирования объектов КИИ.

Кого затрагивает:

Все организации-субъекты КИИ в сферах связи, ракетно-космической промышленности

Сроки вступления в силу: 

1 апреля 2026

Что нужно сделать:

• Провести повторное категорирование объектов КИИ (пересмотр категории существующих объектов КИИ).

• Подготовить необходимые документы (протоколы заседаний комиссий, акты категорирования, актуализированные сведения об объектах КИИ).

• Направить уточненные и актуальные сведения об объектах КИИ, по установленной приказом ФСТЭК России № 236 форме в соответствующий территориальный орган ФСТЭК России.

Государственные информационные системы, госсектор и государственные облачные среды

Основание:

Методический документ ФСТЭК России от 12 апреля 2026 г. «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах»

Суть изменений:

ФСТЭК России прямо указывает на то, что обеспечение информационной безопасности — это непрерывная деятельность на протяжении всего жизненного цикла информационной системы, которая строится на четырех ключевых принципах: планирование, выполнение, проверка, внедрение. В документе представлена четкая структура, детальное описание мероприятий по защите информации, развернутое описание реализации и усиления для каждой защитной меры. Переход от абстрактного, формального, «одноразового» исполнения требований к конкретному, системному, требующему планирования — это весьма значимый шаг в сторону того, чтобы «реальная» и «бумажная» безопасность перестали быть взаимоисключающими понятиями.

Кого затрагивает:

• Государственные органы, государственные унитарные предприятия, государственные учреждения и муниципальные структуры (обладатели информации);

• заказчиков, заключивших государственный контракт на создание информационных систем;

• операторов информационных систем;

• подрядчиков, которым предоставляется доступ к информационным системам оператора и (или) содержащейся в них информации для оказания услуг, проведения работ

С 1 марта 2026 года

Что нужно сделать:

• Провести анализ соответствия. Оцените текущие процессы и меры защиты информации в организации на предмет их соответствия новым требованиям. Выявите пробелы и определите, какие процессы и меры необходимо внедрить или актуализировать.

• Проведите оценку показателя защищенности состояния технической защиты информации в ИС (Кзи), в соответствие с утвержденной ранее методикой.

• Обновить внутренние регламенты и стандарты. На основе положений документа переработайте внутренние политики, регламенты, инструкции по защите информации, чтобы они отражали новые требования ФСТЭК России

• Назначить ответственных и повысить квалификацию персонала. Определите сотрудников, ответственных за реализацию новых мероприятий, и организуйте их обучение. При необходимости привлеките подрядные организации с лицензиями в области защиты информации

• Внедрить или обновить программные и программно-аппаратные средства защиты. Проверьте, что используемые средства соответствуют новым требованиям, при необходимости обновите или замените их на сертифицированные решения

• Провести моделирование угроз и анализ поверхности атак. На этапе проектирования или модернизации информационных систем используйте результаты моделирования угроз для выбора архитектурных решений и минимизации поверхности атак

• Организовать мониторинг и контроль реализации мер. Внедрите процессы постоянного мониторинга состояния защищённости, контроля изменений в составе объектов и субъектов доступа, а также регулярной оценки эффективности принятых мер

Административная ответственность, штрафы.

Что ждёт ИБ-регуляторику в будущем:

В проекте поправок к ПП РФ № 79 подход к лицензированию по ТЗКИ становится жёстче. Перед подачей документов заявителю придётся подтвердить квалификацию руководителя и специалистов, основания пользования помещениями и средствами, легальность ПО и функционирование внутреннего контроля качества.

Кого затрагивают изменения

1. Соискатели лицензии по ТЗКИ

В первую очередь изменения затронут компании, которые только планируют получать лицензию. Особенно это критично для тех, кто рассчитывал оформить лицензию минимальным составом, а специалистов, оборудование и инфраструктуру «добирать позже». Новый подход требует больше ресурсов для получения лицензии на ТЗКИ во ФСТЭК.

2. Действующие лицензиаты ФСТЭК

Требования становятся обязательными и для действующих владельцев лицензий, и их невыполнение может привести к аннулированию или приостановке лицензии в случае:

• отправки заявления во ФСТЭК на расширение перечня лицензируемых работ, которая инициирует проверку регулятора – ФСТЭК;

• плановых проверок;

• внеплановых проверок.

Изменения требований к персоналу в рамках ПП РФ № 79 показывают чёткий регуляторный тренд: допуск к работам по технической защите конфиденциальной информации получают только организации, способные подтвердить наличие квалифицированной и устойчивой команды специалистов.

Для действующих и будущих лицензиатов это означает необходимость заранее:

• оценить кадровый состав;

• запланировать обучение и переподготовку;

• сопоставить виды работ с реальными возможностями команды.

Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171».

Проект изменений к ПП РФ № 171 усиливает лицензионные требования для разработки и производства средств защиты конфиденциальной информации (СЗКИ). Новая редакция вводит минимальную численность инженерно-технических работников (ИТР), расширяет запреты для иностранного участия и усиливает требования к инфраструктуре и процессам.

1. Соискатели лицензии по разработке СЗКИ

В первую очередь изменения затронут компании, которые только планируют получать лицензию. Особенно это критично для тех, кто рассчитывал оформить лицензию минимальным составом, а специалистов, оборудование и инфраструктуру «добирать позже». Новый подход требует больше ресурсов для получения лицензии на разработку СЗКИ во ФСТЭК.

2. Действующие лицензиаты ФСТЭК

Требования становятся обязательными и для действующих владельцев лицензий, и их невыполнение может привести к аннулированию или приостановке лицензии в случае:

• отправки заявления во ФСТЭК на расширение перечня лицензируемых работ, которая инициирует проверку регулятора – ФСТЭК;

• плановых проверок;

• внеплановых проверок.

Обновлённое постановление № 171 окончательно закрепляет переход от формального лицензирования к модели, основанной на проверке реальной зрелости компании: кадровой, технологической, процессной и организационной.

Компании, которые до 2027 года не приведут персонал в соответствие, не внедрят процессы безопасной разработки и не подготовят необходимую инфраструктуру и защищённые системы, рискуют столкнуться с серьёзными проблемами при лицензировании и проверках.

Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в приказы Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 и от 25 декабря 2017 г. № 239».

Проектом, например, предусматриваются изменения, обязывающие субъектов КИИ производить расчет показателя защищенности и показателя уровня зрелости.

Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117».

Минцифры представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к порядку создания и эксплуатации государственными органами информационных систем, не являющихся государственными информационными системами и внесении изменений в постановление Правительства Российской Федерации от 16 ноября 2015 г.».