• Главная
  • Новости
  • Дайджест ИБ-регулирования. Июнь 2026: изменения для субъектов КИИ, ГИС, разработчиков СЗИ и финансовых организаций

02.07.2026

Дайджест ИБ-регулирования. Июнь 2026: изменения для субъектов КИИ, ГИС, разработчиков СЗИ и финансовых организаций

blog picture detail

Июнь 2026 года принес четыре документа с реальными последствиями для специалистов по информационной безопасности. Правительство РФ утвердило новые отраслевые особенности категорирования объектов КИИ для энергетики и оборонной промышленности. ФСТЭК России изменила порядок аттестации объектов информатизации: тестирование на проникновение стало обязательным для ГИС 1-2 классов защищенности с 1 сентября 2026 года. Опубликована новая методика выявления уязвимостей и недекларированных возможностей в программном обеспечении - она обязательна при сертификации СЗИ по уровням доверия. Банк России выпустил методические рекомендации по информационной безопасности при разработке и применении искусственного интеллекта на финансовом рынке.

В статье - детальный разбор каждого изменения: кого касается, что нужно сделать и в какие сроки.

Все три вектора - части одного сдвига. Регуляторы всё очевиднее ждут не набора документов, а доказуемой зрелости: инвентаризации активов, регулярной оценки рисков, тестирования защищенности, контроля цепочки поставок. Формальное соответствие требованиям перестает быть достаточным аргументом.

Категорирование объектов КИИ в 2026 году: новые отраслевые особенности для энергетики и ОПК


В июне вышло два документа по категорированию объектов критической информационной инфраструктуры - для тепловой энергетики и оборонной промышленности. Они разные по содержанию, но запускают одинаковое следствие: обязательное повторное категорирование.

Энергетика (Распоряжение Правительства РФ от 27.05.2026 № 1237-р)

Скорректирован перечень типовых отраслевых ОКИИ в части ИС, АСУ и ИТКС тепловых электростанций. Из перечня исключены системы управления котельными. Для компаний, которые категорировали объекты КИИ с опорой на старую редакцию перечня, часть ранее принятых решений комиссий может потребовать пересмотра.

Оборонная промышленность (Постановление Правительства РФ от 27.06.2026 № 796)

Утверждены отраслевые особенности категорирования объектов КИИ для предприятий ОПК: уточнены признаки значимости объектов и порядок расчета показателей критериев значимости, определены сроки пересмотра установленных категорий. Появление отраслевых особенностей автоматически запускает обязательное повторное категорирование - это прямое требование п. 21 ПП РФ № 127 от 08.02.2018.

Практически: субъекты КИИ, которые проходили категорирование по универсальным подходам без учета отраслевой специфики, рискуют обнаружить расхождение между прежними решениями и новыми требованиями. Территориальные органы ФСТЭК России при проверках смотрят на это в первую очередь.

Что нужно сделать субъектам КИИ в энергетике и ОПК:

  • Провести повторный аудит состава объектов КИИ и сверить с новыми отраслевыми особенностями.
  • Актуализировать протоколы заседаний комиссий и акты категорирования.
  • Направить уточненные сведения об объектах КИИ в территориальный орган ФСТЭК России по форме Приказа № 236.
Риски: административная и уголовная ответственность за нарушение требований к категорированию объектов критической информационной инфраструктуры.

Аттестация объектов информатизации по Приказу ФСТЭК России № 60: обязательный пентест с 1 сентября 2026


Приказ ФСТЭК России от 27.02.2026 № 60 вступает в силу 1 сентября 2026

Самое значимое изменение месяца для государственного сектора. ФСТЭК России переработала Порядок аттестации объектов информатизации, утвержденный Приказом № 77 - и правки не косметические.

Главное нововведение: тестирование на проникновение теперь обязательно для государственных информационных систем 1-2 классов защищенности с выходом в интернет или взаимодействующих с другими системами. Требование распространяется и на первичную аттестацию объектов информатизации, и на периодический контроль защищенности. Единственное исключение - подключения через сертифицированные VPN-каналы с криптографической защитой. Методологию тестирования на проникновение утверждает ФСТЭК России.

Это принципиальный сдвиг в подходе к аттестации. Раньше пентест мог быть частью испытаний по усмотрению аттестационной комиссии. Теперь для значительной части ГИС он обязателен. Лицензиатов ФСТЭК России с компетенциями в области тестирования на проникновение на рынке немного, и с 1 сентября 2026 года нагрузка на них вырастет. Начинать взаимодействие с подрядчиком стоит уже сейчас - не в августе.

Остальные изменения в порядке аттестации объектов информатизации:

  • Аттестаты соответствия теперь выдаются бессрочно. Взамен - обязательный периодический контроль защищенности не реже раза в 3 года (прежнее требование: раз в 2 года) с направлением отчета в ФСТЭК России в течение 5 рабочих дней. Непредставление отчета - основание для приостановки аттестата.
  • При модернизации объекта информатизации проводятся дополнительные испытания измененных компонентов без переаттестации всей системы. Если модернизация повышает класс защищенности - потребуется полная повторная аттестация.
  • Расширен перечень объектов, на которые распространяется порядок аттестации: прямо включены значимые объекты КИИ, АСУ ТП на критически важных и потенциально опасных объектах, ИС управления производством предприятий ОПК (включая системы ЧПУ), защищаемые помещения для конфиденциальных переговоров.
  • Состав аттестационной комиссии зафиксирован: руководитель плюс не менее двух экспертов с подтвержденными компетенциями в области технической защиты конфиденциальной информации.

Кого касается обновленный порядок аттестации: государственные органы и ГУПы, государственные и муниципальные учреждения, операторы ГИС и ИСПДн, предприятия ОПК.

Риски: административная ответственность, приостановка аттестата при нарушении требований к периодическому контролю защищенности.

Новая методика ФСТЭК России по выявлению уязвимостей и НДВ в ПО: что меняется при сертификации СЗИ

Методика ФСТЭК России от 12.06.2026, Информационное сообщение № 240/24/3693 от 28.05.2026

ФСТЭК России заменила методику 2020 года. Новый документ регламентирует порядок выявления уязвимостей и недекларированных возможностей в программном обеспечении при сертификации СЗИ по требованиям к уровням доверия (Приказ ФСТЭК России № 76 от 02.06.2020). На программируемые логические интегральные микросхемы не распространяется.

Три изменения, которые влияют на практику сертификации и разработки средств защиты информации.

  • 1. Шесть уровней контроля вместо прежней градации

Вводится шкала из 6 уровней контроля (1 - наивысший). Объем исследований при сертификации СЗИ - анализ поверхности атаки, статический и динамический анализ, фаззинг-тестирование, экспертиза кода - зависит от заявляемого уровня доверия. Для разработчиков СЗИ это означает необходимость точнее соотносить внутренние процессы разработки с конкретным уровнем еще до начала сертификационных испытаний.

  • 2. SBOM в формате CycloneDX - обязательное требование

Разработчик средства защиты информации предоставляет перечень заимствованных программных компонентов в формате, совместимом с CycloneDX. Испытательная лаборатория проверяет компоненты по БДУ ФСТЭК России, CVE и другим базам уязвимостей. Для компаний, у которых инвентаризация зависимостей не выстроена как процесс, это реальное препятствие перед сертификацией - не формальность.

  • 3. Ориентация на ГОСТ Р 56939-2024 (безопасная разработка)

Методика прямо апеллирует к стандарту безопасной разработки программного обеспечения. Это делает её ориентиром не только для испытательных лабораторий, но и для разработчиков СЗИ при выстраивании внутренних процессов SDL.

Кого касается: разработчики средств защиты информации, проходящие сертификацию по требованиям к уровням доверия; испытательные лаборатории ФСТЭК России. Действует с момента публикации.

Информационная безопасность при применении ИИ: методические рекомендации Банка России № 3-МР

Методические рекомендации Банка России от 16.06.2026 № 3-МР

Банк России выпустил первые отраслевые рекомендации по обеспечению информационной безопасности при разработке и применении искусственного интеллекта на финансовом рынке. Документ охватывает полный жизненный цикл ИИ-систем: подготовку данных, разработку и обучение модели, эксплуатацию, работу со сторонними ИИ-сервисами и open-source компонентами.

Формально - рекомендации, не обязательные требования. Но рекомендации ЦБ традиционно становятся ориентиром при надзорных проверках финансовых организаций, особенно если произошел инцидент. Игнорировать сложно.

Ключевой смысл документа: ИИ рассматривается как источник специфических рисков информационной безопасности, а не нейтральный инструмент автоматизации. У ИИ-систем своя поверхность атаки - манипуляция обучающими данными, атаки на веса модели, инверсия модели. Стандартная модель угроз по 152-ФЗ или 187-ФЗ для таких систем недостаточна.

Четыре практических акцента рекомендаций:

  • Отдельная модель угроз для каждой ИИ-системы - с учетом специфических угроз искусственному интеллекту, описанных в рекомендациях Банка России.
  • Политика ИБ для ИИ как самостоятельный документ или выделенный раздел, охватывающий все четыре подпроцесса по ГОСТ Р 71539-2024: подготовка данных, разработка модели, обучение и тестирование, эксплуатация.
  • Валидация критических решений ИИ человеком. Если ИИ-система работает в автоматическом режиме в платежных или учетных процессах и риск ИБ оценен как высокий - результат должен проверять человек с правом изменения.
  • Контроль цепочки поставок ИИ. Для внешних ИИ-сервисов и open-source моделей - оценка доверия к поставщику по 14 факторам, включение требований информационной безопасности в договоры.

Кого касается: банки, страховые организации, профессиональные участники рынка ценных бумаг, операторы платежной инфраструктуры, МФО, операторы финансовых платформ. Действует с момента публикации.

Кому и что делать: сводка по ролям

  • Субъекты КИИ в энергетике и ОПК

    Провести повторный аудит состава объектов КИИ и сверить с новыми отраслевыми особенностями категорирования. Объекты, категорированные по универсальным подходам без учета отраслевой специфики, - приоритет для проверки. Актуализировать документы и направить уточненные сведения в территориальный орган ФСТЭК России по форме Приказа № 236.
  • Государственные органы и учреждения, операторы ГИС

    Проверить, подпадают ли ваши объекты информатизации под расширенный перечень по обновленному п. 3 порядка аттестации. Для ГИС 1-2 классов защищенности с выходом в интернет - запланировать тестирование на проникновение и выйти на взаимодействие с лицензиатом уже сейчас. До 1 сентября 2026 года времени меньше, чем кажется, а рынок подрядчиков с нужными компетенциями ограничен.
  • Разработчики СЗИ и испытательные лаборатории

    Сопоставить текущие процессы разработки и сертификационных испытаний с новой методикой ФСТЭК России. Выстроить процесс формирования SBOM в формате CycloneDX до начала следующей сертификации средств защиты информации. Проверить соответствие процессов разработки требованиям ГОСТ Р 56939-2024.
  • Финансовые организации

    Провести инвентаризацию ИИ-систем и оценить риски информационной безопасности по каждой из них. Разработать модели угроз с учетом специфики искусственного интеллекта. Для критически важных процессов предусмотреть механизм валидации результатов ИИ человеком. Включить требования ИБ в договоры с поставщиками ИИ-сервисов и открытых компонентов.

bottom picture detail bottom second picture detail

Приоритеты на июль 2026 года

  • Провести инвентаризацию объектов информатизации и объектов КИИ, на которые распространяются новые требования.
  • Сверить категорирование объектов КИИ с отраслевыми особенностями (энергетика, ОПК).
  • Для ГИС 1-2 классов защищенности: оценить готовность к тестированию на проникновение и выбрать подрядчика с лицензией ФСТЭК.
  • Проверить сроки действующих аттестатов соответствия и ближайших мероприятий периодического контроля.
  • Для разработчиков СЗИ: оценить зрелость процессов под новую методику и наличие SBOM в формате CycloneDX.
  • Определить, где в организации используется искусственный интеллект, и оценить связанные риски ИБ.
  • Актуализировать политику информационной безопасности в части ИИ и безопасной разработки программного обеспечения.

Итог

Июньский пакет изменений подтверждает одну устойчивую траекторию: регуляторы переходят от абстрактного "обеспечить защиту информации" к конкретному "показать, как именно". Категорирование объектов КИИ по отраслевым особенностям, тестирование на проникновение как обязательная процедура аттестации, SBOM как условие сертификации СЗИ, отдельная модель угроз для ИИ-систем - это элементы одной логики.

Для организаций, которые выстраивали информационную безопасность как функцию документооборота, это требует перестройки. Для тех, кто уже работает с реальными процессами, большинство изменений ложатся в существующую систему без кардинальных разрывов. Разница между двумя сценариями - в том, насколько заранее эта работа начата.