Июнь 2026 года принес четыре документа с реальными последствиями для специалистов по информационной безопасности. Правительство РФ утвердило новые отраслевые особенности категорирования объектов КИИ для энергетики и оборонной промышленности. ФСТЭК России изменила порядок аттестации объектов информатизации: тестирование на проникновение стало обязательным для ГИС 1-2 классов защищенности с 1 сентября 2026 года. Опубликована новая методика выявления уязвимостей и недекларированных возможностей в программном обеспечении - она обязательна при сертификации СЗИ по уровням доверия. Банк России выпустил методические рекомендации по информационной безопасности при разработке и применении искусственного интеллекта на финансовом рынке.
В статье - детальный разбор каждого изменения: кого касается, что нужно сделать и в какие сроки.
Все три вектора - части одного сдвига. Регуляторы всё очевиднее ждут не набора документов, а доказуемой зрелости: инвентаризации активов, регулярной оценки рисков, тестирования защищенности, контроля цепочки поставок. Формальное соответствие требованиям перестает быть достаточным аргументом.Энергетика (Распоряжение Правительства РФ от 27.05.2026 № 1237-р)
Скорректирован перечень типовых отраслевых ОКИИ в части ИС, АСУ и ИТКС тепловых электростанций. Из перечня исключены системы управления котельными. Для компаний, которые категорировали объекты КИИ с опорой на старую редакцию перечня, часть ранее принятых решений комиссий может потребовать пересмотра.
Оборонная промышленность (Постановление Правительства РФ от 27.06.2026 № 796)
Утверждены отраслевые особенности категорирования объектов КИИ для предприятий ОПК: уточнены признаки значимости объектов и порядок расчета показателей критериев значимости, определены сроки пересмотра установленных категорий. Появление отраслевых особенностей автоматически запускает обязательное повторное категорирование - это прямое требование п. 21 ПП РФ № 127 от 08.02.2018.
Практически: субъекты КИИ, которые проходили категорирование по универсальным подходам без учета отраслевой специфики, рискуют обнаружить расхождение между прежними решениями и новыми требованиями. Территориальные органы ФСТЭК России при проверках смотрят на это в первую очередь.
Что нужно сделать субъектам КИИ в энергетике и ОПК:
Самое значимое изменение месяца для государственного сектора. ФСТЭК России переработала Порядок аттестации объектов информатизации, утвержденный Приказом № 77 - и правки не косметические.
Главное нововведение: тестирование на проникновение теперь обязательно для государственных информационных систем 1-2 классов защищенности с выходом в интернет или взаимодействующих с другими системами. Требование распространяется и на первичную аттестацию объектов информатизации, и на периодический контроль защищенности. Единственное исключение - подключения через сертифицированные VPN-каналы с криптографической защитой. Методологию тестирования на проникновение утверждает ФСТЭК России.
Это принципиальный сдвиг в подходе к аттестации. Раньше пентест мог быть частью испытаний по усмотрению аттестационной комиссии. Теперь для значительной части ГИС он обязателен. Лицензиатов ФСТЭК России с компетенциями в области тестирования на проникновение на рынке немного, и с 1 сентября 2026 года нагрузка на них вырастет. Начинать взаимодействие с подрядчиком стоит уже сейчас - не в августе.
Остальные изменения в порядке аттестации объектов информатизации:
Кого касается обновленный порядок аттестации: государственные органы и ГУПы, государственные и муниципальные учреждения, операторы ГИС и ИСПДн, предприятия ОПК.
Риски: административная ответственность, приостановка аттестата при нарушении требований к периодическому контролю защищенности.
ФСТЭК России заменила методику 2020 года. Новый документ регламентирует порядок выявления уязвимостей и недекларированных возможностей в программном обеспечении при сертификации СЗИ по требованиям к уровням доверия (Приказ ФСТЭК России № 76 от 02.06.2020). На программируемые логические интегральные микросхемы не распространяется.
Три изменения, которые влияют на практику сертификации и разработки средств защиты информации.
Вводится шкала из 6 уровней контроля (1 - наивысший). Объем исследований при сертификации СЗИ - анализ поверхности атаки, статический и динамический анализ, фаззинг-тестирование, экспертиза кода - зависит от заявляемого уровня доверия. Для разработчиков СЗИ это означает необходимость точнее соотносить внутренние процессы разработки с конкретным уровнем еще до начала сертификационных испытаний.
Разработчик средства защиты информации предоставляет перечень заимствованных программных компонентов в формате, совместимом с CycloneDX. Испытательная лаборатория проверяет компоненты по БДУ ФСТЭК России, CVE и другим базам уязвимостей. Для компаний, у которых инвентаризация зависимостей не выстроена как процесс, это реальное препятствие перед сертификацией - не формальность.
Методика прямо апеллирует к стандарту безопасной разработки программного обеспечения. Это делает её ориентиром не только для испытательных лабораторий, но и для разработчиков СЗИ при выстраивании внутренних процессов SDL.
Кого касается: разработчики средств защиты информации, проходящие сертификацию по требованиям к уровням доверия; испытательные лаборатории ФСТЭК России. Действует с момента публикации.
Банк России выпустил первые отраслевые рекомендации по обеспечению информационной безопасности при разработке и применении искусственного интеллекта на финансовом рынке. Документ охватывает полный жизненный цикл ИИ-систем: подготовку данных, разработку и обучение модели, эксплуатацию, работу со сторонними ИИ-сервисами и open-source компонентами.
Формально - рекомендации, не обязательные требования. Но рекомендации ЦБ традиционно становятся ориентиром при надзорных проверках финансовых организаций, особенно если произошел инцидент. Игнорировать сложно.
Ключевой смысл документа: ИИ рассматривается как источник специфических рисков информационной безопасности, а не нейтральный инструмент автоматизации. У ИИ-систем своя поверхность атаки - манипуляция обучающими данными, атаки на веса модели, инверсия модели. Стандартная модель угроз по 152-ФЗ или 187-ФЗ для таких систем недостаточна.
Четыре практических акцента рекомендаций:
Кого касается: банки, страховые организации, профессиональные участники рынка ценных бумаг, операторы платежной инфраструктуры, МФО, операторы финансовых платформ. Действует с момента публикации.
Для организаций, которые выстраивали информационную безопасность как функцию документооборота, это требует перестройки. Для тех, кто уже работает с реальными процессами, большинство изменений ложатся в существующую систему без кардинальных разрывов. Разница между двумя сценариями - в том, насколько заранее эта работа начата.