Минцифры России утвердило требования к обеспечению ИБ государственной единой облачной платформы и опубликовало проект требований о защите информации при предоставлении вычислительных мощностей провайдерами хостинга операторам ГИС, ИС госорганов.
Госкорпорация «Росатом» утвердила порядок проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, а также критерии организаций, привлекаемых к таким проверкам.
ФСТЭК России предложила изменения в Указ Президента России №250, а также порядок расчёта количественных значений показателей, характеризующих уровень защищённости объектов информационной инфраструктуры органов.
ФСТЭК России представила к обсуждению проект нового методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Банк России анонсировал проект изменений требований к операционной надёжности при ведении банковской деятельности.
|
Центры ГосСОПКА
|
Провести мероприятия по приведению в соответствие новым требованиям, пройти процедуру аккредитации.
|
|
Провайдеры хостинга, предоставляющие мощности госорганам
|
Привести информационную инфраструктуру в соответствие новым требованиям, в части использования решений, включённых в реестр отечественного ПО и (или) реестр российской промышленной продукции. Обеспечить размещение инфраструктуры на территории Российской Федерации, использовать средства криптографической защиты информации в соответствии с требованиями приказа ФСБ России №117.
|
|
Организации-субъекты КИИ в области атомной энергии
|
Актуализировать сведения об объектах КИИ, по запросу предоставить их в Госкорпорацию «Росатом», обеспечить достоверность сведений и соответствие требованиям по защите объектов КИИ, установленных ФСТЭК России.
|
ГосСОПКА
Основание:
Суть изменений:
Федеральная служба безопасности России приказом № 161 ввела правила аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также утвердила требования к техническому оснащению и кадровому составу таких центров.
Аккредитацию проводит Центр защиты информации и специальной связи ФСБ. Аттестат выдаётся на срок до пяти лет. Центры могут работать по одному или нескольким из четырёх направлений: обнаружение атак и регистрация инцидентов, реагирование на инциденты, предупреждение атак, а также координация субъектов ГосСОПКА.
Основные требования к соискателям:
лицензия ФСБ на работу с гостайной;
руководитель: стаж в сфере ИБ или ИТ от 5 лет (из них не менее 3 лет на руководящих должностях);
все сотрудники: только граждане РФ без второго гражданства;
запрет на использование оборудования из недружественных стран;
для центров по направлениям «обнаружение» и «реагирование» — круглосуточный режим работы.
Процедура аккредитации занимает до 65 рабочих дней, включает проверку документов и тестирование знаний не менее 75% сотрудников.
Обязанности аккредитованного центра:
взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ);
сообщать об инцидентах на значимых объектах КИИ в течение 3 часов, по иным ресурсам — 24 часов;
ежегодно проводить оценку защищённости своих ресурсов силами другого аккредитованного центра по направлению «предупреждение»;
хранить данные об инцидентах не менее трёх лет.
Основания для отказа: неполный пакет документов, недостоверные сведения, несоответствие требованиям или отзыв аккредитации за последние три года.
Кого затрагивает:
Все организации, осуществляющие или планирующие осуществлять функции центров ГосСОПКА.
Сроки вступления в силу: после вступления в силу.
Что нужно сделать:
Провести инвентаризацию технической инфраструктуры на соответствие техническим требованиям к аккредитованным центрам ГосСОПКА.
Обеспечить наличие кадрового персонала, соответствующего необходимым критериям.
Направить заявление на аккредитацию центра ГосСОПКА в Центр защиты информации и специальной связи ФСБ России.
Организациям, стремящимся к аккредитации, необходимо иметь стабильную инфраструктуру, содержать компетентный штат, ежегодно проходить перекрёстные проверки, поддерживать контакт с НКЦКИ в оперативном режиме. Это требует значительных финансовых, кадровых и управленческих ресурсов.
Руководитель центра ГосСОПКА несёт персональную ответственность за выполнение всех функций центра, отвечает за соблюдение требований приказа, обязан регулярно оценивать эффективность работы подразделений. Роль руководителя фактически приближается к роли руководителя значимого объекта КИИ, но с более широким спектром полномочий.
Государственные информационные системы, госсектор и государственные облачные среды
Основание:
Суть изменений:
Согласно приказу Минцифры, информационно-телекоммуникационная инфраструктура системы должна соответствовать требованиям о защите информации, содержащейся в ГИС (в том числе с использованием шифровальных (криптографических) средств); требованиям, установленным Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИС персональных данных с использованием средств криптографической защиты информации.
Программные и аппаратные компоненты инфраструктуры должны быть реализованы на решениях, включённых в единый реестр отечественного ПО и (или) реестр российской промышленной продукции.
Технические средства, обрабатывающие информацию, средства защиты информации, а также средства, обеспечивающие функционирование центров обработки данных, должны размещаться на территории Российской Федерации.
Мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы РФ должны выполняться только аккредитованными центрами ГосСОПКА.
Кого затрагивает:
Провайдеры хостинга при предоставлении ими вычислительной мощности операторам государственных информационных систем, иных информационных систем государственных органов, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений.
Сроки вступления в силу: с момента опубликования и с 1 сентября 2026 года.
Что нужно сделать:
Госкорпорация «Росатом»
Основание:
Суть изменений:
Приказом Госкорпорации «Росатом» от 20.03.2026 № 1/9-НПА утверждены: порядок проведения оценки актуальности и достоверности сведений об объектах КИИ организаций, осуществляющих деятельность в области атомной энергии; критерии определения организаций, привлекаемых к такой оценке.
В 2026 году запрос Госкорпорации «Росатом» субъектам КИИ о предоставлении сведений о категорировании осуществляется в срок до 1 июля (в последующие годы — до 1 марта); решение о графике проведения оценки принимается в срок до 1 сентября (в последующие годы — до 10 апреля).
Кого затрагивает:
Все организации-субъекты КИИ, осуществляющие деятельность в области атомной энергии.
Сроки вступления в силу: с момента вступления в силу.
Что нужно сделать:
В течение 10 дней с момента запроса от Госкорпорации «Росатом» направить актуальные сведения об объектах КИИ по установленной форме.
Обеспечить актуальность и достоверность предоставляемых сведений, выполнить требования по защите объектов КИИ в соответствии с нормативно-правовыми актами ФСТЭК России.
Риски бездействия: привлечение к административной ответственности.
Для общественного обсуждения ФСТЭК России представила:
Проекты определяют показатели, характеризующие уровень защищённости принадлежащих ФОИВ, высшим исполнительным органам государственной власти субъектов РФ ГИС и иных информационных систем, а также принадлежащих государственным корпорациям, стратегическим предприятиям и системообразующим организациям российской экономики, субъектам КИИ РФ, значимых объектов КИИ РФ и их целевые значения.
Структура будущих требований:
защищённость объектов в конкретном органе или организации от актуальных угроз;
не менее 80% защищённых объектов в отрасли по закону №187-ФЗ;
не менее 80% защищённых объектов в ведении органов исполнительной власти субъектов РФ;
единый подход к категории объектов информационной инфраструктуры;
актуальная модель угроз как обязательный компонент оценки.
ФСТЭК России опубликовала информационное сообщение от 22 мая 2026 г. № 240/92/3506 «О разработке методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»».
Данная методика предназначена для оценки уровня зрелости деятельности в области защиты информации и (или) обеспечения безопасности ЗОКИИ. Требования к такой деятельности установлены ФСТЭК России следующими нормативными правовыми актами: Приказ ФСТЭК России № 117 от 11.04.2025, Приказ № 31 от 28.02.2017, Приказ № 239 от 25.12.2017 и Приказ № 21 от 18.02.2013.
Предполагается, что методика будет применяться:
операторами информационных систем (ИС) и значимых объектов КИИ — для оценки зрелости деятельности в области защиты информации;
подрядными организациями — для подтверждения уровня зрелости деятельности в области защиты информации при оказании услуг, проведении работ;
госорганами и организациями — заказчиками услуг, работ — для установления требований к уровню зрелости деятельности подрядных организаций;
операторами ИС персональных данных — для подтверждения уровня зрелости деятельности по обеспечению безопасности персональных данных;
ФСТЭК России — для оценки эффективности деятельности в области защиты информации операторов и подрядных организаций.
Согласно методике, оценку зрелости могут проводить как сами организации, так и сторонние специалисты. При этом внешняя оценка будет считаться более объективной. Методикой предлагается количественная оценка зрелости по 21 направлению — от организации и управления защитой до защиты ИИ. Каждое направление оценивается по восьми категориям, каждая со своим «весом».
Замечания и предложения по доработке проекта документа принимаются до 8 июня. К участию приглашаются специалисты в области защиты информации заинтересованных государственных органов власти, организаций и субъектов КИИ.
Опубликован проект указания Банка России «О внесении изменений в Положение Банка России от 13 января 2025 года № 850-П».
Планируется скорректировать требования к операционной надёжности при ведении банковской деятельности. В частности, вводится формула расчёта фактической доли деградации технологического процесса. Уточняются требования по организации учёта состава объектов информационной инфраструктуры кредитных организаций, задействованных при выполнении каждого технологического процесса.
Меняются требования по соблюдению сигнальных и контрольных значений показателей операционной надёжности, по определению времени простоя и (или) деградации технологических процессов.