28.05.2026

Дайджест ИБ-регулирования май 2026

blog picture detail

Главные изменения

  • ФСБ России утвердило новые требования к центрам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также порядок их аккредитации.
  • Минцифры России утвердило требования к обеспечению ИБ государственной единой облачной платформы и опубликовало проект требований о защите информации при предоставлении вычислительных мощностей провайдерами хостинга операторам ГИС, ИС госорганов.

  • Госкорпорация «Росатом» утвердила порядок проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, а также критерии организаций, привлекаемых к таким проверкам.

  • ФСТЭК России предложила изменения в Указ Президента России №250, а также порядок расчёта количественных значений показателей, характеризующих уровень защищённости объектов информационной инфраструктуры органов.

  • ФСТЭК России представила к обсуждению проект нового методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

  • Банк России анонсировал проект изменений требований к операционной надёжности при ведении банковской деятельности.

Кому и что необходимо сделать

Центры ГосСОПКА



Провести мероприятия по приведению в соответствие новым требованиям, пройти процедуру аккредитации.


Провайдеры хостинга, предоставляющие мощности госорганам


Привести информационную инфраструктуру в соответствие новым требованиям, в части использования решений, включённых в реестр отечественного ПО и (или) реестр российской промышленной продукции. Обеспечить размещение инфраструктуры на территории Российской Федерации, использовать средства криптографической защиты информации в соответствии с требованиями приказа ФСБ России №117.


Организации-субъекты КИИ в области атомной энергии


Актуализировать сведения об объектах КИИ, по запросу предоставить их в Госкорпорацию «Росатом», обеспечить достоверность сведений и соответствие требованиям по защите объектов КИИ, установленных ФСТЭК России.


 Детальный разбор изменений по направлениям


ГосСОПКА

Основание:


Суть изменений:

Федеральная служба безопасности России приказом № 161 ввела правила аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также утвердила требования к техническому оснащению и кадровому составу таких центров.

Аккредитацию проводит Центр защиты информации и специальной связи ФСБ. Аттестат выдаётся на срок до пяти лет. Центры могут работать по одному или нескольким из четырёх направлений: обнаружение атак и регистрация инцидентов, реагирование на инциденты, предупреждение атак, а также координация субъектов ГосСОПКА.

Основные требования к соискателям:

  • лицензия ФСБ на работу с гостайной;

  • руководитель: стаж в сфере ИБ или ИТ от 5 лет (из них не менее 3 лет на руководящих должностях);

  • все сотрудники: только граждане РФ без второго гражданства;

  • запрет на использование оборудования из недружественных стран;

  • для центров по направлениям «обнаружение» и «реагирование» — круглосуточный режим работы.

  • Процедура аккредитации занимает до 65 рабочих дней, включает проверку документов и тестирование знаний не менее 75% сотрудников.


Обязанности аккредитованного центра:

  • взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ);

  • сообщать об инцидентах на значимых объектах КИИ в течение 3 часов, по иным ресурсам — 24 часов;

  • ежегодно проводить оценку защищённости своих ресурсов силами другого аккредитованного центра по направлению «предупреждение»;

  • хранить данные об инцидентах не менее трёх лет.

  • Основания для отказа: неполный пакет документов, недостоверные сведения, несоответствие требованиям или отзыв аккредитации за последние три года.


Кого затрагивает:

Все организации, осуществляющие или планирующие осуществлять функции центров ГосСОПКА.


Сроки вступления в силу: после вступления в силу.


Что нужно сделать:

  1. Провести инвентаризацию технической инфраструктуры на соответствие техническим требованиям к аккредитованным центрам ГосСОПКА.

  2. Обеспечить наличие кадрового персонала, соответствующего необходимым критериям.

  3. Направить заявление на аккредитацию центра ГосСОПКА в Центр защиты информации и специальной связи ФСБ России.


Организациям, стремящимся к аккредитации, необходимо иметь стабильную инфраструктуру, содержать компетентный штат, ежегодно проходить перекрёстные проверки, поддерживать контакт с НКЦКИ в оперативном режиме. Это требует значительных финансовых, кадровых и управленческих ресурсов.

Руководитель центра ГосСОПКА несёт персональную ответственность за выполнение всех функций центра, отвечает за соблюдение требований приказа, обязан регулярно оценивать эффективность работы подразделений. Роль руководителя фактически приближается к роли руководителя значимого объекта КИИ, но с более широким спектром полномочий.


Государственные информационные системы, госсектор и государственные облачные среды

Основание:


Суть изменений:

Согласно приказу Минцифры, информационно-телекоммуникационная инфраструктура системы должна соответствовать требованиям о защите информации, содержащейся в ГИС (в том числе с использованием шифровальных (криптографических) средств); требованиям, установленным Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИС персональных данных с использованием средств криптографической защиты информации.

Программные и аппаратные компоненты инфраструктуры должны быть реализованы на решениях, включённых в единый реестр отечественного ПО и (или) реестр российской промышленной продукции.

Технические средства, обрабатывающие информацию, средства защиты информации, а также средства, обеспечивающие функционирование центров обработки данных, должны размещаться на территории Российской Федерации.

Мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы РФ должны выполняться только аккредитованными центрами ГосСОПКА.


Кого затрагивает:

Провайдеры хостинга при предоставлении ими вычислительной мощности операторам государственных информационных систем, иных информационных систем государственных органов, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений.

Сроки вступления в силу: с момента опубликования и с 1 сентября 2026 года.

Что нужно сделать:

  • Провести анализ соответствия. Оцените текущие процессы и меры защиты информации в организации на предмет их соответствия новым требованиям. Выявите пробелы и определите, какие процессы и меры необходимо внедрить или актуализировать.

Госкорпорация «Росатом»


Основание:


Суть изменений:

Приказом Госкорпорации «Росатом» от 20.03.2026 № 1/9-НПА утверждены: порядок проведения оценки актуальности и достоверности сведений об объектах КИИ организаций, осуществляющих деятельность в области атомной энергии; критерии определения организаций, привлекаемых к такой оценке.

В 2026 году запрос Госкорпорации «Росатом» субъектам КИИ о предоставлении сведений о категорировании осуществляется в срок до 1 июля (в последующие годы — до 1 марта); решение о графике проведения оценки принимается в срок до 1 сентября (в последующие годы — до 10 апреля).


Кого затрагивает:

Все организации-субъекты КИИ, осуществляющие деятельность в области атомной энергии.

Сроки вступления в силу: с момента вступления в силу.


Что нужно сделать:

  1. В течение 10 дней с момента запроса от Госкорпорации «Росатом» направить актуальные сведения об объектах КИИ по установленной форме.

  2. Обеспечить актуальность и достоверность предоставляемых сведений, выполнить требования по защите объектов КИИ в соответствии с нормативно-правовыми актами ФСТЭК России.


Риски бездействия: привлечение к административной ответственности.

bottom picture detail bottom second picture detail

Что ждёт ИБ-регуляторику в будущем:

Для общественного обсуждения ФСТЭК России представила:

Проекты определяют показатели, характеризующие уровень защищённости принадлежащих ФОИВ, высшим исполнительным органам государственной власти субъектов РФ ГИС и иных информационных систем, а также принадлежащих государственным корпорациям, стратегическим предприятиям и системообразующим организациям российской экономики, субъектам КИИ РФ, значимых объектов КИИ РФ и их целевые значения.


Структура будущих требований:

  • защищённость объектов в конкретном органе или организации от актуальных угроз;

  • не менее 80% защищённых объектов в отрасли по закону №187-ФЗ;

  • не менее 80% защищённых объектов в ведении органов исполнительной власти субъектов РФ;

  • единый подход к категории объектов информационной инфраструктуры;

  • актуальная модель угроз как обязательный компонент оценки.

 

ФСТЭК России опубликовала информационное сообщение от 22 мая 2026 г. № 240/92/3506 «О разработке методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»».

Данная методика предназначена для оценки уровня зрелости деятельности в области защиты информации и (или) обеспечения безопасности ЗОКИИ. Требования к такой деятельности установлены ФСТЭК России следующими нормативными правовыми актами: Приказ ФСТЭК России № 117 от 11.04.2025, Приказ № 31 от 28.02.2017, Приказ № 239 от 25.12.2017 и Приказ № 21 от 18.02.2013.


Предполагается, что методика будет применяться:

  • операторами информационных систем (ИС) и значимых объектов КИИ — для оценки зрелости деятельности в области защиты информации;

  • подрядными организациями — для подтверждения уровня зрелости деятельности в области защиты информации при оказании услуг, проведении работ;

  • госорганами и организациями — заказчиками услуг, работ — для установления требований к уровню зрелости деятельности подрядных организаций;

  • операторами ИС персональных данных — для подтверждения уровня зрелости деятельности по обеспечению безопасности персональных данных;

  • ФСТЭК России — для оценки эффективности деятельности в области защиты информации операторов и подрядных организаций.

Согласно методике, оценку зрелости могут проводить как сами организации, так и сторонние специалисты. При этом внешняя оценка будет считаться более объективной. Методикой предлагается количественная оценка зрелости по 21 направлению — от организации и управления защитой до защиты ИИ. Каждое направление оценивается по восьми категориям, каждая со своим «весом».

Замечания и предложения по доработке проекта документа принимаются до 8 июня. К участию приглашаются специалисты в области защиты информации заинтересованных государственных органов власти, организаций и субъектов КИИ.

 

Опубликован проект указания Банка России «О внесении изменений в Положение Банка России от 13 января 2025 года № 850-П».

Планируется скорректировать требования к операционной надёжности при ведении банковской деятельности. В частности, вводится формула расчёта фактической доли деградации технологического процесса. Уточняются требования по организации учёта состава объектов информационной инфраструктуры кредитных организаций, задействованных при выполнении каждого технологического процесса.

Меняются требования по соблюдению сигнальных и контрольных значений показателей операционной надёжности, по определению времени простоя и (или) деградации технологических процессов.