Обзор изменений в законодательстве. Июль, август 2025 г.

Законодательные изменения в области ИБ становятся все более динамичными: новые методики оценки уязвимостей, корректировки правил по КИИ и персональным данным, требования к ПО и системам связи напрямую влияют на практику информационной безопасности. Июль и август 2025 г. принесли целый блок документов, которые определяют, как компании будут строить защиту и взаимодействовать с регуляторами в ближайшие годы.

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Июль-2025

В июльском обзоре изменений законодательства в области информационной безопасности рассмотрим новую методику ФСТЭК России по оценке уровня критичности уязвимостей; особенности использования ПО, включенного в единый реестр российских программ для ЭВМ и БД; проекты отраслевых особенностей категорирования объектов КИИ; нормативную базу по лицензионному контролю со стороны ФСТЭК России; требования по безопасности информации к средствам обнаружения и реагирования на уровне узла; изменения в правила допуска к государственной тайне; требования к системам видео-конференц-связи и веб-конференций для ФОИВ; изменения в Положении Банка России по обеспечению защиты при переводе денежных средств и новый ПНСТ по КИИ.

ris1_w-Sep-19-2025-04-01-45-6756-PM

Новая методика оценки уровня критичности уязвимостей

В июле 2025 г. было опубликовано информационное сообщение ФСТЭК России "Об утверждении методического документа ФСТЭК России "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" [1].

Новый методический документ "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" [2] был утвержден ФСТЭК России 30 июня 2025 г. В связи с утверждением новой методики не применяется для оценки уровня критичности уязвимостей программных, программно-аппаратных средств предыдущая версия "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств", утвержденная ФСТЭК России 28 октября 2022 г. Рассмотрим основные отличия новой методики.

Сфера применения методики расширена в том числе на информационные системы государственных унитарных предприятий, государственных учреждений. Ранее под действие попадали только государственные информационные системы и значимые объекты критической информационной инфраструктуры, указанные системы остаются в сфере регулирования методики.
Уточняется, что при определении критичности уязвимостей учитываются результаты контроля уровня защищенности, проведенные оператором, включая тестирование на проникновение, учения (тренировки), мероприятия по проведению эксперимента по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений.
В случае, если информационная система функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, то оценка уровня критичности уязвимостей программных, программно-аппаратных средств проводится с учетом используемой инфраструктуры ЦОД.
В формулу расчета уровня критичности уязвимости программных, программноаппаратных средств в информационной системе (V) добавлены два новых показателя: Iat – показатель, характеризующий возможность эксплуатации уязвимости программных, программно-аппаратных средств в информационных системах; Iimp – показатель, характеризующий последствия эксплуатации уязвимости программных, программно-аппаратных средств в информационных системах.
Ввиду изменения формулы расчета уровня критичности (V), скорректированы значения весовых коэффициентов и оценок показателей, определяющих влияние уязвимости на информационную систему.
Пересмотрены значения итоговой оценки уровня критичности уязвимости (V). Так, например, согласно новой методике при итоговой оценке уровня критичности уязвимости V > 8,0 – уязвимости присваивается критический уровень, в предыдущей версии методики критический уровень присваивался при 7,0 < V < 10,0. Ниже в таблице представлен полный перечень значений итоговой оценки уровня критичности уязвимости.
Уязвимостям в сертифицированных программных, программно-аппаратных средствах защиты присваивается критический уровень (V > 8,0).

Отмечается, что пересчет значения уровня критичности уязвимости должен осуществляться на постоянной основе (по возможности автоматизированными средствами) при выявлении новых сведений об уязвимости, например, выпуске разработчиком обновлений, устраняющих уязвимость, появление в открытом доступе средств эксплуатации уязвимости.

t1-Sep-19-2025-04-02-54-0276-PM

Особенности использования ПО, включенного в единый реестр

российских программ для ЭВМ и БД Федеральный закон от 31.07.2025 № 325-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [3] официально опубликован 31 июля 2025 г. Вступает в силу с 1 марта 2026 г. и в частности вносит изменения в Федеральный закон от 07.04.2025 № 58-ФЗ "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации".

Так, Федеральным законом от 31.07.2025 № 325-ФЗ определено, что Минцифры России формирует и ведет перечень российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами. В случае, если федеральными законами и иными нормативными правовыми актами установлено требование об использовании программы для ЭВМ и БД, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный ст. 12.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", указанное требование считается выполненным при условии использования программ для ЭВМ и БД, сведения о которых включены в перечень.

Соответственно, обязанность использования на значимых объектах КИИ программного обеспечения, включенного в единый реестр российских программ для ЭВМ и БД, установленная Федеральным законом от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", также будет считаться исполненной в случае использования программ для ЭВМ и БД, сведения о которых включены в перечень.

Минцифры России будет вести перечень доверенных российских программ для ЭВМ и БД.

Отраслевые особенности категорирования объектов КИИ

В июле 2025 г. на общественное обсуждение были представлены отраслевые особенности категорирования объектов КИИ.

Госкорпорация "Роскосмос" 2 июля 2025 г. опубликовала проект Постановления Правительства РФ "Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры, функционирующих в области ракетно-космической промышленности" [4].
Минздрав России 7 июля 2025 г. опубликовало проект Постановления Правительства РФ "Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере здравоохранения" [5].

Лицензионный контроль со стороны ФСТЭК России

В июле 2025 г. официально были опубликованы следующие приказы:

Приказ ФСТЭК России от 12.05.2025 № 163 "Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации" [6].
Приказ ФСТЭК России от 12.05.2025 № 164 "Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" [7].

Оба приказа заменяют ранее действовавший приказ ФСТЭК России от 01.06.2023 № 107 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации" и приказ ФСТЭК России от 01.06.2023 № 108 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)". Новые приказы будут применяться до 31.12.2025 г. включительно.

Сертификация средств обнаружения и реагирования на уровне узла

Информационное сообщение ФСТЭК России от 07.05.2025 № 240/24/2531 "Об утверждении Требований по безопасности информации к средствам обнаружения и реагирования на уровне узла" [8] было опубликовано на официальном сайте ФСТЭК России 4 июля 2025 г.

Сама выписка из Требований по безопасности информации к средствам обнаружения и реагирования на уровне узла, утвержденных приказом ФСТЭК России от 26 февраля 2025 г. № 58 [9], доступна на сайте ФСТЭК России.

Указанный документ предназначен для организаций, осуществляющих разработку средств обнаружения и реагирования на уровне узла, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.

К средствам обнаружения и реагирования на уровне узла устанавливается три класса защиты. Требования по безопасности информации предъявляются к:

уровню доверия средства обнаружения и реагирования на уровне узла;
управлению доступом в средстве обнаружения и реагирования на уровне узла;
идентификации и аутентификации пользователей средства обнаружения и реагирования на уровне узла;
получению данных мониторинга средством обнаружения и реагирования на уровне узла;
обнаружению признаков вредоносного программного обеспечения и компьютерных атак средством обнаружения и реагирования на уровне узла;
реагированию средства обнаружения и реагирования на уровне узла;
тестированию средства обнаружения и реагирования на уровне узла;
управлению установкой обновлений (актуализации) служебных баз данных средства обнаружения и реагирования на уровне узла;
регистрации событий безопасности в средстве обнаружения и реагирования на уровне узла;
взаимодействию с иными средствами защиты информации;
централизованному управлению средством обнаружения и реагирования на уровне узла.

При включении в средства обнаружения и реагирования на уровне узла дополнительных функций безопасности требования к таким функциям безопасности должны быть заданы в технических условиях или техническом задании, а полнота и корректность их реализации – оценены при проведении сертификации.

Изменения в правила допуска к государственной тайне

Постановление Правительства Российской Федерации от 08.07.2025 № 1028 "О внесении изменений в постановление Правительства Российской Федерации от 7 февраля 2024 г. № 132" официально опубликовано 9 июля 2025 г.

Постановлением Правительства Российской Федерации от 08.07.2025 № 1028 вносятся изменения в правила допуска должностных лиц и граждан Российской Федерации к государственной тайне. В частности, уточняются основания прекращения допуска к государственной тайне гражданина в случае прекращения исполнения им соответствующих обязанностей (полномочий).

Требования к системам видеоконференцсвязи и веб-конференций

Постановление Правительства РФ от 30.06.2025 № 984 "Об утверждении требований к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации применения систем видеоконференцсвязи и вебконференции" [10] официально опубликовано и вступило в силу 1 июля 2025 г. Постановлением Правительства РФ от 30.06.2025 № 984, в частности определено:

На программные средства, используемые при организации применения системы веб-конференции, должны быть установлены средства антивирусной защиты.
Технические средства и программные средства должны соответствовать требованиям о защите информации, содержащейся в ГИС, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, установленным ФСБ России и ФСТЭК России.
При использовании технических средств и программных средств должны применяться средства защиты информации, обеспечивающие безопасность персональных данных и иной информации от угроз безопасности, определенных в модели угроз безопасности информации, и прошедшие процедуру оценки соответствия требованиям.

Изменения в Положение Банка России по обеспечению защиты при переводе денежных средств Проект указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 г. № 821П" [11] был представлен к общественному обсуждению 9 июля 2025 г.

Проект разработан в целях гармонизации требований Положения Банка России от 17 августа 2023 г. № 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", а также установления дополнительных требований по защите информации для субъектов национальной платежной системы.

Август-2025

В обзоре изменений за август поговорим о новых требованиях и методах обезличивания ПДн от Роскомнадзора; об обезличивании ПДн при получении от Минцифры России требования о предоставлении ПДн, полученных в результате обезличивания; разберем изменения в положении о госконтроле за обработкой ПДн; рассмотрим продление переходного периода для центров ГосСОПКА и изменения в форме направления сведений по результатам категорирования объектов КИИ, а также изменения в порядке ведения реестра значимых объектов КИИ.

ris2_w-Sep-19-2025-02-37-57-1964-PM

Требования к обезличиванию ПДн и методы обезличивания ПДн

Приказ Роскомнадзора от 19.06.2025 № 140 "Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в п. 9-1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" [12] официально опубликован 1 августа 2025 г. Вступил в силу 1 сентября 2025 г. Приказ Роскомнадзора от 05.09.2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных" признан утратившим силу.

Согласно устанавливаемым требованиям при обезличивании персональных данных оператор должен обеспечить:

использование методов обезличивания ПДн, определенных Приказом Роскомнадзора от 19.06.2025 № 140;
определение перед началом осуществления действий по обезличиванию ПДн состава ПДн, подлежащих обезличиванию, субъектов, ПДн которых подлежат обезличиванию (массива ПДн, подлежащих обезличиванию);
оценку достаточности выбранного метода (методов) обезличивания ПДн для достижения целей обработки ПДн, полученных в результате обезличивания, на основании категорий субъектов, ПДн которых подлежат обезличиванию, категорий ПДн, подлежащих обезличиванию, и правовых оснований обработки ПДн, подлежащих обезличиванию;
невозможность без использования дополнительной информации определения принадлежности ПДн, полученных в результате обезличивания, субъекту ПДн путем применения методов обезличивания;
использование информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обезличивания ПДн, в которых обеспечиваются безопасность и конфиденциальность ПДн, подлежащих обезличиванию и ПДн, полученных в результате обезличивания, в случае обезличивания ПДн с использованием средств автоматизации;
исключение совместного хранения массива ПДн, подлежащих обезличиванию, и ПДн, полученных в результате обезличивания;
учет осуществляемых действий по обезличиванию ПДн, действий (операций), совершаемых с ПДн, полученными в результате обезличивания, в определенной оператором форме, позволяющей обеспечить подтверждение осуществленных оператором действий, по обезличиванию ПДн, действий (операций), совершаемых с ПДн, полученными в результате обезличивания.

В качестве методов обезличивания ПДн определены:

метод введения идентификаторов ПДн, подлежащих обезличиванию;
метод изменения состава или семантики ПДн, подлежащих обезличиванию;
метод перемешивания ПДн, подлежащих обезличиванию;
метод декомпозиции ПДн, подлежащих обезличиванию.

Дополнительно к указанным выше методам может применяться метод преобразования массива ПДн, подлежащих обезличиванию, путем:

обобщения (агрегации) атрибутов ПДн [13] субъектов ПДн;
обобщения (агрегации) атрибутов ПДн субъектов ПДн, а также установления заданного количества различных значений атрибутов ПДн;
обобщения (агрегации) атрибутов ПДн субъектов ПДн, а также установления заданного количества различных значений атрибутов ПДн, позволяющего отобразить исходное распределение каждого значения атрибутов ПДн.

Обезличивание ПДн при запросе Минцифры России

Постановление Правительства Российской Федерации от 01.08.2025 № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных" [14] официально опубликовано 5 августа 2025 г. Вступило в силу с 1 сентября 2025 г.

В отличие от Приказа Роскомнадзора от 19.06.2025 № 140 данное Постановление Правительства РФ устанавливает требования к обезличиванию ПДн при получении оператором от Минцифры России требования о предоставлении ПДн, полученных в результате обезличивания ПДн, направляемого в соответствии с ч. 2 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

В случае Постановления Правительства РФ от 01.08.2025 № 1154 к методам обезличивания ПДн отнесены:

метод введения идентификаторов;
метод изменения состава или семантики;
метод декомпозиции;
метод перемешивания;
метод преобразования.

Изменения в положении о госконтроле за обработкой ПДн

Постановление Правительства РФ от 27.08.2025 № 1286 "О внесении изменений в постановление Правительства Российской Федерации от 29 июня 2021 г. № 1046" [15] официально опубликовано 28 августа 2025 г. Документ вступил в силу с 5 сентября 2025 г. Постановление Правительства РФ от 27.08.2025 № 1286 вносит изменения в Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденное постановлением Правительства Российской Федерации от 29 июня 2021 г. № 1046.

В частности, скорректирована периодичность контрольных (надзорных) мероприятий в зависимости от рисков причинения вреда (ущерба) охраняемым законом ценностям. В отношении объектов контроля, отнесенных к категории высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие раз в два года или один обязательный профилактический визит в год. Периодичность проведения обязательных профилактических визитов для объектов контроля, отнесенных к категории значительного, среднего или умеренного риска, устанавливается в соответствии с периодичностью, определенной Правительством РФ. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля, отнесенных к категории значительного, среднего, умеренного или низкого риска и обязательные профилактические визиты в отношении объектов контроля, отнесенных к категории низкого риска, не проводятся.

Скорректированы нормы для профилактического визита. Отмечается, что профилактический визит проводится по инициативе контролирующего органа (обязательный профилактический визит) или по инициативе контролируемого лица. Профилактический визит проводится в форме профилактической беседы должностным лицом контролирующего органа по месту осуществления деятельности контролируемого лица, либо путем использования видеоконференцсвязи или мобильного приложения "Инспектор". Для инспекционного визита и выездной проверки возможно также использование средств дистанционного взаимодействия, в том числе видеоконференцсвязи или мобильного приложения "Инспектор".

Продление переходного периода для центров ГосСОПКА

Приказ ФСБ России от 21.07.2025 № 282 "О внесении изменения в приказ ФСБ России от 1 ноября 2022 г. № 543 "Об определении переходного периода, предусмотренного подп. "б" п. 5 Указа Президента Российской Федерации от 1 мая 2022 № 250" [16] официально опубликовано 20 августа 2025 г.

Ранее Приказом ФСБ России от 01.11.2022 № 543 был определен переходный период (три года), в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с ФСБ России (НКЦКИ) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. То есть осуществлять деятельность центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) без аккредитации.

Ранее срок переходного периода заканчивался в декабре 2025 г., согласно изменениям, вносимым Приказом ФСБ России от 21.07.2025 № 282, переходный период продлен до пяти лет, то есть до декабря 2027 г.

Изменения в форме направления сведений о категорировании объектов КИИ

Приказ ФСТЭК России от 11.07.2025 № 247 "О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22 декабря 2017 г. № 236" [17] официально опубликован 21 августа 2025 г. и вступил в силу с 1 сентября 2025 г.

Отметим, что согласно приказу ФСТЭК России от 11.07.2025 № 247 форма направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий дополняется следующими необходимыми к представлению сведениями:

Наименование типового отраслевого объекта КИИ, включенного в перечни типовых отраслевых объектов КИИ, которому соответствует объект.
Доменное имя и сетевой адрес объекта КИИ.

Уточняется, что для программноаппаратных средств и применяемых средств защиты информации необходимо указывать модели и производителей.

Изменения в порядок ведения реестра значимых объектов КИИ

Приказ ФСТЭК России от 17.07.2025 № 254 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. № 227" [18] официально опубликован 21 августа 2025 г. и также вступил в силу с 1 сентября 2025 г.

Приказом ФСТЭК России от 17.07.2025 № 254 предусматривается внесение в реестр значимых объектов КИИ информации о доменных именах и сетевой адресации. В регистрационном номере также будет учитываться не сфера (область) деятельности, в которой функционирует значимый объект КИИ, а сфера (область) деятельности, в которой выполняет функции (полномочия) или осуществляет деятельность субъект КИИ, которому принадлежит значимый объект КИИ.

Сведения из реестра будут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, ежемесячно, взамен установленного ранее срока – раз в квартал.