Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В июле 2025 г. было опубликовано информационное сообщение ФСТЭК России "Об утверждении методического документа ФСТЭК России "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" [1].
Новый методический документ "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" [2] был утвержден ФСТЭК России 30 июня 2025 г. В связи с утверждением новой методики не применяется для оценки уровня критичности уязвимостей программных, программно-аппаратных средств предыдущая версия "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств", утвержденная ФСТЭК России 28 октября 2022 г. Рассмотрим основные отличия новой методики.
Отмечается, что пересчет значения уровня критичности уязвимости должен осуществляться на постоянной основе (по возможности автоматизированными средствами) при выявлении новых сведений об уязвимости, например, выпуске разработчиком обновлений, устраняющих уязвимость, появление в открытом доступе средств эксплуатации уязвимости.
российских программ для ЭВМ и БД Федеральный закон от 31.07.2025 № 325-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [3] официально опубликован 31 июля 2025 г. Вступает в силу с 1 марта 2026 г. и в частности вносит изменения в Федеральный закон от 07.04.2025 № 58-ФЗ "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации".
Так, Федеральным законом от 31.07.2025 № 325-ФЗ определено, что Минцифры России формирует и ведет перечень российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами. В случае, если федеральными законами и иными нормативными правовыми актами установлено требование об использовании программы для ЭВМ и БД, сведения о которых включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный ст. 12.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", указанное требование считается выполненным при условии использования программ для ЭВМ и БД, сведения о которых включены в перечень.
Соответственно, обязанность использования на значимых объектах КИИ программного обеспечения, включенного в единый реестр российских программ для ЭВМ и БД, установленная Федеральным законом от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", также будет считаться исполненной в случае использования программ для ЭВМ и БД, сведения о которых включены в перечень.
Минцифры России будет вести перечень доверенных российских программ для ЭВМ и БД.
В июле 2025 г. на общественное обсуждение были представлены отраслевые особенности категорирования объектов КИИ.
В июле 2025 г. официально были опубликованы следующие приказы:
Оба приказа заменяют ранее действовавший приказ ФСТЭК России от 01.06.2023 № 107 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации" и приказ ФСТЭК России от 01.06.2023 № 108 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)". Новые приказы будут применяться до 31.12.2025 г. включительно.
Информационное сообщение ФСТЭК России от 07.05.2025 № 240/24/2531 "Об утверждении Требований по безопасности информации к средствам обнаружения и реагирования на уровне узла" [8] было опубликовано на официальном сайте ФСТЭК России 4 июля 2025 г.
Сама выписка из Требований по безопасности информации к средствам обнаружения и реагирования на уровне узла, утвержденных приказом ФСТЭК России от 26 февраля 2025 г. № 58 [9], доступна на сайте ФСТЭК России.
Указанный документ предназначен для организаций, осуществляющих разработку средств обнаружения и реагирования на уровне узла, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
К средствам обнаружения и реагирования на уровне узла устанавливается три класса защиты. Требования по безопасности информации предъявляются к:
При включении в средства обнаружения и реагирования на уровне узла дополнительных функций безопасности требования к таким функциям безопасности должны быть заданы в технических условиях или техническом задании, а полнота и корректность их реализации – оценены при проведении сертификации.
Постановление Правительства Российской Федерации от 08.07.2025 № 1028 "О внесении изменений в постановление Правительства Российской Федерации от 7 февраля 2024 г. № 132" официально опубликовано 9 июля 2025 г.
Постановлением Правительства Российской Федерации от 08.07.2025 № 1028 вносятся изменения в правила допуска должностных лиц и граждан Российской Федерации к государственной тайне. В частности, уточняются основания прекращения допуска к государственной тайне гражданина в случае прекращения исполнения им соответствующих обязанностей (полномочий).
Постановление Правительства РФ от 30.06.2025 № 984 "Об утверждении требований к техническим и программным средствам, используемым федеральными органами исполнительной власти и их должностными лицами при организации применения систем видеоконференцсвязи и вебконференции" [10] официально опубликовано и вступило в силу 1 июля 2025 г. Постановлением Правительства РФ от 30.06.2025 № 984, в частности определено:
Изменения в Положение Банка России по обеспечению защиты при переводе денежных средств Проект указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 г. № 821П" [11] был представлен к общественному обсуждению 9 июля 2025 г.
Проект разработан в целях гармонизации требований Положения Банка России от 17 августа 2023 г. № 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", а также установления дополнительных требований по защите информации для субъектов национальной платежной системы.
Приказ Роскомнадзора от 19.06.2025 № 140 "Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в п. 9-1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" [12] официально опубликован 1 августа 2025 г. Вступил в силу 1 сентября 2025 г. Приказ Роскомнадзора от 05.09.2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных" признан утратившим силу.
Согласно устанавливаемым требованиям при обезличивании персональных данных оператор должен обеспечить:
В качестве методов обезличивания ПДн определены:
Дополнительно к указанным выше методам может применяться метод преобразования массива ПДн, подлежащих обезличиванию, путем:
Постановление Правительства Российской Федерации от 01.08.2025 № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных" [14] официально опубликовано 5 августа 2025 г. Вступило в силу с 1 сентября 2025 г.
В отличие от Приказа Роскомнадзора от 19.06.2025 № 140 данное Постановление Правительства РФ устанавливает требования к обезличиванию ПДн при получении оператором от Минцифры России требования о предоставлении ПДн, полученных в результате обезличивания ПДн, направляемого в соответствии с ч. 2 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
В случае Постановления Правительства РФ от 01.08.2025 № 1154 к методам обезличивания ПДн отнесены:
Постановление Правительства РФ от 27.08.2025 № 1286 "О внесении изменений в постановление Правительства Российской Федерации от 29 июня 2021 г. № 1046" [15] официально опубликовано 28 августа 2025 г. Документ вступил в силу с 5 сентября 2025 г. Постановление Правительства РФ от 27.08.2025 № 1286 вносит изменения в Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденное постановлением Правительства Российской Федерации от 29 июня 2021 г. № 1046.
В частности, скорректирована периодичность контрольных (надзорных) мероприятий в зависимости от рисков причинения вреда (ущерба) охраняемым законом ценностям. В отношении объектов контроля, отнесенных к категории высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие раз в два года или один обязательный профилактический визит в год. Периодичность проведения обязательных профилактических визитов для объектов контроля, отнесенных к категории значительного, среднего или умеренного риска, устанавливается в соответствии с периодичностью, определенной Правительством РФ. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля, отнесенных к категории значительного, среднего, умеренного или низкого риска и обязательные профилактические визиты в отношении объектов контроля, отнесенных к категории низкого риска, не проводятся.
Скорректированы нормы для профилактического визита. Отмечается, что профилактический визит проводится по инициативе контролирующего органа (обязательный профилактический визит) или по инициативе контролируемого лица. Профилактический визит проводится в форме профилактической беседы должностным лицом контролирующего органа по месту осуществления деятельности контролируемого лица, либо путем использования видеоконференцсвязи или мобильного приложения "Инспектор". Для инспекционного визита и выездной проверки возможно также использование средств дистанционного взаимодействия, в том числе видеоконференцсвязи или мобильного приложения "Инспектор".
Приказ ФСБ России от 21.07.2025 № 282 "О внесении изменения в приказ ФСБ России от 1 ноября 2022 г. № 543 "Об определении переходного периода, предусмотренного подп. "б" п. 5 Указа Президента Российской Федерации от 1 мая 2022 № 250" [16] официально опубликовано 20 августа 2025 г.
Ранее Приказом ФСБ России от 01.11.2022 № 543 был определен переходный период (три года), в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с ФСБ России (НКЦКИ) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. То есть осуществлять деятельность центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) без аккредитации.
Ранее срок переходного периода заканчивался в декабре 2025 г., согласно изменениям, вносимым Приказом ФСБ России от 21.07.2025 № 282, переходный период продлен до пяти лет, то есть до декабря 2027 г.
Приказ ФСТЭК России от 11.07.2025 № 247 "О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22 декабря 2017 г. № 236" [17] официально опубликован 21 августа 2025 г. и вступил в силу с 1 сентября 2025 г.
Отметим, что согласно приказу ФСТЭК России от 11.07.2025 № 247 форма направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий дополняется следующими необходимыми к представлению сведениями:
Уточняется, что для программноаппаратных средств и применяемых средств защиты информации необходимо указывать модели и производителей.
Приказ ФСТЭК России от 17.07.2025 № 254 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСТЭК России от 6 декабря 2017 г. № 227" [18] официально опубликован 21 августа 2025 г. и также вступил в силу с 1 сентября 2025 г.
Приказом ФСТЭК России от 17.07.2025 № 254 предусматривается внесение в реестр значимых объектов КИИ информации о доменных именах и сетевой адресации. В регистрационном номере также будет учитываться не сфера (область) деятельности, в которой функционирует значимый объект КИИ, а сфера (область) деятельности, в которой выполняет функции (полномочия) или осуществляет деятельность субъект КИИ, которому принадлежит значимый объект КИИ.
Сведения из реестра будут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере, ежемесячно, взамен установленного ранее срока – раз в квартал.