Обзор изменений в законодательстве за апрель 2026 года

18 мая 2026

Новости

В обзоре изменений за апрель 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим отраслевые особенности категорирования объектов КИИ в сфере связи, а также ракетно-космической промышленности.

Разберем изменения в приказах ФСТЭК России № 235 и № 239.

Рассмотрим порядок взаимодействия операторов ГИС с ГосСОПКА.

Разберем изменения в уголовной ответственности за причинение вреда КИИ и введение административной ответственности за нарушения правил доступа к объектам КИИ и их и эксплуатации.

2. Иное

Рассмотрим изменения в положениях о лицензировании деятельности по ТЗКИ, а также по разработке и производству СрЗИ.

Разберем изменения в Указе Президента РФ № 250.

Изучим требования к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС.

3. ФСТЭК России

Разберем официально опубликованный методический документ по мероприятиям и мерам защиты информации в ИС.

Изучим изменения в приказе ФСТЭК России № 117 и в положении о системе сертификации СрЗИ.

Разберем порядок расчета уровня защищенности объектов информационной инфраструктуры органов (организаций).

Рассмотрим справки-доклады о ходе работ по плану ТК 362 по состоянию на 27 марта и 29 апреля 2026 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ в сфере ракетно-космической промышленности

1 апреля официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 31.03.2026 № 356 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере ракетно-космической промышленности».

Субъектами КИИ в сфере ракетно-космической промышленности признаются организации, владеющие на праве собственности, аренды или ином законном основании информационными системами (далее – ИС), информационно-телекоммуникационными сетями (далее – ИТКС) и автоматизированными системами управления (далее – АСУ), функционирующими в данной сфере.

Дополнительные особенности процедуры категорирования:

при наличии каналов взаимодействия между различными ИС, ИТКС или АСУ решением субъекта КИИ они могут быть объединены в один объект КИИ;
при модернизации объект КИИ может быть разделен на несколько отдельных объектов;
после завершения присвоения категории значимости объектам КИИ субъекты направляют копии протоколов заседаний комиссии и актов категорирования в Государственную корпорацию по космической деятельности «Роскосмос» (далее – Госкорпорация «Роскосмос»).

Оценка показателей критериев значимости объектов КИИ, утвержденных постановлением Правительства № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее – перечень критериев значимости), проводится с учетом отраслевой специфики.

Номер показателя из перечня критериев значимости	Условия применения показателя	При расчете значения показателя учитывается	Особые условия применения показателя
1	Всеми субъектами КИИ, кроме Госкорпорации «Роскосмос»	Анализ проектной и эксплуатационной документации на наличие опасных факторов; прогнозирование ущерба жизни и здоровью на основе моделирования компьютерного инцидента; статистика нештатных ситуаций на объекте КИИ; количество людей в зоне возможного поражения при возникновении чрезвычайных ситуаций
8	Всеми субъектами КИИ	Ущерб субъекту КИИ в процентах от среднего годового дохода	Данные по доходам и налогам усредняются за предыдущий 5-летний период
9	Всеми субъектами КИИ	Ущерб федеральному бюджету РФ в процентах от среднего годового дохода субъекта КИИ	Данные по доходам и налогам усредняются за предыдущий 3-летний период
11	Субъектами, чьи объекты относятся к опасным производственным объектам (кроме Госкорпорации «Роскосмос»)	Наличие и задействованность объектов КИИ в управлении опасными производственными объектами; масштаб территории возможного вредного воздействия на окружающую среду; количество людей, потенциально подверженных вредному воздействию	Сравнивается с субпозициями «а» и «б» позиции 11 перечня критериев значимости
13	Субъектами КИИ – государственными заказчиками, головными исполнителями, исполнителями и соисполнителями государственного оборонного заказа (далее – гособоронзаказа)	Порядок расчета определяется отраслевыми особенностями категорирования объектов КИИ в сфере оборонной промышленности
13.1	Субъектами КИИ – головными исполнителями, исполнителями контракта с головным исполнителем, соисполнителями, субподрядчиками или поставщиками в рамках гособоронзаказа

Отраслевые особенности категорирования объектов КИИ сферы связи

13 апреля официально опубликовано постановление Правительства РФ от 13.04.2026 № 402 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в сфере связи».

Субъектами КИИ в сфере связи признаются государственные органы, государственные учреждения, российские юридические лица, осуществляющие деятельность в области оказания услуг связи, владеющие на праве собственности, аренды или ином законном основании ИС, ИТКС и АСУ, функционирующими в данной сфере, а также российские юридические лица, обеспечивающие взаимодействие указанных систем или сетей.

Дополнительные особенности процедуры категорирования:

комиссия по категорированию может включать представителей Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) или Федеральной службы по надзору в сфере связи, информационных технологий (далее – ИТ) и массовых коммуникаций для подведомственных им организаций, а также представителей Минцифры России в комиссиях операторов универсального обслуживания;
применяются два метода расчета значений показателей критериев значимости:

o метод расчета наихудших последствий (оценка максимально возможного ущерба от компьютерных атак, компьютерных инцидентов);

o метод моделирования компьютерных атак, компьютерных инцидентов и их негативных последствий на основе типовых отраслевых объектов КИИ.

отраслевым признаком значимости является фактическое количество абонентов, обслуживаемых с использованием объекта КИИ.

Оценка показателей критериев значимости объектов КИИ проводится с учетом отраслевой специфики.

Номер показателя из перечня критериев значимости	Условия применения показателя	При расчете значения показателя учитывается	Особые условия применения показателя
4 «а»	Всеми субъектами КИИ	Количество абонентов (физических и юридических лиц), с которыми заключены договоры об оказании услуг связи с использованием объекта КИИ. При оказании нескольких услуг связи расчет ведется раздельно по каждой услуге	Категория значимости присваивается по совокупности значений показателя, полученных применительно к каждой услуге
4 «б»	Субъектами КИИ (участниками закупок при наличии действующих контрактов на услуги связи, государственных, муниципальных контрактов на услуги связи или договоров услуг связи с Центральным банком РФ)	Уровень и количество органов государственной власти (организаций), перечисленных в значениях показателя, для которых могут быть нарушены или недоступны услуги связи
6	Субъектами КИИ (участниками закупок при наличии действующих контрактов на услуги связи, государственных, муниципальных контрактов на услуги связи или договоров услуг связи с Центральным банком РФ) в случае, если в отсутствие услуг связи государственный орган (организация) не сможет выполнять возложенную функцию (полномочие)	Вероятность прекращения или нарушения функционирования государственных органов (организаций) в части невыполнения их функции (полномочия) из-за невозможности реализации обеспечиваемого объектом КИИ процесса	Оценивается критичность недоступности услуг именно для выполнения государственных функций
8	Субъектами КИИ, являющимися государственными корпорациями, унитарными предприятиями, компаниями, организациями оборонно-промышленного комплекса, стратегическими акционерными обществами или предприятиями	Ущерб субъекту КИИ в процентах от среднего годового дохода	Учитываются все обязательные платежи (НДС, акцизы и иные)
9	Всеми субъектами КИИ	Ущерб федеральному бюджету РФ в процентах от среднего годового дохода субъекта КИИ	Масштаб ущерба оценивается относительно прогнозируемого дохода федерального бюджета

Документ вступает в силу 1 сентября 2026 года и действует до 1 сентября 2032 года.

Изменения в приказы ФСТЭК России № 235 и № 239

7 апреля опубликован проект приказа Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239».

Ключевые изменения в требования к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России 21.12.2017 № 235:

добавится новый пункт, регламентирующий проведение контроля состояния безопасности значимых объектов КИИ, в рамках которого должен проводиться расчет:

o не реже 1 раза в 6 месяцев показателя защищенности (Кзи), который характеризует текущее состояние обеспечения безопасности от базового уровня угроз (проводится в соответствии с методикой оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ, утвержденной ФСТЭК России от 11.11.2025);

o не реже 1 раза в 2 года показателя уровня зрелости (Пзи), который определяет достаточность и эффективность проведенных мероприятий по обеспечению безопасности (соответствующая методика ФСТЭК России по оценке Пзи еще не представлена).

если значения показателей не будут соответствовать нормированным (установленным методическими документами), в течение 3 календарных дней информируется руководитель субъекта КИИ для принятия решения о проведении дополнительных мероприятий по обеспечению безопасности;
результаты оценки показателей в срок не позднее 5 рабочих дней после расчета должны будут направляться в ФСТЭК России.

Ключевые изменения в требованиях по обеспечению безопасности значимых объектов КИИ РФ, утвержденных приказом ФСТЭК России 25.12.2017 № 239:

требование о технической поддержке будет касаться только средств защиты информации (далее – СрЗИ), а упоминание гарантийной поддержки исключено;
учет возможных ограничений со стороны разработчика будет обязателен только для СрЗИ;
меры по обеспечению безопасности значимых объектов КИИ могут быть дополнены организационными и техническими мерами, решение о необходимости осуществления которых будет принимать ФСТЭК России.

Вступление в силу приказа запланировано на 1 сентября 2026 года.

Дата окончания общественного обсуждения 22 апреля 2026 года.

Порядок взаимодействия операторов ГИС с ГосСОПКА

30 апреля Федеральной службой безопасности РФ (далее – ФСБ России) опубликован проект приказа «Об утверждении Порядка взаимодействия операторов государственных информационных систем (далее – ГИС), иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных ИС информации».

Будет установлен единый порядок взаимодействия с ГосСОПКА через Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) для операторов:

ГИС;
иных ИС государственных органов;
ИС государственных унитарных предприятий;
ИС государственных учреждений.

Взаимодействие будет осуществляться через личный кабинет субъекта ГосСОПКА, зарегистрированного посредством подключения к технической инфраструктуре НКЦКИ.

Подключение к личному кабинету и начало взаимодействия будет возможно только после заключения регламента взаимодействия с НКЦКИ.

Срок в 24 часа установится как для передачи и получения информации в рамках взаимодействия с НКЦКИ, так и для ответов на запросы НКЦКИ.

Дата окончания общественного обсуждения 15 мая 2026 года.

Изменения в уголовной ответственности за причинение вреда КИИ

9 апреля официально опубликован Федеральный закон от 09.04.2026 № 76-ФЗ «О внесении изменений в статью 274-1 Уголовного кодекса РФ».

Различия между опубликованной и проектной версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Административная ответственность за нарушения правил доступа и эксплуатации в КИИ

9 апреля официально опубликован Федеральный закон от 09.04.2026 № 77-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях»

Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Иное

Изменения в положении о лицензировании деятельности по разработке и производству СрЗИ

10 апреля опубликован проект постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по разработке и производству СрЗИ, утвержденное постановлением Правительства РФ от 03.03.2012 № 171»

Запрет на осуществление деятельности дополнится:

юридическими лицами, руководители которых имеют гражданство иностранного государства
индивидуальными предпринимателями, имеющими гражданство иностранного государства.

Для лицензирующих органов (ФСТЭК России и ФСБ России) изменятся требования к соискателям лицензий и лицензиатам. Логика и перечень изменений совпадают с приведенным в таблице примером требований к соискателям лицензий.

Элемент требования для соискателя лицензии (ФСТЭК России)	Действующая редакция	Редакция проекта
Руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо	Одно из перечисленного: 1. высшее образование по направлению информационной безопасности (далее – ИБ) + стаж 5 лет; 2. высшее образование (математических, естественных, инженерных, технических наук) + стаж 7 лет; 3. иное высшее + стаж 5 лет + профпереподготовка по ИБ (≥ 360 ч)	Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 5 лет; 2. иное высшее + стаж 5 лет + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ
Инженерно-технические работники (далее – ИТР)	Не менее 2 человек. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по ИБ (≥ 360 ч)	Не менее 5 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ
Помещения	Наличие по месту осуществления деятельности помещений (нежилых), принадлежащих на праве собственности или ином законном основании. Созданы условия для размещения работников, оборудования и обсуждения информации ограниченного доступа	Без существенных изменений по тексту
Оборудование и программные средства	Наличие на праве собственности или ином законном основании оборудования по перечню ФСТЭК России, в том числе: производственное и испытательное; измерительные приборы с поверкой; программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов программного обеспечения (далее – ПО)	Добавлено: 1. применение СрЗИ должно соответствовать требованиям п. 6 Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ» (запрет использования СрЗИ недружественных стран). 2. право собственности на СрЗИ должно предусматривать владение и пользование
Документация	Наличие технической и технологической документации, национальных стандартов и методических документов по перечню ФСТЭК России. Документы с ограниченным доступом получены в установленном порядке	Упоминание технической и технологической документации по тексту заменено упоминанием нормативных правовых актов. Документы с ограниченным доступом могут быть не только получены, но и учтены в установленном порядке
Система производственного контроля (разработка)	Наличие системы производственного контроля, включающей правила проверки системы разработки и учета изменений в документации	Разделено на два блока: 1. для технических СрЗИ: система контроля качества, правила проверки качества, учет изменений в конструкторскую документацию. 2. для программных СрЗИ: система контроля качества, в которой реализованы процессы безопасной разработки ПО, соответствующие требованиям национального стандарта ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования»
Система производственного контроля (производство)	Наличие системы производственного контроля, включающей правила проверки системы производства, оценки качества продукции, учета изменений и готовой продукции	Без существенных изменений по тексту
Аттестованная информационная система	Отсутствует	Наличие по месту осуществления деятельности информационной системы, предназначенной для обработки конфиденциальной информации, средств защиты такой информации, прошедших оценку соответствия (аттестованной и/или сертифицированной по требованиям безопасности информации)

Расширится перечень оснований, считающихся грубыми нарушениями, включая осуществление деятельности иностранными лицами.

Скорректируется состав документов для получения лицензии. В перечень будут включены копии:

руководства по безопасной разработке ПО СрЗИ;
документов, подтверждающих систему контроля качества, в которой реализованы процессы безопасной разработки ПО, соответствующие требованиям ГОСТ Р 56939-2024.

Оценка соответствия соискателя лицензии (лицензиата) лицензионным требованиям сможет проводиться как в форме документарной, так и выездной оценки.

Порядок приостановления, возобновления и аннулирования лицензии будет устанавливаться лицензирующим органом.

Вступление в силу постановления запланировано на 1 марта 2027 года.

Дата окончания общественного обсуждения 2 мая 2026 года.

Изменения в положение о лицензировании деятельности по ТЗКИ

6 апреля опубликован проект постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации (далее – ТЗКИ), утвержденное постановлением Правительства РФ от 03.02.2012 № 79 (далее – Постановление № 79)».

Запрет на осуществление деятельности дополнится:

юридическими лицами, руководители которых имеют гражданство иностранного государства;
индивидуальными предпринимателями, имеющими гражданство иностранного государства.

Для лицензирующего органа изменится требование к соискателям лицензий и лицензиатам. Логика и перечень изменений совпадают с приведенным в таблице примером требований к соискателям лицензий.

Элемент требования для соискателя лицензии	Действующая редакция	Редакция проекта
Руководитель и (или) уполномоченное руководить работами по лицензируемому виду деятельности лицо	Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 3 года; 2. высшее образование (математических, естественных, инженерных, технических наук) + стаж 5 лет; 3. иное высшее + стаж 5 лет + профпереподготовка по ИБ (≥ 360 ч)	Одно из перечисленного: 1. высшее образование по направлению ИБ + стаж 3 года; 2. иное высшее + стаж 5 лет + профпереподготовка по программам, согласованным лицензирующим органом, по одной из специальностей в области ИБ
Инженерно-технические работники	Не менее 2 человек. Одно из перечисленного: 1. высшее образование по ИБ + стаж 3 года 2. иное высшее + стаж 3 года + профпереподготовка по ИБ (≥ 360 ч)	Дифференцировано по видам работ: 1. для услуг, предусмотренных подпунктами «а», «б», «д», «е» пункта 4 Постановления №79: Не менее 5 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию. 2. для услуг, предусмотренных подпунктом «в» пункта 4 Постановления №79: Не менее 15 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию. 3. для услуг, предусмотренных подпунктом «г» пункта 4 Постановления №79: Не менее 9 человек, прошедших повышение квалификации по направлению работ в течение 1 года до подачи заявления и соответствующих требованиям к стажу и образованию
Помещения	Наличие по месту осуществления деятельности помещений (нежилых), принадлежащих на праве собственности или ином законном основании. Созданы условия для размещения работников, оборудования и обсуждения информации ограниченного доступа	Без существенных изменений по тексту
Оборудование и программные средства	Наличие на праве собственности или ином законном основании оборудования по перечню ФСТЭК России, в том числе: – производственное и испытательное; – измерительные приборы с поверкой; – программные (программно-технические) средства, включая средства контроля эффективности защиты информации, сертифицированные по требованиям безопасности информации, а также средства контроля (анализа) исходных текстов ПО	Добавлено: 1. Применение СрЗИ должно соответствовать требованиям п. 6 Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ» (запрет использования СрЗИ недружественных стран). 2. Право собственности на СрЗИ должно предусматривать владение и пользование
Документация	Наличие технической и технологической документации, национальных стандартов и методических документов по перечню ФСТЭК России. Документы с ограниченным доступом получены в установленном порядке	Упоминание технической и технологической документации по тексту заменено упоминанием нормативных правовых актов. Документы с ограниченным доступом могут быть не только получены, но и учтены в установленном порядке
Система производственного контроля	Отсутствует	Наличие системы производственного контроля качества выполняемых работ и (или) оказываемых услуг (при выполнении работ, указанных в подпунктах «а», «б», «в», «г» пункта 4 Постановления №79)
Аттестованная информационная система	Наличие по месту осуществления деятельности автоматизированной системы, предназначенной для обработки конфиденциальной информации, средств защиты такой информации, прошедших оценку соответствия (аттестованной и/или сертифицированной по требованиям безопасности информации)	Без существенных изменений по тексту

Скорректируется состав документов для получения лицензии.

Вступление в силу постановления запланировано на 1 марта 2027 года.

Дата окончания общественного обсуждения 27 апреля 2026 года.

Изменение в Указе Президента РФ № 250

30 апреля опубликован проект указа Президента РФ «О внесении изменений в Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению ИБ РФ».

Проект дополнит существующий перечень обязанностей подпунктом «ж», обязывающим принимать меры по достижению целевых значений показателей, характеризующих уровень защищенности принадлежащих им ГИС, иных ИС и значимых объектов КИИ.

Установятся показатели уровня защищенности объектов информационной инфраструктуры и их целевые значения:

обеспечена защищенность объектов информационной инфраструктуры в органе (организации) от актуальных угроз в информационной сфере;
на не менее 80 % объектов информационной инфраструктуры, функционирующих в отрасли (сфере деятельности), обеспечена защищенность от актуальных угроз в информационной сфере;
на не менее 80 % объектов информационной инфраструктуры, находящихся в ведении органов исполнительной власти субъектов РФ, обеспечена защищенность от актуальных угроз в информационной сфере.

Дата окончания общественного обсуждения 15 мая 2026 года.

Требования к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС

23 апреля опубликован проект постановления Правительства РФ «Об утверждении требований к порядку создания и эксплуатации государственными органами ИС, не являющихся ГИС (далее – Требования) и внесении изменений в постановление Правительства РФ от 16.11.2015»

Требования будут распространяться на ИС, создаваемые государственными органами для организационного, информационного, документационного, финансового и технического обеспечения своей деятельности и не подпадающие под режим ГИС.

Вводятся два новых ключевых понятия:

фасеты систем – укрупненные группировки уникальных классификационных признаков систем по характеристикам и иным параметрам;
стандарт – документ, устанавливающий минимальные требования для соответствующей фасеты, включая состав функций, процессов и иных характеристик, которым должна соответствовать система.

Стандарты разрабатываются Минцифры России и размещаются на портале федеральной ГИС координации информатизации.

Системы будут создаваться с учетом модели угроз безопасности информации и уровней защищенности персональных данных.

В реестровые записи для ведения единого реестра российских программ для электронных вычислительных машин (далее – ЭВМ) и баз данных (далее – БД) и единого реестра программ для ЭВМ и БД из государств – членов Евразийского экономического союза, за исключением РФ, внесут новые специальные признаки для обеспечения маркировки ПО, применяемого в ИС государственных органов, не являющихся ГИС.

Дата окончания общественного обсуждения 8 мая 2026 года.

ФСТЭК России

Методический документ по мероприятиям и мерам защиты информации в ИС

Информационным сообщением ФСТЭК России от 14.04.2026 № 240/22/2457 утвержден методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в ИС».

Положения методического документа ФСТЭК России 11.02.2014 «Меры защиты информации в ГИС» больше не применяются.

Подробнее с документом можно ознакомиться в обзоре за февраль 2026 года Аналитического центра УЦСБ.

Ключевые отличия официальной версии документа от проекта:

переработаны мероприятия (процессы) по обеспечению защиты информации при использовании искусственного интеллекта (далее – ИИ), но убраны меры по защите систем ИИ (ЗИИ);
исключено упоминание об оценке достаточности и эффективности проведения мероприятий по защите информации на основе оценки уровня зрелости органа (организации) (Пзи), но остался показатель защищенности ИС (Кзи);
онлайн-обновления программных, программно-аппаратных средств теперь возможны, когда реализована проверка целостности и аутентичности обновлений на основе сертификатов безопасности с применением российских криптографических стандартов;
из мероприятий (процессов) удаленного доступа (УД) убран запрет на конкретные протоколы, но добавлена общая формулировка об обеспечении безопасной дистанционной работы;
в мероприятиях (процессах) по взаимодействию с подрядными организациями (ЗП) конкретизировано требование: «Удаленный доступ подрядных организаций к ИС должен осуществляться только с программно-аппаратных средств, размещенных на территории РФ»;
периодичность контроля уровня защищенности снижена: не реже 1 раза в 3 года или после компьютерного инцидента;
переработаны приложения № 1 и 2, значительно расширен перечень мер, для которых установлены обязательные требования;
добавлено приложение № 3, которое детально описывает методологию выбора мер защиты информации, включая определение класса защищенности, адаптацию базового набора мер, верификацию с моделью угроз и итоговое формирование требований.

Изменения в приказ ФСТЭК России № 117

17 апреля представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (далее –Требования), утвержденные приказом ФСТЭК России 11.04.2025 № 117».

В сферу действия документа включат технические средства и программы для ЭВМ и БД в соответствии с будущей редакцией ч. 5.1 ст. 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, ИТ и о защите информации» (далее – 149-ФЗ). Внесены соответствующие дополнения нового объекта регулирования в политиках, взаимодействии с подрядчиками и иное.

Создание и эксплуатация ИС на базе информационно-телекоммуникационной инфраструктуры и (или) с использованием технических средств и программ для ЭВМ и БД допускается при условии защиты информационно-телекоммуникационной инфраструктуры и (или) технических средств и программ для ЭВМ и БД в соответствии с Требованиями.

В отношении информационно-телекоммуникационной инфраструктуры, на которой функционируют технические средства и программы для ЭВМ и БД, используемые для функционирования ГИС, должна быть проведена ее аттестация по классу защищенности не ниже класса защищенности ГИС.

Исключено требование о постоянном доступе конечных устройств в сеть «Интернет». Внутренний стандарт по защите информации должен будет содержать требования к защите всех устройств, имеющих доступ в Интернет.

Расчет показателя уровня зрелости (Пзи) будет проводиться только подрядными организациями и до получения доступа к ИС.

Во ФСТЭК России будут направляться только результаты оценки показателя защищенности (Кзи).

Результатом реализации мероприятий плана по совершенствованию защиты информации должно быть достижение значений только показателя защищенности.

Достаточность и эффективность проводимых мероприятий будет оцениваться оператором по результатам определения показателя защищенности.

Допускается замена строгой аутентификации на усиленную многофакторную аутентификацию при использовании пользователями мобильных устройств.

Дата окончания общественного обсуждения 2 мая 2026 года.

Изменения в положении о системе сертификации СрЗИ

21 апреля официально опубликован приказ ФСТЭК России от 20.01.2026 № 9 «О внесении изменений в Положение о системе сертификации СрЗИ, утвержденное приказом ФСТЭК России от 03.04.2018 № 55».

В перечень документации, предоставляемой в лабораторию вместе с образцом СрЗИ, в приложения к заявке, а также в состав документов, предусмотренных иными процедурами сертификации, включены:

перечень заимствованных программных компонентов с открытым исходным кодом;
перечень образцов контейнеров.

Перечень оснований для аннулирования решения о проведении сертификации дополнен новым пунктом: «наличие в заключении органа по сертификации вывода о невозможности выдачи сертификата соответствия».

Для проведения сертификационных испытаний лаборатория отбирает образцы исключительно из числа СрЗИ от утечки по техническим каналам.

Срок рассмотрения и утверждения программы и методики сертификационных испытаний сокращен с 10 рабочих дней до 10 календарных дней.

Органу по сертификации установлен срок в 5 рабочих дней для информирования ФСТЭК России об утверждении программы и методики сертификационных испытаний.

Установлено четкое разделение материалов сертификационных испытаний СрЗИ на бумажный и электронный форматы представления.

При любом изменении состава заимствованных программных компонентов с открытым исходным кодом в составе СрЗИ изготовитель обязан направить во ФСТЭК России скорректированные данные в течение 5 календарных дней. В случае непредставления указанных сведений действие сертификата приостанавливается.

Порядок расчета уровня защищенности объектов информационной инфраструктуры органов (организаций)

30 апреля опубликован проект постановления Правительства РФ «О порядке расчета количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций)».

Документ утвердит правила определения количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций) (далее – Правила).

Действие Правил распространяется на следующие категории органов и организаций:

в отношении определения уровня защищенности ГИС и иных ИС:

o федеральные органы исполнительной власти;

o органы исполнительной власти субъектов РФ.

в отношении определения уровня защищенности значимых объектов КИИ РФ:

o государственные фонды;

o государственные корпорации (компании) и иные организации, созданные на основании федеральных законов;

o стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, являющиеся субъектами КИИ.

Уровень защищенности будет определяться по следующим показателям:

уровень текущего состояния защищенности объектов информационной инфраструктуры в органе (организации);
уровень защищенности объектов информационной инфраструктуры в каждой отрасли (сфере деятельности);
уровень защищенности объектов информационной инфраструктуры в субъекте РФ.

Дата окончания общественного обсуждения 15 мая 2026 года.

Деятельность ТК 362 в марте 2026 года

7 апреля ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 27 марта 2026 года.

В интересах выполнения плана были проведены следующие работы:

дорабатываются проекты национальных стандартов:

o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения». Плановый срок представления проекта национального стандарта в ТК 362 – апрель 2026 года. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года [БВВ Аналитического центра УЦСБ;

o ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;

o ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;

o ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации». Плановый срок представления проекта национального стандарта в ТК 362 – апрель 2026 года.

Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт) утверждены приказы:

o от 27.02.2026 № 350 «О внесении изменений в структуру ТК 362»;

o от 18.03.2026 № 505 «О внесении изменения в состав ТК 362».

В ТК 22 «ИТ» направлены результаты рассмотрения проектов предварительных национальных стандартов:

o ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;

o ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».

Деятельность ТК 362 в апреле 2026 года

6 мая ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану ТК 362 на 2026 год по состоянию на 29 апреля 2026 года.

В интересах выполнения плана были проведены следующие работы:

председателю ТК 362 представлены:

o результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в I квартале 2026 года;

o авторская редакция проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Среда разработки безопасного ПО. Общие требования».

дорабатываются проекты национальных стандартов:

o ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования». Плановый срок представления проекта национального стандарта в ТК 362 – май 2026 года;

o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения». Плановый срок представления проекта национального стандарта в ТК 362 – май 2026 года. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ;

в Росстандарт направлено:

o разъяснение об отличиях между активным и пассивным механизмами отказоустойчивости по ГОСТ Р ИСО/МЭК 15408-2-2013 «ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 2. Функциональные компоненты безопасности»;

o поправка и мотивированное предложение о ее внесении в ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной ИБ. Методология разработки».

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

Назад к списку