Обзор изменений в законодательстве за август 2025 года

В обзоре изменений за август 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Опубликованы приказы ФСТЭК России, которые обновляют форму подачи сведений о категориях значимости объектов КИИ и порядок ведения реестра значимых объектов КИИ, приказ ФСБ России, продлевающий субъектам КИИ переходный период для создания структурных подразделений ГосСОПКА.

2. Персональные данные

Рассмотрим требования и методы к обезличиванию ПДн, изменения в процедурах и полномочиях Роскомнадзора при проведении государственного контроля за обработкой ПДн, а также перечень случаев использования биометрических данных из ЕБС.

3. Финансовые организации

Рассмотрим информационные письма Банка России:

• о подходах к передаче критически важных процессов на аутсорсинг;
• об обязанности кредитных организаций предоставлять клиентам информацию о причинах принятия ограничений банковского обслуживания.

4. Иное

Рассмотрим проект Федерального закона, разработанный с целью усиления борьбы с киберпреступностью, мошенничеством и правонарушениями, совершаемыми с использованием цифровых технологий.

Рассмотрим нововведения в регулировании ИТ-сферы и ПО, изменения формы отчетности операторов услуг платежной инфраструктуры, ряд изменений в государственном контроле в области связи, план реализации концепции государственной системы противодействия преступлениям с использованием информационно-коммуникационных технологий, а также требования к защите информации, составляющей профессиональную тайну ФСО России.

5. Деятельность ФСТЭК России

ФСТЭК России опубликовала проект стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» и ТК 362 приступил к его обсуждению.

Рассмотрим Справку-доклад о ходе работ по плану ТК 362 по состоянию на 29 августа 2025 года.

Критическая информационная инфраструктура

Изменения формы сведений о результатах категорирования объектов КИИ

21 августа 2025 года официально опубликован приказ Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры (далее – КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22.12.2017 № 236».

Приказ вносит изменения в существующую форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения категории.

В раздел 1 формы добавляются новые пункты:

• наименование типового отраслевого объекта КИИ, которому соответствует данный объект (согласно перечням, установленным Правительством Российской Федерации (далее – РФ));
• доменное имя и внешний сетевой адрес информационных ресурсов, принадлежащих или используемых органами или организациями.

Уточняются и изменяются существующие пункты:

• уточняется формулировка о сфере деятельности субъекта, которому принадлежит объект КИИ;
• конкретизируется описание элемента (компонента) объекта КИИ (объект в целом, центр обработки данных, серверное оборудование и т.д.);
• уточняется перечень и описание программно-аппаратных средств;
• детализируются требования к описанию применяемых средств защиты информации (далее – СрЗИ), включая реквизиты сертификатов соответствия или документов, объясняющих их отсутствие.

Изменения вступили в силу 1 сентября 2025 года.

Изменение порядка ведения реестра значимых объектов КИИ

21 августа 2025 года опубликован приказ ФСТЭК России от 17.07.2025 № 254 «О внесении изменений в Порядок ведения реестра значимых объектов КИИ РФ».

Приказ вносит следующие изменения в порядок ведения реестра:

• в перечень обязательных сведений теперь включаются доменное имя и сетевой адрес объекта КИИ;
• номер объекта в реестре имеет строгий формат XXXXXX/Х/XX/Х. Расшифровка формата:

     o   первые 6 цифр от 000001 до 999999 — это порядковый номер объекта КИИ в реестре;

     o   следующая цифра от 1 до 8 — это федеральный округ, на территории которого находится объект КИИ;

     o   следующая группа знаков содержит число от 01 до 14 – оно обозначает сферу (область) деятельности субъекта КИИ, которому принадлежит объект КИИ;

     o   последняя группа знаков содержит прописную букву «А», «Б» и «В» - она означает тип объекта КИИ («А» – информационная система (далее – ИС), «Б» – автоматизированная система управления технологическими процессами, «В» – информационно-телекоммуникационная сеть);

• сведения из реестра ежемесячно предоставляются государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики.

Изменения вступили в силу 1 сентября 2025 года.

Продление переходного периода для создания ГосСОПКА

20 августа 2025 года опубликован приказ Федеральной службы безопасности РФ (далее – ФСБ России) от 21.07.2025 № 282, который продлевает переходный период для создания субъектами КИИ структурных подразделений государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак с 3 до 5 лет.

В течение этого периода допускается осуществление мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на основании соглашений о сотрудничестве с ФСБ России (Национальным координационным центром по компьютерным инцидентам).

Персональные данные

Требования к обезличиванию ПДн

1 августа 2025 года был опубликован приказ Федеральной службы по надзору в сфере связи, информационных технологий (далее – ИТ) и массовых коммуникаций (далее – Роскомнадзор) от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных (далее – ПДн) и методов обезличивания ПДн, за исключением случаев, указанных в пункте 9-1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных». Приказ вступает в силу 1 сентября 2025 года, подробнее с документом можно ознакомиться в обзоре за март 2025 года Аналитического центра УЦСБ.

5 августа 2025 года опубликовано постановление Правительства РФ от 01.08.2025 № 1154 «Об утверждении требований к обезличиванию ПДн, методов обезличивания ПДн и правил обезличивания ПДн», которое вступает в силу 1 сентября 2025 года. Подробнее с документом можно ознакомиться в обзоре за апрель 2025 года Аналитического центра УЦСБ.

Изменения в государственном контроле (надзоре) за обработкой ПДн

28 августа 2025 года опубликовано постановление Правительства РФ от 27.08.2025 № 1286 «О внесении изменений в постановление Правительства РФ от 29.06.2021 №1046». Постановление вносит изменения в Положение о федеральном государственном контроле (надзоре) за обработкой ПДн.

Устанавливается периодичность плановых контрольных мероприятий и обязательных профилактических визитов:

• для объектов высокого риска: 1 плановое контрольное мероприятие раз в 2 года или 1 обязательный профилактический визит в год;
• для объектов значительного, среднего и умеренного риска: плановые проверки не проводятся, периодичность профилактических визитов будет устанавливаться Правительством РФ;
• для объектов низкого риска: не проводятся ни плановые проверки, ни обязательные профилактические визиты.

Профилактические визиты проводятся в форме профилактической беседы очно, по видео-конференц-связи (далее – ВКС) или через мобильное приложение «Инспектор».

Срок проведения обязательного визита увеличен с 5 до 10 рабочих дней.

Ко всем видам проверок добавлена возможность их проведения с использованием ВКС и мобильного приложения «Инспектор».

Осмотр, опрос и экспертиза может осуществляться с помощью ВКС и мобильного приложение «Инспектор». Фотосъемка и видеозапись проводится с помощью мобильного приложение «Инспектор».

Изменены и дополнены критерии отнесения объектов контроля к определенным категориям риска. К группам тяжести добавлены виды деятельности:

• обработка ПДн в информационных системах ПДн (далее – ИСПДн), содержащих более чем 100 000 субъектов ПДн в пределах субъекта РФ или РФ в целом;
• обработка ПДн на основании согласия субъекта, если федеральным законом не предусмотрена обязанность его получения;
• сбор ПДн осуществляется с использованием принадлежащих иностранным юридическим лицами и(или) иностранным гражданам ИС и программного обеспечения (далее – ПО) для электронных вычислительных машин (далее – ЭВМ);
• обработка ПДн несовершеннолетних лиц, в случаях, предусмотренных законодательством РФ.

Сокращены сроки рассмотрения жалоб на решения Роскомнадзора с 20 до 15 рабочих дней, а на жалобы об отнесении объектов контроля к соответствующей категории риска — до 5 рабочих дней.

 Новые случаи использования ЕБС

15 августа 2025 года был опубликован проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067 «О случаях и сроках использования биометрических ПДн, размещенных физическими лицами в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС».

Изменения позволят при личном взаимодействии с гражданином РФ использовать биометрические ПДн из ЕБС, размещенные с помощью мобильного приложения ЕБС, для подтверждения его возраста без предъявления документа, удостоверяющего личность, если это требуется по закону.

Подтверждение возраста будет осуществляться путем идентификации или аутентификации с помощью многофункционального сервиса обмена информацией во взаимодействии с федеральной государственной ИС (далее – ГИС) «Единый портал государственных и муниципальных услуг (функций)» (далее – Портал госуслуг).

Общественное обсуждение проекта завершилось 30 августа 2025 года.

Иное

Изменения в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий

25 августа 2025 года Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для обсуждения проект Федерального закона «О внесении изменений в отдельные законодательные акты РФ (в части противодействия правонарушениям, совершаемым с использованием информационно-коммуникационных технологий (далее – ИКТ))».

Законопроект вносит поправки в несколько ключевых федеральных законов с целью усиления борьбы с киберпреступностью, мошенничеством и иными правонарушениями, совершаемыми с использованием ИКТ.

Изменения в Федеральном законе от 07.07.2003 № 126-ФЗ «О связи»

Вводятся понятия:

• «База данных идентификаторов пользовательского оборудования (оконечного оборудования) оператора связи» – база, содержащая сведения об идентификаторах пользовательского оборудования (оконечного оборудования), использующихся при регистрации абонентского устройства при оказании услуг подвижной радиотелефонной связи;
• «Центральная база идентификаторов пользовательского оборудования (оконечного оборудования)» – база, которая содержит сведения о разрешенных и запрещенных к использованию идентификаторах.

В случае принятия изменений:

• будет создан единый реестр абонентских номеров, используемых для противоправных действий;
• сетевые адреса виртуальной автоматической телефонной станции (далее – ВАТС) должны будут соответствовать российской национальной системе доменных имен;
• при звонках от юридических лиц и индивидуальных предпринимателей (далее – ИП) на мобильные номера должно будет передаваться название организации или ИП;
• операторы связи будут обязаны:

     o   блокировать услуги связи для оборудования с запрещенными или не соответствующими требованиям идентификаторами;

     o   прекратить пропуск международных спам-звонков по желанию абонента;

     o   информировать абонента о входящих вызовах с иностранных номеров;

     o   выявлять номера, используемые для противоправных действий и вносить их в единый реестр абонентских номеров;

     o   приостанавливать обслуживание номеров на 24 часа по указанию ГИС противодействия правонарушениям, совершаемым с использованием ИКТ.

Изменения в Федеральном законе от 20.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Изменениями предлагается ввести запрет на распространение информации, направленной на введение в заблуждение пользователей (под видом достоверных сообщений), которая создает угрозу имущественного ущерба или неправомерного доступа к данным.

Организаторы сервисов обмена сообщениями, провайдеры хостинга, владельцы социальных сетей и сервисов объявлений будут обязаны взаимодействовать с ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, принимать меры по предотвращению правонарушений и передавать сведения о признаках противоправных действий.

Провайдеры хостинга смогут предоставлять мощности для ВАТС только с использованием сетевых адресов, соответствующих российской национальной системе доменных имен.

В перечень информации, распространение которой запрещено, предлагается добавить информацию:

• направленную на введение в заблуждение;
• для несанкционированного доступа, уничтожения или модификации данных (средства для кибератак).

Изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»

В случае принятия изменений появится возможность давать и отзывать согласие на обработку ПДн через единую систему идентификации и аутентификации (далее – ЕСИА).

Оператор будет не вправе требовать дачи согласия на обработку ПДн в случаях, если не предусмотрена обязанность получения такого согласия.

При сборе ПДн, в том числе посредством сети Интернет, и в случаях, установленных Правительством РФ, оператор будет обязан передать в ЕСИА информацию о факте обработки ПДн. Перечень передаваемой информации, порядок и сроки ее передачи будут установлены Правительством РФ. В банковской сфере и иных сферах финансового рынка указанные перечень, порядок и сроки будут дополнительно согласовываться с Банком России.

Граждане через Портал госуслуг получат право:

• запрашивать информацию, подтверждающую факт обработки их данных оператором;
• подавать жалобы на операторов в Роскомнадзор.

Государственные или муниципальные органы в пределах полномочий, а также иные лица в случаях и порядке, предусмотренных федеральными законами, смогут обрабатывать новые специальные категории ПДн об участии граждан РФ в специальной военной операции и (или) контртеррористических операциях, а также о принадлежности к семьям таких граждан РФ.

Изменения в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи»

Вводится понятие «сертификат безопасности национального удостоверяющего центра (далее – НУЦ)» – структурированная информация, созданная с использованием ГИС НУЦ, включающая в себя сведения об ИС, сайте, разработчике программы, ключе аутентификации и иные параметры.

Сертификаты безопасности НУЦ будут использоваться не только для подписи, но и для:

• аутентификации сайтов и ИС;
• подтверждения владения сайтом;
• подтверждения целостности и подлинности ПО;
• аутентификации в корпоративных системах.

Операторы ИС, владельцы сайтов в сети Интернет, разработчики программ для ЭВМ, участники электронного взаимодействия в корпоративной ИС, получившие сертификат безопасности НУЦ, будут обязаны:

• обеспечивать конфиденциальность ключа идентификации;
• уведомлять оператора ГИС НУЦ о нарушении конфиденциальности ключа идентификации;
• обеспечивать незамедлительное уничтожение ключа идентификации по истечении срока действия данного ключа.

Обеспечить предварительную установку сертификатов безопасности НУЦ для доступа к сайтам в сети Интернет будут обязаны:

• юридические лица и ИП, ведущие деятельность по разработке и (или) распространению средств криптографической защиты информации (далее – СКЗИ), сертифицированных ФСБ России;
• юридические лица, физические лица и ИП, ведущие на территории РФ деятельность по созданию и (или) модернизации программ для ЭВМ.

Правительство РФ может установить случаи обязательного использования сертификатов безопасности НУЦ для государственных органов и субъектов КИИ.

Изменения в Федеральном законе от 27.07.2011 № 161-ФЗ «О национальной платежной системе»

Будет создана ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, для оперативного предупреждения, выявления и пресечения правонарушений. В ней будет храниться информация о лицах, совершивших противоправные действия, включая абонентские номера, используемые для таких действий.

Операторы по переводу денежных средств (далее – Оператор) будут обязаны:

• получать из ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, сведения, предусмотренные для включения в единый реестр абонентских номеров;
• направлять в ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, информацию об абонентских номерах, используемых при обслуживании клиента;
• отказать в приеме распоряжения клиента, если выявлено воздействие вредоносного кода на ПО, используемое клиентом для переводов, незамедлительно уведомить клиента о причинах отказа и проинформировать о возможности совершить перевод при личном присутствии у Оператора;
• обеспечить защиту своего ПО (включая мобильные приложения и сайты) от воздействия вредоносного кода, если клиент дал на это согласие в договоре, при этом Оператор обязан включать в договор с клиентом положения, позволяющие дать согласие или отказаться от такой защиты.

При наличии сведений из ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, о признаках использования абонентского номера для противоправных действий, Оператор будет вправе приостановить использование электронного средства платежа на период нахождения этих сведений в данной ГИС.

Если Оператор, получив сведения из ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, все же исполнит распоряжение клиента о переводе с нарушением установленных требований, он будет обязан возместить клиенту сумму перевода в течение 30 дней с момента его обращения. Для возмещения будет необходимо наличие постановления о возбуждении уголовного дела по факту хищения денежных средств клиента.

Изменения в Федеральном законе от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ»

Устанавливаются дополнительные способы восстановления доступа к учетной записи на Портале госуслуг в случае взлома:

• с использованием ЕБС;
• посредством официального сайта банка в сети Интернет или банковского мобильного приложения;
• с использованием многофункционального сервиса обмена сообщениями;
• посредством личной явки в многофункциональный центр предоставления государственных и муниципальных услуг.

Публичное обсуждение проекта завершится 16 сентября 2025 года.

Изменения в регулировании ИТ-сферы: новые статусы, реестры и требования к ПО

31 июля 2025 года опубликован Федеральный закон от 31.07.2025 № 325-ФЗ «О внесении изменений в отдельные законодательные акты РФ», который вносит изменения в несколько ключевых законодательных актов РФ, регулирующих сферу ИТ, ПО и информационной безопасности (далее – ИБ).

Уточнения условий статуса оператора реестра российского ПО

В статью 12.1 Федерального закона от 20.07.2006 № 149-ФЗ «Об информации, ИТ и о защите информации» (далее – 149-ФЗ) внесены уточнения и условия для статуса оператора реестра российского ПО. Им может быть только некоммерческая организация, учредителем которой является РФ. Оператора реестра российского ПО определяет Правительство РФ по представлению Минцифры России.

Условия для статуса значимого разработчика российского ПО

В статью 15 Федерального закона от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием ИКТ, и о внесении изменений в отдельные законодательные акты РФ» вводится понятие «значимый разработчик российского ПО». Им будет признаваться российское хозяйственное общество, которое:

• находится под контролем РФ, субъектов РФ, муниципалитетов или российских граждан;
• заключило с Правительством РФ соглашение о разработке или модернизации ПО для импортозамещения в рамках особо значимых проектов.

Вести перечень разработчиков будет Минцифры России.

Требования для включения сведений в перечни программ для ЭВМ и БД

Внесены изменения в статью 2 Федерального закона от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры РФ», согласно которым Минцифры России будет вести:

• Перечень российских программ для ЭВМ и баз данных (далее – БД), разработанных и используемых для собственных нужд российскими юридическими лицами (далее – Перечень ПО для собственных нужд);
• Перечень доверенных российских программ для ЭВМ и БД (далее – Перечень доверенного ПО).

Согласно изменениям требование к значимым объектам КИИ по использованию  ПО, сведения о котором включены в единый реестр программ для ЭВМ и БД (далее – Реестр российского ПО), также будет выполнено при использовании ПО, включенного в Перечень ПО для собственных нужд.

В Перечень ПО для собственных нужд будут включаться сведения о программах для ЭВМ или БД, которые соответствуют следующим требованиям:

• исключительное право на программу для ЭВМ или БД на территории всего мира и на весь срок действия исключительного права принадлежит одному либо нескольким из следующих лиц (правообладателей):

     o   РФ, субъекту РФ, муниципальному образованию;

     o   российской некоммерческой организации, высший орган управления которой формируется прямо и (или) косвенно РФ, субъектами РФ, муниципальными образованиями и (или) гражданами РФ и решения которой иностранное лицо не имеет возможности определять в силу особенностей отношений между таким иностранным лицом и российской некоммерческой организацией;

     o   российской коммерческой организации, право распоряжения более чем 50% голосующих акций (долей) которой принадлежит РФ, субъекту РФ, муниципальному образованию или гражданину РФ;

     o   гражданину РФ;

• сведения о программе для ЭВМ или БД не составляют государственную тайну, программа для ЭВМ или БД не содержит сведений, составляющих государственную тайну.

Для включения сведений о программах для ЭВМ или БД в Перечень доверенного ПО необходимо соответствовать требованиям для включения в Перечень ПО для собственных нужд и следующим дополнительным критериям:

• сведения о программе для ЭВМ или БД включены в Реестр российского ПО или в Перечень ПО для собственных нужд;
• у граждан-правообладателей и у лиц, контролирующих организацию-правообладателя, отсутствует иностранное гражданство;
• программа для ЭВМ или БД соответствует требованиям к обеспечению ИБ, установленным Правительством РФ по согласованию с ФСБ России и ФСТЭК России.

Федеральный закон вступит в силу с 1 марта 2026 года.

Изменения в форме отчетности операторов услуг платежной инфраструктуры

8 августа 2025 года Банк России опубликовал указание «О внесении изменений в Указание Банка России от 27.06.2023 № 6470-У».

Отчетность о сведениях об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра составляется теперь и операторами услуг платежной инфраструктуры, которые ведут деятельность операционных центров и не являются кредитными организациями и иностранными банками, работающими через филиалы на территории РФ.

              Указание Банка России вступит в силу с 1 января 2026 года.

Изменения государственного контроля в области связи

15 августа 2025 года опубликовано постановление Правительства РФ от 14.08.2025 № 1216 «О внесении изменений в постановление Правительства РФ от 29 июня 2021 г. № 1045».

Документ вносит ряд изменений в осуществление государственного контроля в области связи, направленных на уточнение процедур контроля и внедрение цифровых инструментов.

Установлена периодичность плановых контрольных мероприятий и обязательных профилактических визитов в зависимости от категории риска объекта контроля:

• для категории высокого риска: 1 плановая проверка раз в 2 года или 1 обязательный профилактический визит 1 раз в год;
• для категорий значительного, среднего и умеренного риска: плановые проверки не проводятся, периодичность профилактических визитов будет устанавливаться Правительством РФ;
• для категории низкого риска: не проводятся ни плановые проверки, ни обязательные профилактические визиты.

Профилактические визиты проводятся в форме профилактической беседы (очно, по ВКС или через мобильного приложения «Инспектор»). Осмотр, опрос и экспертиза может осуществляться с помощью ВКС и мобильного приложение «Инспектор». Фотосъемка и видеозапись проводится с помощью мобильного приложение «Инспектор».

Сокращены сроки рассмотрения жалоб с 20 до 15 рабочих дней.

План реализации концепции ГИС противодействия правонарушениям, совершаемым с использованием ИКТ

20 августа 2025 года было опубликовано распоряжение Правительства РФ от 14.08.2025 № 2207-р, которое утверждает план реализации концепции ГИС противодействия правонарушениям, совершаемым с использованием ИКТ.

Распоряжение утверждает комплексный план мер, направленных на борьбу с киберпреступностью и иными правонарушениями, совершаемыми с использованием цифровых технологий.

План мероприятий включает шесть основных разделов, каждый из которых содержит конкретные поручения:

• совершенствование законодательства:

     o    определение объема необходимых для бизнеса ПДн;

     o    установление сроков хранения данных о пользователях для провайдеров;

     o    введение обязанности для ИТ-компаний уведомлять правоохранительные органы о выявленных преступлениях;

     o    ужесточение ответственности за киберпреступления и нарушения в сфере ПДн;

• совершенствование профилактики противоправных деяний:

    o    вовлечение граждан в мероприятия по профилактике противоправных деяний, в том числе в мероприятия по их противодействию;

    o    повышение цифровой и финансовой грамотности населения;

    o    защита несовершеннолетних от вовлечения в противоправную деятельность в сети Интернет;

    o    мониторинг соблюдения законодательства о противодействии отмыванию денег;

• организационные, технические и иные меры противодействия противоправным деяниям:

    o    создание депозитария профилактических материалов;

    o    борьба с фишингом (создание реестра надежных сайтов, упрощение процедуры закрытия фишинговых доменов);

    o    контроль за оборотом цифровых валют;

    o    повышение безопасности государственных услуг (верификация номеров телефонов);

    o    информирование граждан об угрозах через мобильные приложения;

    o    рассмотрение механизма добровольного согласия на ограничение доступа к опасному контенту;

    o    борьба с использованием искусственного интеллекта (далее – ИИ) в преступных целях;

    o    ограничение доступа к запрещенной информации и реализация мер по выявлению и ограничению оборота специального оборудования, используемого при совершении противоправных действий;

• кадровое обеспечение:

    o    поддержка молодых специалистов в сфере кибербезопасности;

    o    повышение квалификации сотрудников и оснащение их современной техникой;

• развитие международного сотрудничества:

    o    работа по подписанию и ратификации Конвенции Организации Объединенных Наций против киберпреступности;

    o    развитие сотрудничества с другими государствами;

    o    изучение международного опыта;

• развитие научного обеспечения:

   o    проведение научных исследований, в том числе по противодействию использованию ИИ;

   o    прогнозирование киберугроз;

   o    разработка новых криминалистических методов и средств;

   o    организация научно-практических мероприятий и экспертных групп.

Мероприятия запланированы на период с 2025 по 2028 год.

Требования к защите профессиональной тайны в ФСО России

27 августа 2025 опубликован приказ Федеральной службы охраны РФ (далее – ФСО России) от 07.07.2025 № 92 «Об утверждении требований к защите информации, составляющей профессиональную тайну федерального органа исполнительной власти в области государственной охраны (далее – Требования)», в соответствии с которым Требования:

• устанавливают порядок защиты служебной информации ограниченного доступа (профессиональной тайны) в ФСО России;
• определяют профессиональную тайну как информацию ограниченного доступа;
• устанавливают правила работы с носителями такой информации (в т.ч. маркировку «Для служебного пользования»);
• регламентируют, кому и при каких условиях может быть предоставлен доступ (военнослужащим, госслужащим, сотрудникам и, в исключительных случаях, представителям сторонних организаций);
• закрепляют обязанности лиц, получивших доступ, по соблюдению конфиденциальности и защите информации;
• запрещают обрабатывать такую информацию в незащищенных ИС и публичных местах;
• устанавливают порядок при утере носителей или разглашении информации;
• детально прописывают процедуру и условия передачи информации сторонним организациям (в рамках государственных закупок и взаимодействия), включая обязательные пункты договоров;
• вводят обязательную процедуру получения подписки об ознакомлении с требованиями и предупреждении об ответственности.

Установлена форма подписки об ознакомлении и предупреждении об ответственности.

ФСТЭК России

Проект ГОСТ по разработке безопасного ПО

4 августа 2025 года ФСТЭК России опубликовала проект национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования», который направлен на обсуждение техническому комитету по стандартизации «Защита информации» (далее – ТК 362). Проект стандарта устанавливает требования к выявлению и нейтрализации уязвимостей и недекларированных возможностей в сторонних компонентах ПО. Его применение позволит ускорить обнаружение известных уязвимостей, упростит внедрение процессов разработки безопасного ПО, повысит эффективность защиты от угроз и стандартизирует обмен информацией между участниками цепочки поставки ПО.

Стандарт предназначен для:

• разработчиков ПО и СрЗИ;
• разработчиков инструментов для композиционного анализа ПО и обеспечения безопасности цепочки поставок;
• организаций, оценивающих соответствие процессов разработки безопасного ПО требованиям данного стандарта.

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 29 августа 2025 года.

В интересах выполнения плана были проведены следующие работы:

• подготовлен и разослан в организации-члены ТК 362 для рассмотрения и согласования проект Перспективной программы работ ТК 362 на период до 2030 года;
• организовано публичное обсуждение проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования»;
• председателю ТК 362 представлен проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации». Организовано голосование по вопросу представления проекта стандарта в Федеральное агентство по техническому регулированию и метрологии на утверждение;
• председателю подкомитета ПК 2 «Разработка безопасного ПО» представлены на согласование проекты национальных стандартов:

     o    ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;

     o    ГОСТ Р «Защита информации. Разработка безопасного ПО. Методика оценки уровня реализации процессов разработки безопасного ПО»;

• в технический комитет по стандартизации ТК 079 «Оценка соответствия» подготовлены и направлены результаты рассмотрения проекта национального стандарта ГОСТ Р «ИБ, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ»;
• в технический комитет по стандартизации ТК 098 «Биометрия и биомониторинг» подготовлены и направлены результаты рассмотрения проектов национальных стандартов:

     o    ГОСТ Р «ИТ. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 5. Расширенная классификация разновидностей атак»;

     o    ГОСТ Р «ИТ. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 6. Оценка потенциала атаки»;

     o    ГОСТ Р «ИТ. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 7. Морфинг».