Обзор изменений в законодательстве за декабрь 2025 года

В обзоре изменений за декабрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим правила проверки сведений о категорировании объектов КИИ в атомной отрасли.

Проанализируем изменения в положении о НКЦКИ.

Рассмотрим порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения.

Разберем новые порядки обмена информацией между субъектами КИИ РФ и информирования ФСБ России о компьютерных атаках и инцидентах.

Изучим порядок непрерывного взаимодействия субъектов КИИ.

Проанализируем требования к средствам ГосСОПКА и ППКА, а также технические условия их установки и эксплуатации.

2. Персональные данные

Разберем изменения порядка идентификации иностранных абонентов операторами связи с использованием ЕБС.

3. Иное

Рассмотрим изменения в 149-ФЗ, корректировки требований к ПАК для включения в Реестр российского ПО и обновление проекта постановления о ГИС по противодействию киберпреступности.

4. ФСТЭК России

Разберем стандарт по защите от неправомерной передачи данных из информационных и автоматизированных систем.

Разберем методику анализа защищенности ИС.

Рассмотрим продление срока действия регламентов лицензионного контроля в сфере ТЗКИ и разработки СЗКИ.

Разберем изменения в положении о системе сертификации СрЗИ.

Рассмотрим справку-доклад о ходе работ по плану ТК 362 по состоянию на 28 ноября и 24 декабря 2025 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

5. Судебная практика

Рассмотрим судебную практику в области ИБ за 4 квартал 2025 года.

Критическая информационная инфраструктура

Правила проверки сведений о категорировании объектов КИИ в атомной отрасли

8 декабря 2025 года Государственной корпорацией по атомной энергии «Росатом» (далее – Госкорпорация Росатом) опубликован проект приказа «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ), осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127».

Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – Сведения о категорировании) для субъектов КИИ в области атомной энергии, оценят на актуальность и достоверность по правилам Госкорпорации Росатом (далее – Правила оценки сведений о категорировании).

Правила оценки сведений о категорировании Госкорпорацией Росатом включат следующие этапы:

• формирование рабочей группы для проведения оценки;
• ежегодный запрос сведений от Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) о всех субъектах КИИ в области атомной энергии;
• запрос Сведений о категорировании субъектам КИИ (срок ответа на запрос составит – 10 рабочих дней);
• утверждение до 10 апреля ежегодного графика выездных оценок по месту нахождения объектов КИИ;
• проведение выездной оценки объекта КИИ (не более 10 рабочих дней) с предварительным согласованием с субъектом КИИ даты, времени проведения оценки и иных условий;
• формирование и утверждение экспертного заключения в течение 15 рабочих дней по итогам оценки.

Субъекты КИИ смогут направить возражение на экспертное заключение в Госкорпорацию Росатом в течение 20 рабочих дней.

К организациям, привлекаемым для проведения оценки, установят требования, включающие:

• наличие действующей лицензии:
  
  o на проведение работ с использованием сведений, составляющих государственную тайну;
  o на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ) в части оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа (далее – НСД) и ее модификации в средствах и системах информатизации или услуг по мониторингу информационной безопасности (далее – ИБ) средств и систем информатизации.

• отсутствие в организации процедур реорганизации, ликвидации или банкротства;
• ведение основного вида деятельности в области информационных технологий (далее – ИТ) и иные требования.

Дата окончания общественного обсуждения – 23 декабря 2025 года.

Изменения положения о НКЦКИ

25 декабря официально опубликован приказ Федеральной службы безопасности РФ (далее – ФСБ России) от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам (далее – НКЦКИ), утвержденное приказом ФСБ России от 24.07.2018 № 366».

Различия между опубликованной и проектной версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения

26 декабря официально опубликован приказ ФСБ России от 23.12.2025 № 539 «Об утверждении Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

Ключевые отличия опубликованной версии документа от проекта:

• введена прямая обязанность субъектов КИИ по получению информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
• установлен фиксированный срок ответа на запрос НКЦКИ – 30 рабочих дней.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Новый порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ РФ

30 декабря официально опубликован приказ ФСБ России № 546 от 25.12.2025 «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты».

Различия между опубликованной и проектной версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Новый порядок информирования ФСБ России о компьютерных атаках и инцидентах

30 декабря официально опубликован приказ ФСБ России № 547 от 25.12.2025 «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ и иных информационных ресурсов РФ, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» (далее – 187-ФЗ)».

Ключевые отличия опубликованной версии документа от проекта:

• новый порядок будет распространяться и на субъектов КИИ, владеющих   объектами КИИ без присвоенной категории значимости;
• включена обязанность по информированию ФСБ России о компьютерных атаках и инцидентах в объектах КИИ без присвоенной категории значимости, срок составил 24 часа с момента обнаружения;
• уточнен порядок согласования плана реагирования с Центром защиты информации и специальной связи ФСБ России и Центральным банком РФ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок непрерывного взаимодействия субъектов КИИ

30 декабря официально опубликован приказ ФСБ России № 548 от 25.12.2025 «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов КИИ РФ, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ РФ, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 187-ФЗ, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) на информационные ресурсы РФ».

Различия между опубликованной и проектной версиями документа носят уточняющий характер и не меняют его концептуальную основу.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Порядок и технические условия установки и эксплуатации средств ГосСОПКА и ППКА

30 декабря официально опубликован приказ ФСБ России № 553 от 26.12.2025 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее – средств ГосСОПКА), в том числе средств, предназначенных для поиска признаков компьютерных атак (далее – средств ППКА), за исключением средств ППКА в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ»

Ключевые отличия опубликованной версии документа от проекта:

• дополнены технические требования для средств ППКА;
• из технических условий убраны требования ГОСТ Р 59316-2021 «Слаботочные системы. Кабельные системы. Телекоммуникационные пространства и помещения. Аппаратная комната. Общие требования» к помещениям, в которых размещаются средства ППКА.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Требования к средствам ГосСОПКА и ППКА

30 декабря официально опубликован приказ ФСБ России № 554 от 26.12.2025 «Об установлении требований к средствам ГосСОПКА, в том числе к средствам, предназначенным для ППКА»

Ключевые отличия опубликованной версии документа от проекта:

• из требований к средствам обнаружения и средствам ППКА исключены классы соответствия сертификатов для средств обнаружения компьютерных атак, разрабатываемых согласно пункту 1.4 Положения о системе сертификации средств защиты информации (далее – СрЗИ) по требованиям безопасности для сведений, составляющих государственную тайну, утвержденному приказом ФСБ России от 13.11.1999 № 564.

Подробнее с приказом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Новый приказ вступит в силу с 30 января 2026 года.

Персональные данные

Изменения порядка идентификации иностранных абонентов операторами связи

5 декабря 2025 года опубликован проект постановления Правительства РФ «О внесении изменений в Порядок подтверждения достоверности сведений об иностранном гражданине или лице без гражданства при заключении договора об оказании услуг подвижной радиотелефонной связи с использованием единой системы идентификации и аутентификации (далее – ЕСИА) и единой биометрической системы (далее – ЕБС), утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) от 02.12.2024 № 1012».

Согласно проекту, представление иностранным гражданином или лицом без гражданства своих биометрических персональных данных (далее – ПДн) в ЕБС для проверки их соответствия будет осуществляться:

• с применением пользовательского оборудования с идентификационным модулем;
• с применением технических средств оператора связи или лица, действующего от имени оператора связи.

По результатам проверки биометрических ПДн оператору связи или лицу, действующему от имени оператора связи, предоставят:

• идентификатор учетной записи в ЕСИА;
• информацию о результатах проверки соответствия.

Дата окончания общественного обсуждения – 20 декабря 2025 года.

Иное

Изменения в проект постановления о ГИС по противодействию киберпреступности

3 декабря 2025 года опубликована измененная редакция проекта постановления Правительства РФ «О государственной информационной системе (далее – ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий».

Ключевые отличия измененной версии документа от проекта:

• добавлен пункт с определением используемых понятий;
• детализирован перечень пользователей ГИС;
• дополнен перечень предоставляемых данных от пользователей ГИС.

Подробнее с проектом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ.

Дата окончания общественного обсуждения – 10 декабря 2025 года.

Скорректированы требования к ПАК для включения в Реестр российского ПО

10 декабря опубликовано постановление Правительства РФ от 09.12.2025 № 2001 «О внесении изменений в постановление Правительства РФ от 16.11.2015 № 1236».

Изменения внесены в правила формирования и ведения единого реестра российских программ для электронных вычислительных машин (далее – ЭВМ) и баз данных (далее – БД, Реестр российского ПО) и единого реестра программ для ЭВМ и БД из государств – членов Евразийского экономического союза, за исключением РФ, утвержденные постановлением Правительства РФ от 16.11.2015 № 1236.

Изменениями предусмотрены дополнительные требования к программно-аппаратным комплексам (далее – ПАК) для генеративных моделей:

• производителю ПАК должны принадлежать на праве собственности здания (помещения) не менее одного центра обработки данных, находящегося на территории РФ и обладающего электрической мощностью не менее 10 мегаватт;
• программное обеспечение (далее – ПО) в составе ПАК, должно обеспечивать:
  
  o хранение данных не менее одного эксабайта;
  o решение задач машинного обучения не менее чем на 1000 графических процессоров.

Внесены уточнения и дополнения в требования к техническим средствам в составе ПАК для включения в Реестр российского ПО включающие:

• интегральные схемы (чипы) с матричными умножителями или их аналогами, с определенными характеристиками;
• сетевые адаптеры со скоростью не менее 400 гигабит в секунду каждый с поддержкой технологии RDMA (Remote Direct Memory Access) для объединения в высокоскоростную сеть.

Изменения в 149-ФЗ

29 декабря официально опубликован Федеральный закон от 29.12.2025 № 568-ФЗ «О внесении изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, ИТ и о защите информации» (далее – 149-ФЗ)».

Ключевые изменения в 149-ФЗ:

• ГИС разделены на федеральные и региональные;
• государственные органы смогут создавать ИС, не являющиеся ГИС, для обеспечения своей деятельности (далее – иные ИС);
• закреплена обязанность операторов ГИС и иных ИС обеспечивать взаимодействие с ГосСОПКА;
• допускается использование облачных сервисов для создания и эксплуатации как ГИС, так и иных ИС.

Федеральный закон вступит в силу с 1 сентября 2026 года.

ФСТЭК России

Стандарт по защите от неправомерной передачи данных из информационных и автоматизированных систем

12 декабря 2025 года ФСТЭК России опубликовала проект национального стандарта «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения».

Стандарт установит мероприятия и рекомендации по защите информации от неправомерной передачи или распространения из информационных и автоматизированных систем в результате действий пользователей с правами доступа к защищаемой информации.

Положения стандарта применят для защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.

Стандарт предназначен для организаций:

• федеральных органов исполнительной власти;
• субъектов КИИ;
• операторов ГИС;
• операторов информационных систем (далее – ИС) ПДн и иных.

Мероприятия по защите информации реализуют в процессе создания, модернизации или эксплуатации систем на этапах:

• подготовки к эксплуатации:
  
  o определение каналов неправомерной передачи информации;
  o уведомление пользователей о мониторинге их действий;
  o определение запретов и правил для пользователей;
  o подготовка и взаимодействие подразделений ИБ и иное.
• в процессе эксплуатации:
  
  o выявление признаков неправомерной передачи или распространения информации;
  o реагирование на выявленные факты или попытки передачи информации;
  o анализ результатов деятельности по защите информации от неправомерной передачи или распространения.

Рекомендации по проведению мероприятий по защите информации структурируют по 4 уровням контроля:

• уровень объектов контроля (серверы, средства вычислительной техники и иное);
• уровень взаимодействия с объектами контроля (получение копии сетевого трафика, перехват трафика сервисов коммуникации и иное);
• уровень выявления признаков возможной неправомерной передачи или распространения (предварительная обработка файлов, реагирование на нарушения и иное);
• уровень представления результатов неправомерной передачи или распространения (отчеты о событиях безопасности, пользователях и их связях).

Методика анализа защищенности ИС

4 декабря 2025 года ФСТЭК России опубликовала информационное сообщение от 04.12.2025 № 240/22/6902 «Об утверждении Методики анализа защищенности ИС».

Методика определяет организацию, порядок проведения и содержание работ, выполняемых в ходе испытаний систем защиты информации ИС, автоматизированных систем управления, информационно-телекоммуникационных сетей.

Методика применяется в ходе:

• аттестации ИС на соответствие требованиям по защите информации;
• контроля уровня защищенности конфиденциальной информации от НСД и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации;
• оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.

Методика имеет 4 основных этапа проведения анализа уязвимостей:

• сбор исходной информации;
• внешний анализ уязвимостей;
• внутренний анализ уязвимостей;
• оценка выявленных уязвимостей.

По результатам анализа уязвимостей исполнитель составляет отчет (протокол), который должен содержать:

• информацию об использованных средствах выявления уязвимостей;
• результаты инвентаризации ИС;
• перечень и описание выявленных уязвимостей с отчетами средств выявления уязвимостей и иную информацию.

Отмечаем, что общество с ограниченной ответственностью «Уральский центр систем безопасности» (ООО «УЦСБ») успешно реализует проекты по анализу защищенности и имеет необходимую лицензию на оказание таких услуг.

Продление срока действия регламентов лицензионного контроля в сфере ТЗКИ и разработки СЗКИ

30 декабря 2025 года официально опубликован приказ ФСТЭК России от 29.12.2025 № 487 «О внесении изменений в приказы ФСТЭК России от 12.05.2025 № 163 и от 12.05.2025 № 164»

Приказ продлевает до 31 декабря 2028 года применение следующих документов:

• приказа ФСТЭК России от 12.05.2025 № 163 «Об установлении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по ТЗКИ»;
• приказа ФСТЭК России от 12.05.2025 № 164 «Об установлении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ) (в пределах компетенции ФСТЭК России)».

Приказ вступил в силу с 31 декабря 2025 года.

Изменение положения о системе сертификации СрЗИ

25 декабря 2025 года ФСТЭК России опубликовала проект приказа «О внесении изменений в Положение о системе сертификации СрЗИ, утвержденное приказом ФСТЭК России от 03.04.2018 № 55».

К документам, прилагаемым к заявке на сертификацию СрЗИ, добавят:

• перечень заимствованных программных компонентов с открытым исходным кодом;
• перечень образов контейнеров (при их наличии в составе СрЗИ).

Требование о предоставлении новых перечней документов распространится на последующие этапы сертификации СрЗИ. Детализируется способ предоставления документов в электронном или бумажном виде.

Дополнительным основанием для аннулирования решения о проведении сертификации СрЗИ станет наличие в заключении органа по сертификации вывода о невозможности выдачи сертификата соответствия.

Новым основанием для приостановления действия сертификата СрЗИ станет непредставление сведений о внесении изменений в перечень заимствованных программных компонентов с открытым исходным кодом, входящих в состав СрЗИ.

Дата окончания общественного обсуждения – 25 декабря 2025 года.

Деятельность ТК 362 в ноябре 2025

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 28 ноября 2025 года.

В интересах выполнения плана были проведены следующие работы:

• председателем ТК 362 утверждена перспективная программа работы ТК 362 на период до 2030 года;
• подготовлено и разослано информационное письмо о подготовке предложений в план работы ТК 362 на 2026 год;
• председателю ТК 362 представлены:
  
  o проект ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения» для принятия решения об организации голосования по вопросу его представления на утверждение в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт);
• проведено рассмотрение организациями-членами ТК 362 проектов национальных стандартов:
  
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 1. Подсистема сравнения – биометрическая верификация»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО Часть 2. Подсистема сравнения – биометрическая идентификация»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 3. Подсистема обнаружения атаки на биометрическое предъявление»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 4. Биометрическая система – биометрическая верификация»;
  o ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 1. Общие требования»;
  o ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 2. Методология оценки эксплуатационных характеристик ПО».
• организовано и проведено рассмотрение организациями-членами ТК 362 проектов предварительных национальных стандартов:
  
  o ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;
  o ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».
• проект ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года Аналитического центра УЦСБ;
• проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ;
• подготовлены и направлены в технический комитет «Искусственный интеллект» (далее – ТК 164) результаты рассмотрения окончательной редакции проекта ГОСТ Р «Искусственный интеллект в КИИ. Общие положения». Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ.

Деятельность ТК 362 в декабре 2025

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану ТК 362 на 2025 год по состоянию на 24 декабря 2025 года.

В интересах выполнения плана были проведены следующие работы:

• подготовлен и направлен на согласование председателям подкомитетов проект плана работы ТК 362 на 2026 год;
• организовано голосование по вопросу представления в Росстандарт проекта ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
• дорабатываются проекты национальных стандартов:
  
  o ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования». Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года Аналитического центра УЦСБ;
  o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения». Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ.

• в технический комитет «ИТ» направлены результаты рассмотрения проектов предварительных национальных стандартов:
  
  o ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;
  o ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».
• в технический комитет по стандартизации «Биометрия и биомониторинг» направлены результаты рассмотрения проектов национальных стандартов:
  
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 1. Подсистема сравнения – биометрическая верификация»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО Часть 2. Подсистема сравнения – биометрическая идентификация»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 3. Подсистема обнаружения атаки на биометрическое предъявление»;
  o ГОСТ Р «ИТ. Биометрия. Испытательные стенды для оценки эксплуатационных характеристик ПО. Часть 4. Биометрическая система – биометрическая верификация»;
  o ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 1. Общие требования»;
  o ГОСТ Р «ИТ. Биометрия. Обнаружение инъекционной атаки. Часть 2. Методология оценки эксплуатационных характеристик ПО».
• отправлены на рассмотрение в организации-члены ТК 362 проекты национальных стандартов:
  
  o ГОСТ Р «ИТ. Биометрия. Обнаружение атаки на биометрическое предъявление. Часть 5.2. Расширенная классификация инструментов атаки на биометрическое предъявление. Модальность «лицо»;
  o ГОСТ Р ИСО/МЭК 27006-1 «ИБ, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ. Часть 1. Общие положения».
• в Ассоциацию больших данных и в ТК 164 направлен запрос на получение окончательных редакций проектов:
  
  o ПНСТ «Синтез данных. Термины и определения процесса синтеза. Часть 1»
  o ПНСТ «Синтез данных. Архитектура процесса синтезирования данных. Методы синтезирования. Часть 2»
  o ПНСТ «Синтез данных. Описание результатов процесса синтезирования. Методика оценки качества. Часть 3»

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

• реестр лицензий на деятельность по ТЗКИ;
• реестр лицензий на деятельность по разработке и производству СЗКИ;
• государственный реестр сертифицированных СрЗИ;
• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;
• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;
• реестр аккредитованных ФСТЭК России органов по сертификации;
• реестр аккредитованных ФСТЭК России испытательных лабораторий;
• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
• перечень сертификатов соответствия процессов безопасной разработки ПО.

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

• деятельность по разработке и (или) производству СЗКИ (№Л050-00107-00/00579687 от 08 октября 2007 года);
• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года).

Судебная практика

Средства массовой информации не обязаны удалять устаревшие сведения о субъекте ПДн

27 мая 2025 года Верховный Суд РФ, рассмотрев гражданское дело по иску гражданина к ООО «Редакция газеты «Новый вариант», федеральному государственному унитарному предприятию «Всероссийская государственная телевизионная и радиовещательная компания», а также к его филиалу государственной телевизионной и радиовещательной компании «Вятка», постановил, что на средства массовой информации (далее – СМИ) не может быть возложена обязанность по удалению правомерно опубликованных материалов о гражданине и его изображений только на основании утраты актуальности этих материалов.

В 2023 году бывший директор городского рынка потребовал прекратить распространение статей и видеосюжетов, посвященных реорганизации городского рынка, где были отражены его фамилия, имя и отчество (далее – ФИО), должность и фотографии. Истец считает, что эти сведения утратили актуальность, перестали представлять общественный интерес. Но СМИ отклонили требование истца, утверждая, что материалы были созданы и опубликованы законно.

В ходе судебного разбирательства судебная коллегия по гражданским делам Верховного Суда РФ указала, что в соответствии с п. 1 ст. 152 Гражданского кодекса РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускается только с согласия этого гражданина. Такое согласие не требуется в случаях, когда:

• использование изображения осуществляется в государственных, общественных или иных публичных интересах;
• изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является объектом использования;
• гражданин позировал за плату.

Суд установил, что ПДн истца использованы ответчиками в общественных интересах в контексте, связанном освещением деятельности Центрального рынка г. Кирова и профессиональной деятельностью истца, которая в тот период была непосредственно связана с деятельностью указанной коммерческой организации. В соответствии с этим, получение согласия истца на использование его изображения не является необходимым. Опубликованные СМИ сведения не затрагивали частную жизнь истца и не выходили за рамки информации о работе Центрального рынка г. Кирова.

Судебная коллегия по гражданским делам Верховного Суда РФ постановила отменить апелляционное определение и определение кассационного суда, оставив в силе решение Савеловского районного суда г. Москвы.

Пересылка сообщения самому себе является разглашением коммерческой тайны

5 августа 2025 года Судебная коллегия по гражданским делам Восьмого кассационного суда общей юрисдикции, рассмотрев дело о правомерности увольнения работника по пп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ, постановила, что передача конфиденциальной информации в личный Telegram-аккаунт считается разглашением такой информации, независимо от того, имел ли место факт ознакомления с ней третьих лиц.

Истец обратился в суд с иском к ООО «Микрофинансовая компания «Лайм Займ» о защите трудовых прав, содержащим следующие требования:

• отменить приказ о расторжении трудового договора;
• восстановить его на работе в должности директора департамента управления рисками;
• аннулировать запись в трудовой книжке об увольнении;
• взыскать средний заработок за период вынужденного прогула;
• взыскать компенсацию морального вреда в размере 500 тыс. руб.

В ходе судебного разбирательства было установлено, что в результате проведения внутренней проверки с 28.12.2023 по 29.12.2023 работодатель выявил факт неоднократного нарушения истцом трудового договора, должностной инструкции, соглашения о конфиденциальности и требований внутренних документов компании. Истец неоднократно пересылал конфиденциальные документы и информацию, включая данные, составляющие коммерческую тайну и содержащие ПДн других работников, на сторонний адрес посредством сервиса Telegram, используя собственный аккаунт в данной платформе.

Суды первой инстанции и апелляционной инстанции признали увольнение работника законным. Они указали, что передача информации с рабочего аккаунта на личный Telegram-аккаунт создает риски неконтролируемого распространения и противоречит правовым нормам. Решение основано на постановлении Конституционного Суда РФ от 26.10.2017 № 25-П «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона от 27.07.2006№ 149-ФЗ «Об информации, информационных технологиях и о защите информации». В соответствии с указанным нормативным правовым документом передача информации с адреса электронной почты, контролируемой обладателем информации, на свой (личный) адрес электронной почты квалифицируется как нарушение прав обладателя информации при наличии мер по предотвращению несанкционированного доступа и запретов на такую передачу

Судебная коллегия Восьмого кассационного суда оставила без изменения решения судов первой и апелляционной инстанций. Кассационная жалоба истца отклонена.

Привлечение к ответственности оператора ПДн за некорректное согласие на обработку ПДн субъекта ПДн

22 сентября 2025 года Арбитражный суд г. Москвы, рассмотрев дело об административном правонарушении, возбужденное 05.06.2025, вынес решение о признании образовательной автономной некоммерческой организации дополнительного профессионального образования «СКАЕНГ» (далее – ОАНО ДПО «СКАЕНГ») виновной в совершении административного правонарушения, предусмотренного по ч. 2 ст. 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП РФ): обработка ПДн без письменного согласия субъекта ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области ПДн, а также обработка ПДн с нарушением требований к составу сведений, включаемых в такое согласие.

На сайте ОАНО ДПО «СКАЕНГ» (https://skyeng.ru) при регистрации в личном кабинете пользователь дает согласие на обработку ПДн и получение рекламной рассылки (далее – Согласие). В соответствии с текстом Согласия «Согласие распространяется на следующие категории данных, включая ПДн: ФИО; номер телефона; адрес электронной почты. Согласие на обработку ПДн предоставляется с целью получения рекламы от Организации».

В процессе судебного разбирательства было установлено, что при регистрации на официальном веб-сайте ОАНО ДПО «СКАЕНГ» пользователь получает доступ к личному кабинету, который предоставляет возможность приобретать образовательные услуги. В разделе «Профиль» личного кабинета пользователь может заполнить поле «Основная информация», которое включает графы для ввода ПДн, в частности, пол и дата рождения. Также предусмотрена возможность загрузки фотографии пользователя. При вводе данных в поле «Основная информация» появляется информационное сообщение следующего содержания: «Фотография поможет преподавателю идентифицировать вас, если ваше имя совпадает с именем другого учащегося».

В соответствии с Политикой конфиденциальности ОАНО ДПО «СКАЕНГ», размещенной на официальном веб-сайте, организация осуществляет обработку ПДн потребителей с целью продвижения товаров, работ и услуг на рынке, а также для подготовки, заключения и исполнения гражданско-правовых договоров. Кроме того, в Политике конфиденциальности ОАНО ДПО «СКАЕНГ» указана возможность обработки большего объема ПДн, чем тот, который был представлен в Согласии.

Судом было назначено наказание в виде административного штрафа в размере 150 тысяч рублей, так как представитель ответчика указал, что общество находится в реестре социально ориентированных некоммерческих организаций и, в соответствии со ст. 4.1.2 КоАП РФ имеет право на назначение штрафа в размере половины административного штрафа.

Штраф за несоблюдение сохранности ПДн

25 ноября 2025 года Арбитражный суд г. Москвы, рассмотрев дело об административном правонарушении, признал АО «Почта России» виновным по ч.1 ст.13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн.

В ходе мониторинга электронных средств массовой информации Роскомнадзор выявил массив ПДн объёмом более 26 миллионов строк, размещенный в открытом доступе. База данных содержала ФИО клиентов АО «Почта России», номера телефонов, адреса электронной почты, а также информацию о почтовых отправлениях. В процессе внеплановой проверки ИС «Сервис отслеживания регистрируемых почтовых отправлений» АО «Почта России» было установлено соответствие данных в обнаруженном массиве с реальными данными клиентов. По данным АО «Почта России» к распространению ПДн привели действия внутреннего нарушителя, датой выявления АО «Почта России» инцидента является 05.12.2024.

В представленных материалах дела содержатся доказательства, подтверждающие наличие у АО «Почта России» возможности соблюдения установленных правил и норм, нарушение которых квалифицируется по ч.1 ст.13.11 КоАП РФ. Однако, несмотря на это, организация не предприняла всех необходимых и возможных мер для обеспечения их соблюдения.

Суд назначил административное наказание в виде штрафа в размере 150 тыс. руб.

Наказание за отсутствие уведомления о трансграничной передаче ПДн

8 сентября 2025 года Арбитражный суд Республики Башкортостан, рассмотрев дело об административном правонарушении, признал виновным директора ООО «Образовательное агентство «Инкорт» (далее – ООО «ОА «Инкорт») по ч. 10. ст. 13.11 КоАП РФ: невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн.

ООО «ОА «Инкорт» осуществляет деятельность по организации поездок несовершеннолетних лиц в зарубежные страны.

В ходе прокурорской проверки, направленной на контроль за соблюдением законодательства о противодействии экстремизму и обеспечение безопасности ПДн, был проведен анализ электронного почтового ящика организации (incort2@mail.rul). В результате данной проверки установлено, что в июне-июле 2025 года ПДн девяти несовершеннолетних лиц были переданы представителю учебного центра Е1ас (andrew@elac.co.uk), расположенного в Соединенном Королевстве Великобритания. Переданные данные включали следующую информацию: ФИО, дата рождения, пол, национальность, гражданство, номер и срок действия заграничного паспорта. Датой совершения административного правонарушения является 20.06.2025 – день отправки ПДн.

На основании ч. 2 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) приказом Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» утвержден перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, в который включено Соединенное Королевство Великобритании и Северной Ирландии.

ООО «ОА «Инкорт» до начала осуществления деятельности по трансграничной передаче ПДн не направило уведомление в Роскомнадзор в соответствии со ст. 12 152-ФЗ.

Судом назначено административное наказание в виде предупреждения.

Штраф за несанкционированную передачу компьютерной информации

Суд г. Хакасии, рассмотрев дело об уголовном правонарушении, вынес решение о признании 17-летнего гражданина виновным по ч. 3 ст. 272.1 Уголовного кодекса (далее – УК) РФ: незаконные сбор и хранение компьютерной информации, содержащей ПДн, полученной незаконным путем, совершенные из корыстной заинтересованности.

В ходе судебного заседания установлено, что подросток, используя личный персональный компьютер, осуществил сбор из закрытых источников в сети Интернет ПДн граждан РФ, в том числе несовершеннолетних. Указанную информацию гражданин хранил в памяти личного компьютера для дальнейшей продажи путем создания специализированной системы в мессенджере, однако его преступные действия были пресечены сотрудниками правоохранительных органов.

Суд назначил наказание в виде штрафа в размере 40 тыс. руб. 

Лишение свободы за неправомерное воздействие на критическую информационную инфраструктуру

1. АО «Почта Банк»

17 июня 2025 года Волжский городской суд Волгоградской области, рассмотрев дело об уголовном правонарушении, вынес решение о признании гражданки виновной по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Подсудимая, используя служебный компьютер, оснащенный программным обеспечением АО «Почта Банк» для интеграции с Единой Автоматизированной Системе Отделений Почтовой Связи АО «Почта Банк», осуществляла вход в интерфейс АО «Почта Банк» под своей служебной учетной записью и оформляла заявления на открытие сберегательных счетов и выдачу расчетных (дебетовых) карт без фактического согласия клиентов. Это привело к искажению критической информации, нарушению целостности ИС и утрате ее объективности, достоверности и актуальности. Так как АО «Почта Банк» является субъектом КИИ, был нанесен вред объекту КИИ.

Суд признал гражданку виновной в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ. По совокупности преступлений ей назначено наказание в виде 4 лет лишения свободы на основании ч. 3 ст. 69 УК РФ (открытие сберегательных счетов и выдача расчетных (дебетовых) карт для каждого физического лица было рассмотрено в индивидуальном порядке). В соответствии со ст. 73 УК РФ назначенное наказание признано условным с испытательным сроком 3 года.

2. Салон сотовой связи

21 апреля 2025 года Псковский городской суд Псковской области, рассмотрев дело об уголовном правонарушении, вынес решение о признании гражданки виновной по ч. 4 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Управляющая салоном сотовой связи, осуществляющего деятельность в сфере телекоммуникаций и являющегося субъектом КИИ. В обязанности гражданки входило оформление договоров об оказании услуг связи, приём и обработка заявлений от абонентов по документу, удостоверяющему личность клиента, а также только при его личном присутствии в салоне сотовой связи.

В процессе сверки договоров на оказание услуг связи подсудимая обнаружила активированную сим-карту, не прошедшую процедуру официальной регистрации. С целью устранения данного нарушения, гражданка приняла решение зарегистрировать сим-карту в установленном порядке. Используя служебный компьютер и данные своей учетной записи, она заполнила регистрационную форму в автоматизированной информационной системе «Автоматизированная система расчетов», которая внесена в реестр значимых объектов КИИ. В регистрационной форме гражданка указала вымышленные данные абонента. После заполнения формы, подсудимая распечатала и подписала ее своего имени как оператора и от имени абонента. Данные действия были предприняты гражданкой с целью оказания помощи коллеге, так как за незарегистрированные сим-карты накладывались штрафные санкции.

Подсудимая своими действиями нанесла вред КИИ – автоматизированной информационной системе «Автоматизированная система расчетов», который выразился в модификации информации, содержащейся в базе данных указанной системы, в результате чего информация, циркулирующая в ней, перестала соответствовать объективности, достоверности и актуальности.

Суд назначил наказание с применением ст. 64 УК РФ в виде лишения свободы на срок 1,5 года. На основании ст. 73 УК РФ назначенное наказание признано условным с испытательным сроком 1 год.

Наказание за DDoS-атаку

26 марта 2025 года Аксайский районный суд Ростовской области, рассмотрев дело об уголовном правонарушении, вынес решение о признании гражданина виновным по ч. 1 ст. 274.1 УК РФ: неправомерное воздействие на КИИ РФ.

Подсудимый создал Телеграмм-аккаунт, под названием «Добро», на котором предлагал услуги по проведению атак типа «отказ в обслуживании» (DDoS) на объекты КИИ за денежное вознаграждение. Получив сообщение от аккаунта «Андрей» о намерении провести DDoS-атаку на веб-сайт «https://ниисва.орг», принадлежащий Федеральному государственному автономному научному учреждению «Научно-исследовательский институт «Специализированные вычислительные устройства защиты и автоматика», являющемуся объектом КИИ, за денежное вознаграждение в размере 350 долларов, подсудимый осуществил блокировку интернет-ресурса с использованием вредоносной компьютерной программы и иной компьютерной информации «ддгстрессер.ком», что привело к реализации DDoS-атаки.

В соответствии с заключением эксперта, ресурс «ддгстрессер.ком» является специализированным инструментом для осуществления компьютерных атак, классифицируемых как DDoS-атаки.

Суд назначил наказание в виде лишения свободы сроком на 2 года с отбыванием в колонии-поселении со штрафом в размере 500 тыс. руб.