УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг по ИБ и ИТ
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Комплексные системы безопасности (КСБ)
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Efros Defence Operations
    • Защищенная система управления базами данных Jatoba
    • Efros Config Inspector
    • Система диспетчеризации ЦОД DATCHECK
    • UDV ePlat4m КИИ
    • UDV DATAPK Industrial Kit
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
Продукты и услуги
  • Центр кибербезопасности
  • УЦСБ SOC (центр мониторинга ИБ)
  • DevSecOps-решение Apsafe
  • CheckU
  • Импортозамещение
  • Проектирование АСУ
  • 187-ФЗ
  • Консалтинг ИБ
  • Сервисная поддержка
  • ИТ-услуги и продукты
  • Собственные продукты и разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Telegram
    • YouTube
    • Хабр
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Центр кибербезопасности
    • УЦСБ SOC (центр мониторинга ИБ)
    • DevSecOps-решение Apsafe
    • CheckU
    • Импортозамещение
    • Проектирование АСУ
    • 187-ФЗ
    • Консалтинг ИБ
    • Сервисная поддержка
    • ИТ-услуги и продукты
    • Собственные продукты и разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Центр кибербезопасности
      • УЦСБ SOC (центр мониторинга ИБ)
      • DevSecOps-решение Apsafe
      • CheckU
      • Импортозамещение
      • Проектирование АСУ
      • 187-ФЗ
      • Консалтинг ИБ
      • Сервисная поддержка
      • ИТ-услуги и продукты
      • Собственные продукты и разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг по ИБ и ИТ
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Комплексные системы безопасности (КСБ)
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Efros Defence Operations
            • Защищенная система управления базами данных Jatoba
            • Efros Config Inspector
            • Система диспетчеризации ЦОД DATCHECK
            • UDV ePlat4m КИИ
            • UDV DATAPK Industrial Kit
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Центр кибербезопасности
          • УЦСБ SOC (центр мониторинга ИБ)
          • DevSecOps-решение Apsafe
          • CheckU
          • Импортозамещение
          • Проектирование АСУ
          • 187-ФЗ
          • Консалтинг ИБ
          • Сервисная поддержка
          • ИТ-услуги и продукты
          • Собственные продукты и разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за июнь 2025 года

        Обзор изменений в законодательстве за июнь 2025 года

        21 июля 2025
        Новости
        В обзоре изменений за июнь 2025 года рассмотрим следующие темы:

        1. Критическая информационная инфраструктура

        Проекты отраслевых особенностей категорирования объектов КИИ сфер транспорта, топливно-энергетического комплекса и энергетики, атомной энергии, химической промышленности, металлургической промышленности, горнодобывающей (в части руд, камней) промышленности, оборонной промышленности и науки. А также предложенные ФСТЭК России проект перечней типовых отраслевых объектов КИИ и изменения в Правилах категорирования объектов КИИ.

        2. Персональные данные

        Минцифры России разработало законопроект, направленный на защиту ПДн граждан РФ при трансграничной передаче данных. Вступили в силу требования о необходимости оформления согласия на обработку ПДн отдельно от иных документов. Представлен законопроект, направленный на расширение возможностей использования биометрических ПДн при проходе на территории организаций. Вступили в силу изменения в 152-ФЗ, а также правила:

        • взаимодействия Минцифры России с операторами ПДн;
        • формирования составов обезличенных ПДн;
        • предоставления доступа к составам обезличенных ПДн.

        3. Иное

        Вступил в силу закон о создании ГИС по противодействию преступлениям, совершаемым с использованием информационных технологий. Опубликован проект требований к обеспечению безопасности при предоставлении облачных услуг посредством Гособлака.

        4. Деятельность ФСТЭК России

        Рассмотрим официально опубликованные Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, которые придут на смену приказу ФСТЭК России № 17, а также проект изменений Порядка сертификации процессов безопасной разработки ПО и Справку-доклад о ходе работ по плану ТК 362 по состоянию на 30 июня 2025 года.

        5. Судебная практика

        Рассмотрим судебную практику в области информационной безопасности за 2 квартал 2025 года.

        Критическая информационная инфраструктура

        Перечни типовых отраслевых объектов КИИ

        Федеральная служба по техническому и экспортному контролю России (далее – ФСТЭК России) представила для общественного обсуждения проект постановления Правительства Российской Федерации (далее – РФ) «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ)». Проект разработан во исполнение изменений в Федеральном законе от 26.07.2017 № 187‑ФЗ «О безопасности КИИ РФ» (далее – 187-ФЗ), принятых в апреле 2025 года, согласно которым Правительство РФ должно устанавливать перечни типовых отраслевых объектов КИИ и отраслевые особенности категорирования таких объектов.

        В проекте для каждой сферы КИИ представлены типовые объекты (информационные системы (далее – ИС), информационно-телекоммуникационные сети, автоматизированные системы управления), типовые процессы или функции, выполняемые объектом, и виды деятельности, для обеспечения которых используется типовой объект.

        Общественное обсуждение проекта завершилось 18 июня 2025 года.

        Отраслевые особенности категорирования объектов КИИ

        Во исполнение изменений, внесенных в 187-ФЗ, Министерство промышленности и торговли РФ, Министерство транспорта РФ, Министерство науки и высшего образования РФ, Министерство энергетики РФ и Госкорпорация «Росатом» представили для общественного обсуждения проекты отраслевых особенностей категорирования объектов КИИ в сферах:

        • транспорта;
        • топливно-энергетического комплекса и энергетики;
        • атомной энергии;
        • химической промышленности;
        • металлургической промышленности;
        • горнодобывающей (в части руд, камней) промышленности;
        • оборонной промышленности;
        • науки.

        Изменения в правилах категорирования объектов КИИ

        ФСТЭК России внесла на рассмотрение проект изменений в постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений».

        Согласно изменениям:

        • категорированию будут подлежать объекты КИИ, включенные в перечни типовых отраслевых объектов КИИ;
        • из процесса категорирования исключаются этапы определения:

             o    процессов, выполняемых в рамках выполнения функций субъекта КИИ или осуществления видов деятельности субъектов КИИ;

             o    объектов КИИ, которые обрабатывают информацию, необходимую для обеспечения критических процессов;

        • установление соответствия объекта КИИ критериям значимости, расчет значений показателей критериев значимости и присвоение объекту КИИ одной из категорий значимости должны будут осуществляться в соответствии с отраслевыми особенностями категорирования объектов КИИ;
        • перечень сведений, который направляется в ФСТЭК России по результатам категорирования, дополняется доменными именами и сетевыми адресами объекта КИИ, взаимодействующего с сетями электросвязи общего пользования, в том числе с сетью «Интернет».

        Отраслевые особенности смогут регламентировать:

        • состав комиссии по категорированию и случаи ее расформирования;
        • перечень исходных данных для категорирования;
        • наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты КИИ;
        • сроки пересмотра установленных категорий значимости и другое.

        Общественное обсуждение проекта завершилось 24 июня 2025 года. В случае принятия изменения вступят в силу с 1 сентября 2025 года.

        Персональные данные

        Признание иностранных государств обеспечивающими адекватную защиту прав субъектов ПДн

        Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) внесло в Государственную думу на рассмотрение законопроект «О внесении изменений в статью 12 Федерального закона «О персональных данных» (далее – 152-ФЗ).

        Законопроект разработан в целях усиления защиты прав граждан РФ при осуществлении трансграничной передачи их персональных данных (далее – ПДн).

        Основное изменение затрагивает критерии отнесения иностранного государства к числу государств, обеспечивающих адекватную защиту прав субъектов ПДн. Если ранее иностранному государству необходимо было соответствовать одному из следующих требований:

        • являться стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн (далее – Конвенция);
        • нормы права и применяемые меры по обеспечению конфиденциальности и безопасности ПДн при их обработке должны соответствовать положениям Конвенции,

        то теперь наличия только правового регулирования в области ПДн, соответствующего положениям Конвенции, недостаточно. Для признания иностранного государства обеспечивающим адекватную защиту прав субъектов ПДн необходимо еще и фактическое принятие эффективных мер по соблюдению основополагающих принципов защиты, обеспечению конфиденциальности и безопасности ПДн при их обработке.

        Требование к оформлению согласия на обработку ПДн

        24 июня 2025 года был принят Федеральный закон от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ», который дополняет статью 9 152-ФЗ требованием об необходимости оформления согласия на обработку ПДн отдельно от иных документов, которые подписывает субъект ПДн.

        Изменение вступает в силу с 1 сентября 2025 года.

        Изменения в использовании ЕБС при проходе на территорию организаций

        Минцифры России представила проект внесения изменений в статью 13 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ».

        Изменения направлены на расширение возможностей использования биометрических ПДн при реализации пропускного режима. Согласно изменениям статья 13 будет регламентировать осуществление идентификации и аутентификации при проходе не только на территорию режимных объектов и субъектов КИИ, но и государственных органов, органов местного самоуправления, Центрального банка РФ, государственных корпораций и организаций.

        В проекте описаны требования и особенности аутентификации с использованием биометрических ПДн физических лиц при проходе на территорию:

        • государственных органов, Центрального банка РФ, органов местного самоуправления, государственных корпораций и организаций;
        • объектов оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, а также помещений, предназначенных для обработки и хранения сведений, составляющих государственную тайну;
        • контролируемых зон объектов КИИ первой и второй категории значимости;
        • контролируемых зон объектов КИИ третьей категории значимости, а также объектов, которым не присвоена категория значимости.

        Общественное обсуждение проекта завершилось 3 июля 2025 года.

        Изменения в 152-ФЗ

        1 июля 2025 года вступил в силу Федеральный закон от 28.02.2025 № 23-ФЗ, согласно которому статья 6 152-ФЗ об условиях обработки ПДн дополняется условиями обработки ПДн силовиков и лиц, оказывающих им содействие. Подробнее с изменениями можно ознакомиться в обзоре за февраль 2025 года Аналитического центра УЦСБ.

        Также вступают в силу изменения в статье 18 152-ФЗ (утв. Федеральным законом от 28.02.2025 № 23-ФЗ). В статье 18 меняется формулировка, касающаяся обязанности оператора использовать при сборе ПДн базы данных, находящиеся на территории РФ. Теперь в части 5 статьи 18 однозначно указано, что запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются.

        Взаимодействие Минцифры России с операторами обезличенных ПДн

        26 июня 2025 года было официально опубликовано постановление Правительства РФ от 26.06.2025 № 966, которое устанавливает правила взаимодействия Минцифры России с операторами ПДн, а также Единой информационной платформы национальной системы управления данными (далее – ЕИП НСУД) и ИС операторов ПДн.

        Правила описывают:

        • порядок взаимодействия посредством личного кабинета оператора в ЕИП НСУД или Едином портале государственных и муниципальных услуг, почты и единой системы межведомственного электронного взаимодействия (далее – СМЭВ);
        • порядок запроса и предоставления составов ПДн, полученных в результате обезличивания, а также сроки предоставления;
        • требования к защите информации при осуществлении взаимодействия.

        Согласно правилам оператор при получении требования о предоставлении обезличенных данных:

        • подписывает ПДн, полученные в результате обезличивания, усиленной квалифицированной электронной подписью;
        • представляет подписанные ПДн в ЕИП НСУД или с использованием СМЭВ, а при отсутствии технической возможности подключения на съемном машинном носителе.

        Правила вступают в силу с 1 сентября 2025 года.

        Правила формирования составов обезличенных ПДн и доступ к ним

        27 июня 2025 года было официально опубликовано постановление Правительства РФ от 26.06.2025 № 961 «О формировании составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн, и предоставлении доступа к составам таких данных».

        Постановление разработано с целью реализации частей 5 и 6 статьи 13.1 152-ФЗ и содержит:

        • правила формирования составов обезличенных ПДн;
        • правила предоставления доступа к составам обезличенных ПДн.

        При формировании составов данных должны учитываться следующие типы угроз безопасности ПДн:

        • возможность определения принадлежности информации, содержащейся в составах данных, конкретному субъекту ПДн;
        • возможность выделения из составов данных информации, относящейся к одному или нескольким конкретным субъектам ПДн;
        • определение исходных значений обезличенных ПДн.

        При нейтрализации таких угроз Минцифры России может исключать или исправлять неточные, неполные, повторяющиеся, некорректно отформатированные ПДн. При формировании составов данных не допускается использование биометрических ПДн и специальных категорий ПДн.

        Для доступа к составам данных пользователю необходимо будет направить запрос в личном кабинете ЕИП НСУД, содержащий цель предоставления доступа, планируемый результат, срок обработки указанного состава данных, правовые основания доступа к конкретному составу данных.

        Доступ к составам данных пользователям блокируется в случае:

        • выявления попыток со стороны пользователя записи, извлечения, передачи составов данных;
        • получения Минцифры России данных о:

             o    несоответствии пользователя требованиям по получению доступа;

             o    том, что использование составов данных или результатов их обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, причинение вреда окружающей среде, обороне страны, иным охраняемым федеральным законом ценностям.

        Постановление вступает в силу с 1 сентября 2025 года.

        Иное

        ГИС по противодействию преступлениям, совершаемым с использованием информационных технологий

        1 июня 2025 года официально вступил в силу Федеральный закон от 01.04.2025 № 41-ФЗ «О создании ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты РФ».

        Подробнее с законом можно ознакомиться в обзоре за март 2025 года Аналитического центра УЦСБ.

        Требования к ИБ облачных услуг

        Минцифры России представило проект Требований к обеспечению информационной безопасности в рамках предоставления облачных услуг посредством государственной единой облачной платформы (далее – Гособлако, Требования).

        Требования разрабатываются с целью обеспечения устойчивого функционирования Гособлака с надлежащим уровнем безопасности, минимизации ущерба и отказа функционирования информационно-телекоммуникационной инфраструктуры, в рамках которой поставщиками предоставляются облачные услуги, а также во исполнение постановления Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе».

        Подробнее с целью создания, задачами, которые решает Гособлако, и его возможностями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.

        Согласно Требованиям комплексная система обеспечения безопасности информационно-телекоммуникационной инфраструктуры должна включать подсистемы:

        • физической защиты;
        • анализа защищенности;
        • межсетевого экранирования и предотвращения вторжений;
        • криптографической защиты информации;
        • антивирусной защиты;
        • выявления и управления инцидентами;
        • защиты среды виртуализации;
        • контроля привилегированных пользователей;
        • защиты от несанкционированного доступа.

        Технические средства, которые обрабатывают информацию, средства защиты информации (далее – СрЗИ), а также средства, которые обеспечивают функционирование центров обработки данных, должны размещаться на территории РФ.

        Программные и аппаратные компоненты информационно-телекоммуникационной инфраструктуры должны быть реализованы на отечественных продуктах, включенных в соответствующие реестры, а СрЗИ должны иметь соответствующие сертификаты.

        ФСТЭК России

        Новые требования о защите информации в ГИС и ИС госорганов

        17 июня 2025 года официально опубликованы Требования о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (утв. приказом ФСТЭК России от 11.04.2025 № 117), которыми будут заменены Требования о защите информации, не составляющей государственную тайну, содержащейся в ГИС (утв. приказом ФСТЭК России от 11.02.2013 № 17) (далее – приказ ФСТЭК России № 17).

        Новые Требования разработаны с целью защиты информации (в том числе ограниченного доступа), содержащейся в ГИС, иных ИС, функционирующих на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия, также Требования могут применяться для муниципальных ИС, если иное не установлено законодательством. Требования не распространяются на ряд ИС, в том числе на ИС, находящиеся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иные.

        Требования применяются для обеспечения защиты информации некриптографическими методами. Требования необходимо применять совместно с:

        • требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) при обработке ПДн;
        • требованиями Федерального закона от 27.07.2017 № 187-ФЗ «О безопасности КИИ РФ», если ИС является значимым объектом КИИ;
        • требованиями о защите информации, содержащейся в ГИС, с использованием шифровальных (криптографических) средств (утв. приказом Федеральной службы безопасности РФ (далее – ФСБ России) от 24.10.2022 № 524) в случае использования средств криптографической защиты информации (далее – СКЗИ).

        Требования определяют следующий порядок организации деятельности по защите информации:

        • утверждение политики защиты информации, содержащей:

             o   область действия;

             o   цели и задачи защиты информации;

             o   принципы защиты информации;

             o   перечни объектов защиты, включая программные, программно-аппаратные средства, ИС, сети и подсети, образующие информационно-телекоммуникационную инфраструктуру;

             o   категории лиц, участвующих в защите информации, их права и обязанности;

             o   состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;

             o   ответственность работников за нарушения требований и установленных оператором правил обработки информации;

        • определение лиц, ответственных за защиту информации;
        • применение программных, программно-аппаратных средств, предназначенных для защиты информации;
        • разработку и утверждение внутренних стандартов и регламентов по защите информации, среди которых:

             o   требования к первичной идентификации пользователей, обладающих правами доступа к ИС;

             o   требования к применяемым моделям доступа пользователей;

             o   перечень разрешенного (запрещенного) для использования программного обеспечения (далее – ПО);

             o   требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;

             o   требования к непрерывности функционирования ИС;

             o   требования к резервному копированию информации и ПО в ИС;

             o   порядок повышения уровня знаний и информированности работников подразделений оператора по вопросам защиты информации;

             o   иные регламенты и стандарты;

        • выделение организационных, технических и иных ресурсов, необходимых для защиты информации.

        Требования описывают проведение оценки состояния защиты информации на основе определения:

        • показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации. Расчет показателя должен производиться не реже 1 раза в 6 месяцев;
        • показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации. Расчет показателя должен производиться не реже 1 раза в 2 года.

        Результаты оценки необходимо будет направлять в ФСТЭК России.

        Также в Требованиях представлены разъяснения к проведению мероприятий по защите информации, среди которых:

        • выявление и оценка угроз безопасности информации;
        • контроль конфигураций ИС;
        • управление уязвимостями и обновлениями;
        • обеспечение защиты информации при использовании конечных и мобильных устройств;
        • обеспечение разработки безопасного ПО;
        • обеспечение физической защиты ИС;
        • повышение уровня знаний и информированности работников оператора по вопросам защиты информации;
        • обеспечение защиты от атак, направленных на отказ в обслуживании и иные мероприятия.

        Появились новые базовые меры защиты, которые не входили в перечень мер приказа ФСТЭК России № 17:

        • защита технологий контейнерных сред и их оркестрации;
        • защита сервисов электронной почты;
        • защита веб-технологий;
        • защита программных интерфейсов взаимодействия приложений;
        • защита технологий интернета вещей и другие.

        Требованиями устанавливается соответствие применяемых сертифицированных СрЗИ и класса защищенности ИС. Для защиты ИС:

        • 1 класса защищенности необходимо применять СрЗИ не ниже 4 класса защиты и уровня доверия;
        • 2 класса защищенности необходимо применять СрЗИ не ниже 5 класса защиты и уровня доверия;
        • 3 класса защищенности необходимо применять СрЗИ 6 класса защиты и уровня доверия.

        Приказ вступает в силу 1 марта 2026 года. С этой даты приказ ФСТЭК России № 17 признается утратившим силу.

        Изменения в порядке сертификации процессов безопасной разработки ПО СрЗИ

        ФСТЭК России представила для общественного обсуждения проект изменений Порядка сертификации процессов безопасной разработки ПО (далее – БРПО) СрЗИ, утвержденного приказом ФСТЭК России от 01.12.2023 № 240.

        Согласно изменениям сертификация процессов проектирования и производства ПО СрЗИ, содержащей сведения, относящиеся к государственной тайне или иной информации ограниченного доступа, должна осуществляться в соответствии с новым ГОСТ Р 56939-2024 «Защита информации. БРПО. Общие требования».

        К заявке на сертификацию необходимо прикладывать руководство по БРПО, которое включает:

        • описание области действия руководства;
        • цели изготовителя в области создания безопасного ПО;
        • перечень и описание реализованных процессов по БРПО;
        • распределение ролей и обязанностей, связанных с реализацией процессов по БРПО;
        • перечень регламентов, описывающих процессы БРПО;
        • правила и требования, относящиеся к планированию и проведению внутренних проверок реализации требований по БРПО;
        • описание действий, направленных на улучшение процессов БРПО.

        Были изменены этапы процесса сертификации, теперь в рамках процесса сертификации осуществляются:

        • оценка соответствия руководства по БРПО установленным требованиям;
        • проверка артефактов реализации процессов БРПО, имеющихся у изготовителя;
        • проверка наличия у изготовителя средств разработки и тестирования ПО, а также средств, предназначенных для проведения композиционного, статического, динамического анализа ПО;
        • проверка фактического соответствия процессов БРПО, реализованных у изготовителя, руководству по БРПО;
        • инструментальный контроль реализации изготовителем процессов БРПО, в том числе среды сборки и разработки ПО;
        • проверка наличия у изготовителя сотрудников, обладающих знаниями и умениями, необходимыми для реализации процессов БРПО.

        Общественное обсуждение проекта завершилось 19 июня 2025 года.

        Деятельность ТК 362

        ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 30 июня 2025 года.

        В интересах выполнения плана были проведены следующие работы:

        • завершены работы по подготовке и утверждению проектов национальных стандартов:

              o    ГОСТ Р 70262.2-2025 «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации», вводится в действие с 1 октября 2025 года;

              o    ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки», вводится в действие с 1 декабря 2025 года;

        • представлен для рассмотрения ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
        • дорабатываются:

             o    ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования"

             o    ГОСТ Р «Защита информации. Разработка безопасного ПО. Методика оценки уровня реализации процессов разработки безопасного ПО»;

        • организовано рассмотрение проектов:

             o    ПНСТ «Синтез данных. Термины и определения процесса синтеза. Часть 1»;

             o    ПНСТ «Синтез данных. Архитектура процесса синтезирования данных. Методы синтезирования. Часть 2»;

             o    ПНСТ «Синтез данных. Описание результатов процесса синтезирования. Методика оценки качества. Часть 3»;

             o    ГОСТ Р «Искусственный интеллект в КИИИ. Общие положения»;

             o    ГОСТ Р «Информационные технологии. Кибербезопасность и защита конфиденциальности. Общие положения и модель рисков в контексте технологий защиты конфиденциальных данных»;

             o    ГОСТ Р «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных»;

             o    ПНСТ «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».

        Судебная практика

        Штраф за использование иностранного мессенджера при передаче ПДн

        Московский суд, рассмотрев дело об административном правонарушении, вынес решение о признании финансовой организации виновной по ст. 13.11.2 Кодекса Российской Федерации (далее – РФ) об административных правонарушениях (далее – КоАП): незаконное использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин.

        С жалобой в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) обратилась жительница города Москвы. В ходе судебного разбирательства выяснилось, что сотрудник кредитной организации отправил сообщение должнику с корпоративного номера телефона через сервис обмена мгновенными сообщениями и голосовой связи «WhatsApp», принадлежащий компании Meta.

        В соответствии с Федеральным законом от 01.04.2025 № 41-ФЗ «О создании ГИС противодействия правонарушителям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты РФ» сотрудникам государственных органов, кредитных организаций и операторов связи запрещено общаться с клиентами с использованием зарубежных социальных сетей. Перечень мессенджеров, попадающих под действие закона, ведет Роскомнадзор. В этот список включены Discord, Skype, Microsoft Teams, WhatsApp, Telegram и др.

        Судом было назначено наказание в виде штрафа в размере 200 тысяч рублей.

        Отмена ограничения свободы за использование игровой консоли с модифицированным ПО

        Складчиков К.В. в марте 2020 года приобрел игровую консоль, на которую не позднее 30.05.2020 третьим лицом была установлена компьютерная программа, предназначенная запускать нелицензионную продукцию, полученную из неофициальных источников, в обход средств защиты разработчиков. Указанную игровую консоль Складчиков К.В. использовал в личных целях, осуществил установку на нее двух игр.

        По приговору Советского районного суда города Липецка от 05.04.2022 Складчиков К.В. осужден по ч. 1 ст. 272 Уголовного кодекса РФ (далее – УК РФ): неправомерный доступ к компьютерной информации, к штрафу в размере 15 тысяч рублей и по ч. 1 ст. 273 УК РФ: создание, использование и распространение вредоносных компьютерных программ, на один год ограничения свободы.

        Апелляционным постановлением Липецкого областного суда от 25.08.2022 приговор в отношении подсудимого был изменен: освобожден от наказания в виде штрафа в размере 15 тысяч рублей на основании п. «а» ч. 1 ст. 78 УК РФ в связи с истечением срока давности уголовного преследования.

        Постановлением Первого кассационного суда общей юрисдикции от 21.12.2022 приговор и апелляционное постановление оставлены без изменения.

        Кассационным определением Судебной коллегии по уголовным делам Верховного Суда РФ от 17.04.2025 был отменен приговор в отношении Складчикова К.В., в связи со ключевыми процессуальными нарушениями:

        1. Не был доказан умысел подсудимого на блокирование компьютерной информации. Уголовная ответственность за использование компьютерных программ, заведомо предназначенных для несанкционированного блокирования компьютерной информации, возможна лишь при условии доказанности наличия у виновного лица прямого умысла на блокирование такой информации (ч. 1 ст. 273 УК РФ).
        2. Действия по установке на игровую приставку вредоносной компьютерной программы, предназначенной для запуска нелицензионной продукции, Складчикову К.В. не инкриминированы. Согласно показаниям подсудимого, он купил консоль с уже установленным ПО для бесплатного скачивания игр и считал его легальным. О вредоносном характере ПО подсудимый не знал и никаких действий по изменению ПО не совершал.
        3. Судебная экспертиза подтвердила, что вредоносная программа была установлена предыдущим владельцем игровой консоли.

        Уголовное дело в отношении Складчикова К. В. направлено на новое апелляционное рассмотрение в Советский районный суд города Липецка.

        Увольнение за нарушение неприкосновенности частной жизни

        Никулинский районный суд города Москвы, рассмотрев дело об уголовном правонарушении в отношении сотрудницы Управления внутренних дел по западному административному округу Главного управления Министерства внутренних дел РФ по городу Москва (далее – УВД), вынес решение о признании ее виновной в совершении правонарушения по ч. 2 ст. 137 УК РФ: нарушение неприкосновенности частной жизни с использованием служебного положения.

        В ходе судебного разбирательства было установлено, что сотрудница УВД, переслала в служебный чат фотографии протокола объяснения потерпевшей девушки, содержащий ПДн. Фотографии протокола были опубликованы в сети Интернет, что привело к кибербуллингу потерпевшей.

        Разбирательство длилось несколько лет, сопровождаясь сменой квалификации и отменой первого приговора. Изначально следственные органы квалифицировали действия сотрудницы полиции как халатность (ч. 1 ст. 293 УК РФ). Но так как фотографии протокола обвиняемой были сделаны осознанно, а рассылка служебной информации через мессенджер нарушила внутренние нормативные правовые акты Министерства внутренних дел РФ, квалификация дела по ч. 1 ст. 293 УК РФ является некорректной.

        После направления дела Вторым кассационным судом общей юрисдикции в апелляционную инстанцию, и возврата в прокуратуру РФ, сотруднице полиции предъявили новое обвинение – по ч. 2 ст. 137 УК РФ. Судом первой инстанции было назначено наказание в виде штрафа в размере 150 тысяч рублей с запретом работать в правоохранительных органах на два года.

        Штраф за сбор ПДн

        Суд, рассмотрев дело об административном правонарушении в отношении организации стоматологической помощи, вынес решение о признании его виновным в совершении правонарушения по ч. 5 ст. 13.11 КоАП РФ – невыполнение оператором в сроки, установленные законодательством, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании или уничтожении.

        Роскомнадзором был проведен анализ интернет-сайта организации, по результатам которого были выявлены нарушения:

        • сбор ПДн посетителей сайта, таких как контактные и личные сведения, без получения предварительного согласия субъектов ПДн на их обработку (нарушение ст. 6 152-ФЗ);
        • отсутствие документа, определяющего политику оператора ПДн в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн (нарушение ч. 2 ст. 18.1 152-ФЗ).

        Роскомнадзором было направлено в адрес руководства организации предписание о приведении деятельности по обработке ПДн в соответствии с требованиями законодательства РФ, которое не было выполнено в указанный срок.

        Астраханским судом было назначено наказание в виде штрафа в размере 50 тысяч рублей.

        Штраф за нарушение законодательства о локализации баз с ПДн

        Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании организации виновной по ч. 8 ст. 13.11 КоАП РФ.

        Компания «Telegram Messenger», являясь оператором ПДн, при сборе ПДн не выполнила обязанности по локализации баз данных, содержащих сведения о российских пользователях.

        Судом было назначено наказание в виде штрафа в размере два миллиона рублей.

        Штраф за незаконную обработку ПДн

        Мировой судья судебного участка № 202 Староминского района Краснодарского края, рассмотрев дело об административном правонарушении, вынес решение о признании администрации муниципального образования Староминского района виновной в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

        В ходе судебного разбирательства было установлено, что Роскомнадзор по Южному федеральному округу, рассмотрев жалобу гражданина М., выявил нарушение в деятельности администрации Староминского района: обработка ПДн в отсутствии правовых оснований.

        Судом было назначено административное наказание в виде штрафа в размере 60 тысяч рублей.

        Административное наказание за избыточную обработку ПДн

        Мировой судья Амурской области по Благовещенскому городскому судебному участку № 6, рассмотрев дело об административном правонарушении, вынес решение о признании должностного лица – директора магазина ООО «Кари» виновным в совершении правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.

        В Управление Роскомнадзора по Амурской области из Межмуниципального управления Министерства внутренних дел РФ «Благовещенское» поступил материал проверки по заявлению гражданина М. о нарушении должностным лицом требований законодательства в области обработки ПДн, выразившемся в избыточной обработке ПДн по отношению к заявленным целям обработки ПДн (сбор ПДн для трудоустройства), что нарушает требования ч. 5 ст. 5 152-ФЗ: содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

        При рассмотрении материалов проверки Роскомнадзор подтвердил факт избыточной обработки ПДн по отношению к заявленным целям обработки ПДн: хранение копии паспорта работника с целью содействия в трудоустройстве.

        Судом было назначено административное наказание в виде предупреждения.

        Участников хакерской группировки освободили в зале судебного заседания

        Дзержинский районный суд города Санкт-Петербурга, рассмотрев дело об уголовном правонарушении, вынес решение о признании четырех участников хакерской группировки REvil виновными в совершении преступлений, предусмотренных ч. 2 ст. 187 УК РФ: неправомерный оборот средств платежей, ч. 2 ст. 273 УК РФ: создание, использование и распространение вредоносных компьютерных программ.

        Согласно материалам следствия, деятельность преступной группы началась в октябре 2015 года. Злоумышленники разрабатывали и использовали вредоносные программы для несанкционированного доступа к данным о платежных картах и электронных платежных системах пользователей. Доступ правообладателей к указанным данным блокировался, а за его восстановление преступная группа требовала выкуп. Также полученная информация о платежных картах использовалась для проведения операций без ведома владельцев карт.

        В ходе своей преступной деятельности группа REvil неправомерно приобрела, хранила и намеревались использовать электронные средства платежей, включая данные о платежных (банковских) картах, для проведения транзакций без согласия их держателей. Эти данные содержали информацию о номерах, сроках действия, кодах безопасности карт, а также о платежных системах, таких как «Visa», «Mastercard» и «American Express». Переводы денежных средств осуществлялись в форме безналичных расчетов с использованием сети Интернет по схеме «МО/ТО» (Merchant-Online/Terminal-Offline), когда продавец не имеет физического доступа к карте, а параметры карты сообщаются ему по телефону/факсу/е-mail, а также для операций ручного ввода реквизитов карты на POS‑терминале в отсутствие карты и ее владельца.

        Подсудимые признали вину, однако отказались от дачи показаний.

        Судом было назначено наказание в виде лишения свободы сроком на 5 лет в исправительной колонии общего режима. Учитывая время, проведенное под стражей, суд признал наказание отбытым. В итоге участники группировки REvil были освобождены в зале суда.

        Кроме того, в качестве дополнительного наказания одному из участников группировки REvil конфискованы и обращены в собственность государства два автомобиля BMW 2020 года выпуска, а также денежные средства в размере 52 миллионов рублей и свыше 497 тысяч долларов США. У второго участника конфискован автомобиль Mercedes Benz 2019 года выпуска.

        Наказание за нарушение тайны телефонных переговоров и неправомерный доступ к компьютерной информации

        Октябрьский районный суд города Саранска, рассмотрев дело об правонарушении, вынес решение о признании гражданина виновным в совершении правонарушений, предусмотренных ч. 2 ст. 138 УК РФ: нарушение тайны телефонных переговоров, совершенное лицом с использованием своего служебного положения, и ч. 2 ст. 272 УК РФ: неправомерный доступ к компьютерной информации, совершённый из корыстной заинтересованности.

        В октябре 2024 года работник одной из компаний-операторов сотовой связи, злоупотребляя своим служебным положением и действуя из корыстных побуждений, осуществил копирование ПДн 21 абонента, а также детализацию их телефонных соединений. Полученные сведения были переданы третьим лицам с использованием сети Интернет за денежное вознаграждение.

        Судом было назначено наказание в виде штрафа в размере 400 тысяч рублей, а также лишение права на два года занимать определенные должности и осуществлять профессиональную деятельность в сфере связи и обработки ПДн.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Центр кибербезопасности
        УЦСБ SOC (центр мониторинга ИБ)
        DevSecOps-решение Apsafe
        CheckU
        Импортозамещение
        Проектирование АСУ
        187-ФЗ
        Консалтинг ИБ
        Сервисная поддержка
        ИТ-услуги и продукты
        Собственные продукты и разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        Политика конфиденциальности
        © 2025 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы