Обзор изменений в законодательстве за май 2026 года

15 июня 2026

Новости

В обзоре изменений за май 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим официально опубликованные документы:

порядок аккредитации центров ГосСОПКА;
правила проверки сведений о категорировании объектов КИИ в атомной отрасли;
изменения в перечне типовых отраслевых объектов КИИ РФ.

Изучим методику оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ.

2. Персональные данные

Разберем изменения в порядке обезличивания и формирования составов ПДн.

3. Иное

Рассмотрим официально опубликованные требования к ИБ облачных услуг Гособлако.

Разберем изменения в положениях о лицензировании деятельности в сферах СТС и криптографии.

Изучим обновление требований к защите информации при предоставлении вычислительных мощностей государственным органам.

4. ФСТЭК России

Рассмотрим справку-доклад о ходе работ по плану ТК 362 по состоянию на 27 мая 2026 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Порядок аккредитации центров ГосСОПКА

20 мая Федеральная служба безопасности Российской Федерации (далее – ФСБ России, РФ) официально опубликовала приказ от 22.04.2026 № 161 «Об утверждении Порядка аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) и Требований к центрам ГосСОПКА, а также к аккредитованным центрам».

Документ устанавливает порядок оценки соответствия заявителей требованиям, предъявляемым к центрам ГосСОПКА, проводимой Центром защиты информации и специальной связи ФСБ России.

Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

убран пункт с фиксированным сроком действия аккредитации (5 лет), однако согласно рекомендуемому образцу аттестата аккредитации срок действия не может превышать 5 лет, что допускает установление более короткого периода аккредитации;
добавлены процентные критерии успешного прохождения проверки знаний работников соискателя (проверка считается пройденной, если не менее 75% присутствующих сотрудников, а также руководитель и его заместитель правильно выполнили не менее 75% тестовых заданий);
сокращен срок ожидания для повторной подачи документов с 25 до 5 рабочих дней, если причиной отказа стало представление неполного комплекта документов и сведений;
добавлен образец аттестата аккредитации (приложение №1 к документу);
исключено приложение № 4, содержавшее подробную таблицу требований к знаниям и навыкам сотрудников для каждой должности, однако в пункт 21 приложения № 2 Требований к центрам ГосСОПКА были включены общие требования к знанию нормативных правовых актов, национальных и международных стандартов, а также методических документов;
разрешено передавать производителям программного обеспечения (далее – ПО) информацию об уязвимостях их продуктов.

Правила проверки сведений о категорировании объектов КИИ в атомной отрасли

21 мая Государственной корпорацией по атомной энергии «Росатом» (далее – Госкорпорация «Росатом») официально опубликован приказ от 20.03.2026 № 1/9-НПА «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры (далее – КИИ) РФ, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127».

Подробнее с документом можно ознакомиться в обзоре за декабрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

установлен переходный период для 2026 года (направление запроса Госкорпорации «Росатом» субъектам КИИ должно быть обеспечено в срок до 01.07.2026, а подготовка и подписание решения о графике проведения оценки по месту нахождения объектов КИИ – в срок до 01.09.2026);
ежегодный запрос сведений от Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) обо всех субъектах КИИ в области атомной энергии заменен на прямое взаимодействие с субъектами КИИ на основании имеющихся данных о категорировании;
из требований к организациям, которые Госкорпорация «Росатом» может привлекать к оценке, исключено требование о наличии основного вида деятельности в области информационных технологий.

Методика оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ

22 мая опубликовано информационное сообщение ФСТЭК России № 240/92/3506 о разработке проекта методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации (далее – ТЗИ) в информационных системах (далее – ИС) и обеспечения безопасности значимых объектов КИИ РФ».

Методика будет определять порядок оценки уровня зрелости деятельности по:

ТЗИ, не составляющей государственную тайну, содержащейся в ИС;
обеспечению безопасности значимых объектов КИИ.

Методика будет предназначена для оценки уровня зрелости данной деятельности на соответствие требованиям следующих нормативных правовых актов ФСТЭК России:

требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее – ГИС), утвержденные приказом ФСТЭК России от 11.04.2025 № 117 (далее – требования к защите информации ГИС);
требования к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31;
требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239;
требования к обеспечению защиты информации в автоматизированных системах управления (далее – АСУ) производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2014 № 31;
состав и содержание организационных и технических мер по обеспечению безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн), утвержденные приказом ФСТЭК России от 18.02.2013 № 21.

Методика будет применяться:

операторами ИС и значимых объектов КИИ (для оценки уровня зрелости при эксплуатации ИС и значимых объектов КИИ);
подрядными организациями (для подтверждения уровня зрелости при оказании услуг, проведении работ);
государственными органами и организациями, в том числе субъектами КИИ, являющимися заказчиками услуг или работ (для установления требований к уровню зрелости при оказании услуг и проведении работ);
операторами ИСПДн (для подтверждения уровня зрелости деятельности в области обеспечения безопасности ПДн, обрабатываемых в ИСПДн);
ФСТЭК России (для оценки эффективности деятельности, осуществляемой операторами и подрядными организациями).

Оценка уровня зрелости будет проводиться оператором самостоятельно или с привлечением внешней организации, имеющей лицензию на деятельность в области технической защиты конфиденциальной информации (далее – ТЗКИ).

При этом в методике отдельно уточняется, что внешняя оценка уровня зрелости обладает более высокой объективностью.

ООО «УЦСБ» обладает глубокой экспертизой в проведении комплексных аудитов и полностью соответствует критериям регулятора. Компания имеет официальные лицензии ФСТЭК России на:

Новая методика определит следующую шкалу уровня зрелости:

нулевой (отсутствует);
начальный;
системный;
контролируемый;
верифицируемый.

Оценка уровня зрелости будет включать в себя следующие ключевые этапы:

Определение оцениваемых направлений деятельности и целевого уровня зрелости

В рамках оценки рассматривается 21 базовое направление деятельности. Для каждого из них целевой уровень зрелости определяется с учетом результатов текущей оценки.

Сбор и анализ исходных данных

В ходе этапа осуществляется сбор и изучение внутренних документов и материалов организации, проводятся интервью с ответственными специалистами, а также выполняется детальный технический анализ функционирования программных и программно-аппаратных средств ИС.

Определение текущего и итогового (общего) уровня зрелости

В ходе оценки проводится проверка соответствия установленным критериям. Для каждого типа требований рассчитывается процент выполнения по утвержденной математической формуле.

Документирование

По итогам работ формируется подробный отчет, включающий визуализацию результатов оценки (в том числе сравнительные диаграммы текущего и целевого уровней зрелости), рекомендации и поэтапный план мероприятий по повышению уровня защиты информации, а также иные сопутствующие материалы.

Изменения в перечне типовых отраслевых объектов КИИ РФ

29 мая официально опубликовано распоряжение Правительства РФ от 27.05.2026 № 1237-р.

Распоряжением вносятся изменения в перечень типовых отраслевых объектов КИИ РФ, утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р.

Изменения затронули типовые объекты КИИ в сфере энергетики.

Уточнены следующие признаки значимости для ИС, АСУ, информационно-телекоммуникационных сетей (далее – ИТКС), предназначенных для контроля и управления технологическим оборудованием и электротехническими процессами тепловых электростанций (электроцентралей) (за исключением атомных электростанций):

в типовые процессы (функции), выполняемые типовыми объектами КИИ РФ, добавлены:

o управление теплогенерирующими энергоустановками тепловой электростанции;

o контроль параметров теплогенерирующих энергоустановок тепловой электростанции.

исключен вид деятельности субъекта КИИ РФ 35.3 (производство, передача и распределение пара и горячей воды; кондиционирование воздуха);
дополнен вид деятельности субъекта КИИ РФ 35.30.11 (производство пара и горячей воды (тепловой энергии) тепловыми электростанциями)

Из перечня типовых отраслевых объектов КИИ РФ исключены ИС, АСУ, ИТКС, предназначенные для управления технологическими процессами котельной (за исключением атомных электростанций).

Персональные данные

Изменения в порядке обезличивания и формирования составов ПДн

5 мая Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликовало проект постановления Правительства РФ «О внесении изменений в акты Правительства РФ».

Проект предусматривает внесение изменений в постановления Правительства РФ, регулирующих вопросы обезличивания ПДн и функционирования Единой информационной платформы национальной системы управления данными (далее – ЕИП НСУД).

В правилах обезличивания ПДн, утвержденных постановлением Правительства РФ от 01.08.2025 № 1154, изменения коснутся порядка предоставления обезличенных ПДн при использовании метода преобразования (агрегации массива ПДн). Данные будут предоставляться в Минцифры России через ЕИП НСУД.

В правила формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн, утвержденные постановлением Правительства РФ от 26.06.2025 № 961, внесут следующие изменения:

документ дополнится нормой, позволяющей включать в состав обезличенных ПДн сторонние сведения (статистические показатели, пространственные данные и иную информацию, полученную в том числе на основании соглашений между обладателями информации и Минцифры России);
для Минцифры России будет введена обязанность уведомлять ФСБ России о факте использования дополнительных данных в составе обезличенных ПДн.

В положение о федеральной государственной информационной системе «ЕИП НСУД», утвержденное постановлением Правительства РФ от 14.05.2021 № 733, внесут следующие изменения:

обновится понятие «составы данных», будет прямо указано, что в них могут входить не только обезличенные ПДн, но и иная информация (дополнительные данные), предусмотренная правилами формирования составов ПДн;
к поставщикам подсистемы обработки обезличенных данных ЕИП НСУД будут отнесены обладатели иной информации, которая используется для формирования составов обезличенных данных.

Дата окончания публичного обсуждения 13 мая 2026 года.

Иное

Требования к ИБ облачных услуг Гособлако

20 мая официально опубликован приказ Минцифры России от 02.12.2025 № 1106 «Об утверждении Требований к обеспечению информационной безопасности (далее – ИБ) в рамках предоставления облачных услуг посредством государственной единой облачной платформы (далее – Гособлако)».

Требования разработаны с целью обеспечения устойчивого функционирования Гособлака с надлежащим уровнем ИБ, минимизации ущерба и предотвращения отказа функционирования информационно-телекоммуникационной инфраструктуры (далее – ИТКИ), в рамках которой поставщиками предоставляются облачные услуги, а также во исполнение постановления Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о Гособлаке».

ИТКИ должна соответствовать:

требованиям к защите информации ГИС;
требованиям, установленным составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности, установленным приказом ФСБ России от 10.07.2014 №378;
требованиям о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств, утвержденных приказом ФСБ России от 18.03.2025 № 117.

Мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак (включая защиту от атак типа «отказ в обслуживании») должны выполняться аккредитованными центрами ГосСОПКА.

Технические средства, которые обрабатывают информацию, СрЗИ, а также средства, которые обеспечивают функционирование центров обработки данных, должны размещаться на территории РФ.

Программные и аппаратные компоненты ИТКИ должны быть реализованы на отечественных продуктах, включенных в соответствующие реестры российского или евразийского ПО, а СрЗИ должны иметь соответствующие сертификаты.

Каждый поставщик, предоставляющий облачные услуги, должен определить структурное подразделение, ответственное за защиту информации, а также за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты, в котором должны проводиться следующие мероприятия:

выявление и оценка угроз безопасности информации;
контроль конфигурации ИТКИ;
управление уязвимостями;
мониторинг ИБ;
контроль уровня защищенности информации, содержащейся в ИТКИ;
обнаружение, предупреждение и ликвидация последствий компьютерных атак, и реагирование на компьютерные инциденты.

Изменения в положениях о лицензировании деятельности в сферах СТС и криптографии

19 мая ФСБ России опубликовала проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ».

Проект предусматривает внесение изменений в следующие постановления Правительства РФ:

№ 770 от 01.07.1996 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в РФ и вывоза за ее пределы специальных технических средств (далее – СТС), предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и Перечня видов СТС, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности»:

o регистрации и учета СТС будет прямо возлагаться на юридических лиц и индивидуальных предпринимателей (далее – ИП);

o будет добавлен новый объект учета (нормативно-техническая документация на производство и использование СТС).

№ 313 от 16.04.2012 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или ИП)»:

o часть работ в отношении шифровальных (криптографических) средств смогут проводиться без привлечения лицензиата ФСБ России юридическими лицами или ИП для обеспечения собственных нужд, если проведение указанных работ предусмотрено эксплуатационной документацией.

Дата окончания общественного обсуждения 3 июня 2026 года.

Обновление требований к защите информации при предоставлении вычислительных мощностей государственным органам

25 мая Минцифры России представило проект приказа «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к ИТКС «Интернет», операторам ГИС, иных ИС государственных органов, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».

Концептуальных изменений новый приказ не содержит, структура требований не изменилась. Документ будет переиздан для актуализации затронутых в нем нормативно-правовых актов в смежных областях регулирования.

Аналогичный приказ Минцифры России от 31.07.2024 № 677 будет признан утратившим силу.

Вступление в силу приказа запланировано на 1 сентября 2026 года.

Дата окончания общественного обсуждения 24 июня 2026 года.

ФСТЭК России

Деятельность ТК 362 в мае 2026 года

6 мая ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 27 мая 2026 года.

В интересах выполнения плана были проведены следующие работы:

ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации» направлен разработчику на издательское редактирование и подготовку к утверждению в интересах представления проекта национального стандарта в Федеральное агентство по техническому регулированию и метрологии;
ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» доработан и подготавливается разработчиком для представления в секретариат ТК 362 (плановый срок представления проекта национального стандарта в ТК 362 – июнь 2026 года). Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ;
ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратно-программной платформе» доработан разработчиком (плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года);
в организации-разработчики – члены ТК 362 направлены информационные письма о необходимости представления в секретариат ТК 362 справок о состоянии работ по разработке проектов национальных стандартов согласно плану работы ТК 362;
решение о создании рабочей группы (далее – РГ) 2/4 по разработке проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Среда разработки безопасного ПО. Общие требования», назначении руководителя и утверждении состава РГ 2/4 направлено руководителю РГ 2/4.

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

Назад к списку