Обзор изменений в законодательстве за ноябрь 2025 года

11 декабря 2025

Новости

В обзоре изменений за ноябрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим новую редакцию методики оценки показателя состояния защиты информации в ИС и значимых объектах КИИ.

Разберем новые порядки обмена информацией между субъектами КИИ РФ и информирования ФСБ России о компьютерных атаках и инцидентах.

Проанализируем изменения в правилах категорирования объектов КИИ и в положении о НКЦКИ.

Изучим порядок непрерывного взаимодействия субъектов КИИ и порядок аккредитации центров ГосСОПКА.

Рассмотрим порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения.

Разберем изменения в уголовной ответственности за причинение вреда КИИ и введение административной ответственности за нарушения правил доступа и эксплуатации в КИИ.

Проанализируем требования к средствам ГосСОПКА и ППКА, а также технические условия их установки и эксплуатации.

2. Иное

Разберем новую редакцию правил централизованного управления сетью связи общего пользования.

3. Стандартизация

Рассмотрим стандарт систем управления функциональной безопасностью машин.

4. ФСТЭК России

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Новая редакция методики оценки показателя состояния защиты информации в ИС и значимых объектах КИИ

11 ноября 2025 года Федеральная служба по техническому и экспортному контролю Российской Федерации (далее — ФСТЭК России, РФ) опубликовала Методику оценки показателя состояния защиты информации в информационных системах (далее — ИС) и обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) РФ.

Ранее действующая методика, утвержденная ФСТЭК России 02.05.2024, более не применяется.

Основные изменения методики:

в перечень исходных данных, для оценки текущего состояния защищенности, включены отчеты по результатам испытаний системы защиты методами тестирования на проникновение, учений и тренировок в области защиты информации;
уточнено, что при наличии в организации нескольких ИС, подлежащих защите, для которых получены различные значения по одной и той же группе частных показателей, в итоговом расчете текущего показателя защищенности учитывается минимальное из полученных значений;
добавлено Приложение № 1, в котором для каждого частного показателя безопасности детально расписано, какие документы и материалы являются подтверждением его соблюдения.

Изменения положения о НКЦКИ

19 ноября 2025 года опубликован проект приказа Федеральной службы безопасности РФ (далее — ФСБ России) «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам (далее — НКЦКИ), утвержденное приказом ФСБ России от 24.07.2018 № 366».

В задачи НКЦКИ включат обеспечение координации действий:

аккредитованных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА);
органов и организаций, на которые возложены обязанности по защите информационных ресурсов согласно части 4 статьи 9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» (далее — 187-ФЗ, Организации).

В функции НКЦКИ добавится обмен информацией не только о компьютерных инцидентах, но и о компьютерных атаках.

Появятся следующие права НКЦКИ:

заключать от своего имени соглашения о научно-техническом сотрудничестве;
разрабатывать и заключать от своего имени регламенты взаимодействия НКЦКИ и владельцев информационных ресурсов РФ;
запрашивать результаты мероприятий в отношении информационных ресурсов РФ:

o результаты мероприятий по защите от компьютерных атак;

o информацию об устранении уязвимостей.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Новый порядок информирования ФСБ России о компьютерных атаках и инцидентах

19 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ и иных информационных ресурсов РФ, принадлежащих Организациям.

Проектом предлагается признать утратившими силу приказы ФСБ России:

от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ»;
от 07.07.2022 № 348 «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ, утвержденный приказом ФСБ России от 19.06.2019 № 282».

Новый порядок будет распространяться только на:

субъектов значимых объектов КИИ;
руководителей Организации, в части принадлежащих им информационных ресурсов РФ.

Требования нового порядка не будут распространяться на субъектов КИИ, не владеющих значимыми объектами.

Субъекты значимых объектов КИИ будут обязаны информировать НКЦКИ обо всех компьютерных атаках и инцидентах, а не только о связанных с функционированием объектов КИИ.

Установится срок информирования НКЦКИ для:

компьютерного инцидента в информационном ресурсе Организации — не позднее 24 часов с момента обнаружения;
компьютерной атаки на значимый объект КИИ или информационный ресурс Организации — не позднее 24 часов с момента обнаружения.

Организации, в рамках реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак, связанных с функционированием принадлежащих им информационных ресурсов РФ, будут обязаны:

проводить анализ компьютерных инцидентов и их связь с компьютерными атаками;
оценивать необходимость привлечения ФСБ России;
информировать НКЦКИ о результатах реагирования в течение 24 часов;
перед принятием мер по ликвидации последствий компьютерных атак, направить в НКЦКИ информацию:

o о составе и задачах ответственных подразделений;

o о перечне мер по восстановлению информационных ресурсов РФ;

o об очередности информационных ресурсов РФ (их структурных элементов), в отношении которых будут приниматься меры.

информировать НКЦКИ о завершении проведенных мероприятий.

Планируется, что приказ вступит в силу с 30 января 2026 года.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Новый порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ РФ

19 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты (далее — иностранные организации)».

Проект предлагает признать утратившим силу приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и иностранными организациями, и Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

Основные изменения порядка обмена информацией:

установится регулирование обмена информацией не только о компьютерных инцидентах, но и о компьютерных атаках;
информация о компьютерных атаках и инцидентах, передаваемая при обмене с другими субъектами КИИ, будет направляться в НКЦКИ;
установятся временные рамки для информирования НКЦКИ о компьютерных атаках и инцидентах, связанных с функционированием объекта КИИ:

o 12 часов, при получении информации от другого субъекта КИИ;

o 24 часа, при получении информации от иностранной организации.

Обменом информацией о компьютерных атаках и инцидентах с иностранными организациями займется НКЦКИ за исключением случаев, когда международным договором РФ с иностранной организацией предусмотрен непосредственный обмен такой информацией между субъектом КИИ.

В случае необходимости обмена информацией о компьютерной атаке и инциденте с иностранной организацией субъект КИИ должен будет направить в НКЦКИ обращение с обоснованием необходимости обмена.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения

19 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

Порядок установит три основных способа получения информации субъектами КИИ о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения:

обращение через официальный сайт НКЦКИ;
запрос в НКЦКИ с использованием технической инфраструктуры НКЦКИ, а при отсутствии подключения к ней, по почтовой или электронной связи в адрес НКЦКИ;
получение информации по инициативе НКЦКИ.

Планируется, что приказ вступит в силу с 30 января 2026 года.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Порядок аккредитации центров ГосСОПКА

19 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка аккредитации центров ГосСОПКА на информационные ресурсы РФ и Требований к центрам ГосСОПКА на информационные ресурсы РФ, а также к аккредитованным центрам».

Аккредитация центров ГосСОПКА будет проводиться Центром защиты информации и специальной связи ФСБ России по следующим направлениям деятельности:

обнаружение компьютерных атак и регистрация компьютерных инцидентов;
реагирование на компьютерные инциденты и ликвидация их последствий;
предупреждение компьютерных атак на информационные ресурсы;
координация деятельности подразделений по предупреждению, ликвидации последствий компьютерных атак и реагированию на инциденты, а также анализ и выработка мер по повышению защищенности информационных ресурсов.

Результатом аккредитации будет выдача аттестата аккредитации и внесение записи в реестр аккредитованных центров ГосСОПКА. Срок действия аккредитации — 5 лет.

Приказ установит кадровые, технические и организационные правила аккредитации центров ГосСОПКА, а также требования по обеспечению информационной безопасности и защите информации.

Процедура аккредитации займет не более 65 рабочих дней.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Порядок непрерывного взаимодействия субъектов КИИ

19 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов КИИ РФ, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ РФ, а также руководителей Организаций, с ГосСОПКА на информационные ресурсы РФ».

Непрерывное взаимодействие субъектов КИИ будет проходить через личный кабинет, зарегистрированный в технической инфраструктуре НКЦКИ.

В случаях технических сбоев или отсутствия связи с личным кабинетом информация о компьютерных атаках и инцидентах должна будет направляться в НКЦКИ с использованием резервных каналов связи (почтового адреса и адреса электронной почты), указанных в личном кабинете.

Подключение к личному кабинету происходит после заключения регламента взаимодействия с НКЦКИ.

Подтверждением передачи информации будет присвоение идентификатора компьютерной атаке или компьютерному инциденту в личном кабинете НКЦКИ в течение 24 часов.

НКЦКИ будет обязан:

предоставлять информацию об угрозах, средствах и методах кибератак и необходимых мерах по противодействию им;
направлять запросы о предоставлении дополнительных сведений об угрозах безопасности информации и вредоносной активности;
оказывать содействие в реагировании на компьютерные инциденты при наличии такой необходимости;

обеспечивать методическую и экспертную поддержку по вопросам реагирования на компьютерные инциденты.

Субъекты КИИ и руководители Организаций будут обязаны:

направлять информацию об инцидентах в сроки, установленные приказом ФСБ России;
в течение 24 часов с момента получения от НКЦКИ информации о готовящихся атаках субъекты должны направить в НКЦКИ информацию о проводимых мероприятиях по их предупреждению;
в течение 24 часов ответить на запрос НКЦКИ о дополнительных сведениях об угрозах безопасности информации и вредоносной активности или направить уведомление о невозможности их предоставления с указанием причин.

Планируется, что приказ вступит в силу с 30 января 2026 года.

Дата окончания общественного обсуждения — 4 декабря 2025 года.

Изменения в уголовной ответственности за причинение вреда КИИ

18 ноября 2025 года опубликован проект Федерального закона «О внесении изменений в статью 274.1 Уголовного кодекса РФ (далее — УК РФ)»

В частях 2 и 3 статьи 274.1 УК РФ вместо общей формулировки о причинении вреда будут конкретизированы последствия неправомерного доступа и нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ:

уничтожение,
блокирование,
модификацию либо копирование информации.

Появится примечание к части 3 статьи 274.1 УК РФ, которое позволит избежать уголовной ответственности при соблюдении следующих условий:

лицо активно способствовало раскрытию и (или) расследованию преступления;
лицо предприняло необходимые меры по сохранению следов неправомерного воздействия на КИИ РФ;
в действиях лица не содержится иного состава преступления.

Административная ответственность за нарушения правил доступа и эксплуатации в КИИ

18 ноября 2025 года опубликован проект Федерального закона «О внесении изменений в Кодекс РФ об административных правонарушениях (далее — КоАП РФ)»

Проектом закона предлагается ввести новую статью 13.12² КоАП РФ, которая установит ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ, либо правил доступа к ней.

Ключевым квалифицирующим признаком состава правонарушения по новой статье является то, что деяние не должно подпадать под статьи 274.1 УК РФ, 13.12¹ КоАП РФ.

Субъектами административной ответственности по статье 13.12² КоАП РФ являются:

граждане (штраф от 5 000 до 10 000 рублей);
должностные лица (штраф от 10 000 до 50 000 рублей);
юридические лица (штраф от 100 000 до 500 000 рублей).

Изменение правил категорирования объектов КИИ

8 ноября 2025 года опубликовано постановление Правительства РФ от 07.11.2025 № 1762 «О внесении изменений в некоторые законодательные акты РФ».

Изменения коснутся только постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ» (далее — Правила категорирования).

Проектом предлагается признать утратившими силу:

абзац 2 подпункта «з» и абзац 4 подпункта «и» пункта 1 изменений, которые вносятся в Правила категорирования, утвержденных постановлением Правительства РФ от 13.04.2019 № 452 «О внесении изменений в Правила категорирования»;
пункт «б» постановления Правительства РФ от 19.09.2024 № 1281 «О внесении изменений в Правила категорирования».

Категорированию будут подлежать объекты КИИ, соответствующие типам ИС, информационно-телекоммуникационных сетей (далее — ИТКС), автоматизированных систем управления (далее — АСУ), включенным в перечни типовых отраслевых объектов КИИ, предусмотренные пунктом 4 части 2 статьи 6 187-ФЗ.

Категорирование включит в себя:

выявление ИС, ИТКС и АСУ, соответствующих типовым объектам КИИ, включенным в перечни типовых отраслевых объектов КИИ;
оценку в соответствии с перечнем показателей критериев значимости масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ;
присвоение каждому из объектов КИИ одной из категорий значимости либо принятие решения об отсутствии необходимости присвоения им одной из категорий значимости.

Отраслевые особенности категорирования, предусмотренные пунктом 5 части 2 статьи 6 187-ФЗ, необходимо будет учитывать на этапах:

определения состава комиссии по категорированию;
установления исходных данных для категорирования;
выявления соответствия объекта КИИ критериям значимости и показателям их значений;
расчета значений показателей критериев значимости;
присвоения категорий значимости либо принятия решения об отсутствии необходимости присвоения такой категории;
мониторинга предоставления субъектами КИИ актуальных и достоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее — сведения о результатах категорирования);
пересмотра установленных категорий значимости или решений об отсутствии необходимости присвоения категорий.

В случае выявления объекта КИИ, не входящего в перечни типовых отраслевых объектов КИИ, но по масштабу последствий соответствующего показателям критериев значимости, субъект КИИ будет проводить следующую процедуру:

объекту КИИ присваивается категория значимости;
в ФСТЭК России направляются:

o сведения о результатах категорирования;

o предложение о дополнении перечней типовых отраслевых объектов КИИ.

В перечень показателей критериев значимости объектов КИИ вносятся изменения и дополнения показателей экономической, социальной значимости и иные.

Требования к средствам ГосСОПКА и ППКА

28 ноября 2025 года опубликован проект приказа ФСБ России «Об установлении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее — средства ГосСОПКА), в том числе к средствам, предназначенным для поиска признаков компьютерных атак (далее — ППКА)».

Проект предлагает признать утратившим силу приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам ГосСОПКА»

Требования будут распространяться не только на субъектов КИИ, но и на иные Организации.

Ключевые изменения в общих требованиях к средствам ГосСОПКА:

появится право на удаленное управление средствами со стороны работников привлекаемого аккредитованного центра ГосСОПКА;
добавится требование о функции мониторинга пользовательской активности.

Изменения в требованиях к типам средств:

для средств обнаружения вводится требование об обязательном наличии сертификата соответствия классам «Г» или «ГП» требований, утвержденных приказом ФСБ России от 13.11.1999 №564 «Об утверждении положений о системе сертификации средств защиты информации (далее — СрЗИ) по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (далее — Приказ ФСБ России от 13.11.1999 № 564).
для средств предупреждения добавятся требования:

o использования индикаторов компрометации, данных о вредоносном программном обеспечении, тактиках и процедурах атак;

o актуальности данных (проверка обновлений не реже 1 раза в 24 часа), поддержке API и иное.

требования к средствам ППКА разделятся на два отдельных раздела:

o требования к средствам ППКА в сетях электросвязи, которые повторяют действующий раздел требований к средствам ППКА;

o новый раздел требований к средствам ППКА, которые должны обладать определенными функциями и иметь сертификат соответствия классам «В» или «ВП» требований, утвержденных приказом ФСБ России от 13.11.1999 №564.

исключится раздел требований к средствам обнаружения, средствам предупреждения и средствам ликвидации последствий в части реализации визуализации, построения сводных отчетов и хранения информации.

Дата окончания общественного обсуждения — 13 декабря 2025 года.

Порядок и технические условия установки и эксплуатации средств ГосСОПКА и ППКА

28 ноября 2025 года опубликован проект приказа ФСБ России «Об утверждении Порядка и Технических условий установки и эксплуатации средств ГосСОПКА, в том числе средств, предназначенных для ППКА, за исключением средств, предназначенных для ППКА в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ».

Проект предлагает признать утратившим силу приказ ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств ГосСОПКА, за исключением средств, предназначенных для ППКА в сетях электросвязи, используемых для организации взаимодействия объектов КИИ РФ».

Новый порядок будет применяться не только субъектами КИИ, но и иными Организациями. Добавится регулирование средств ППКА.

Установка, настройка, проверка работоспособности и подключение средств ГосСОПКА будет проводиться субъектом КИИ или Организацией самостоятельно, либо с привлечением:

аккредитованного центра ГосСОПКА;
организации, имеющей соглашение с НКЦКИ о сотрудничестве в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

После установки средств ГосСОПКА субъект КИИ или Организация обязаны уведомить об этом НКЦКИ в течение 15 календарных дней с представлением перечня используемых средств ГосСОПКА.

Будет введена процедура обратной связи и устранения замечаний от НКЦКИ с фиксированными сроками (30 дней на проверку и 30 дней на исправление).

Технические условия установки и эксплуатации средств ГосСОПКА будут включать в себя:

выполнение требований эксплуатационной документации;
обеспечение разграничения и контроля доступа;
обеспечение бесперебойным электропитанием.

Необходимость установки средств ППКА на информационные ресурсы субъекта КИИ или Организации будет определяться ФСБ России. Установка средств ППКА будет проводиться силами и средствами ФСБ России на безвозмездной основе.

Для установки средств ППКА ФСБ России направят субъекту КИИ или Организации следующую информацию и документы:

уведомление о необходимости установки средств ППКА;
условия для размещения средств ППКА;
данные представителя или структурного подразделения ФСБ России для организации работ;
проект регламента взаимодействия по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — регламент).

При получении уведомления о необходимости установки средств ППКА, субъекты КИИ или Организации будут обязаны:

в течение 10 календарных дней определить ответственных сотрудников для организации взаимодействия с ФСБ России;
в срок не более 30 календарных дней направить в ФСБ России:

o согласованный проект регламента;

o подробную информацию об информационных ресурсах, включающую описание инфраструктуры, хостов, подсистем, сервисов, доменных имен, СрЗИ и иное;

o структурно-функциональную схему информационных ресурсов;

o информационно-алгоритмическую модель информационных ресурсов, включающую правила доступа к подсистемам и сервисам, маршрутизацию пользователей и иное.

в срок не более 30 календарных дней, после получения утвержденного регламента, направить в ФСБ России уведомление о сроке подготовки своих информационных ресурсов для установки средств ППКА. Срок подготовки не должен превышать 6 месяцев.

Прием в эксплуатацию средств ППКА осуществляется назначенной субъектом КИИ или Организацией комиссией. В состав комиссии могут быть включены представители ФСБ России.

ФСБ России в отношении средств ППКА осуществляет:

эксплуатацию и техническое обслуживание;
замену и демонтаж;
мониторинг функционирования.

Субъект КИИ или Организация обеспечивает:

непрерывную работу своей информационной инфраструктуры для корректной работы средств ППКА;
непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА.

Технические условия установки и эксплуатации средств ППКА включают в себя:

выполнение в помещениях, в которых размещаются средства ППКА, требований национального стандарта ГОСТ Р 59316-2021 «Слаботочные системы. Кабельные системы. Телекоммуникационные пространства и помещения. Аппаратная комната. Общие требования»;
определение места для установки и непрерывной эксплуатации;
контроль и ограничение физического доступа;
выделение маршрутизируемых IP-адресов и подключение средств ППКА к каналам связи, необходимым ФСБ России для управления и обмена данными со средствами ППКА;
подключение средств ППКА к линиям связи, за исключением сетей электросвязи, через которые осуществляется взаимодействие объектов КИИ РФ;
обеспечение бесперебойным электропитанием средств ППКА.

Дата окончания общественного обсуждения — 13 декабря 2025 года.

Иное

Новая редакция правил централизованного управления сетью связи общего пользования

6 ноября 2025 года опубликовано постановление Правительства РФ от 27.10.2025 № 1667 «Об утверждении Правил централизованного управления сетью связи общего пользования».

Новое постановление признает утратившим силу постановление Правительства от 12.02.2020 № 127 «Об утверждении Правил централизованного управления сетью связи общего пользования».

Основные изменения правил:

расширен перечень угроз безопасности функционирования на территории РФ сети «Интернет» и сети связи общего пользования:

o угрозы деятельности провайдера хостинга не внесенных в реестр провайдеров хостинга и иные.

основным инструментом взаимодействия с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций станет личный кабинет на ее сайте.

Постановление вступит в силу с 1 марта 2026 года и будет действовать до 1 марта 2032 года.

Стандартизация

Стандарт систем управления функциональной безопасностью машин

Опубликован предварительный национальный стандарт ПНСТ 1021-2025 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».

Стандарт установит подход к интеграции требований ИБ в процессы обеспечения функциональной безопасности машин.

Основное внимание уделяется системам управления, связанным с безопасностью (далее – Safety-related Control Systems, SCS), уязвимость которых к кибератакам может привести к потере способности обеспечивать безопасность эксплуатации оборудования.

Стандарт предусматривает обязательность проведения оценки рисков ИБ для SCS. Оценка будет частью общей оценки рисков для конкретного типа машины и включает моделирование угроз.

Меры защиты информации для SCS будут реализовываться на основе следующих базовых принципов:

идентификация и аутентификация субъектов и объектов доступа;
управление доступом;
регистрация событий безопасности;
обнаружение вторжений и антивирусная защита;
контроль защищенности информации;
обеспечение целостности SCS и информации;
обеспечение доступности информации и готовности SCS;
защита технических средств;
защита систем связи и передачи данных SCS.

Ответственность за внедрение мер защиты информации для SCS несут пользователь машины и производитель машин и их подсистем.

Стандарт
вступит в силу с 1 марта 2026 года и будет действовать до 1 марта 2029 года.

ФСТЭК России

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

Назад к списку