Обзор изменений в законодательстве за октябрь 2025 года

В обзоре изменений за октябрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ.

2. Иное

Разберем положение о ГИС для противодействия киберпреступности.

3. Стандартизация

Рассмотрим окончательную версию стандарта для систем ИИ в КИИ, новый стандарт в области криптографической защиты информации и стандарт для доверенной среды исполнения.

4. ФСТЭК России

Разберем риски использования Windows 10 и Exchange Server 2016/2019 и отмену дублирующих требований к уровням доверия СрЗИ.

Рассмотрим Справку-доклад о ходе работ по плану ТК 362 по состоянию на 31 октября 2025 года.

Критическая информационная инфраструктура

Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) опубликовала информационное сообщение от 22.10.2025 № 240/84/3451 «О порядке представления субъектами критической информационной инфраструктуры (далее – КИИ) сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Уточняется порядок заполнения и актуализации сведений о результатах категорирования объектов КИИ. Уточнения связаны с внесением изменений в статью 8 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» и конкретизируются приказом ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – форма), утвержденную приказом ФСТЭК России от 22.12.2017 № 236».

Требования к заполнению формы:

• в пункте 1.7 формы ставится прочерк до утверждения перечней типовых отраслевых объектов КИИ. После их утверждения субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения об объектах КИИ;
• в пункте 1.8 формы необходимо указать доменное имя и внешний (публичный) IP-адрес объекта КИИ. При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не подключен к сети «Интернет» заполнение этого поля не требуется.

Процедура актуализации сведений о результатах категорирования в соответствии с пунктом 19¹ постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования):

• без изменения категории значимости: сведения направляются электронным документом, записанным на машинном носителе информации, с сопроводительным письмом, содержащим размер электронных документов;
• с изменением категории значимости: сведения направляются в печатном и электронном виде (в формате .ods или .odt) по форме, установленной пунктом 18 Правил категорирования.

Иное

Положение о ГИС для противодействия киберпреступности

9 октября 2025 года опубликован проект постановления Правительства РФ «О государственной информационной системе (далее – ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий».

Будет введено положение о ГИС и утвердятся правовые и организационные основы ее функционирования. Создание, развитие и эксплуатация ГИС будут осуществляться на единой цифровой платформе «ГосТех». Положением будет установлен порядок подключения и доступа к ГИС.

Оператором ГИС будет назначено Министерство цифрового развития, связи и массовых коммуникаций РФ.

Участниками информационного взаимодействия станут оператор ГИС и оператор платформы «ГосТех», а также следующие пользователи:

• федеральные органы исполнительной власти;
• Генеральная прокуратура РФ;
• Следственный комитет РФ;
• Центральный банк РФ;
• кредитные организации;
• операторы связи;
• организаторы сервиса обмена мгновенными сообщениями, являющиеся российскими юридическими лицами или гражданами РФ;
• провайдеры хостинга;
• владельцы социальных сетей;
• владельцы сервисов размещения объявлений;
• иные государственные органы и организации.

Пользователи будут обязаны:

• предоставлять в ГИС достоверные и актуальные сведения;
• немедленно сообщать о сбоях в работе системы;
• соблюдать требования законодательства РФ по защите информации;
• предоставлять данные:

      o об абонентских номерах, используемых для противоправных действий;

      o о лицах, совершивших противоправные действия (с указанием масок номеров банковских карт, счетов, паспортов, IP-адресов, доменных имен, URL-адресов, временных меток событий и иной информации);

      o об информационных ресурсах, распространяющих информацию, направленную на введение в заблуждение.

В системе будет запрещено использовать сведения, составляющие государственную тайну.

Дата окончания общественного обсуждения проекта – 7 ноября 2025 года.

Стандартизация

Стандарт для систем ИИ в КИИ

Технический комитет по стандартизации «Искусственный интеллект (далее – ИИ)» опубликовал окончательную версию проекта национального стандарта ГОСТ Р «ИИ в КИИ. Общие положения».

Стандарт будет обязателен для применения субъектами КИИ при проектировании, разработке, внедрении, эксплуатации, сопровождении и выводе из эксплуатации систем ИИ, которые являются частью программно-аппаратных комплексов (далее – ПАК) объектов КИИ.

Стандарт не будет распространяться на исследовательские и экспериментальные системы ИИ, не используемые в КИИ.

Стандартом предложена следующая классификация систем ИИ для КИИ:

• по уровню автономности принятия решений:

     o низкая (рекомендательные системы и иные);

     o средняя (частичная автоматизация с возможностью контроля человеком);

     o высокая (автономные решения с прямым воздействием на критические процессы принятия решений);

• по функциональному назначению (системы обеспечения информационной безопасности (далее – ИБ), анализа физической инфраструктуры, автоматизированного управления процессами, физической безопасности (включая ИИ-дроны), анализа данных и иные);
• по области применения в отрасли (здравоохранение, транспорта и иные);
• по источнику данных (работающие на внутренних, доверенных внешних или публичных данных).

Будет введена система критичности:

• уровень 1 (критический): системы ИИ, играющие ключевую роль в обеспечении ИБ и непрерывности функционирования объектов КИИ;
• уровень 2 (высокий): системы ИИ, автоматически принимающие решения, непосредственно влияющие на функционирование объектов КИИ;
• уровень 3 (средний): системы ИИ, участвующие в управлении процессами, но с обязательным контролем человеком перед исполнением критически важных решений;
• уровень 4 (низкий): системы ИИ, используемые для аналитики и поддержки принятия решений без прямого воздействия на процессы.

Для систем ИИ, применяемых в КИИ, должна будет проводиться комплексная оценка рисков на всех этапах жизненного цикла, включая проектирование, внедрение, эксплуатацию и вывод из эксплуатации.

Организации, применяющие системы ИИ в КИИ, должны будут разработать и внедрить следующие политики и процедуры:

• политику ИБ систем ИИ;
• процедуры управления жизненным циклом систем ИИ, включая учет внедренных решений ИИ;
• процедуры управления доступом к системам ИИ; 
• процедуры тестирования и валидации систем ИИ;
• процедуры реагирования на инциденты ИБ;
• процедуры резервного копирования и восстановления;
• процедуры управления изменениями;
• процедуры обучения персонала, работающего с системами ИИ, мониторингу и реагированию на специфические риски ИИ.

Для систем ИИ, применяемых в КИИ, должны будут проводиться проверки, включающие в себя:

• внутренний аудит ИБ;
• функциональное тестирование;
• тестирование на проникновение;
• проверку соответствия требованиям нормативных документов;
• проверку процедур резервного копирования и восстановления;
• проверку защищенности от компьютерных атак на обучающие выборки и манипуляции данными для искажения работы моделей ИИ;
• проверку защищенности от постоянных серьезных угроз с помощью эвристического анализа или иных методов.

Для систем ИИ, применяемых в КИИ, должна будет формироваться следующая отчетность:

• оперативные отчеты о состоянии систем ИИ (для систем с уровнями критичности 1 и 2 при наличии критических инцидентов ИБ – в режиме реального времени, без инцидентов ИБ и для систем с уровнями критичности 3 и 4 – ежедневно);
• отчеты об инцидентах ИБ (немедленно после инцидента и по завершении расследования);
• отчеты о результатах мониторинга показателей эффективности (еженедельно);
• отчеты по результатам проверок (после каждой проверки);
• периодические отчеты о функционировании систем ИИ (в соответствии с периодичностью, установленной для конкретного субъекта КИИ).

Стандарт в области криптографической защиты информации

Опубликован национальный стандарт ГОСТ Р 34.14-2025 «Информационная технология (далее – ИТ). Криптографическая защита информации. Термины и определения».

Стандарт содержит систематизированный перечень терминов и определений, сгруппированных по следующим тематическим разделам:

• ключевая система;
• система шифрования;
• система цифровой подписи;
• система имитозащиты;
• система аутентификации стороны;
• средства криптографической защиты информации.

Стандарт вводится взамен предварительного национального стандарта ПНСТ 799-2022 «ИТ. Криптографическая защита информации. Термины и определения».

Стандарт вводится в действие 1 января 2026 года.

Стандарт для доверенной среды исполнения

Технический комитет по стандартизации «Защита информации» (далее – ТК 362) приступил к рассмотрению проекта национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения (далее – ДСИ). Общие положения».

Стандарт устанавливает общие положения, которые следует учитывать при проектировании, создании и использовании ПАК с ДСИ, включая взаимодействия ДСИ с иными компонентами ПАК.

Стандарт предназначен для следующих категорий пользователей:

• разработчиков ДСИ;
• разработчиков программного обеспечения (далее – ПО), взаимодействующего с ДСИ;
• разработчиков аппаратных платформ;
• разработчиков информационных систем (далее – ИС), применяющих ДСИ;
• организаций, выполняющих оценку соответствия ДСИ требованиям стандарта.

Стандарт устанавливает требования к обязательным и опциональным функциям ДСИ, ее аппаратной и программной архитектуре, функциям безопасности и иным аспектам, а также общие требования к ДСИ с целью создания и применения для обеспечения:

• конфиденциальности и целостности при обработке и хранении данных;
• изоляции и безопасности при выполнении операций, критически важных для безопасного функционирования устройства, универсальной среды исполнения, приложений;
• доступности обрабатываемых и хранимых данных.

Для каждого ПАК сможет применяться одна или несколько технологий для реализации ДСИ. В качестве примеров таких технологий приведены:

• аппаратная виртуализация;
• Arm TrustZone;
• eSIM и иные.

Также ДСИ может использоваться для:

• управления криптографическими ключами;
• идентификации и аутентификации пользователей устройства;
• поддержки функций доверенной загрузки;
• реализации компонентов финансовых сервисов платежных систем и иных задач.

ФСТЭК России

Риски использования Windows 10 и Exchange Server 2016/2019

ФСТЭК России опубликовала информационное сообщение «О применении операционной системы (далее – ОС) Microsoft Windows 10 и серверного ПО Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки».

С 14 октября 2025 года компания Microsoft официально прекратила техническую поддержку и выпуск обновлений для ОС Windows 10 и серверных продуктов Exchange Server 2016 и Exchange Server 2019, в том числе обновлений, направленных на устранение ошибок и уязвимостей.

Microsoft выпустила финальные публичные обновления безопасности для Exchange Server 2016 и 2019. Новые обновления безопасности для этих версий будут получать только те клиенты, которые приобрели программу расширенного обновления безопасности Extended Security Update (ESU).

ФСТЭК России акцентирует внимание на двух ключевых рисках:

• непосредственная угроза ИБ: прекращение выпуска обновлений в сочетании с неизбежным обнаружением новых уязвимостей создаёт прямую возможность для кибератак (системы, работающие на неподдерживаемом ПО, становятся уязвимыми целями);
• повышенное внимание злоумышленников: прогнозируется, что хакерские группировки активизируют поиск и разработку эксплойтов для указанных версий, так как их эксплуатация со временем будет становиться все более вероятной.

ФСТЭК России рекомендует органам государственной власти, субъектам КИИ и организациям, использующим в своих ИС указанное ПО, в короткие сроки спланировать и осуществить переход:

• на российские ОС или сертифицированные версии;
• на почтовые серверы, имеющие действующую техническую поддержку.

В случае невозможности перехода ФСТЭК России установила компенсирующие меры, направленные на нейтрализацию угроз безопасности информации:

• установить все актуальные обязательные обновления для ОС и серверного ПО Microsoft в соответствии с методиками:

      o тестирования обновлений безопасности программных, программно-аппаратных средств, утвержденной ФСТЭК России 28.10.2022;

      o оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30.06.2025;

• ограничить с помощью межсетевых экранов (далее – МЭ) уровень периметра внешнего доступа к автоматизированным рабочим местам (далее – АРМ) с ОС Windows 10 и серверному ПО Microsoft Exchange, а при отсутствии такой возможности, применять в обязательном порядке меры по сегментированию ИС, защите периметра ИС и ее сегментов, в том числе с использованием:

     o МЭ;

     o средств антивирусной защиты;

     o систем обнаружения вторжений;

     o DLP-систем;

     o средств однонаправленной передачи данных;

• организовать постоянный мониторинг общедоступных источников на предмет появления сведений о новых уязвимостях в ОС и серверном ПО Microsoft, а также принимать меры по нейтрализации выявленных уязвимостей;
• регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей в соответствии с методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17.05.2023;
• обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, ПО АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft;
• проводить периодическое сканирование АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft, на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов ОС;
• обеспечить применение дополнительных сертифицированных средств защиты информации (далее – СрЗИ), реализующих (дублирующих) функции по безопасности информации ОС.

Общество с ограниченной ответственностью «Уральский центр систем безопасности» успешно реализует проекты по переходу на российское ПО и оборудование.

Отмена дублирующих требований к уровням доверия СрЗИ

ФСТЭК России опубликовала информационное сообщение от 16.10.2025 № 240/24/5531 «О внесении изменений в приказ ФСТЭК России от 02.06.2020 № 76 «Требования по безопасности информации, устанавливающие уровни доверия к СрЗИ и средствам обеспечения безопасности ИТ (далее – Требования доверия)».

Цель изменений – устранение дублирования регулирования с постановлением Правительства РФ от 17.07.2015 № 719 «О подтверждении производства промышленной продукции на территории РФ».

Утратили силу положения Требований доверия, касающиеся необходимости наличия сведений об аппаратных платформах СрЗИ и их компонентах в едином реестре радиоэлектронной продукции, а именно положения о применении:

• в составе СрЗИ аппаратных платформ, сертифицируемых на соответствие 1-5 уровням доверия;
• в составе аппаратных платформ СрЗИ, сертифицируемых на соответствие 1-4 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти, сетевых карт, графических адаптеров;
• в качестве среды функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, аппаратных платформ средств вычислительной техники;
• в составе аппаратных платформ средств вычислительной техники, являющихся средой функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти, сетевых карт, графических адаптеров.

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану ТК 362 на 2025 год по состоянию на 31 октября 2025 года.

В интересах выполнения плана были проведены следующие работы:

• председателю ТК 362 представлены:

     o результаты анализа работы в 3 квартале 2025 года, также разосланы руководителям организаций-членов ТК 362;

     o Перспективная программа работ ТК 362 на период до 2030 года, дополненная проектом ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»;

     o проект ГОСТ Р «Защита информации. Разработка безопасного ПО, реализующего технологии ИИ. Общие требования» для принятия решения об организации его публичного обсуждения;

• организовано публичное обсуждение проекта ГОСТ Р «Защита информации. ДСИ. Общие положения»;
• проект ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования» дорабатывается разработчиком. Подробнее со стандартом можно ознакомиться в обзоре за август 2025 года Аналитического центра УЦСБ;
• подготовлены и направлены в ТК 057 «Интеллектуальные транспортные системы» результаты согласования проекта Перспективной программы стандартизации по приоритетному направлению «Интеллектуальные транспортные системы» на 2026-2028 годы;
• разослана на рассмотрение в организации-члены ТК 362 окончательная редакция проекта ГОСТ Р «ИИ в КИИ. Общие положения».