Январь 2026 года ознаменовался продолжением активной нормотворческой и методической работы в сфере ИБ и защиты КИИ. Ключевые ведомства представили проекты нормативных правовых актов, утвердили отраслевые требования и выпустили разъясняющие рекомендации, ориентированные на практическое применение мер защиты, усиление лицензионного контроля и развитие системы стандартизации. Существенное внимание в отчетном периоде уделялось регулированию процессов категорирования объектов КИИ, использованию биометрических персональных данных, уголовно-правовой защите информации, обновлению процедур аттестации ИС, а также подготовке технических рекомендаций для эксплуатации зарубежного ПО в условиях ограниченной поддержки.
Основные направления изменений:
Развитие отраслевого регулирования КИИ:
Утверждены специальные правила категорирования объектов в атомной энергетике, формирующие модель внедрения детализированных требований на уровне отдельных отраслей.
Корректировка режима использования биометрии:
Внесен законопроект, предусматривающий дифференцированный подход к применению ЕБС в системах контроля доступа в зависимости от категории объектов КИИ.
Усиление уголовно-правовой защиты ПДн:
Предложено расширение состава преступлений, связанных с незаконной автоматизированной обработкой ПДн.
Обновление процедур аттестации ИС:
ФСТЭК России подготовила проект изменений, направленный на усиление контроля защищенности, внедрение обязательного тестирования на проникновение и уточнение порядка эксплуатации аттестованных объектов.
Публикация методических рекомендаций:
Выпущены разъяснения по защите SAP-систем, виртуальной инфраструктуры VMware и серверов Samba в условиях ограниченного доступа к обновлениям производителей.
Совершенствование лицензионного регулирования:
Подготовлены проекты изменений в правила лицензирования деятельности по технической защите информации и разработке СрЗИ.
Развитие системы стандартизации:
Продолжена работа ТК 362 по подготовке национальных стандартов и формированию программы стандартизации на 2026 год.
Ключевые нормативные изменения:
Отраслевые особенности категорирования объектов КИИ в атомной энергетике
Постановлением Правительства Российской Федерации от 16.01.2026 № 4 утверждены отраслевые особенности категорирования объектов критической информационной инфраструктуры (далее — КИИ), функционирующих в области атомной энергии. Документ принят во исполнение Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и развивает положения Правил категорирования, утвержденных постановлением Правительства РФ от 08.02.2018 № 127. Его назначение заключается в учете специфики атомной отрасли при определении категории значимости объектов КИИ и в унификации подходов к оценке последствий компьютерных инцидентов.
Постановление вводит специальный отраслевой порядок категорирования, применяемый к субъектам КИИ, функционирующим в области атомной энергии. В документе уточняются правила формирования комиссий по категорированию и расширяется перечень исходных данных, подлежащих использованию при расчетах показателей критериев значимости.
Особенности не вводят новые критерии значимости, а определяют порядок расчета показателей, предусмотренных Правилами категорирования, применительно к атомной отрасли. В постановлении закреплено, какие именно показатели подлежат оценке субъектами КИИ в указанной сфере, а также установлен состав исходных данных, необходимых для их определения. Для расчетов предусматривается применение экспертного анализа, моделирования сценариев компьютерных атак, анализа аналогичных инцидентов и оценки социально-экономических последствий.
Отдельный блок посвящен экономической оценке ущерба. Закрепляются формулы определения снижения доходов субъектов КИИ, возможных потерь бюджетных поступлений и совокупного экономического ущерба, включая влияние простоев, восстановительных работ и нарушения производственных цепочек. Все расчеты подлежат обязательному документированию и должны оформляться в материалах комиссии по категорированию.
Что должны сделать организации атомной отрасли — субъекты КИИ?
01
Изучить отраслевые особенности категорирования.
02
Актуализировать внутренние регламенты по категорированию объектов КИИ, включая порядок формирования комиссий, используемые методики расчета критериев значимости и требования к оформлению материалов.
03
Инициировать процедуру повторного категорирования объектов КИИ.
04
Подготовить исходные данные, необходимые для пересмотра установленных категорий значимости.
05
Провести категорирование объектов КИИ с учетом подходов, описанных в особенностях.
06
Направить актуальные сведения о результатах категорирования в Федеральную службу по техническому и экспортному контролю РФ (далее − ФСТЭК России).
Изменения порядка применения биометрических ПДн при проходе на территории объектов и помещений
Правительством РФ в Государственную Думу внесен проект федерального закона о внесении изменений в статью 13 Федерального закона от 29.12.2022 № 572 — ФЗ (далее — 572 — ФЗ), регулирующего использование биометрических персональных данных (далее — ПДн) при идентификации и аутентификации физических лиц. Законопроект направлен на корректировку действующего порядка допуска на территории государственных органов, организаций и субъектов КИИ посредством систем контроля и управления доступом (далее − СКУД).
Проект закона предлагает дифференцированный подход к использованию биометрии в зависимости от категории значимости объекта КИИ и статуса организации. Для объектов оборонно-промышленного, атомного, топливно-энергетического комплексов, а также помещений, предназначенных для обработки сведений, составляющих государственную тайну, предусматривается возможность применения собственных информационных систем (далее — ИС) государственных органов, Центрального банка РФ (при аккредитации), государственных корпораций и иных организаций, осуществляющих биометрическую аутентификацию, при условии, что они владеют соответствующими объектами или помещениями на законных основаниях и используют векторы Единой биометрической системы (далее — ЕБС).
Для контролируемых зон объектов КИИ первой и второй категорий значимости законопроект закрепляет право использовать как системы аккредитованных государственных органов и подведомственных им организаций, обеспечивающих пропускной режим, так и собственные системы Центрального банка РФ, государственных корпораций и аккредитованных организаций при соблюдении установленных условий. В отношении объектов третьей категории значимости либо объектов, которым категория не присвоена, предлагается более гибкая модель, допускающая использование собственных ИС государственных корпораций и дочерних обществ, региональных сегментов ЕБС, а также систем аккредитованных государственных органов.
В целом законопроект направлен на смягчение действующих требований статьи 13 572-ФЗ и расширение перечня допустимых сценариев использования биометрии при проходе через СКУД.
Что должны сделать организации?
01
Отслеживать прохождение законопроекта в Государственной Думе и возможные корректировки его текста.
02
Провести инвентаризацию используемых СКУД и сценариев аутентификации сотрудников и посетителей, включая анализ того, применяется ли ЕБС, региональные сегменты ЕБС или собственные ИС.
03
Определить категории значимости эксплуатируемых объектов КИИ и сопоставить их с предлагаемыми в законопроекте режимами допуска, чтобы заранее оценить возможность перехода на более гибкую модель использования собственных систем.
04
Проверить статус аккредитации организации либо дочерних обществ как субъектов, осуществляющих биометрическую аутентификацию, а также готовность инфраструктуры к выполнению требований, связанных с использованием векторов ЕБС.
05
Оценить финансовые последствия возможных изменений, включая затраты на использование ЕБС, модернизацию СКУД, интеграцию собственных систем и пересмотр договоров с операторами биометрических сервисов.
06
Подготовить проекты изменений во внутренние локальные акты − положения о пропускном режиме, регламенты доступа на объекты, политики обработки биометрических ПДн и модели угроз.
07
Обеспечить участие профильных подразделений по информационной безопасности (далее — ИБ), защите ПДн и физической защите объектов в анализе законопроекта и планировании последующих организационно-технических мероприятий.
Расширение уголовной ответственности за незаконную обработку персональных данных
В Государственную Думу внесен проект федерального закона о внесении изменений в статью 272.1 Уголовного кодекса Российской Федерации от 13.06.1996 № 63-ФЗ (далее − УК РФ), которым предлагается расширить состав уголовно наказуемых деяний в сфере неправомерного обращения с компьютерной информацией, содержащей ПДн. Законопроект направлен на усиление уголовно-правовой защиты граждан в условиях роста киберпреступлений и активного использования технологий синтетических медиа, включая дипфейки.
Ключевой проблемой действующей редакции статьи 272.1 УК РФ законопроект называет правовой пробел, связанный с тем, что уголовная ответственность прямо установлена за использование, передачу, сбор и хранение компьютерной информации с ПДн, но не охватывает автоматизированную обработку таких сведений как самостоятельное общественно опасное деяние.
Предлагаемые изменения предусматривают дополнение диспозиции части первой статьи 272.1 УК РФ путем указания на автоматизированную обработку как на самостоятельное противоправное действие. Это должно позволить квалифицировать как преступление сам факт незаконной машинной обработки ПДн, полученных неправомерным путем, независимо от дальнейших операций с ними.
Что должны сделать организации?
01
Отслеживать прохождение законопроекта и возможные изменения его формулировок.
02
Провести ревизию процессов обработки персональных и биометрических данных, включая использование алгоритмов машинного обучения, систем распознавания лиц и голоса, а также иных средств автоматизированной аналитики.
03
Актуализировать внутренние политики обработки ПДн и модели угроз с учетом возможного расширения состава уголовно наказуемых деяний.
04
Пересмотреть договоры с подрядчиками и разработчиками решений информационных технологий (далее — ИТ), использующих автоматизированную обработку данных, включая распределение ответственности за незаконные операции с информацией.
05
Усилить контроль доступа к массивам ПДн и журналирование операций обработки, особенно в автоматизированных и высоконагруженных системах.
06
Организовать дополнительное обучение сотрудников и ИТ-персонала по вопросам уголовно-правовых рисков при работе с ПДн и использовании инструментов искусственного интеллекта.
Изменение порядка аттестации объектов информатизации по требованиям защиты информации
ФСТЭК России подготовила проект приказа о внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям защиты информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77. Документ предусматривает комплексную донастройку процедур аттестации, периодического контроля защищенности и эксплуатации аттестованных объектов информатизации, а также уточняет требования к тестированию, анализу уязвимостей и взаимодействию владельцев объектов с уполномоченным органом.
Изменения затрагивают сферу применения Порядка и перечень ИС, подлежащих аттестации. Уточняется, что требования распространяются не только на государственные ИС, но и на иные ИС государственных органов, государственных унитарных предприятий и государственных учреждений. Одновременно конкретизируется возможность проведения аттестации собственными подразделениями органов власти при условии информирования ФСТЭК России и наличия необходимых компетенций.
Существенно перерабатываются положения о составе аттестационных комиссий. Для проведения аттестационных испытаний и периодического контроля орган по аттестации должен формировать комиссию из руководителя и не менее чем двух экспертов, обладающих подтвержденными знаниями в области технической защиты конфиденциальной информации и аттестации объектов информатизации.
Отдельный крупный блок изменений посвящен методам проверки защищенности. Закрепляется, что функциональное тестирование, анализ уязвимостей и тестирование на проникновение должны выполняться по методическим документам, утвержденным ФСТЭК России. При этом вводится прямая обязанность проводить тестирование на проникновение в отношении государственных и иных ИС государственных органов и организаций 1 и 2 классов защищенности, подключенных к сети Интернет либо взаимодействующих с внешними системами, включая системы подрядчиков, за исключением случаев использования сертифицированных криптографических средств и защищенных виртуальных частных сетей.
Проект приказа также вводит специальные правила для объектов, создаваемых на базе инфраструктуры центров обработки данных, используемых в рамках цифровой трансформации государственного и муниципального управления. Такая инфраструктура подлежит самостоятельной аттестации на соответствие требованиям защиты информации.
Дополнительно закрепляется возможность проведения аттестации по результатам испытаний отдельных сегментов объекта информатизации при условии, что эти сегменты реализуют полную технологию обработки информации, а на конечных устройствах внедрены сертифицированные средства защиты информации (далее — СрЗИ) и обеспечено управление процессами ИБ. При этом подробно регламентируются условия распространения аттестата соответствия на другие сегменты, включая требования к идентичности классов защищенности, угроз, проектных решений и процедурам подтверждения соответствия в ходе приемочных испытаний.
Существенно усиливается режим эксплуатации аттестованных объектов. Аттестат соответствия предлагается выдавать на весь срок эксплуатации, однако владельцы обязаны постоянно поддерживать уровень безопасности, проводить периодический контроль с применением анализа уязвимостей и тестирования на проникновение, оформлять результаты отчетами и отражать их в техническом паспорте объекта. Вводится обязанность направлять такие отчеты в ФСТЭК России не реже 1 раза в 3 года в течение 5 рабочих дней после завершения контрольных мероприятий, при этом непредставление документов становится основанием для приостановления действия аттестата.
Изменения также уточняют порядок модернизации объектов информатизации. При изменении архитектуры или состава СрЗИ предусматривается проведение дополнительных аттестационных испытаний без прекращения действия аттестата, тогда как при повышении класса защищенности или категории значимости потребуется повторная аттестация. Регламентируются основания для приостановления, возобновления и прекращения действия аттестата соответствия.
Что должны сделать организации?
01
Проанализировать применимость изменений к своим объектам информатизации, включая государственные и ведомственные ИС, а также инфраструктуру центров обработки данных, используемую в рамках цифровой трансформации.
02
Обновить внутренние регламенты по аттестации и эксплуатации аттестованных систем с учетом новых требований к периодическому контролю, тестированию на проникновение и направлению отчетности во ФСТЭК России.
03
Провести инвентаризацию объектов 1 и 2 классов защищенности и оценить необходимость организации регулярных работ по анализу уязвимостей и пентесту, включая привлечение лицензированных подрядчиков.
04
Проверить состав аттестационных комиссий и компетенции экспертов, задействованных в аттестации и контроле защищенности.
05
Пересмотреть планы модернизации ИС и архитектуры защиты с точки зрения триггеров для проведения дополнительных испытаний либо повторной аттестации.
06
Подготовить процедуры сегментной аттестации и распространения аттестата на иные сегменты объектов информатизации при условии применения таких подходов в инфраструктуре организации.
07
Настроить процессы формирования, хранения и своевременного направления в ФСТЭК России отчетов по результатам контроля защищенности, а также актуализации технических паспортов объектов.
08
Оценить риски приостановления или прекращения действия аттестатов соответствия и сформировать планы реагирования на случаи выявления несоответствий.
Методики и стандарты ИБ
Рекомендации по защите SAP-систем в условиях прекращения технической поддержки
ФСТЭК России выпустила рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории РФ. Документ адресован государственным органам, государственным компаниям и иным организациям, эксплуатирующим SAP-ландшафты, и ориентирован на снижение рисков эксплуатации уязвимостей в программных компонентах при ограниченном доступе к официальным обновлениям производителя.
В рекомендациях подчеркивается необходимость перехода от формального сопровождения SAP-систем к режиму повышенного мониторинга и компенсирующих мер безопасности. В качестве первоочередной задачи уполномоченный орган называет инвентаризацию всех установленных компонентов SAP и применяемых пакетов обновлений, проверку наличия неустановленных SAP Security Notes, аудит активированных сервисов и интерфейсов, а также актуализацию операционных систем, баз данных и сторонних библиотек. В случаях, когда обновление прикладного или системного программного обеспечения (далее — ПО) невозможно, предлагается реализовывать компенсирующие меры и изоляцию уязвимых компонентов за счет сегментации сети и ограничения доступа.
Значительный блок документа посвящен управлению учетными записями и сервисными пользователями SAP. Рекомендуется обеспечить жесткую парольную политику с длиной пароля не менее 15 символов, блокировать неиспользуемые учетные записи, отключать стандартные системные аккаунты и организовывать постоянный контроль за пользователями с максимальными полномочиями. Особое внимание уделяется мониторингу изменений в конфигурационных таблицах и действиям технических учетных записей интеграционных модулей.
ФСТЭК России также рекомендует минимизировать поверхность атаки за счет отключения неиспользуемых веб-сервисов, интерфейсов и компонентов SAP, включая ICF-сервисы, AS Java-модули, SAP HANA XS Engine и BI-подсистемы. Одновременно рекомендуется ограничивать RFC-взаимодействия и административные интерфейсы, настраивать списки контроля доступа, исключать универсальные разрешения и обеспечивать доступ к средствам администрирования исключительно из закрытых сегментов.
Отдельный акцент сделан на конфигурации параметров безопасности профиля SAP-систем. Рекомендации предусматривают жесткие настройки политик аутентификации, блокировку небезопасных параметров, контроль RFC-соединений и регистрацию попыток обхода механизмов защиты. Предлагается использовать встроенные инструменты контроля конфигураций и самопроверки безопасности, если они доступны в эксплуатируемом ландшафте.
Большой раздел посвящен защите каналов связи и применению криптографических механизмов. Уполномоченный орган предписывает обязательное использование SSL/TLS и SNC для всех типов соединений, запрет устаревших криптографических алгоритмов и протоколов, корректную настройку сертификатов, шифрование RFC-каналов и административных интерфейсов, а также включение защиты внутреннего взаимодействия компонентов SAP HANA и SAP NetWeaver.
В рекомендациях отдельно рассматриваются вопросы управления правами доступа, разделения ролей и безопасной разработки. Предлагается ограничить использование транзакций прямого доступа к таблицам и выполнения программ в продуктивных системах, регламентировать процессы управления доступом и внедрить концепцию ролей, а также применять контролируемые конвейеры изменений с обязательным статическим анализом кода.
Завершающий блок документа касается логирования и аудита событий безопасности. ФСТЭК России рекомендует активировать системные журналы, обеспечивать защищенное хранение логов, регулярно анализировать события безопасности и выявлять признаки эксплуатации уязвимостей или несанкционированной активности.
Что должны сделать организации?
01
Провести полную инвентаризацию SAP-ландшафта, включая версии ядра, баз данных, установленные Security Notes, активированные сервисы и внешние зависимости.
02
Оценить возможность установки обновлений и при невозможности их применения внедрить компенсирующие меры, включая сетевую сегментацию, изоляцию компонентов и усиленный мониторинг.
03
Пересмотреть политики управления учетными записями, заблокировать неиспользуемые аккаунты, отключить стандартных пользователей, усилить парольные требования и внедрить постоянный контроль административных ролей.
04
Отключить неиспользуемые веб-сервисы и интерфейсы, сократить RFC-взаимодействия и ограничить доступ к административным компонентам SAP из внешних и недоверенных сегментов.
05
Привести параметры профилей безопасности SAP-систем к рекомендуемым значениям и организовать регулярный контроль конфигураций.
06
Обеспечить полное шифрование каналов связи между компонентами SAP и внешними системами, включая RFC-, HTTP- и административные интерфейсы.
07
Пересмотреть модель ролей и привилегий, внедрить процессы регулярной проверки полномочий и разделения функций.
08
Обновить процессы безопасной разработки и эксплуатации, включая использование управляемых транспортных контуров изменений и статический анализ кода.
09
Включить расширенное журналирование и аудит событий безопасности, обеспечить защищенное хранение логов и регулярный анализ инцидентов.
Рекомендации ФСТЭК по безопасной настройке виртуальной инфраструктуры VMware
ФСТЭК России опубликовала рекомендации по безопасной настройке виртуальной инфраструктуры, построенной на базе ПО VMware. Документ адресован государственным органам и организациям, эксплуатирующим среды виртуализации на базе ESXi и vCenter, и направлен на снижение рисков компрометации гипервизоров, управляющих компонентов и виртуальных машин, а также на повышение уровня обнаружения атак и устойчивости инфраструктуры к инцидентам.
В рекомендациях особый акцент сделан на обеспечении полного и централизованного журналирования событий всех компонентов виртуальной инфраструктуры. Уполномоченный орган требует настраивать локальное и удаленное хранение журналов на хостах ESXi, их переадресацию на выделенные серверы и интеграцию с SIEM-системами для постоянного мониторинга. Документ детально описывает параметры syslog-конфигурации, перечни контролируемых журналов и типовые признаки компрометации, включая включение SSH-доступа, изменения правил встроенного межсетевого экрана, попытки аутентификации и создание новых учетных записей.
Существенный блок рекомендаций посвящен реагированию и оповещению администраторов безопасности. Предлагается настраивать автоматические уведомления при остановке виртуальных машин, попытках запуска вредоносных команд, изменении привилегий в Active Directory, установке неизвестных пакетов, модификации конфигурации хостов ESXi и изменениях паролей привилегированных пользователей.
ФСТЭК России отдельно регламентирует требования к резервному копированию виртуальной инфраструктуры. Предписывается создавать не менее 3 копий данных, хранить их на разных типах носителей, обеспечивать физическое и сетевое разделение резервных площадок и исключать доступ к резервным копиям из сети Интернет.
Документ вводит строгие требования к управлению доступом администраторов. Рекомендуется внедрять многофакторную аутентификацию для доступа к ESXi и vCenter, по возможности полностью отключать SSH-доступ для привилегированных пользователей либо ограничивать его по времени и ключам аутентификации. Отдельно рассматриваются механизмы блокировки установки неподписанных пакетов VMware Installation Bundles, ограничения использования сетевых API и критичных сервисных портов.
Большой раздел посвящен вопросам своевременного обновления ПО VMware с предварительным тестированием патчей и оценкой критичности уязвимостей. Подчеркивается необходимость принципа минимальных привилегий при администрировании виртуальной инфраструктуры, регулярной смены паролей и применения механизмов безопасной загрузки гипервизоров.
В рекомендациях также подробно рассматриваются технические меры сегментации и сетевой защиты. Предлагается выносить наиболее критичные компоненты виртуальной среды в отдельные сегменты, использовать межсетевые экраны, настраивать политики безопасности порт-групп виртуальных коммутаторов и применять белые либо черные списки доступа к хостам ESXi на уровне сетевых СрЗИ.
Что должны сделать организации?
01
Организовать централизованный сбор и хранение журналов событий ESXi и vCenter, их передачу в SIEM и настройку автоматических оповещений по критичным событиям.
02
Проверить конфигурацию syslog-параметров на всех хостах виртуализации и исключить хранение логов исключительно в оперативной памяти.
03
Пересмотреть схемы резервного копирования виртуальной инфраструктуры с обеспечением географического и сетевого разделения копий.
04
Внедрить многофакторную аутентификацию для административного доступа и по возможности отключить SSH-доступ для привилегированных пользователей либо строго ограничить его по времени и ключам.
05
Настроить строгую проверку подписи устанавливаемых пакетов VMware Installation Bundles и контроль целостности обновлений.
06
Провести инвентаризацию открытых сервисов, API и сетевых портов виртуальной инфраструктуры и минимизировать их использование.
07
Организовать регулярное обновление компонентов VMware с предварительным тестированием патчей и оценкой уязвимостей.
08
Включить механизмы безопасной загрузки ESXi, запрет запуска неподписанного кода и проверить корректность работы TPM-режима.
09
Настроить политики безопасности порт-групп виртуальных коммутаторов, включая запрет promiscuous-mode и подмены MAC-адресов.
10
Пересмотреть сетевую архитектуру виртуальной среды с выделением критичных сегментов и применением межсетевых экранов и списков доступа.
Рекомендации ФСТЭК по безопасной настройке ПО Samba
ФСТЭК России выпустила рекомендации по безопасной настройке ПО Samba, применяемого в роли файлового сервера и контроллера домена. Документ предназначен для государственных органов и организаций, использующих Samba в инфраструктуре хранения данных и доменных сервисов, и направлен на снижение рисков компрометации файловых ресурсов, учетных записей и служб каталогов.
В рекомендациях подробно рассматриваются вопросы первичной конфигурации общих ресурсов и сетевых ограничений. Уполномоченный орган предписывает исключать анонимный доступ, ограничивать разрешенные подсети, отключать NetBIOS и использование устаревшего протокола SMBv1, а также принудительно переводить взаимодействие на современные версии SMB2/SMB3. Одновременно подчеркивается необходимость защиты хоста с помощью сетевых фильтров и межсетевых экранов.
Существенный раздел документа посвящен включению расширенного аудита и журналирования действий пользователей и сервисов Samba. Предлагается активировать модуль full_audit, детально настраивать уровни логирования и перечни регистрируемых операций, а также организовывать передачу событий в систему централизованного сбора логов. В приложениях к рекомендациям приведены перечни подсистем Samba, уровней журналирования, форматов префиксов записей аудита и типов приоритетов сообщений.
Отдельное внимание уделяется защите взаимодействия Samba с LDAP и Kerberos. Рекомендуется включать обязательное шифрование при LDAP Bind, использовать только современные криптографические алгоритмы Kerberos и контролировать доступ к каталогу SYSVOL. Уполномоченный орган также требует организовывать регулярное резервное копирование базы данных Active Directory с хранением копий на внешних носителях и в изолированных сегментах.
Документ предусматривает обязательные процедуры периодического контроля состава административных групп и групповых политик домена. Предлагается регулярно проверять членов группы Domain Admins, анализировать перечень активных GPO, а также настраивать жесткую парольную политику с длиной пароля не менее 15 символов, историей паролей и ограничением срока их действия.
Отдельным блоком выделены требования к контролю целостности конфигурации и выявлению небезопасных настроек, включая проверку шифрования LDAP, аудит прав доступа к системным каталогам и применение инструментов командной строки для диагностики состояния доменных служб.
Что должны сделать организации?
01
Проанализировать текущую конфигурацию Samba-серверов, включая параметры smb. conf, версии протоколов SMB, настройки сетевого доступа и разрешенные подсети.
02
Исключить анонимный доступ и использование устаревших механизмов, отключить NetBIOS и SMBv1, ограничить входящий трафик межсетевыми экранами.
03
Включить расширенное журналирование с использованием модуля full_audit и настроить передачу логов в централизованную систему мониторинга.
04
Проверить настройки LDAP и Kerberos, обеспечить обязательное шифрование соединений и использование современных криптографических алгоритмов.
05
Организовать регулярное резервное копирование базы данных домена и каталога SYSVOL с хранением копий в изолированных сегментах и ограничением доступа.
06
Проводить периодический контроль состава групп Domain Admins и групповых политик Active Directory.
07
Настроить строгую парольную политику с минимальной длиной, историей паролей и сроком действия учетных данных.
08
Актуализировать внутренние регламенты эксплуатации Samba-серверов и реагирования на инциденты ИБ.
Деятельность ТК 362
Технический комитет по стандартизации «Защита информации» (далее — ТК 362) продолжает активную работу по развитию нормативно-технической базы в области защиты информации, выполнению планов стандартизации и взаимодействию с участниками рынка. На официальном сайте ФСТЭК России выставлены результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в IV квартале 2025 года.
В IV квартале 2025 года деятельность комитета была сосредоточена на разработке проектов национальных стандартов, взаимодействии со смежными техническими комитетами по стандартизации, а также планировании дальнейшей работы и анализе активности участников.
1. Организация разработки и согласования национальных стандартов
В отчетном периоде ТК 362 вел работы по подготовке и доработке ряда ключевых проектов ГОСТ Р в области защиты информации. Организовано голосование по проекту национального стандарта «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения» для последующего представления в Федеральное агентство по техническому регулированию и метрологии (далее − Росстандарт). По итогам голосования выявлены разногласия, в связи с чем дальнейшее продвижение проекта временно приостановлено до их устранения.
Продолжается доработка проектов стандартов по результатам публичного обсуждения и рассмотрения членами комитета, в том числе:
- ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации». Планируемый срок представления обновленной версии − февраль 2026 года;
- ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения». Планируемый срок представления − март 2026 года;
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования». Планируемый срок представления − март 2026 года.
Кроме того, председателю ТК 362 представлен проект ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования» для принятия решения о проведении публичного обсуждения.
2. Взаимодействие со смежными техническими комитетами по стандартизации
В IV квартале 2025 года ТК 362 активно участвовал в рассмотрении проектов стандартов, разрабатываемых другими техническими комитетами.
Подготовлены и направлены заключения:
- в ТК 098 «Биометрия и биомониторинг» − по серии стандартов, посвященных испытательным стендам для биометрических систем и методам обнаружения атак на биометрическое предъявление;
- в ТК 022 «Информационные технологии» − по проектам предварительных национальных стандартов, касающихся оценки рисков приватности и обезличивания данных;
- в ТК 079 «Оценка соответствия» − по проекту ГОСТ Р ИСО/МЭК 27 006−1, регламентирующему требования к органам по аудиту и сертификации систем менеджмента ИБ;
- в ТК 164 «Искусственный интеллект» − по проекту ГОСТ Р, посвященному применению искусственного интеллекта в КИИ.
3. Планирование и организационное развитие
В отчетном периоде продолжалась работа по формированию долгосрочной программы стандартизации.
29 октября 2025 года утверждена «Перспективная программа работы ТК 362 на период до 2030 года», включающая в том числе разработку стандарта по защите информации в облачной инфраструктуре.
Подготовлен и согласован с подкомитетами план работы ТК 362 на 2026 год, учитывающий предложения организаций-членов и результаты выполнения плана за 2025 год.
В IV квартале были приняты новые участники в статусе наблюдателей, а также изменен статус отдельных организаций-членов. Одновременно рассматривались обращения о вступлении в ТК 362, по части из которых приняты решения об отказе.
Дополнительно подготовлен проект решения председателя ТК 362 о реорганизации и создании рабочих групп, направленный на оптимизацию деятельности комитета и перераспределение задач между экспертными сообществами.
4. Анализ активности организаций-членов ТК 362
Секретариатом ТК 362 проведен анализ участия организаций в разработке и согласовании стандартов.
По итогам IV квартала 2025 года установлено, что:
- в голосовании по проекту ГОСТ Р о защите информации от неправомерной передачи приняли участие 63% постоянных членов комитета;
- в рассмотрении проекта стандарта о доверенной среде исполнения участвовали 46% организаций;
- в обсуждении первых редакций проектов стандартов смежных технических комитетов приняли участие 33% организаций;
- при рассмотрении финальных редакций документов уровень вовлеченности возрастал и составлял от 64% до 84% ранее участвовавших организаций.
Контроль, надзор и организационные вопросы
Ужесточение требований к лицензированию деятельности по технической защите конфиденциальной информации
Правительством РФ подготовлен проект постановления о внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Р Ф от 03.02.2012 № 79. Документ направлен на обновление лицензионных требований с учетом современных угроз ИБ, курса на импортозамещение и усиление контроля за качеством работ в сфере технической защиты информации.
Проект вводит прямой запрет на осуществление лицензируемой деятельности иностранными юридическими лицами, индивидуальными предпринимателями − иностранными гражданами, а также компаниями, руководители которых имеют иностранное гражданство. Предлагаемые нововведения сужают круг потенциальных соискателей лицензии и усиливает требования к корпоративной структуре лицензиатов.
Существенно перерабатываются требования к персоналу организаций, выполняющих работы в сфере защиты информации. Устанавливаются требования к численности инженерно-технических работников в зависимости от видов выполняемых работ, а также квалификационные требования к ним. В частности, соответствующие требования предлагается ввести для организаций, осуществляющих работы (услуги):
- по защите автоматизированных и информационных систем;
- по контролю эффективности мер защиты информации;
- по обследованию помещений.
Для руководителей работ закрепляются требования к профильному образованию в области информационной безопасности либо прохождению программ профессиональной переподготовки, согласованных ФСТЭК России, а также минимальный стаж профессиональной деятельности.
Документ усиливает инфраструктурные и технические требования. Вводится требование использовать оборудование и программные средства преимущественно отечественного производства, расположенные на территории РФ, включая средства измерений с действующей метрологической поверкой и сертифицированные средства контроля защищенности.
Дополнительно расширяется перечень обязательной документации, которой должен располагать лицензиат. Речь идет о национальных стандартах, нормативных правовых актах и методических документах по защите информации, а также о наличии формализованной системы производственного контроля качества выполняемых работ и услуг. Последняя становится самостоятельным лицензионным требованием.
Проект усиливает контрольные полномочия лицензирующего органа. Закрепляется возможность проведения не только документарных, но и выездных оценок соответствия лицензионным требованиям, а также предоставляется право уполномоченному органу самостоятельно устанавливать порядок выдачи предписаний, приостановления и аннулирования лицензий. Одновременно уточняется перечень грубых нарушений, за которые возможно применение наиболее жестких мер воздействия.
Существенно детализируются требования к комплекту документов, предоставляемых при получении лицензии либо при расширении перечня работ. Соискателям и действующим лицензиатам придется подтверждать квалификацию персонала, наличие защищенных помещений и аттестованных ИС, состав защищаемых ресурсов, используемые СрЗИ, ПО, а также действующую систему менеджмента качества.
Что должны сделать организации?
01
Проанализировать корпоративную структуру и гражданство руководителей на предмет соответствия новым ограничениям для лицензиатов.
02
Оценить численный и квалификационный состав персонала, сопоставив его с обновленными требованиями для каждого лицензируемого вида работ.
03
Проверить наличие и правовой статус помещений по месту осуществления деятельности, а также их соответствие условиям работы с конфиденциальной информацией (их аттестация).
04
Провести инвентаризацию оборудования и программных средств, оценив степень соответствия требованиям об использовании преимущественно отечественных решений и наличию сертификации.
05
Актуализировать комплект нормативной и методической документации по защите информации и внедрить либо формализовать систему производственного контроля качества.
06
Пересмотреть процессы взаимодействия с ФСТЭК России при лицензировании, расширении перечня работ и прохождении проверок.
07
Подготовить обновленные пакеты документов для лицензирования и внесения изменений в реестр лицензий, включая подтверждение квалификации сотрудников, аттестаты ИС и сведения о СрЗИ.
08
Оценить риски несоответствия лицензионным требованиям и возможной квалификации выявленных нарушений как грубых, а также разработать меры по их устранению, включая корректировку внутренних процедур, доработку документации и усиление внутреннего контроля, с целью недопущения приостановления либо аннулирования лицензии
Усиление лицензионных требований к разработчикам и производителям СрЗИ
Правительством РФ подготовлен проект постановления о внесении изменений в Положение о лицензировании деятельности по разработке и производству СрЗИ конфиденциальной информации, утвержденное постановлением Правительства Р Ф от 03.03.2012 № 171. Документ направлен на обновление требований к лицензиатам с учетом роста угроз ИБ, политики импортозамещения и необходимости повышения доверия к отечественным СрЗИ.
Проект вводит прямой запрет на осуществление лицензируемой деятельности иностранными юридическими лицами, индивидуальными предпринимателями − иностранными гражданами, а также компаниями, руководители которых имеют иностранное гражданство. Это повторяет подход, заложенный в параллельных изменениях к лицензированию в сфере технической защиты информации, и формирует единый регуляторный контур.
Существенно повышаются требования к кадровому составу. Для руководителей работ закрепляется обязательное профильное образование в области ИБ либо прохождение согласованных ФСТЭК России программ переподготовки, а также увеличенный минимальный стаж работы. Для инженерно-технических специалистов вводятся минимальные количественные показатели (численность персонала), различающиеся в зависимости от того, осуществляется ли разработка и производство технических СрЗИ либо программных продуктов. Дополнительно фиксируются требования к постоянному нахождению таких специалистов в штате по основному месту работы.
Проект детализирует инфраструктурные и технологические требования. Лицензиаты должны располагать нежилыми помещениями, оборудованными для размещения персонала и испытательных стендов, а также использовать преимущественно отечественное оборудование и программные средства, расположенные на территории РФ. Отдельно подчеркивается необходимость применения средств измерений с действующей метрологической поверкой и сертифицированных программных компонентов контроля эффективности защиты информации.
Значительный блок изменений посвящен формированию системы производственного контроля качества. Для разработчиков СрЗИ закрепляется обязанность внедрять процедуры безопасной разработки ПО, соответствующие требованиям национального стандарта ГОСТ Р 5639−2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», а также формализованные процессы контроля изменений в проектной и конструкторской документации. Для производителей продукции аналогично устанавливаются требования к контролю неизменности параметров, учету готовых изделий и качеству производственных процессов.
Проект также вводит дополнительное требование о наличии аттестованных ИС, предназначенных для обработки конфиденциальной информации, и сертифицированных СрЗИ, используемых в собственной деятельности лицензиата. Расширяется перечень документов, представляемых при лицензировании и внесении изменений в реестр лицензий, включая подтверждения квалификации персонала, технические паспорта помещений, аттестаты соответствия, описания процессов безопасной разработки и сертификаты систем менеджмента качества.
Одновременно усиливаются контрольные механизмы лицензирующего органа. Предусматривается возможность проведения не только документарных, но и выездных оценок соответствия, а также закрепляется право уполномоченного органа самостоятельно устанавливать порядок приостановления, возобновления и аннулирования лицензий. Уточняется перечень грубых нарушений лицензионных требований, за которые могут применяться наиболее жесткие меры воздействия.
Что должны сделать организации? (разработчики, производители, держатели сертификатов на СрЗИ)?
01
Проанализировать корпоративную структуру и гражданство руководителей на предмет соответствия новым ограничениям для лицензиатов.
02
Оценить кадровый состав и стаж специалистов, сопоставив их с обновленными количественными и квалификационными требованиями для разных направлений разработки и производства СрЗИ.
03
Проверить наличие и правовой статус помещений и испытательных площадок, используемых для лицензируемой деятельности.
04
Провести инвентаризацию оборудования и программных средств, оценив соответствие требованиям об использовании преимущественно отечественных решений, наличии сертификации и метрологической поверки.
05
Внедрить либо актуализировать систему производственного контроля качества и процессы безопасной разработки ПО в соответствии с ГОСТ Р 5639−2024.
06
Проверить наличие аттестованных внутренних ИС и сертифицированных СрЗИ, используемых в собственной деятельности.
07
Подготовить обновленные пакеты документов для лицензирования и расширения перечня работ, включая сведения о персонале, оборудовании, процессах разработки и системах качества.
08
Пересмотреть процедуры взаимодействия с ФСТЭК России при проверках и оценке соответствия лицензионным требованиям.
09
Оценить риски приостановления или аннулирования лицензии и сформировать планы реагирования при выявлении несоответствий.