В условиях стремительного развития нормативной базы в сфере ИБ актуальность правовых знаний становится критически важной для любого бизнеса. Новые требования к защите данных, обновления регуляторики и появляющиеся законодательные инициативы требуют постоянного мониторинга и профессиональной интерпретации.
В октябре 2025 года продолжилось активное обновление нормативной базы в сфере ИБ и защиты КИИ. Основные усилия были сосредоточены на совершенствовании процедур категорирования объектов КИИ, актуализации требований к сертификации СрЗИ и стимулировании перехода на отечественное ПО. Эти изменения направлены на повышение устойчивости информационной инфраструктуры и технологической независимости.
Минпромторг России закрепил за ФГУП «НПП «Гамма» функции по оценке достоверности сведений, предоставляемых субъектами КИИ, что повышает требования к качеству представляемой информации
ФСТЭК России привела процедуру сертификации процессов разработки СрЗИ в соответствие с национальным стандартом ГОСТ Р 56939-2024
ФСТЭК России порекомендовала организациям в кратчайшие сроки перейти на отечественные операционные системы и почтовые серверы.
ФСТЭК России исключила требование об обязательном использовании аппаратных компонентов из Реестра РЭП.
Новый стандарт устанавливает единую систему терминов и определений, что должно исключить разночтения в нормативно-технической документации.
ТК 362 продолжает разработку перспективной программы работ до 2030 года и ряда важных национальных стандартов, включая стандарты по доверенным средам исполнения и композиционному анализу ПО.
Для общественного обсуждения представлен проект приказа Министерства промышленности и торговли Российской Федерации (далее − Минпромторг России) «Об определении организации, привлекаемой Минпромторг России к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ), утвержденных постановлением Правительства Российской Федерации (далее – РФ) от 08.02.2018 г. № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее − Правила категорирования).
Документ закрепляет за федеральным государственным унитарным предприятием «Научно-производственное предприятие «Гамма» (далее − ФГУП «НПП «Гамма») функции по оценке актуальности и достоверности сведений, представляемых субъектами КИИ в рамках их категорирования. Привлечение организации осуществляется Минпромторгом России в соответствии с пунктом 19.3 Правил категорирования объектов КИИ РФ. Основная цель − формализация процесса привлечения специализированной организации для экспертной оценки данных в установленных сферах деятельности:
- металлургическая промышленность;
- горнодобывающая промышленность;
- химическая промышленность;
- оборонная промышленность.
Минпромторг России определяет ФГУП «НПП «Гамма» в качестве уполномоченной организации для проведения оценки сведений, предоставляемых субъектами КИИ
Полномочия распространяются на субъектов КИИ, осуществляющих функции или виды деятельности в сфере, подведомственной Минпромторгу России
Контроль за исполнением приказа возлагается на заместителя Минпромторг России
01
Учитывать, что оценка актуальности и достоверности сведений, указанных в п. 17 Правил категорирования объектов КИИ РФ, будет проводиться ФГУП «НПП «Гамма».
02
Быть готовыми предоставлять всю необходимую информацию и взаимодействовать с данным предприятием в части подтверждения того, что организацией проведено категорирование и что сведения находятся в актуальном состоянии.
03
Обеспечивать достоверность данных, любые неточности или недостоверная информация будут выявлены и могут повлечь за собой ответственность (ч. 1 ст. 19.7.15 Кодекса РФ об административных правонарушений от 30.12.2001 № 195-ФЗ).
Федеральная служба по техническому и экспортному контролю РФ (далее − ФСТЭК России) информирует о внесении изменений в нормативную базу, регулирующую сертификацию процессов безопасной разработки программного обеспечения (далее – ПО) средств защиты информации (далее – СрЗИ).
Основная цель изменений – приведение процедуры сертификации в соответствие с обновленным национальным стандартом ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования» (далее – ГОСТ Р 56939-2024).
01
Ознакомиться с текстом обновленного национального
стандарта ГОСТ Р 56939-2024.
02
Привести свои процессы безопасной разработки ПО
в соответствие с требованиями ГОСТ Р 56939-2024.
03
Учитывать актуализированные требования при планировании
и прохождении процедуры сертификации процессов разработки ПО СрЗИ.
ФСТЭК России информирует о порядке представления субъектами КИИ сведений о результатах категорирования объектов КИИ. Сообщение разъясняет изменения, внесенные приказом ФСТЭК России от 11.07.2025 № 247 в типовую форму направления сведений, и уточняет требования к ее заполнению.
Основная цель – обеспечение корректного и единообразного предоставления субъектами КИИ актуальной информации об их объектах КИИ в соответствии с нововведениями, а также с учетом отсутствия перечней типовых отраслевых объектов КИИ, утвержденных Правительством РФ.
Форма направления сведений дополнена новыми полями: «наименование типового отраслевого объекта КИИ» и «доменное имя и внешний сетевой адрес»;
До утверждения перечней типовых отраслевых объектов КИИ в пункте 1.7 формы следует ставить прочерк. После утверждения перечней субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения;
В пункте 1.8 необходимо указывать доменное имя и внешний (публичный) IP-адрес объекта КИИ, доступный из сети Интернет. Для динамических адресов рекомендуется указывать адрес DNS-сервера провайдера. Если объект не подключен к Интернету, то поле заполнять не нужно;
В случае изменения сведений, не влекущих за собой пересмотр категории значимости, актуализированную форму можно направить в электронном виде на машинном носителе. Во всех остальных случаях сведения предоставляются в печатном и электронном виде (в форматах .ods или .odt).
01
Ознакомиться с актуальной формой направления сведений, утвержденной приказом ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
02
При заполнении формы руководствоваться
приведенными разъяснениями.
03
После официального опубликования Перечней типовых отраслевых объектов КИИ направить в ФСТЭК России актуализированные сведения по всем своим объектам КИИ.
04
Соблюдать установленный порядок представления актуализированных сведений (в электронном или печатном виде) в зависимости от характера вносимых изменений.
ФСТЭК России информирует о критических рисках, связанных с использованием операционной системы Microsoft Windows 10 и серверного ПО Microsoft Exchange Server 2016/2019, для которых с 14 октября 2025 года прекращена техническая поддержка и выпуск обновлений безопасности компанией Microsoft.
ФСТЭК России настоятельно рекомендует в кратчайшие сроки перейти на отечественные операционные системы и почтовые серверы, имеющие актуальную поддержку разработчиков. На период осуществления перехода необходимо реализовать комплекс компенсирующих мер защиты.
01
Немедленно спланировать и начать переход на отечественное ПО или актуальные поддерживаемые версии.
02
Если переход невозможен в краткосрочной перспективе, то в качестве временной меры необходимо:
- установить все последние выпущенные обновления и организовать управление уязвимостями в соответствии с Методическим документом ФСТЭК России от 17.05.2023 г. «Руководство по организации процесса управления уязвимостями в органе (организации)»;
- максимально ограничить доступ из Интернета к компонентам информационной инфраструктуры, на которых функционирует указанное неподдерживаемое ПО, с помощью межсетевых экранов;
- применить усиленные меры защиты: сегментацию, антивирусы, системы обнаружения вторжений (СОВ), DLP-системы;
- обеспечить регулярное резервное копирование критических данных и конфигураций;
- внедрить регулярное сканирование на уязвимости и контроль целостности;
- использовать дополнительные сертифицированные СрЗИ, дублирующие функции безопасности операционной системы.
ФСТЭК России информирует о внесении изменений в приказ ФСТЭК России от 02.06.2020 г. № 76 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (далее – Требования доверия).
Основная цель изменений – исключение дублирования положений Требований доверия с нормами постановления Правительства РФ от 17.07.2015 г. № 719 «О подтверждении производства российской промышленной продукции», что упрощает процедуру сертификации СрЗИ.
Из Требований доверия исключена необходимость обязательного использования аппаратных платформ и их компонентов (процессоров, микросхем, элементов памяти, сетевых карт, графических адаптеров), сведения о которых включены в Единый реестр радиоэлектронной продукции (далее – Реестр РЭП).
01
Разработчикам СрЗИ при сертификации продукции более не требуется предоставлять сведения о соответствии аппаратных платформ и их компонентов Реестра РЭП.
02
При выборе и закупке СрЗИ субъектам КИИ следует учитывать, что критерий наличия компонентов в Реестре РЭП более не является обязательным в рамках Требований доверия.
03
Руководствоваться актуальной редакцией Требований доверия при планировании работ по сертификации и внедрению средств технической защиты информации.
На сайте Федерального агентства по техническому регулированию и метрологии (далее − Росстандарт) в октябре 2025 года был опубликован для ознакомления проект нового национального стандарта ГОСТ Р 34.14-2025 «Информационная технология. Криптографическая защита информации. Термины и определения», который вступает в силу с 01.01.2026 года.
Основная цель документа – унификация и установление основных терминов с соответствующими определениями, применяемыми при проведении работ по стандартизации, разработке нормативно-технической документации и реализации проектов в области криптографической защиты информации.
Документ устанавливает единую систему терминов и определений для области криптографической защиты информации, а также заменяет ранее действующий стандарт ПНСТ 799-2022 «Информационные технологии. Криптографическая защита информации. Термины и определения».
01
Ознакомиться с текстом стандарта до его вступления
в силу 1 января 2026 года.
02
При необходимости, скорректировать внутреннюю нормативную и техническую документацию в соответствии с утвержденными в стандарте терминами и определениями.
03
Использовать стандарт в качестве единого справочника при подготовке технических заданий, контрактов и проектной документации, связанной с криптографической защитой информации.
04
Обеспечить обучение и информирование сотрудников, работающих в области информационной безопасности, об актуализированной терминологии.
На сайте ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за III квартал 2025 года» для информирования членов технического комитета по стандартизации «Защита информации» (далее – ТК 362) о стандартах по защите информации, принятых с июля по сентябрь 2025 года, и о ключевых направлениях работы Международной организации по стандартизации и Международной электротехнической комиссии по их совершенствованию. А также «Результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во III квартал 2025 года», которые показывают, что во 3 квартале осуществлялось взаимодействие со смежными техническими комитетами по стандартизации, планирование и организация деятельности ТК 362, а также разработка и согласование проектов национальных стандартов.
Также была опубликована Справка-доклад о ходе работ по ТК 362 на 2025 год по состоянию на 29 сентября 2025 года.
01
Подготовка и утверждение документов:
- перспективная программа работ ТК 362 на период до 2030 года представлена на подтверждение;
- проект национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» передан председателю ТК 362 для решения о публичном обсуждении;
02
Доработка проектов стандартов:
- проект ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования» подготовка окончательной редакции;
- проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации» дорабатывается по замечаниям членов ТК 362;
03
Организационная работа и членский состав:
- проведено голосование об изменении статуса ПАО «Сбербанк» с «Наблюдатель» на «Постоянный член», решение представлено на утверждение;
- принято решение о приеме в состав ТК 362 ООО «Компьютерные Сервисные Устройства» со статусом «Наблюдатель»;
- направлен отказ о приеме в состав ТК 362 АО «Расчетные решения»;
04
Организациям-членам ТК 362 направлено поручение проанализировать Каталог товаров, работ, услуг и документы национальной системы стандартизации для формирования корректных описаний объектов государственных закупок. Срок представления предложений – до 10.10.2025.