Декабрь 2025 года стал завершающим этапом активного нормотворческого цикла в сфере информационной безопасности и защиты критической информационной инфраструктуры. Основные ведомства утвердили, опубликовали или вынесли на обсуждение пакет документов, формирующих детальные процедурные и технические требования для организаций. Основное внимание уделено оперативному реагированию на кибератаки, практической реализации мер защиты и стандартизации процессов.
ФСБ России утвердила блок ключевых приказов, детализирующих порядок информирования об атаках, непрерывного взаимодействия с ГосСОПКА, обмена информацией (включая международный) и получения данных о методах атак.
ФСТЭК России выпустила серию методических документов, направленных на конкретные технические меры.
Государственная корпорация «Росатом» вынесла на обсуждение порядок оценки сведений об объектах КИИ в атомной отрасли, что знаменует начало внедрения детальных правил об осуществлении мониторинга в части категорирования на уровне ключевых отраслей.
ФСТЭК России представила новые требования для разработчиков в части полного учета компонентов с открытым исходным кодом и контейнеров в процессе сертификации, что повышает прозрачность и безопасность средств защиты.
Действие установленных процедур и сроков лицензионного контроля ФСТЭК России продлено до 2028 года, что обеспечивает стабильность и предсказуемость надзорной деятельности.
Утверждены план разработки нормативных актов ФСТЭК на 2026 год и программа работы ТК 362, определяющие дальнейшие векторы развития регулирования в области ИБ.
Для общественного обсуждения представлен проект приказа Государственной корпорации «Росатом» (далее – Росатом) «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127».
Устанавливается единый порядок проведения оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 08.02.2018 № 127 (далее – Правила), для организаций атомной отрасли, признанных субъектами КИИ.
Определяются критерии привлечения сторонних организаций для проведения такой оценки.
01
Отслеживать проект приказа и его вступление в силу для своевременного исполнения предъявляемых требований.
02
Изучить порядок оценки и критерии привлечения оценщиков, а также отслеживать информацию о том, какие оценщики будут привлекаться Государственной корпорацией «Росатом» для проведения мониторинга.
03
Подготовить сведения об объектах КИИ в соответствии с требованиями пункта 17 Правил, обеспечивая их полноту и достоверность.
04
Быть готовыми предоставить по запросу Росатома (или привлекаемой им организации) необходимую информацию для проведения оценки актуальности и достоверности ранее направленных во Федеральную службу по техническому и экспортному контролю Российской Федерации (далее − ФСТЭК России) сведений.
05
Учесть требования приказа во внутренних процессах категорирования объектов КИИ и взаимодействии с Росатомом как уполномоченной организацией в отрасли.
Федеральная служба безопасности Российской Федерации (далее – ФСБ России) утвердила приказ от 24.12.2025 № 540 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 № 366». Изменения направлены на актуализацию задач, функций и полномочий Национального координационного центра по компьютерным инцидентам (далее – НКЦКИ) в связи с развитием правового регулирования в области безопасности КИИ и государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее − ГосСОПКА).
Уточнена задача НКЦКИ − теперь она включает координацию деятельности не только субъектов КИИ, но и аккредитованных центров ГосСОПКА, а также органов и организаций, на которые возложены обязанности, предусмотренные ч.4 ст.9 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ). Акцент делается на реагировании на компьютерные атаки и инциденты.
Расширен перечень функций НКЦКИ:
- включено управление обменом информацией как о компьютерных инцидентах, так и о компьютерных атаках;
- уточнено, что НКЦКИ взаимодействует не только с субъектами КИИ, но и с центрами ГосСОПКА, а также органами и организациями, указанными в ч.4 ст.9 187-ФЗ;
- введены новые функции по определению форматов и состава технических параметров для представления информации о компьютерных атаках и инцидентах в ГосСОПКА.
Дополнены полномочия НКЦКИ:
- заключение соглашений о научно-техническом сотрудничестве;
- разработка и заключение регламентов взаимодействия с владельцами информационных ресурсов, включая процедуры информирования, реагирования и ликвидации последствий атак;
- запрос у субъектов КИИ, центров ГосСОПКА и органов (организаций) результатов мероприятий по защите от компьютерных атак и информации об устранении уязвимостей.
01
Субъекты КИИ, аккредитованные центры ГосСОПКА и соответствующие органы (организации), должны ознакомиться с обновленным Положением о НКЦКИ.
02
Обеспечить готовность к выполнению новых требований по форматам и составу информации, передаваемой в ГосСОПКА через НКЦКИ.
03
Быть готовыми к заключению регламентов взаимодействия с НКЦКИ и предоставлению запрашиваемой информации о проведенных защитных мероприятиях и устраненных уязвимостях.
04
Скорректировать внутренние процессы взаимодействия с НКЦКИ с учетом расширения его координационных полномочий и функций.
В декабре 2025 года был официально опубликован ряд приказов ФСБ России, подробнее с изменениями которых можно ознакомиться в обзоре за ноябрь 2025 года «КИТ».
Приказ ФСБ России от 23.12.2025 № 539 «Об утверждении Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;
Приказ ФСБ России от 25.12.2025 № 546 «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты»;
Приказ ФСБ России от 25.12.2025 № 547 «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
Приказ ФСБ России от 25.12.2025 № 548 «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов критической информационной инфраструктуры Российской Федерации, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры Российской Федерации, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
Приказ ФСБ России от 26.12.2025 № 553 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»;
Приказ ФСБ России от 26.12.2025 № 554 «Об установлении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак».
Также опубликован Федеральный закон от 29.12.2025 № 568-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», направленный на систематизацию понятий в сфере государственных информационных систем (далее − ГИС) и усиление требований к их защите и взаимодействию. Подробнее с изменениями можно ознакомиться в обзоре за ноябрь 2025 года UDV Group — партнера компании «КИТ».
ФСТЭК России выпустила в декабре 2025 году серию практических рекомендаций по базовой настройке и защите почтовых сервисов от атак, связанных с подменой отправителя (спуфинг). Документы содержат подробные инструкции по внедрению и настройке ключевых механизмов аутентификации электронной почты: SPF, DKIM и DMARC для наиболее распространенных почтовых платформ.
Документы включают рекомендации для следующих платформ:
- Программное обеспечение с открытым исходным кодом Exim.
- Программное обеспечение с открытым исходным кодом Postfix.
- Проприетарный почтовый сервер Microsoft Exchange Server.
- Общие рекомендации по базовой настройке (универсальные шаги для публикации необходимых DNS-записей и проверки их работоспособности).
Для всех рассмотренных платформ рекомендуется последовательная реализация трех взаимодополняющих технологий:
- SPF (Sender Policy Framework) − для определения списка серверов, имеющих право отправлять почту от имени домена;
- DKIM (DomainKeys Identified Mail) − для цифровой подписи исходящих писем, обеспечивающей их целостность и аутентичность домена отправителя;
- DMARC (Domain-based Message Authentication, Reporting & Conformance) − для определения политики обработки писем, не прошедших проверки SPF и/или DKIM, и получения отчетов о результатах проверок.
Для каждой платформы (Exim, Postfix, Exchange) даются конкретные пошаговые инструкции, включающие:
- установку необходимых пакетов или агентов;
- прямые команды для терминала (Linux) или PowerShell (Windows);
- изменения конфигурационных файлов с примерами;
- команды перезапуска служб для применения изменений;
- методы проверки корректности настройки (анализ логов, заголовков писем).
В отдельном документе с общими рекомендациями подробно разъясняется, как создать и опубликовать в DNS необходимые TXT-записи (SPF, DKIM, DMARC), а также как проверить их корректность с помощью командной строки и онлайн-сервисов (например, mxtoolbox.com).
01
Определить используемую почтовую платформу и ознакомиться с соответствующими рекомендациями ФСТЭК России.
02
Последовательно внедрить и настроить механизмы SPF, DKIM и DMARC в соответствии с предоставленными инструкциями.
03
Опубликовать корректные DNS-записи для своего домена, следуя общим рекомендациям, и убедиться в их правильном распространении.
04
Провести тестирование работоспособности всех настроенных механизмов путем отправки тестовых писем и анализа их заголовков и логов сервера.
05
Настроить мониторинг DMARC-отчетов (агрегированных и о сбоях), поступающих на указанные адреса электронной почты, для анализа эффективности политик и выявления потенциальных атак.
ФСТЭК России утвердила Методику анализа защищенности информационных систем (далее – Методика), введенную в действие 25.11.2025. Документ устанавливает единый подход к организации и проведению работ по выявлению уязвимостей в информационных системах (далее − ИС), включая автоматизированные системы управления, информационно-телекоммуникационные сети и системы обработки персональных данных (далее − ПДн). Методика разработана в соответствии с требованиями приказа ФСТЭК России от 29.04.2021 № 77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» и предназначена для использования в ходе аттестации объектов информатизации, контроля защищенности информации и оценки соответствия установленным требованиям.
Определение целей и области применения. Методика предназначена для проведения анализа уязвимостей с целью выявления потенциальных векторов атак и оценки возможности их реализации нарушителем. Данный документ применяется в рамках аттестации, контроля защищенности и оценки соответствия систем и сетей требованиям по защите информации, включая объекты КИИ, ГИС и системы обработки ПДн.
Организация работ. Анализ уязвимостей проводится по решению заказчика (оператора) силами его специалистов по защите информации или организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (необходима лицензия на работы и услуги по аттестационным испытаниям и аттестации). Работы осуществляются на договорной основе и включают следующие этапы:
- сбор исходной информации;
- внешний и внутренний анализ уязвимостей;
- оценка результатов и устранение заказчиком (оператором) уязвимостей;
- повторная проверка после устранения выявленных недостатков.
Виды и методы анализа. Методика предусматривает два основных вида анализа:
- внешнее сканирование (С1) – оценка периметра ИС, доступного из сети «Интернет», включая сетевые службы, веб-приложения и средства защиты информации (далее – СрЗИ);
- внутреннее сканирование (С2) – анализ внутренней инфраструктуры, включая серверы, рабочие места, системы управления базами данных, средства виртуализации и контейнеризации, а также промышленные системы.
Применяются как автоматизированные методы (с использованием сертифицированных средств выявления уязвимостей и проверки баз данных угроз ФСТЭК), так и ручные методы тестирования.
Оценка и устранение уязвимостей. Выявленные уязвимости классифицируются по уровню критичности в соответствии с Методикой оценки уровня критичности уязвимостей ФСТЭК России, введенной 20.06.2025. Обязательному устранению в ходе анализа подлежат уязвимости критического и высокого уровней опасности. Уязвимости среднего и низкого уровней анализируются на предмет возможности их использования для реализации угроз безопасности и, при необходимости, устраняются в соответствии с Руководством по организации процесса управления уязвимостями, утвержденном ФСТЭК России 17.05.2023. Приоритетным способом устранения является обновление программного обеспечения.
Документирование результатов. По итогам анализа исполнитель формирует отчет (протокол), содержащий детальное описание проведенных работ, перечень выявленных уязвимостей с оценкой их критичности, рекомендации по устранению, а также результаты повторной проверки. Отчет служит основанием для выдачи положительного или отрицательного заключения о результатах анализа.
01
Определить необходимость проведения анализа защищенности своих ИС в соответствии с требованиями нормативных правовых актов и внутренними политиками безопасности.
02
Выбрать исполнителя работ – организацию, имеющую лицензию ФСТЭК России на соответствующий вид деятельности, или подготовить собственных специалистов.
03
Подготовить необходимую информацию об ИС (архитектура, состав программно-аппаратных средств, сетевая топология) и обеспечить исполнителю доступ для проведения внешнего и внутреннего сканирования в согласованных границах.
04
Организовать взаимодействие с исполнителем на всех этапах анализа, включая согласование границ тестирования, предоставление тестовых учетных записей и обеспечение резервирования данных.
05
Незамедлительно устранить выявленные уязвимости критического и высокого уровня, а также проанализировать и принять решение по уязвимостям среднего и низкого уровней на основе экспертной оценки.
06
Использовать результаты анализа для доработки модели угроз, корректировки политик безопасности и совершенствования процессов управления уязвимостями в организации.
ФСТЭК России опубликовала Рекомендации по базовой настройке регистрации событий безопасности. Документ содержит практические указания по организации и технической реализации сбора, хранения и мониторинга журналов безопасности в информационной инфраструктуре организаций. Рекомендации направлены на обеспечение возможности оперативного выявления инцидентов и проведения расследований в случае их возникновения.
Установлен обязательный минимальный перечень категорий событий безопасности, подлежащих регистрации. К ним относятся:
- попытки авторизации и доступа (успешные и неуспешные);
- изменения конфигурации систем и СрЗИ;
- запуск и завершение процессов, служб и приложений;
- действия администраторов и использование системных учетных записей;
- создание и удаление системных объектов, импорт и экспорт данных;
- сетевые сбои и ошибки подключений.
Определены требования к регистрации и хранению:
- для каждой ИС состав событий должен быть конкретизирован с учетом требований национального стандарта ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» (далее − ГОСТ Р 59548);
- обязательна регистрация временных меток и идентификационных данных (IP-адрес, идентификатор пользователя);
- установлен минимальный срок хранения журналов событий безопасности − не менее 3 месяцев;
- размер хранилища должен быть достаточным для полноценного анализа;
- требуется организация резервного копирования журналов в физически обособленное отделенное хранилище.
Установлены детальные приложения по настройке для двух основных семейств операционных систем:
- для Windows: приведены пошаговые инструкции по настройке расширенной политики аудита через «Локальную политику безопасности» с указанием рекомендуемых категорий и подкатегорий для аудита (вход/выход, доступ к объектам, изменение политики и др.) для контроллеров домена, серверов и рабочих станций. Даны указания по настройке размеров журналов событий;
- для Linux: Рекомендовано использование службы `auditd`. Приведены команды для ее установки, запуска и настройки, а также примеры правил аудита для отслеживания критичных действий: изменения файлов учетных записей (`/etc/passwd`, `/etc/shadow`), использования команд `sudo` и `passwd`, отслеживания сетевых подключений, изменений в ключевых директориях и др.
Предписано использование сертифицированных ФСТЭК России средств мониторинга событий информационной безопасности. В случае их отсутствия допускается организация мониторинга с помощью иных доступных средств (например, Zabbix).
Установлено правило, согласно которому для операционных систем, межсетевых экранов, СрЗИ и телекоммуникационного оборудования, сертифицированных по требованиям ФСТЭК России, настройка регистрации должна осуществляться строго в соответствии с их эксплуатационной документацией.
01
Адаптировать и утвердить внутренний перечень регистрируемых событий безопасности для каждой ИС в соответствии с ГОСТ Р 59548 и данными рекомендациями.
02
Выполнить техническую настройку регистрации событий на всех компонентах инфраструктуры:
- для серверов и рабочих станций Windows и Linux − в соответствии с детальными таблицами и командами, приведенными в приложениях к документу;
- для сертифицированных СрЗИ − согласно их руководствам по эксплуатации.
03
Обеспечить надежное централизованное хранение журналов сроком не менее 3 месяцев, рассчитать и выделить необходимый объем дискового пространства.
04
Внедрить систему резервного копирования журналов на физически отделенное хранилище.
05
Внедрить средства мониторинга событий безопасности, предпочтительно сертифицированные ФСТЭК России, либо организовать постоянный анализ журналов доступными инструментами.
06
Включить проверки корректности настройки и полноты регистрации событий в процедуры регулярного контроля защищенности ИС.
Технический комитет по стандартизации «Защита информации» (далее – ТК 362) продолжает активную работу по развитию нормативно-технической базы в области защиты информации, выполнению планов стандартизации и взаимодействию с участниками рынка. В IV квартале 2025 года проведены следующие ключевые мероприятия:
01
Анализ и учет международных и национальных стандартов.
В IV квартале 2025 года ТК 362 подготовил и опубликовал сведения о принятых национальных и международных стандартах за 4 квартал 2025 года, а также деятельности подкомитета ISO/IEC JTC 1/SC 27. Основные выводы:
- в отчетном периоде Федеральным агентством по техническому регулированию и метрологии Российской Федерации (далее – Росстандарт) был утвержден только один предварительный национальный стандарт − ПНСТ 1021-2025 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности» (вводится в действие с 01.03.2026);
- ISO/IEC опубликовала и утвердила ряд ключевых обновлений, включая:
- ISO/IEC 24760-1:2025, -2:2025, -3:2025 (обновленная серия по управлению идентичностью);
- ISO/IEC 27701:2025 (системы управления конфиденциальной информацией, PIMS);
- ISO/IEC 27706:2025 (требования к органам по аудиту и сертификации PIMS);
- ISO/IEC 19896-1:2025, -3:2025 (компетентность персонала по оценке соответствия в ИТ-безопасности);
- в рамках подкомитета SC 27 ведется активная разработка 14 новых международных стандартов, включая направления Big Data, искусственный интеллект, киберфизические системы, цифровые двойники и метавселенные;
- в России действует 64 национальных и межгосударственных стандарта, гармонизированных с международными, из которых 42 соответствуют актуальным версиям. Выявлена необходимость перевода на русский язык ряда международных стандартов, не имеющих отечественных аналогов.
02
Организация разработки и согласования национальных стандартов.
Согласно справкам-докладам о ходе работ, в ноябре—декабре 2025 года была проведена следующая работа:
- организовано голосование среди членов ТК 362 по проекту ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения» для последующего представления в Росстандарт;
- по итогам публичного обсуждения ведется доработка двух важных проектов:
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования». Ожидаемый срок представления − март 2026;
- ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения». Ожидаемый срок представления − март 2026;
- ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
- ТК 362 подготовил и направил заключения по проектам стандартов, разработанным другими техническими комитетами:
- в ТК 098 «Биометрия» − по серии стандартов об испытательных стендах и обнаружении атак на биометрические системы;
- в ТК 022 «Информационные технологии» − по проектам ПНСТ, касающимся приватности и обезличивания данных;
- в ТК 079 «Оценка соответствия» − по проекту ГОСТ Р ИСО/МЭК 27006-1;
- в ТК 164 «Искусственный интеллект» − по проекту ГОСТ Р об искусственном интеллекте в КИИ и по проектам ПНСТ о синтезе данных.
03
Планирование и организационное развитие.
- 10.2025 года утверждена «Перспективная программа работы ТК 362 на период до 2030 года», которая размещена на сайте ФСТЭК России;
- разработан и согласован с подкомитетами план работы ТК 362 на 2026 год, учитывающий предложения членов и предыдущие результаты;
- в IV квартале в состав ТК 362 со статусом «Наблюдатель» приняты новые организации: ООО «ППГ», АО «СекьюрИТ» и ООО «Постгрес Профессиональный». Одновременно нескольким организациям было отказано во вступлении;
- подготовлен проект решения председателя ТК 362 о реорганизации и создании рабочих групп, направленный на оптимизацию деятельности.
04
Включение в Программу национальной стандартизации на 2026 год.
Согласно выписке из Программы, утвержденной Росстандартом, на 2026 год в рамках ТК 362 запланирована разработка и пересмотр следующих национальных стандартов (выборочно):
- Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией (АО «Аладдин Р.Д.»);
- Защита информации. Разработка безопасного ПО. Композиционный анализ программного обеспечения. Общие требования (ООО «Профископ», ИСП РАН);
- Защита информации. Разработка безопасного ПО. Динамический анализ программного обеспечения. Общие требования (ИСП РАН);
- пересмотр ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура эксплуатационных характеристик»;
- Защита информации. Доверенная среда исполнения. Общие требования (ООО «Открытая мобильная платформа»);
- Защита информации. Разработка безопасного ПО. Термины и определения (ИСП РАН);
- Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения (ООО «ЦБИ»).
ФСТЭК России утвердила план подготовки нормативных правовых актов на 2026 год. Документ определяет перечень проектов актов, сроки их разработки и ответственные структурные подразделения ФСТЭК России. План направлен на совершенствование нормативно-правовой базы в сферах экспортного контроля, защиты КИИ, технической защиты информации и лицензирования соответствующей деятельности.
Проекты актов Президента Российской Федерации:
- обновление состава Комиссии по экспортному контролю РФ по мере необходимости;
Проекты актов Правительства Российской Федерации:
- утверждение типового отраслевого перечня объектов КИИ (II квартал);
- изменение порядка идентификации товаров и технологий, подлежащих экспортному контролю (III квартал);
- актуализация положений о лицензировании деятельности по технической защите конфиденциальной информации и по разработке/производству средств ее защиты (IV квартал);
- установление требований к защите информации у подрядчиков, выполняющих госзаказы на создание и эксплуатацию ИС (IV квартал);
- внесение изменений в Список товаров и технологий двойного назначения (IV квартал);
Проекты нормативных правовых актов ФСТЭК России:
- актуализация Требований по безопасности значимых объектов КИИ (I квартал);
- изменение Регламента экспертно-документальной оценки материалов аттестационных испытаний ИС (IV квартал);
- корректировка Порядка контроля за выполнением требований по защите информации операторами ГИС (IV квартал).
ФСТЭК России представила проект приказа об изменениях в Положении о системе сертификации СрЗИ, утвержденного приказом ФСТЭК России от 03.04.2018 № 55. Изменения направлены на актуализацию требований к процессу сертификации в связи с развитием технологий, в частности, широким использованием компонентов с открытым исходным кодом (далее − ПООИ) и контейнеризации.
Вводится обязательное предоставление заявителем двух новых документов в составе заявки на сертификацию:
- перечень заимствованных программных компонентов с открытым исходным кодом, входящих в состав СрЗИ;
- перечень образов контейнеров, входящих в состав СрЗИ (при их наличии).
Испытательная лаборатория обязана проводить оценку предоставленных перечней на полноту и корректность отнесения компонентов к поверхности атаки или к компонентам, реализующим функции безопасности.
Устанавливается обязанность изготовителя (держателя сертификата) в течение 5 дней уведомлять ФСТЭК России об изменениях в перечне используемых компонентов с открытым исходным кодом.
Уточняются процедуры и документооборот:
- уточнены основания для аннулирования решения о проведении сертификации;
- конкретизирован перечень документации, предоставляемой на разных этапах (при отборе образцов, утверждении методик испытаний, представлении результатов);
- четко разграничены требования к представлению документов в бумажном и электронном виде;
- введено требование о представлении плана испытаний заимствованных компонентов.
Причина «Непредставление сведений об изменениях в перечне ПООИ» добавляется в перечень нарушений, которые могут служить основанием для приостановления или аннулирования сертификата соответствия.
01
Адаптировать внутренние процессы разработки и сопровождения:
- внедрить учет всех используемых программных компонентов с открытым исходным кодом и образов контейнеров в составе СрЗИ;
- наладить процесс оперативного обновления и документирования изменений в этих перечнях;
02
Подготовиться к новой процедуре сертификации и пересвидетельствования:
- при подаче заявки на сертификацию нового СрЗИ или при внесении изменений в сертифицированное средство готовить и предоставлять в испытательную лабораторию и орган по сертификации:
- перечень заимствованных ПООИ;
- перечень образов контейнеров (при наличии);
- обеспечить полноту и корректность этих перечней, особенно в части идентификации компонентов, относящихся к поверхности атаки или реализующих функции безопасности.
03
Обеспечить выполнение новых обязанностей после получения сертификата:
- назначить ответственных за мониторинг изменений в составе используемого ПООИ;
- в течение 5 рабочих дней с момента любых изменений в перечне ПООИ направлять актуальную информацию в ФСТЭК России;
- включать обновленные перечни в пакет документов при любых последующих изменениях в сертифицированном средстве.
04
Привести документацию в соответствие:
- обновить формуляры (паспорта) на СрЗИ, включив в них контрольные суммы исполняемых файлов;
- проверить и актуализировать всю конструкторскую и эксплуатационную документацию в соответствии с уточненными требованиями Положения.
ФСТЭК России опубликовала приказ ФСТЭК России от 29.12.2025 № 487 «О внесении изменений в приказы ФСТЭК России от 12.05.2025 № 163 и от 12.05.2025 № 164», в котором утвердила изменения, продлевающие сроки действия административных регламентов лицензионного контроля в сфере защиты информации.
Приказ вносит единообразную правку в два ранее изданных документа, регламентирующих процедуры лицензионного контроля ФСТЭК России:
- Приказ ФСТЭК России от 12.05.2025 № 163 «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации» касается контроля за деятельностью по технической защите конфиденциальной информации.
- Приказ ФСТЭК России от 12.05.2025 № 164 «Об установлении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)» касается контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации.
Продлевается срок действия установленных этими приказами административных процедур, сроков и последовательности лицензионного контроля до 2028 года.
Изменения приняты в связи с вступлением в силу нового Федерального закона от 29.12.2025 № 548-ФЗ «О внесении изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и статьи 29 и 65 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», вносящего изменения в законодательство о государственном контроле (надзоре) и лицензировании, а также на основании существующих полномочий ФСТЭК России как лицензирующего органа.