В блог
Обзоры
07/05/2026
Обзор изменений в законодательстве за апрель 2026 года
В апреле 2026 года уполномоченные органы в сфере информационной безопасности сохранили высокий темп нормотворческой активности: опубликованный пакет документов охватывает широкий круг субъектов − от операторов государственных информационных систем и субъектов критической информационной инфраструктуры до лицензиатов ФСТЭК России и организаций, находящихся на налоговом мониторинге.
Основные тенденции этого периода:
Переход от процедурного соответствия к измеримому результату
Опубликованы проекты поправок в Указ Президента № 250, планирующие ввести количественные показатели защищённости с целевым порогом 80% и отчетностью на уровне Совета Безопасности.
Детализация требований к безопасности КИИ и ГИС
Внесён законопроект об изменениях в приказы ФСТЭК России № 235 и № 239, опубликован проект изменений в требования по защите информации в ГИС, вступил в силу новый методический документ ФСТЭК России, заменивший документ 2014 года.
Ужесточение ответственности в сфере КИИ
Приняты федеральные законы № 76-ФЗ и № 77-ФЗ, вводящие административную ответственность за нарушение правил эксплуатации.
Планируемое повышение требований к лицензиатам ФСТЭК России
Опубликованы проекты изменений в ПП № 79 и ПП № 171, ужесточающие требования к персоналу и вводящие для разработчиков СрЗИ обязательную систему безопасной разработки ПО.
Отраслевая конкретизация и организационные изменения
Приняты отраслевые особенности категорирования КИИ в сфере связи и ракетно-космической промышленности; опубликован проект порядка взаимодействия операторов ГИС с ГосСОПКА; уточнены процедуры сертификации СрЗИ в части учета компонентов с открытым исходным кодом.
Ключевые нормативные изменения:
Защита прав субъектов деятельности в сфере ИКТ
Официально внесен в Государственную Думу законопроект, который направлен на защиту прав субъектов деятельности в сфере использования информационно-телекоммуникационных технологий и предусматривает отмену ряда действующих норм сразу в нескольких кодексах и федеральных законах:
  • в Арбитражном процессуальном кодексе Российской Федерации (далее - РФ) от 24.07.2002 № 95-ФЗ из статьи 28 исключается оговорка, согласно которой арбитражные суды не рассматривают дела, отнесённые к компетенции Московского городского суда в связи с защитой авторских прав в интернете. После принятия закона такие дела перейдут в юрисдикцию арбитражных судов;
  • в Гражданском процессуальном кодексе РФ от 14.11.2002 № 138-ФЗ признается утратившей силу часть 3 статьи 26, которая наделяла Московский городской суд исключительной компетенцией по делам о защите авторских и смежных прав в информационно-телекоммуникационных сетях, включая полномочие по постоянному ограничению доступа к сайтам при неоднократных нарушениях. Одновременно отменяется статья 144.1, регулирующая механизм предварительных обеспечительных мер: по действующей норме правообладатель вправе до подачи иска обратиться в Московский городской суд с заявлением о блокировке ресурса, нарушающего авторские права, а суд в течение 15 дней обязан рассмотреть заявление и вынести определение. Этот механизм досудебного ограничения доступа полностью упраздняется;
  • в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — 149-ФЗ) признается утратившей силу статья 15.2, устанавливающая порядок внесудебного ограничения доступа к контенту, нарушающему авторские и смежные права: по действующей норме правообладатель вправе обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (далее — Роскомнадзор), который в течение трёх рабочих дней уведомляет провайдера хостинга, а тот обязан в течение одного рабочего дня уведомить владельца ресурса о необходимости удалить незаконный контент − в случае бездействия владельца провайдер обязан заблокировать доступ к ресурсу не позднее чем через три рабочих дня. Весь этот механизм отменяется;
  • в четвертой части Гражданского кодекса РФ от 18.12.2006 № 230-ФЗ признается утратившей силу статья 1253.1, которая регулировала особенности ответственности информационных посредников: по действующей норме провайдер, хостинг-провайдер или иное лицо, предоставляющее доступ к материалам в сети, освобождается от ответственности за нарушение интеллектуальных прав при соблюдении ряда условий − в частности, если оно не знало о неправомерности размещённого контента и своевременно приняло меры после получения заявления правообладателя;
  • полностью признается утратившим силу Федеральный закон 02.07.2013 № 187-ФЗ «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях», который ввел все вышеперечисленные механизмы защиты интеллектуальных прав в сети и на котором они основывались.
Что должны сделать организации?
01
Проверить внутренние регламенты и процедуры, которые опираются на нормы отменяемых статей, и привести их в соответствие с новым регулированием.
02
Пересмотреть механизмы защиты интеллектуальных прав в части, регулировавшейся вышеуказанных законов, с учетом утраты ими силы.
Отраслевые особенности категорирования в сфере ракетно-космической промышленности
Официально опубликовано Постановление Правительства РФ от 31.03.2026 № 356 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее — КИИ), функционирующих в сфере ракетно-космической промышленности». До принятия документа субъекты КИИ в ракетно-космической отрасли применяли только общие Правила категорирования без отраслевой конкретизации, утвержденные Постановлением Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования).
Во-первых, документ устанавливает особый набор применяемых показателей значимости: для субъектов отрасли, кроме самого Федерального космического агентства РФ (далее — Роскосмос), применяется показатель по позиции 1 перечня (ущерб жизни и здоровью людей), рассчитываемый через анализ проектной и эксплуатационной документации, моделирование последствий компьютерного инцидента и определение зоны поражения. Показатель по позиции 11 (экологический ущерб от опасных производственных объектов) также применяется всеми субъектами отрасли, кроме Роскосмоса, которые владеют опасными производственными объектами или обеспечивают их функционирование. Для субъектов, участвующих в государственном оборонном заказе, обязательны показатели по позициям 13 и 13(1), порядок расчета которых определяется отраслевыми особенностями категорирования в сфере оборонной промышленности.
Во-вторых, для двух универсальных экономических показателей установлены конкретные формулы расчета. Ущерб субъекту КИИ (позиция 8) рассчитывается на основе усреднённого годового дохода за предыдущие 5 лет с учетом уплаченных в федеральный бюджет налогов, времени устранения последствий инцидента и регламентного времени технического обслуживания. Ущерб федеральному бюджету (позиция 9) рассчитывается аналогично, но период усреднения сокращен до 3 лет.
В-третьих, вводится обязательное согласование с уполномоченным органом: по итогам категорирования субъект КИИ обязан направить в Роскосмос копии протоколов заседаний комиссии и акты категорирования. Это требование отсутствует в Правилах категорирования, которые предусматривают направление сведений только в Федеральную службу по техническому и экспортному контролю РФ (далее − ФСТЭК России).
Что должны сделать субъекты КИИ, функционирующие в сфере ракетно-космической промышленности?
01
Провести или пересмотреть категорирование объектов КИИ с применением отраслевых показателей и формул расчета, установленных вышедшим постановлением.
02
При расчете показателя по позиции 1 подготовить анализ проектной и эксплуатационной документации, провести моделирование последствий компьютерного инцидента и определить количество людей в потенциальной зоне поражения.
03
По итогам категорирования направить в Роскосмос копии протоколов заседаний комиссии по категорированию и акты категорирования объектов КИИ.
КИИ в сфере связи: как категорировать и оценивать
Официально опубликовано Постановление Правительства РФ от 13.04.2026 № 402 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в сфере связи», которое вводит отраслевые особенности категорирования объектов КИИ в сфере связи в дополнение к Правилам категорирования.
До принятия постановления субъекты КИИ в сфере связи применяли только общие Правила категорирования без отраслевой специфики. Постановление вводит ряд особенностей:
  • отраслевой признак значимости − количество абонентов, в том числе юридических лиц. Если объект используется для нескольких услуг связи, расчет ведется по каждой услуге отдельно, категория присваивается по совокупности значений;
  • состав комиссии — в зависимости от ведомственной принадлежности субъекта в комиссию включаются представители Министерства цифрового развития, связи и массовых коммуникаций РФ (далее — Минцифры России) или Роскомнадзора;
  • дифференцированная применимость показателей — позиции 4а и 9 применяются всеми субъектами; позиции 4б и 6 — только при наличии действующих контрактов с государственными органами или Банком России; позиция 8 — только государственными корпорациями, государственными унитарными предприятиями, организациями оборонно-промышленного комплекса и стратегическими предприятиями;
  • два метода расчета — метод наихудших последствий и метод моделирования компьютерных атак с использованием перечня типовых отраслевых объектов КИИ — категория присваивается по наивысшему значению;
  • формула П8 — рассчитывается как отношение фактического дохода субъекта (с учетом налога на добавленную стоимость и обязательных платежей) к среднегодовому доходу за 5 лет; при отсутствии документов время простоя принимается равным 10 дням;
  • формула П9 — рассчитывается как отношение снижения налоговых выплат субъекта к прогнозируемому годовому доходу федерального бюджета, усредненному за 3-летний период; учитываются затраты на ликвидацию последствий, оплату труда, неустойки и потери от простоя.
Что должны сделать организации?
01
Провести или пересмотреть категорирование объектов КИИ с применением отраслевых показателей и методов расчета.
02
Определить, какие показатели применимы к субъекту исходя из его типа и наличия контрактов с госорганами или Банком России.
03
Обеспечить включение в состав комиссии представителей Минцифры России или Роскомнадзора в зависимости от ведомственной принадлежности.
04
Подготовить исходные данные для расчета П8 и П9: сведения о доходах, налоговых платежах, регламентах простоя и времени устранения последствий атак.
Изменения в положения о лицензировании деятельности
Опубликованы два проекта постановлений Правительства РФ:
1. Проект изменений в Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»:
  • вводится прямой запрет на осуществление деятельности иностранными юридическими лицами, юридическими лицами с руководителями, имеющих гражданство иностранного государства, и индивидуальными предпринимателями, имеющих гражданство иностранного государства;
  • вводится дифференцированная численность инженерно-технического персонала в зависимости от вида работ: не менее 5 человек для работ по пп. «а», «б», «д», «е»; не менее 15 для услуг по пп. «в» (из которых 5 с профильным образованием и стажем от 3 лет); не менее 9 для работ по пп. «г» (из которых 3 с профильным образованием и стажем от 3 лет);
  • для всего персонала обязательно повышение квалификации в течение 1 года до подачи заявления, для действующих лицензиатов − не реже одного раза в 5 лет;
  • применяемые средства защиты информации (далее — СрЗИ) при выполнении лицензируемых видов работ должны соответствовать требованиям п. 6 Указа Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» (далее — Указ);
  • расширен перечень грубых нарушений — добавлены нарушения запрета на наличие иностранного гражданства для руководителя, требований к персоналу, оборудованию и защите информации в государственных информационных системах (далее − ГИС);
  • обновлен перечень документов для получения лицензии — конкретизированы требования к подтверждению квалификации, помещений, оборудования и системы контроля качества;
  • введён новый п. 16: порядок приостановления, возобновления и аннулирования лицензии определяет ФСТЭК России.
2. Проект изменений в Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (далее − ПП № 171):
  • аналогично ПП № 79 вводится прямой запрет на иностранных лицензиатов и руководителей, имеющих гражданство иностранного государства;
  • установлены требования к руководителю: профильное образование в области информационной безопасности (далее — ИБ) и стаж не менее 5 лет либо иное высшее образование со стажем от 5 лет и переподготовка;
  • инженерно-технический персонал − не менее 5 работников с профильным образованием или переподготовкой, стажем от 3 лет и повышением квалификации в течение 1 года до подачи заявления; для действующих лицензиатов − не реже одного раза в 5 лет;
  • принципиально новое требование − обязательная система безопасной разработки программного обеспечения (далее — ПО) в соответствии с ГОСТ Р 56 939−2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»; при расширении лицензии необходимо представить руководство по безопасной разработке или сертификат соответствия;
  • применяемые СрЗИ при выполнении лицензируемых видов работ должны соответствовать требованиям п. 6 Указа − как для лицензиатов ФСТЭК России, так и для Федеральной службы безопасности РФ (далее − ФСБ России);
  • расширен перечень грубых нарушений − добавлены нарушения запрета на наличие руководящих лиц, имеющих гражданство иностранного государства, требований к персоналу, оборудованию и системам контроля качества;
  • оценка соответствия лицензионным требованиям дополняется выездной формой проверки (ранее была только документарная);
  • введен новый п. 19: порядок приостановления и аннулирования лицензии определяет лицензирующий орган — ФСТЭК России или ФСБ России в зависимости от вида лицензируемой деятельности.
Что должны сделать организации-лицензиаты или соискатели лицензий?
01
Проверить соответствие руководящего состава и персонала новым требованиям по численности, образованию, стажу и повышению квалификации.
02
Организовать повышение квалификации персонала не реже одного раза в 5 лет.
03
Убедиться, что при оказании услуг применяемые СрЗИ имеют действующие сертификаты соответствия требованиям безопасности информации и не включены в перечни запрещённого или недоверенного ПО.
04
Для разработчиков и производителей СрЗИ (лицензиаты по ПП № 171) − разработать или актуализировать систему безопасной разработки ПО по ГОСТ Р 56 939−2024 и подготовить соответствующую документацию.
05
Привести в порядок пакет документов для подтверждения лицензионных требований с учетом обновлённых перечней.
Административная и уголовная ответственность, связанная с КИИ
Опубликованы два федеральных закона:
1. Проект изменений в Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»:
  • Федеральный закон от 09.04.2026 № 76-ФЗ «О внесении изменений в статью 274.1 Уголовного кодекса РФ» (далее – 76-ФЗ), который вносит изменения в статью 274.1 Уголовного кодекса РФ от 13.06.1996 № 63-ФЗ об уголовной ответственности за воздействие на КИИ: уточняет, что неправомерный доступ может совершаться с использованием вредоносных программ, а также вводит новое основание для освобождения от уголовной ответственности − при активном содействии следствию и сохранении следов инцидента.
  • Федеральный закон от 09.04.2026 № 77-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — 77-ФЗ), который вводит в Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ новую статью 13.12.2. До её принятия нарушение правил эксплуатации объектов КИИ влекло уголовную ответственность по части третьей статьи 274.1 Уголовного кодекса РФ, если повлекло «вред КИИ» − при этом понятие вреда в законе не раскрывалось, что приводило к широкому и порой неоднозначному применению нормы. 76-ФЗ конкретизировал это понятие, прямо указав, что уголовная ответственность наступает, если нарушение повлекло уничтожение, блокирование, модификацию или копирование компьютерной информации. Всё, что формально не образует этих последствий, под уголовный состав не подпадает − и именно для таких случаев вводится административная ответственность по новой статье 13.12.2. Таким образом, два закона действуют в связке: 76-ФЗ разграничивает, какие действия влекут уголовную ответственность, а 77-ФЗ устанавливает административную ответственность для остальных нарушений. За это грозит штраф − для граждан до 10 тысяч рублей, для должностных лиц до 50 тысяч, для юридических лиц до 500 тысяч рублей; дела рассматривает ФСТЭК России.
Подробнее с изменениями можно ознакомиться в нашем обзоре за ноябрь 2025 года.
ФСТЭК России выступила с изменениями в Указ Президента РФ № 250
Опубликованы два проекта − проект указа Президента РФ «О внесении изменений в Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» и проект постановления Правительства РФ «О порядке расчета количественных значений показателей, характеризующих уровень защищённости объектов информационной инфраструктуры органов (организаций)». Документы вводят измеримые показатели защищённости: не менее 80% объектов в каждой отрасли должны быть защищены от актуальных угроз, организации обязаны рассчитывать базовый показатель раз в полгода и направлять его в ФСТЭК России, а сводные результаты по отраслям и регионам будут включаться в доклад Президенту РФ. Таким образом, формальное соответствие требованиям больше не является достаточным − теперь требуется измеримый результат.
Подробнее с изменениями и их последствиями можно ознакомиться в статье «КИТ».
Методики и стандарты ИБ
Изменения в Приказы ФСТЭК России № 235 и № 239
Официально внесён в Государственную Думу законопроект, который включает в себя изменения одновременно в два действующих приказа ФСТЭК России: № 235 от 21.12.2017 «Об утверждении требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» и № 239 от 25.12.2017 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ».
Изменения затрагивают три блока:
  • Новый пункт 36¹ в приказ № 235 — расчет показателей защищённости и уровня зрелости. Действующая редакция приказа № 235 предусматривает внутренний контроль состояния безопасности значимых объектов, однако не устанавливает конкретных количественных показателей, периодичности их расчета и обязанности направлять результаты во ФСТЭК. Проект восполняет этот пробел, вводя два новых обязательных показателя:
  • показатель защищённости (Кзи), характеризующий текущее состояние безопасности объекта относительно базового уровня угроз; рассчитывается не реже одного раза в 6 месяцев. Методический документ от 11.11.2025 «Методика оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ» утвержден ФСТЭК России ранее — подробный разбор методики доступен в нашем в обзоре за ноябрь 2025 года;
  • показатель уровня зрелости (Пзи), определяющий достаточность и эффективность проведенных мероприятий по обеспечению безопасности; рассчитывается не реже одного раза в 2 года.
Если по итогам оценки значения показателей не соответствуют нормированным значениям, руководитель субъекта КИИ должен быть уведомлен об этом в течение 3 календарных дней. Результаты расчётов направляются в ФСТЭК России не позднее 5 рабочих дней после их получения − для мониторинга состояния безопасности значимых объектов в масштабах страны.
  • Новая редакция пункта 31 приказа № 239 − требования к СрЗИ. Действующая редакция пункта 31 уже содержала общее требование об обеспечении технической поддержки СрЗИ со стороны разработчиков и краткий запрет на передачу информации разработчику без контроля со стороны субъекта КИИ. Новая редакция существенно расширяет и конкретизирует эти нормы:
— в части технической поддержки: при выборе СрЗИ теперь необходимо учитывать возможные ограничения со стороны производителей на их применение на любом из принадлежащих субъекту КИИ значимых объектов. В случае невозможности обеспечить техподдержку, субъект КИИ обязан реализовать компенсирующие организационные и технические меры;
— в части удаленного и локального доступа: действующая редакция содержала краткий запрет, новая − детальный перечень запрещённых действий и исчерпывающий набор компенсирующих мер при технической невозможности их соблюдения. Прямо запрещаются:
  • удаленный доступ к программным и программно-аппаратным средствам (включая СрЗИ) для обновления или управления со стороны лиц, не являющихся работниками субъекта КИИ или его дочерних и зависимых обществ;
  • бесконтрольный локальный доступ тех же лиц;
  • передача информации (в том числе технологической) разработчику или иным лицам без контроля со стороны субъекта КИИ.
Если технически исключить удаленный доступ невозможно, должны быть приняты конкретные меры: определены допущенные лица и устройства с минимальными полномочиями, обеспечены контроль доступа, защита передаваемых данных по каналам связи, мониторинг и регистрация всех действий, а также невозможность отказа от выполненных действий;
— в части размещений на территории РФ: программные и программно-аппаратные средства, осуществляющие хранение и обработку информации в составе значимых объектов 1 и 2 категорий значимости, должны размещаться на территории России (с исключениями для зарубежных обособленных подразделений и случаев, установленных законодательством или международными договорами).
  • Новый пункт 33 приказа № 239 − исполнение решений ФСТЭК России. Вводится обязанность дополнять меры по обеспечению безопасности значимых объектов КИИ организационными и техническими мерами, решение о необходимости которых принято ФСТЭК России в соответствии с подпунктом «е» пункта 1 Указа. Тем самым закрепляется механизм оперативного введения дополнительных требований по решению уполномоченного органа без изменения самого приказа.
Что должны сделать субъекты КИИ, имеющие значимые объекты КИИ любой из трёх категорий значимости?
01
До 1 сентября 2026 года выстроить процедуры расчёта показателя Кзи в соответствии с методическим документом от 11.11.2025 «Методика оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ».
02
Отслеживать выход методических документов ФСТЭК России по расчёту показателя Пзи.
03
Организовать порядок уведомления руководителя субъекта КИИ о несоответствии показателей нормированным значениям в течение 3 календарных дней и направления результатов в ФСТЭК России в течение 5 рабочих дней.
04
Провести аудит всех удаленных доступов к программным и программно-аппаратным средствам значимых объектов: либо исключить такой доступ для внешних лиц, либо реализовать полный перечень компенсирующих мер, включая контроль доступа, защиту канала, мониторинг, регистрацию и невозможность отказа от действий.
05
Проверить наличие действующей технической поддержки у всех применяемых СрЗИ; при её отсутствии разработать компенсирующие меры.
06
Убедиться, что средства хранения и обработки информации в составе объектов 1 и 2 категорий размещены на территории России.
07
Установить процедуру мониторинга и исполнения дополнительных мер, вводимых ФСТЭК России в соответствии с новым пунктом 33.
Требования к информационным системам организации, к которым предоставляется доступ налоговым органам
Опубликована информация о начале разработки проекта приказа Федеральной налоговой службы РФ (далее — ФНС РФ), который издан во исполнение пункта 6 статьи 105.26 Налогового кодекса РФ от 31.07.1998 № 146-ФЗ (далее — НК РФ) и разработан в связи с принятием Федерального закона от 28.11.2025 № 425-ФЗ «О внесении изменений в части первую и вторую Налогового кодекса РФ, отдельные законодательные акты РФ и признании утратившими силу законодательных актов (отдельных положений законодательных актов) РФ». Законом были изменены положения главы 14.7 НК РФ, регулирующей налоговый мониторинг. Документ утверждает требования к информационным системам (далее − ИС) организаций, к которым налоговые органы получают доступ в рамках расширенного информационного взаимодействия при налоговом мониторинге.
Порядок проверки ИС организаций на соответствие установленным требованиям публикуется ФНС России на официальном сайте в разделе «Расширенное информационное взаимодействие» в течение одного месяца со дня официального опубликования приказа. Оценка уровня цифровизации организации по новой методике вводится не сразу − она применяется за отчетные периоды, наступившие после 01.01.2028.
Требования охватывают несколько взаимосвязанных блоков:
  • функциональные возможности. ИС организации должны обеспечивать доступ к документам с соблюдением законодательства о персональных данных, государственной и коммерческой тайне, об информации; получение и обработку документов, используемых налоговыми органами; автоматизированную проверку контрольных соотношений налоговой отчетности; формирование структуры раскрытия показателей; хранение бухгалтерской, налоговой и иной отчетности, регистров учета и первичных документов за период мониторинга;
  • пользовательский интерфейс. Установлены конкретные технические требования: поддержка стандартных разрешений экрана 1920×1080 и 1366×768 пикселей, наличие инструментов фильтрации, сортировки и группировки данных, сохранение индивидуальных настроек пользователя, отображение сообщений об ошибках с системными кодами, возможность одновременной работы с несколькими конфигурациями данных в отдельных окнах. Для табличных данных обязательны интерактивное управление видимостью строк и столбцов, иерархическая группировка с расчетом итогов и экспорт в формат электронной таблицы;
  • внутренний контроль. ИС организации должны обеспечивать полный набор автоматических контрольных процедур: внутриформенные и межформенные проверки налоговой отчетности, контроль соответствия данных бухгалтерскому и налоговому учету, контроль разниц между ними, проверку справочной информации (ставок налогов, кодов бюджетной классификации, общероссийский классификатор основных фондов, реквизитов контрагентов), а также хронологической последовательности и полноты отражения первичных документов;
  • работа с отчетными формами. Требуется иерархическая структура раскрытия данных налоговой отчетности, позволяющая осуществлять сквозную расшифровку от строки декларации до первичного документа. Обязательны: автоматическое сравнение версий отчетности с визуальным выделением изменений, хранение истории изменений, отображение регистров с уникальными идентификаторами;
  • нормативная справочная информация (далее – НСИ). ИС должны поддерживать централизованное ведение НСИ: создание и изменение записей, автоматический контроль актуальности, обновление путем загрузки файлов или подключения к сервисам государственных органов, хранение версий за предшествующие периоды и контроль целостности записей.
  • журналирование действий пользователей. Требуется систематизированный сбор и хранение информации обо всех действиях пользователей с фиксацией даты и времени, идентификатора учетной записи и старого значения при изменении объектов. Доступ к записям журнала предоставляется только администратору информационной безопасности. Должны быть обеспечены защита от несанкционированного доступа к записям, возможность определения авторства каждой операции и формирование отчета по действиям всех пользователей;
  • интерфейс для работы налогового органа. Предусмотрен специализированный интерфейс, через который налоговый орган создает запросы и получает ответы непосредственно в ИС организации. Запросы должны проходить через закрытый цикл статусов: «Создано» − «Назначено» − «В работе» − «Выполнено» − «Отправлено» − «Закрыто». ИС должны контролировать сроки ответов и оповещать ответственных сотрудников о приближении или нарушении срока, а также обеспечивать формирование статистической отчетности по запросам;
  • система внутреннего контроля. ИС должны обеспечивать формирование и ведение перечня рисков с детальными атрибутами (код, наименование, категория, уровень, ответственное лицо, связь с контрольными процедурами и договорами) и перечня контрольных процедур с указанием вида, частоты, способа проведения и ответственного. Фиксируются результаты выполнения каждой процедуры; автоматически формируется аналитика − сколько рисков обеспечено процедурами, сколько процедур выполнено с нарушением сроков, сколько выявили ошибки;
  • оценка уровня цифровизации. Вводится новый обязательный инструмент − ежегодная оценка уровня цифровизации организации по состоянию на 1 июля. Оценка проводится по четырем направлениям: управление и процессы, ИТ-инфраструктура, управление данными, цифровые продукты и сервисы. Интегральный показатель рассчитывается как отношение фактически набранных баллов к максимально возможным, результат определяет один из семи уровней − от начального (0−16 баллов) до передового (87−100 баллов). Требование вступает в силу за отчетные периоды после 01.01.2028.
Что должны сделать организации?
01
Провести аудит текущих ИС на соответствие установленным требованиям по всем блокам: функциональность, интерфейс, внутренний контроль, журналирование, интерфейс для налогового органа, система внутреннего контроля.
02
Разработать или актуализировать внутренний регламент создания, изменения и блокировки учетных записей пользователей налогового органа с указанием сроков предоставления доступа.
03
Обеспечить техническую поддержку пользователей налогового органа: подготовить инструкцию по подключению, организовать информирование о технологических перерывах и изменениях интерфейса.
04
До 01.01.2028 подготовиться к проведению ежегодной оценки уровня цифровизации по утверждённой методике, первую оценку провести за отчетный период, наступивший после этой даты.
05
Следить за публикацией ФНС России порядка проверки ИС на соответствие требованиям − он должен быть размещен на официальном сайте в течение одного месяца после официального опубликования приказа.
Состав и содержание мероприятий по защите информации, содержащейся в ИС
Утвержден методический документ от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах», согласно Информационному сообщению ФСТЭК России от 14.04.2026 № 240/22/2457 «Об утверждении Состава и содержания мероприятий и мер по защите информации, содержащейся в информационных системах». С момента вступления в силу нового методического документа утрачивает применение ранее действовавший документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11.02.2014 года.
Документ разработан в соответствии с подпунктом 4 пункта 8 Положения о ФСТЭК России, утвержденного Указом Президента РФ от 16 .08.2004 № 1085, и определяет общие подходы, состав и содержание мероприятий (процессов) и мер по защите информации, содержащейся в ИС, автоматизированных системах управления и информационно-телекоммуникационных сетях государственных органов, государственных унитарных предприятиях, государственных учреждений и иных организаций, в том числе субъектов КИИ, а также в используемых для создания и эксплуатации ГИС технических средствах и программах, доступ к которым предоставляется через сети. Документ также охватывает информационно-телекоммуникационные инфраструктуры, обеспечивающие функционирование указанных систем, и значимые объекты КИИ.
Данный методический документ является продолжением приказа ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — приказ ФСТЭК России № 117), устанавливающего требования по защите информации в ГИС и иных ИС государственных органов: если приказ определяет что необходимо защищать и какие меры должны быть реализованы, то новый методический документ конкретизирует как эти меры реализовать на практике − через описание состава и содержания каждого мероприятия, требований к его документированию и возможных мер усиления.
Таким образом, для субъектов приказа ФСТЭК России № 117 руководство данным методическим документом является обязательным, тогда как для остальных организаций он служит практическим ориентиром при реализации профильных требований.
В отличие от документа 2014 года, который носил преимущественно инструментальный характер и описывал конкретный набор мер защиты, новый методический документ структурирован принципиально иначе: он выделяет 19 мероприятий (процессов) по защите информации на уровне органа (организации) и отдельно определяет содержание технических мер применительно к информационным системам.
К мероприятиям (процессам), которые организация обязана реализовывать, относятся:
  • выявление и оценка угроз безопасности информации;
  • контроль конфигураций ИС;
  • управление уязвимостями;
  • управление обновлениями;
  • обеспечение защиты информации при обработке и хранении;
  • защита при использовании облачных технологий;
  • защита при применении мобильных устройств;
  • защита при удаленном доступе; защита при беспроводном доступе;
  • защита при предоставлении доступа сторонним организациям;
  • мониторинг ИБ;
  • обеспечение разработки безопасного ПО;
  • физическая защита; обеспечение непрерывности функционирования;
  • повышение уровня знаний и информированности персонала;
  • защита при взаимодействии с внешними ИС;
  • защита от компьютерных атак, направленных на отказ в обслуживании;
  • защита при использовании искусственного интеллекта;
  • периодический контроль уровня защищенности.
Для каждого мероприятия документ устанавливает цель, требования к реализации, требования к документированию и требования к усилению − меры, которые могут применяться по решению оператора для повышения уровня защищенности сверх базового.
Принципиально новым по сравнению с документом 2014 года является также акцент на архитектурную безопасность: проектирование ИС в защищённом исполнении, минимизацию поверхности компьютерных атак, сегментацию, микросегментацию и обеспечение доверия при взаимодействии субъектов и объектов доступа в распределенных системах. Документ прямо указывает на необходимость анализа рисков применения зарубежных программных и программно-аппаратных средств и приоритетного использования отечественных решений.
Методический документ применяется в ходе организации деятельности по защите информации и управления ею, создания и эксплуатации ИС, оценки эффективности деятельности по защите информации, а также аттестации ИС.
Что должны сделать субъекты приказа ФСТЭК России № 117?
01
Проанализировать, в какой мере в организации реализованы все 19 мероприятий (процессов) по защите информации, определённых в разделе III документа, и выявить пробелы.
02
Актуализировать внутреннюю нормативную базу по защите информации — политики, регламенты, стандарты с учетом структуры и содержания нового методического документа, заменяющего документ 2014 года.
03
При проектировании новых или модернизации существующих информационных систем закладывать архитектурные принципы защищённого исполнения: сегментацию, минимизацию интерфейсов, минимальные привилегии доступа.
04
Выстроить процедуру расчёта показателя защищённости (Кзи) с периодичностью не реже одного раза в 6 месяцев и организовать направление результатов в ФСТЭК России в течение 5 рабочих дней после расчета.
05
Получить методический документ в установленном ФСТЭК России порядке через официальный сайт fstec.ru.
Для остальных организаций документ носит рекомендательный характер и может использоваться как практический ориентир при реализации мер защиты информации в соответствии с профильными требованиями.
Изменения в требования о защите информации в ГИС и иных ИС государственных органов
Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117».
Ключевая содержательная новация − распространение сферы действия Требований на случаи использования технических средств, программ для электронных вычислительных машин (далее — ЭВМ) и баз данных в соответствии с частью 5.1 статьи 13 149-ФЗ. До внесения изменений Требования применялись к ИС и информационно-телекоммуникационной инфраструктуре − теперь в сферу регулирования явно включаются также отдельные технические средства и программы для ЭВМ и базы данных, доступ к которым предоставляется через сети. Это изменение последовательно вносится в пункты 1, 8, 15, 16, 58 и 65 Требований: создание и эксплуатация ИС с использованием таких средств допускается только при условии их защиты в соответствии с Требованиями; политика защиты информации должна охватывать не только ИС и инфраструктуру, но и указанные технические средства; аттестация инфраструктуры, на которой они функционируют, проводится по классу защищенности не ниже класса защищенности ГИС.
Существенно переработан пункт 32, касающийся расчета показателей защищённости. В новой редакции четко разграничены обязанности оператора и подрядных организаций:
  • Кзи остается за оператором: рассчитывается не реже одного раза в 6 месяцев, при несоответствии нормированным значениям руководитель уведомляется в течение 3 календарных дней, результаты направляются в ФСТЭК России не позднее 5 рабочих дней после расчёта;
  • Пзи переходит к подрядным организациям: рассчитывается до получения доступа к ИС оператора и далее не реже одного раза в 2 года. При этом результаты Пзи остаются между оператором и подрядчиком − направлять их в ФСТЭК России не требуется.
Примечательно, что проект пока не устанавливает никаких последствий для подрядчика при низком значении Пзи: ограничений на предоставление доступа к системам оператора в зависимости от результата показателя не предусмотрено. Фактически Пзи в текущей редакции выступает инструментом внутреннего контроля над подрядчиками, но без механизма принуждения.
В пунктах 42 и 46 понятие строгой аутентификации дополняется понятием «усиленной многофакторной» аутентификации − тем самым расширяется спектр допустимых механизмов подтверждения личности пользователей.
Остальные изменения носят технический и редакционный характер: исправляются опечатки, уточняются ссылки на подпункты методических документов, корректируются падежи и формулировки.
Что должны сделать организации?
01
Операторам:
  • выстроить процедуру расчёта показателя Кзи с периодичностью не реже одного раза в 6 месяцев и организовать направление результатов в ФСТЭК России в течение 5 рабочих дней после расчета;
  • запросить у подрядных организаций, имеющих доступ к их ИС, расчёт показателя Пзи и в дальнейшем контролировать его актуальность не реже одного раза в 2 года.
02
Подрядным организациям − рассчитать показатель Пзи до получения доступа к ИС заказчика, а в дальнейшем поддерживать его расчёт не реже одного раза в 2 года. Это требование вступает в силу с 1 марта 2027 года.
03
Актуализировать политику защиты информации с учетом расширенного охвата: включить в нее технические средства, программы для ЭВМ и базы данных, используемые для функционирования ГИС.
04
При создании или эксплуатации ИС с использованием таких технических средств обеспечить их защиту и аттестацию инфраструктуры по классу не ниже класса защищенности ГИС.
05
Проверить применяемые механизмы аутентификации на соответствие расширенным требованиям, допускающим в том числе усиленную многофакторную аутентификацию.
Деятельность ТК 362
На сайте ФСТЭК России опубликованы «Сведения о принятых национальных и международных стандартах за 1 квартал 2026 года» для информирования членов технического комитета по стандартизации «Защита информации» (далее − ТК 362) о стандартах по защите информации, принятых за первый квартал 2026 года, и о ключевых направлениях работы Международной организации по стандартизации и Международной электротехнической комиссии по их совершенствованию. А также «Результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в I квартале 2026 года», которые показывают, что в 1 квартале осуществлялось взаимодействие со смежными техническими комитетами по стандартизации, планировании и организации деятельности ТК 362, а также разработке и согласованию проектов национальных стандартов.
Также была опубликована Справка-доклад о ходе работ по ТК 362 на 2026 год по состоянию на 27 марта 2026 года.
1. Разработка и актуализация стандартов:
  • проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации» дорабатывается разработчиком (АО «Аладдин Р.Д.») по замечаниям членов ТК 362;
  • проект ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования» дорабатывается разработчиком (ООО «Профископ») по результатам публичного обсуждения;
  • проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения» дорабатывается разработчиком (ООО «Открытая мобильная платформа») по замечаниям ТК 167;
  • проект ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратно-программной платформе» дорабатывается разработчиком (АО «Актив-софт») по результатам рассмотрения на совещании РГ ¾;
2. Нормативно-правовая деятельность:
  • Федеральным агентством по техническому регулированию и метрологии РФ (далее — Росстандарт) утверждены изменения в структуру ТК 362 (приказ от 27.02.2026 № 350);
3. Организационная работа и членский состав:
  • подготовлено решение о приеме в состав ТК 362 АО «НПП «Цифровые решения» со статусом «Наблюдатель»;
  • направлено письмо о приеме в состав ТК 362 ООО «ВК Цифровые Технологии» со статусом «Наблюдатель»;
4. Направлены результаты рассмотрения проектов ПНСТ по тематике приватности данных в ТК 22 «Информационные технологии»;
5. Подготовлена и направлена анкета для оценки эффективности деятельности ТК 362 в Росстандарт;
Контроль и надзор
Порядок взаимодействия с ГосСОПКа
Для общественного обсуждения представлен проект приказа ФСБ России «Об утверждении Порядка взаимодействия операторов государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных информационных системах информации», который утверждает порядок взаимодействия операторов ГИС, ИС государственных органов, государственных унитарных предприятий и государственных учреждений с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее — ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу информации.
Ключевые положения Порядка:
  • все взаимодействие осуществляется через Национальный координационный центр по компьютерным инцидентам (далее — НКЦКИ) посредством личного кабинета субъекта ГосСОПКА, для его подключения необходимо заключить регламент взаимодействия с НКЦКИ;
  • операторы обязаны сообщать об инцидентах в срок не позднее 24 часов с момента их обнаружения, НКЦКИ в течение 24 часов присваивает инциденту идентификатор;
  • при технических сбоях или отсутствии связи с личным кабинетом допускается направление информации по резервным каналам − почте или электронной почте;
  • при получении от НКЦКИ информации о готовящихся атаках оператор обязан в течение 24 часов сообщить о принимаемых мерах по их предупреждению;
  • при получении запроса от НКЦКИ о дополнительных сведениях оператор обязан ответить в течение 24 часов либо уведомить о невозможности с указанием причин и срока;
  • операторы вправе обратиться в НКЦКИ за содействием в реагировании на инциденты и привлечением сил ГосСОПКА.
Что должны сделать операторы ГИС, а также государственные органы, государственные унитарные предприятия и государственные учреждения?
01
Заключить регламент взаимодействия с НКЦКИ и подключиться к личному кабинету субъекта ГосСОПКА.
02
Зафиксировать в личном кабинете резервные каналы связи с НКЦКИ − почтовый адрес и адрес электронной почты.
03
Обеспечить направление информации об инцидентах в НКЦКИ в срок не позднее 24 часов с момента их обнаружения.
04
Обеспечить направление в НКЦКИ информации о мерах по предупреждению атак в течение 24 часов с момента получения соответствующего уведомления.
05
Обеспечить направление запрашиваемых НКЦКИ сведений или уведомления о невозможности их представления в течение 24 часов с момента получения запроса.
Оперативное получение выписок из реестров лицензий ФСТЭК России
ФСТЭК России сообщает в Информационном сообщении ФСТЭК России от 08.04.2026 № 240/13/2236 «О получении выписок из реестров лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации и деятельность по разработке и производству средств защиты конфиденциальной информации» о завершении технических работ на портале Единого портала государственных и муниципальных услуг (функций) (далее — Госуслуги) в части взаимодействия с ИС лицензирования. Теперь выписки из реестров лицензий на деятельность по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации можно получить на Госуслугах по ссылке, выбрав соответствующий вид деятельности в выпадающем списке.
Об определении организации для оценки сведений в сфере КИИ
Официально опубликован приказ Министерства промышленности и торговли РФ от 14.11.2025 № 5620 «Об определении организации, привлекаемой Министерством промышленности и торговли Российской Федерации к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127». Документ закрепляет за федеральным государственным унитарным предприятием «Научно-производственное предприятие «Гамма» функции по оценке актуальности и достоверности сведений, представляемых субъектами КИИ в рамках их категорирования. Привлечение организации осуществляется Минпромторгом России в соответствии с пунктом 19.3 Правил категорирования объектов КИИ РФ.
Подробнее с изменениями можно ознакомиться в нашем обзоре за октябрь 2025 года.
Изменение в Положение о системе сертификации СрЗИ
Официально опубликован приказ ФСТЭК России от 20.01.2026 № 9 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55», который вносит изменения в Положение о системе сертификации средств защиты информации. Основная направленность изменений − учёт в процессе сертификации заимствованных программных компонентов с открытым исходным кодом и образов контейнеров.
Что изменилось:
  • в состав документов, прилагаемых к заявке на сертификацию, добавлены перечень заимствованных программных компонентов с открытым исходным кодом и перечень образов контейнеров (при их наличии в составе СрЗИ);
  • испытательная лаборатория обязана оценивать эти перечни на полноту и корректность отнесения компонентов к поверхности атаки и к компонентам, реализующим функции безопасности;
  • к программе и методике сертификационных испытаний теперь прилагается план проведения испытаний заимствованных компонентов;
  • установлен закрытый перечень материалов сертификационных испытаний (новый п. 52(1)) и порядок их представления: часть документов − только в электронном виде, часть − на бумаге и в электронном виде (новый п. 52(2));
  • при внесении изменений в перечень заимствованных компонентов изготовитель обязан направить скорректированный перечень в ФСТЭК России в течение 5 календарных дней (новый п. 73(1));
  • аналогичные требования к составу и формату документов установлены для материалов испытаний при внесении изменений в СрЗИ (новые пп. 74, 74(1));
  • основания для аннулирования сертификата дополнены: теперь к ним относится непредставление сведений об изменениях в перечне заимствованных программных компонентов;
  • уточнен порядок аннулирования решения о проведении сертификации: добавлено основание − не заключение договоров с испытательной лабораторией и органом по сертификации в течение 1 года с даты принятия решения.
Что должны сделать организации?
01
Разработчикам и производителям СрЗИ − сформировать и поддерживать в актуальном состоянии перечни заимствованных программных компонентов с открытым исходным кодом и образов контейнеров, входящих в состав СрЗИ.
02
При подаче заявки на сертификацию включать указанные перечни в состав документации.
03
При внесении изменений в перечень заимствованных компонентов направлять скорректированный перечень в ФСТЭК России в течение 5 календарных дней.
04
Испытательным лабораториям и органам по сертификации − привести внутренние регламенты в соответствие с обновленными требованиями к составу и формату материалов сертификационных испытаний.