В блог
Обзоры
07/04/2026
Обзор изменений в законодательстве за март 2026 года
Март 2026 года ознаменовался масштабным обновлением нормативной базы в сфере информационной безопасности и защиты критической информационной инфраструктуры. Правительство Р Ф и ФСТЭК России утвердили отраслевые особенности категорирования объектов КИИ, внесли изменения в правила обращения со служебной информацией, представили законопроект о регулировании ИИ, выпустили методические рекомендации по защите сетевого периметра и производству доверенных микросхем, а также разъяснили порядок перехода на новые стандарты защиты информации.
Основные направления изменений:
Развитие отраслевого категорирования объектов КИИ
Утверждены специальные правила для различных сфер деятельности, определяющие порядок расчета показателей значимости объектов КИИ с учетом отраслевой специфики.
Ужесточение правил обращения со служебной информацией
Электронные документы приравнены к бумажным, введены новые требования к копированию, передаче, печати и уничтожению документов ограниченного распространения.
Формирование правовой базы регулирования ИИ
Предложен законопроект, закрепляющий принципы регулирования, понятия доверенных и суверенных моделей, требования к сертификации и маркировке синтезированного контента.
Повышение защиты сетевого периметра
Выпущены рекомендации по управлению граничным оборудованием, защите от атак, сегментации сети и резервному копированию с учетом разных типов организаций.
Введение требований к доверенному производству
Утвержден стандарт, устанавливающий контроль закупок, сертификацию оборудования, физическую защиту, проверку персонала и прослеживаемость продукции.
Переход на новые стандарты защиты информации
Вступили в силу актуальные требования к защите информации в государственных системах, разъяснен порядок модернизации и переходный период.
Развитие системы стандартизации в области ИБ
Утвержден годовой план работ, реорганизованы рабочие группы, продолжается разработка стандартов доверенной среды исполнения, расширен состав участников.
Ключевые нормативные изменения:
Обновление правил обращения со служебной информацией ограниченного распространения
Официально было опубликовано Постановление Правительства Российской Федерации (далее — РФ) от 04.03.2026 № 226 «О внесении изменений в постановление Правительства Р Ф от 03.11.1994 № 1233», которое внесло изменения в постановление Правительства Р Ф от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» (далее — ПП-1233).
Исходное ПП-1233 в первую очередь предназначено для федеральных органов исполнительной власти, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности. Пункт 3 постановления рекомендует следующим органам и организациям руководствоваться утвержденным ПП-1233 Положением:
  • органы государственной власти субъектов РФ и иные государственные органы;
  • органы местного самоуправления;
  • государственные и муниципальные учреждения;
  • государственные и муниципальные унитарные предприятия;
  • организации, осуществляющие публично значимые функции;
  • организации, созданные для выполнения задач, поставленных перед Правительством Р Ф, органами государственной власти РФ или субъектов РФ;
  • юридические лица, созданные на основании федеральных законов;
  • юридические лица с долей участия РФ, субъектов РФ или муниципальных образований;
  • государственные внебюджетные фонды;
  • иные юридические лица.
Новые требования касаются создания, учета, хранения, копирования, передачи и уничтожения документов «Для служебного пользования» (далее — ДСП), особенно в электронном виде.
Основные изменения:
  • Электронные документы приравнены к бумажным. Служебная информация в электронном виде должна обрабатываться, храниться и передаваться с тем же уровнем защиты, что и физические документы. Требуется использование систем электронного документооборота или иных программных (программно-аппаратных) решений, отвечающих требованиям информационной безопасности, установленным законодательством Российской Федерации, и требованиям о защите информации, предусмотренным частью 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — 149-ФЗ). Указанные требования реализуются, в том числе, в соответствии с Приказом Федеральной службы по техническому и экспортному контролю (далее −ФСТЭК России) от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах (далее — ГИС), иных информационных системах (далее — ИС) государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ ФСТЭК России № 117).
  • Электронные документы приравнены к бумажным. Служебная информация в электронном виде должна обрабатываться, храниться и передаваться с тем же уровнем защиты, что и физические документы. Требуется использование систем электронного документооборота или иных программных (программно-аппаратных) решений, отвечающих требованиям информационной безопасности, установленным законодательством Российской Федерации, и требованиям о защите информации, предусмотренным частью 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — 149-ФЗ). Указанные требования реализуются, в том числе, в соответствии с Приказом Федеральной службы по техническому и экспортному контролю (далее −ФСТЭК России) от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах (далее — ГИС), иных информационных системах (далее — ИС) государственных органов, государственных унитарных предприятий, государственных учреждений» (далее — Приказ ФСТЭК России № 117).
  • Введена детализация пометок. Теперь на отдельных страницах документов можно добавлять уточняющие пометки: «ДСП без служебной информации ограниченного распространения − доступ не ограничен» или «ДСП без приложений − доступ не ограничен». Это позволяет делать некоторые части документа открытыми для широкого круга лиц, а остальное − только для служебного пользования.
  • Требуется разрешение на копирование. Копирование документов с пометкой «ДСП» теперь требует письменного разрешения руководителя организации или уполномоченного должностного лица. Согласие автора документа получать не требуется. Все копии должны учитываться поэкземплярно.
  • Уничтожение электронных документов регламентировано. Электронные документы «ДСП» уничтожаются не просто удалением файла, а с использованием сертифицированных устройств путем механического нарушения целостности носителя информации. Также допускается уничтожение электронных документов «ДСП» путем удаления остаточной информации методами, исключающими восстановление.
  • Передача между работниками требует разрешения. Передача (включая перенаправление) документов «ДСП» от одного сотрудника другому теперь требует разрешения руководителя организации или уполномоченного должностного лица. Это минимизирует неконтролируемое распространение чувствительной информации внутри организации.
  • Номер экземпляра на электронных документах не ставится. На электронных документах и оригиналах документов, подписанных собственноручной подписью в единственном экземпляре, номер экземпляра не проставляется. Это упрощение для цифровых процессов, поскольку электронные документы по своей природе уникальны.
  • Печать электронного документа требует разрешения. Если электронный документ «ДСП» необходимо распечатать на бумаге, требуется разрешение руководителя организации или уполномоченного должностного лица. На обороте последнего листа каждого экземпляра необходимо указать количество отпечатанных копий, фамилию исполнителя и печатника, дату печати.
  • Расширен круг лиц, к которым применяется Положение. Теперь требования применяются не только к федеральным, региональным органам власти и муниципалитетам, но и рекомендуются для организаций, выполняющих публично значимые функции, компаний с долей государства или муниципального образования в уставном капитале, госвнебюджетных фондов и других юридических лиц, обрабатывающих служебную информацию.
Что должны сделать организации?
01
Убедиться, что ваша организация руководствуется Положением, утвержденным ПП-1233, при работе с документами «ДСП».
02
Издать приказ о назначении должностного лица, ответственного за работу с документами «ДСП» и за соблюдение требований Положения.
03
Создать или обновить инструкции по делопроизводству, в которых детально описать порядок обращения с документами «ДСП»: создание, учет, хранение, копирование, передача, направление в другие организации и уничтожение.
04
Для бумажных документов предусмотреть надежно запираемые и опечатываемые шкафы, ящики или хранилища. Для электронных документов использовать защищенные системы электронного документооборота, соответствующие требованиям законодательства об информационной безопасности (далее – ИБ).
05
Разработать процедуры и формы для получения письменного разрешения руководителя или уполномоченного лица на копирование документов, передачу между работниками, перенаправление в другие организации и печать электронных документов на бумажном носителе.
06
Ввести учет всех документов «ДСП», а также их перемещения, копирования и уничтожения. Для электронных документов настроить логирование всех операций в системе электронного документооборота.
07
Провести обязательное обучение всех сотрудников, работающих с документами «ДСП», о новых требованиях, порядке их соблюдения и ответственности за нарушения. Выдать памятки и инструкции.
08
Для бумажных документов использовать механическое измельчение (шредирование) или иной способ, исключающий восстановление. Для электронных документов использовать сертифицированные устройства уничтожения. Составлять акты об уничтожении документов.
09
Провести аудит соблюдения требований Положения: проверить хранение документов, правильность пометок, наличие разрешений на копирование и передачу, процедуры уничтожения, процесс снятия пометок «ДСП».
КИИ в сфере науки: как категорировать и оценивать
Официально опубликовано Постановление Правительства Р Ф от 07.03.2026 № 246 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры РФ в сфере науки», которое утвердило отраслевые особенности категорирования объектов критической информационной инфраструктуры (далее — КИИ) в сфере науки. Документ не вносит изменения в существующие нормативные акты, а устанавливает специальный порядок категорирования для научной сферы в дополнение к общим правилам, утвержденным Постановлением Правительства Р Ф от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее — ПП-127).
Основные изменения:
  • Определены субъекты КИИ в сфере науки − государственные органы и государственные учреждения, которым на праве собственности, аренды или ином законном основании принадлежат ИС, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере науки, а также государственные органы и учреждения, обеспечивающие взаимодействие указанных систем или сетей.
  • Установлено, какие показатели из ПП-127 применяются при категорировании объектов КИИ:
  • показатель № 1 «Причинение ущерба жизни и здоровья людей», если при выполнении научно-исследовательских и опытно-конструкторских работ (далее — НИОКР) предусматривается использование вредных веществ, в том числе опасных химических веществ;
  • показатель № 7 «Нарушение международного договора РФ», если выполнение НИОКР осуществляется в рамках международного договора РФ;
  • показатель № 9 «Ущерб бюджетам РФ» оценивается в любых случаях;
  • показатель № 11 «Вредные воздействия на окружающую среду», если при выполнении НИОКР предусматривается использование вредных веществ, в том числе опасных химических веществ;
  • показатель № 13.1 «Снижение показателей государственного оборонного заказа», если выполнение НИОКР осуществляется в рамках реализации государственного оборонного заказа.
  • Оценка последствий − по наихудшему сценарию − с учетом целенаправленных атак, отсутствия мер защиты и зависимости процессов и объектов.
  • Действия при выявлении нетипового значимого объекта КИИ − присвоить категорию и направить предложения в ФСТЭК России.
  • Разделение объекта КИИ на несколько отдельных объектов при модернизации − по решению субъекта КИИ.
Что должны сделать субъекты КИИ в сфере науки?
01
Выявить объекты КИИ − определить ИС, информационно-телекоммуникационные сети, автоматизированные системы управления, соответствующие типовым отраслевым объектам КИИ.
02
Оценить масштаб возможных последствий в соответствии с перечнем показателей критериев значимости (ПП-127) с учетом отраслевых особенностей.
03
Рассчитать значения показателей с учетом:
  • количества задействованных лиц и зоны поражения (для показателей № 1 и 11);
  • снижения количества испытаний, точности измерений, целостности и доступности информации (для международных договоров и гособоронзаказа);
  • снижения налоговых выплат (для бюджетного ущерба);
  • статуса субъекта КИИ из сферы науки в кооперации головного исполнителя поставок продукции по гособоронзаказу.
04
Присвоить выявленным объектам КИИ одну из категорий либо принять решение об отсутствии необходимости присвоения им категории.
05
При выявлении нетипового значимого объекта КИИ − присвоить категорию значимости в соответствии с рассчитанными значениями негативных последствий и направить сведения об объекте КИИ в ФСТЭК России.
КИИ в сфере государственной регистрации прав на недвижимость
Утверждено Постановление Правительства Р Ф от 23.03.2026 № 303 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере государственной регистрации прав на недвижимое имущество и сделок с ним», которое устанавливает специальные правила категорирования объектов КИИ в сфере регистрации недвижимости.
Ключевой проблемой, которую решает постановление, является отсутствие единых методических подходов к определению категории значимости объектов КИИ в сфере недвижимости. Постановление определяет, что:
  • Субъектами КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним являются:
  • федеральная служба государственной регистрации, кадастра и картографии РФ (далее − Росреестр);
  • публично-правовая компания «Роскадастр» (далее − Роскадастр).
  • Под объектами КИИ понимаются:
  • федеральная ГИС ведения Единого государственного реестра недвижимости (далее −ЕГРН);
  • технические и программные средства, обеспечивающие ее функционирование.
Отраслевыми особенностями определены показатели, применимые при категорировании объектов КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним:
  • Показатель № 5 «Отсутствие доступа к государственной услуге», оцениваемый по:
  • максимальному допустимому времени отсутствия доступа (часы).
  • времени отсутствия доступа к государственной услуге в процентах от времени предоставления услуги, предусмотренного Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости».
  • Показатель № 6 «Нарушение функционирования государственного органа или организации, созданной на основании федерального закона». Определено, что по данному показателю присваивается вторая категория значимости, когда нарушение функционирования объекта КИИ может привести к невыполнению возложенных на Росреестр или Роскадастр функций (полномочий).
  • Показатель № 9 «Ущерб бюджетам РФ», оцениваемый в снижении выплат (отчислений) в бюджет РФ от субъектов КИИ (Росреестра и Роскадастра). Учитывается, что в бюджет РФ зачисляются поступления от предоставления Росреестром и Роскадастром государственных услуг.
Что должны сделать организации?
01
Росреестру и Роскадастру:
  • провести категорирование принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ;
  • рассчитать значения показателей и присвоить каждому объекту категорию значимости, в случае если объект КИИ не соответствует ни одному показателю — принять решение об отсутствии необходимости присвоения категории.
02
Компаниям, обеспечивающим функционирование ЕГРН:
  • провести категорирование технических и программных средств, обеспечивающих функционирование ЕГРН, совместно с Росреестром и Роскадастром.
Регулирование применения ИИ в РФ
В Государственную Думу внесен проект федерального закона «Об основах государственного регулирования применения искусственного интеллекта в РФ». Закон установит правовую основу для разработки, внедрения и использования технологий искусственного интеллекта (далее — ИИ) на территории РФ. Цель — создание условий для развития отечественного ИИ, обеспечение национальной безопасности, защита прав граждан и технологическая независимость России.
Основные положения закона:
  • Семь принципов регулирования ИИ: верховенство прав человека, уважение автономии человека, риск-ориентированный подход (низкий, средний, высокий, критический риск), благоприятные условия для развития, технологическая независимость, сохранение традиционных ценностей, обеспечение безопасности.
  • Суверенные и национальные модели ИИ:
  • суверенная модель — разработка и обучение гражданами РФ на территории РФ, без иностранных данных и сервисов;
  • национальная модель — полный цикл в РФ, разработчик может быть иностранным;
  • государственная поддержка (гранты, льготы, приоритет при госзакупках).
  • Доверенные модели ИИ для государства и КИИ:
  • обязательная сертификация ФСТЭК России;
  • обработка данных только на территории РФ;
  • прозрачность логики, документация, подтверждение качества.
  • Требования к синтезированному контенту:
  • обязательное предупреждение о применении ИИ, встроенное в материал (видео, аудио, изображение);
  • предупреждение в метаданных, невозможность удаления пользователем;
  • мониторинг Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ.
Что должны сделать организации?
01
Разработчики ИИ — исключить дискриминацию, документировать архитектуру и ограничения модели, назначить ответственного за безопасность, тестировать на риски. Для госзаказчиков — получить статус «доверенной модели» в ФСТЭК России.
02
Операторы ИИ-сервисов — включить в документацию руководство по безопасной эксплуатации с указанием на недопустимость использования для манипуляции поведением и эксплуатации уязвимостей человека, проводить тестирование, предоставлять пользователям информацию о функциональном назначении и ограничениях, обеспечивать техническое обслуживание, незамедлительно приостанавливать эксплуатацию при угрозе вреда, обеспечивать учет инцидентов, назначать ответственных лиц.
03
Владелец сервиса ИИ — определить правила доступа с прямым запретом на использование в целях, противоречащих законодательству, принимать меры по недопущению использования сервиса в противоправных целях, информировать пользователей о взаимодействии с ИИ, при суточной аудитории более 500 тысяч пользователей выполнять обязанности по статье 10.1 149-ФЗ, определить порядок обслуживания и контроля параметров, внедрить механизмы ограничения создания противоречащего законодательству информационного материала.
04
Государственные органы — внедрять только доверенные модели, провести аудит существующих ИИ-систем, отдавать приоритет российским разработчикам, сертифицировать ИИ в критических сферах (правопорядок, здравоохранение, суды).
Методики и стандарты ИБ
Защита сетевого периметра организации
ФСТЭК России издала развернутые рекомендации по защите сетевого периметра организаций. Периметр представляет собой технологическую границу между внутренней корпоративной сетью и внешними сетями (интернетом) и включает межсетевые экраны, маршрутизаторы, шлюзы виртуальной приватной сети, системы фильтрации трафика, системы предотвращения вторжений и иное оборудование, обеспечивающее контроль и управление внешними соединениями.
Ключевой проблемой, которую решают рекомендации ФСТЭК России, является недостаточная защита сетевого периметра различными компаниями, что позволяет злоумышленникам получать прямой доступ во внутреннюю сеть и в дальнейшем распространяться в ней, перехватывая данные, устанавливая вредоносное программное обеспечение и нанося критический ущерб.
Рекомендации ФСТЭК предусматривают следующие основные компоненты стратегии защиты сетевого периметра:
  • Администрирование, управление конфигурацией и эксплуатация сетевых (пограничных) устройств. Устанавливаются требования к безопасной настройке межсетевых экранов, маршрутизаторов, шлюзов виртуальной приватной сети и иного оборудования, включая использование отдельных изолированных рабочих мест для администрирования, сложные пароли (не менее 15 символов, верхний и нижний регистр, спецсимволы), уникальные пароли для каждого устройства, контроль конфигураций, учет устройств, управление жизненным циклом, исключение удаленного администрирования через публичные интерфейсы, согласование изменений с ответственными за ИБ, использование безопасных протоколов мониторинга.
  • Меры по защите информации для повышения устойчивости к атакам «Распределенного отказа в обслуживании» (DDoS). Включают настройку правил межсетевого экранирования, фильтрацию трафика на уровне веб-приложений, активацию функций защиты от атак «Распределенного отказа в обслуживании» (DDoS) на межсетевых экранах, ограничение количества подключений с одного IP-адреса, а также взаимодействие с оператором связи по применению мер противодействия атакам «Распределенного отказа в обслуживании» (DDoS).
  • Сегментирование сети и внедрение средств контроля и управления доступом. Включают сегментацию с использованием технологий виртуальной локальной вычислительной сети (VLAN), управление трафиком между сегментами через списки контроля доступа, настройку доступа по модели нулевого доверия, создание демилитаризованной зоны для внешних взаимодействий, обеспечение невозможности администрирования устройств ядра сети со стороны пользовательских и внешних сегментов.
  • Резервное копирование конфигурационных файлов. Регламентируется процесс резервного копирования: создание не менее трех копий (одна основная, две резервные), использование не менее двух разных типов носителей, хранение одной копии в обособленном месте, периодичность не реже одного раза в месяц, контроль восстановления из резервных копий не реже одного раза в три месяца.
  • Управление уязвимостями сетевого (пограничного) оборудования. Требуется реализация процессов управления уязвимостями в соответствии с методиками ФСТЭК России (от 25.11.2025, от 17.05.2023), а также установка обновлений безопасности в соответствии с методиками тестирования обновлений (от 28.10.2022) и оценки уровня критичности уязвимостей (от 30.06.2025).
  • Аутентификация и управление доступом пользователей и администраторов. Включают централизованный контроль доступа к сети, применение многофакторной аутентификации при административном доступе, разграничение ролей администрирования с минимально необходимыми привилегиями.
  • Регистрация событий ИБ и их анализ. Требуется сбор событий с использованием систем сбора и анализа событий ИБ (SIEM), централизованный сбор и хранение журналов с максимально детализированным уровнем журналирования, включая попытки авторизации, журналы сервисов и приложений, создание процессов, загрузку модулей, изменения в файловой системе, запросы системы доменных имен (DNS), а также синхронизацию времени.
  • Регулярные учения по реагированию на инциденты ИБ. Проводятся для подтверждения их эффективности и способности органа (организации) обеспечивать выявление, локализацию, устранение инцидентов и восстановление работоспособности информационной инфраструктуры.
Что должны сделать организации?
01
Провести аудит граничного оборудования (межсетевое экранирование, маршрутизаторы, виртуальные приватные сети, системы фильтрации трафика, системы предотвращения вторжений).
02
Внедрить все перечисленные компоненты стратегии защиты сетевого периметра.
03
Обновить политики ИБ, регламенты администрирования и реагирования на инциденты.
Доверенные микросхемы и контроль производства
22 января 2026 года был утвержден и введен в действие государственный стандарт ГОСТ Р 72 507−2026 «Критическая информационная инфраструктура. Микросхемы интегральные доверенные. Общие требования к производству». Стандарт устанавливает требования к производству микросхем (интегральных микросхем, чипов), предназначенных для использования в КИИ РФ.
Ключевой проблемой, которую решает стандарт, является высокая степень импортозависимости российских государственных и стратегически важных организаций от поставок иностранных микросхем. В условиях санкций и растущих киберугроз, существует риск поставки микросхем с встроенными вредоносными закладками, уязвимостями или скомпрометированными компонентами. Это может привести к масштабным взломам критичной инфраструктуры, срыву функционирования государственных систем, краже конфиденциальной информации и значительному ущербу национальной безопасности.
ГОСТ Р 72 507−2026 предусматривает девять основных компонентов обеспечения доверенности микросхем:
  • Контроль закупок и материалов. Организация-производитель должна закупать исходные материалы и компоненты исключительно у аккредитованных поставщиков.
  • Сертификация и метрологическое обеспечение производственного оборудования. Все оборудование для производства микросхем (фотолитографические установки, тестеры, системы контроля) должны быть сертифицированы, метрологически обеспечены и регулярно проходить калибровку.
  • Защита производственных помещений. Помещения, где производятся доверенные микросхемы, должны соответствовать высочайшим требованиям физической и ИБ.
  • Проверка безопасности персонала. Люди, работающие с производством доверенных микросхем, должны проходить проверку безопасности и получать допуск к работе с чувствительными технологиями.
  • Документирование и стандартизация технологических процессов. Каждый этап производства микросхемы должен быть четко определен, задокументирован, стандартизирован и контролируем.
  • Контроль качества и приемка продукции. Готовые микросхемы должны проходить комплексное тестирование и приемку для подтверждения соответствия всем требованиям стандарта.
  • Идентификация и прослеживаемость. Каждая микросхема должна быть уникально идентифицирована и иметь полную историю (трассировку) от производства до установки в конечном изделии.
  • Авторский надзор разработчика. Организация-разработчик микросхемы должна осуществлять постоянный надзор за производством, чтобы убедиться в правильной реализации дизайна.
  • Обеспечение технологической независимости. При прекращении производства микросхемы у основного производителя должны быть обеспечены мероприятия для перехода производства к другому производителю или самостоятельного восстановления выпуска.
Что должны сделать организации?
01
Разработчики и производители микросхем — провести аудит производства под ГОСТ, обновить документацию, внедрить контроль поставщиков и калибровку оборудования, усилить физическую защиту и допуски, логировать операции, обеспечить прослеживаемость продукции, передать копии документации в госархив, подать заявку на статус «доверенный производитель».
02
Разработчики доверенных программно-аппаратного комплекса (доверенного программно-аппаратного комплекса) — при выборе микросхем проверять, что производитель микросхем соблюдает требования ГОСТ, и взаимодействовать с ним в рамках авторского надзора.
03
Субъекты КИИ — при выборе доверенных программно-аппаратных комплексов проверять, что в их составе используются микросхемы, произведенные в соответствии с ГОСТ, и требовать от поставщиков доверенных программно-аппаратных комплексов подтверждения соблюдения требований стандарта
ИИ в КИИ
Утвержден и введен в действие приказом Росстандарта от 30.01.2026 № 2-пнст предварительный национальный стандарт 1046 − 2026 «Искусственный интеллект в критической информационной инфраструктуре. Общие положения». Стандарт устанавливает общие положения для систем ИИ (далее − СИИ), применяемых в составе программно-аппаратных комплексов объектов КИИ, и не распространяется на исследовательские и экспериментальные СИИ, не используемые в КИИ.
Документ направлен на обеспечение ИБ, надежности, объяснимости, доверенности, сохранения контроля человека над критическими функциями и постоянного совершенствования СИИ в КИИ.
Основные положения:
  • Принципы применения СИИ в КИИ − семь принципов: ИБ и устойчивость при компьютерных атаках, надежность и управляемость, объяснимость, доверенность, защита от несанкционированного доступа, сохранение контроля человека, постоянное совершенствование.
  • Классификация СИИ для КИИ − по уровню автономности (низкая, средняя, высокая), по функциональному назначению (системы ИБ, анализа состояния инфраструктуры, управления процессами, физической безопасности, анализа данных и др.), по области применения (сфера деятельности субъекта КИИ), по источнику данных (только внутренние или закрытые, внешние из доверенных источников, прочие внешние или публичные).
  • Уровни критичности СИИ − четыре уровня:
  • первый уровень (критический − ключевая роль, ошибки ведут к авариям, угрозе жизни, значительному ущербу);
  • второй уровень (высокий − прямое влияние на функционирование КИИ);
  • третий уровень (средний − участие в управлении с контролем человека);
  • четвертый уровень (низкий − аналитика и поддержка без прямого воздействия).
Уровень определяется на этапе планирования с учетом категории значимости объекта КИИ и модели угроз.
  • Управление угрозами ИБ − обязательная оценка рисков на всех этапах жизненного цикла (не реже раза в полгода для уровней 1−2, раз в год для уровней 3−4). Учитываются специфические риски: инъекции команд, отравление данных, враждебные примеры, атаки уклонения, кража модели и др.
  • Методы снижения рисков − для всех уровней: многоуровневая защита, тестирование, мониторинг, резервирование, шифрование, контроль доступа. Для уровней 1 и 2 дополнительно: независимая экспертиза ИБ, формальная верификация, изолированные среды, автоматизированное реагирование, а также запрет на обучение «на лету» и подключение внешних компонентов без полной проверки исходного кода.
  • Мониторинг и контроль − для уровней 1 и 2 обязателен круглосуточный центр мониторинга с интеграцией в Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее − ГосСОПКА) и передачей инцидентов в Национальный координационный центр по компьютерным инцидентам. Анализ результатов − не реже раза в квартал для уровней 1−2, не реже раза в месяц для уровней 3−4.
  • Планы реагирования на инциденты − должны учитывать специфические инциденты (ошибки алгоритмов, атаки на модель, манипуляции входными данными, компрометация модели и др.). Учения проводятся не реже раза в год для уровня 2 и не реже раза в полгода для уровня 1.
  • Организационные меры − разработка политики ИБ СИИ, процедур жизненного цикла, управления доступом, тестирования, резервного копирования, обучения персонала. Для уровней 1 и 2 − планы непрерывности и процедуры аварийного останова (или альтернативные меры при невозможности останова).
  • Показатели эффективности и отчетность − установлены группы показателей (функциональная эффективность, надежность, ИБ, ресурсоэффективность). Периодичность проверок: для уровней 1−2 − не реже раза в полгода, для уровней 3−4 − не реже раза в год. Обязательно фаззинг-тестирование для СИИ на значимых объектах КИИ.
Что должны сделать субъекты КИИ?
01
Опираться на настоящий стандарт при проектировании, внедрении и эксплуатации СИИ в объектах КИИ, обеспечивая соответствие семи принципам.
02
Провести классификацию используемых и планируемых СИИ по уровню автономности, функциональному назначению, области применения и источнику данных.
03
Определить уровень критичности каждой СИИ (от 1 до 4) на основе категории значимости объекта КИИ, модели угроз и анализа последствий сбоев.
04
Организовать регулярную оценку рисков (с учетом специфических угроз для ИИ) и внедрить методы их снижения, включая обязательные для уровней 1−2: независимую экспертизу, формальную верификацию, изоляцию, запрет обучения «на лету» и непроверенных внешних компонентов;
05
Внедрить мониторинг и контроль СИИ: для уровней 1−2 − круглосуточный центр мониторинга с интеграцией в ГосСОПКА, для всех уровней − сбор и анализ показателей с установленной периодичностью.
06
Разработать планы реагирования на инциденты с учетом специфики ИИ, регулярно их тестировать и проводить учения.
07
Утвердить организационные политики и процедуры (ИБ СИИ, управление жизненным циклом, доступ, тестирование, резервное копирование, обучение персонала). Для уровней 1−2 − дополнительно планы непрерывности и процедуры аварийного останова.
08
Проводить регулярные проверки (внутренний аудит, функциональное тестирование, тестирование на проникновение, фаззинг-тестирование для значимых объектов КИИ) с периодичностью не реже раза в полгода для уровней 1−2 и не реже раза в год для уровней 3−4.
09
Формировать отчетность (оперативные отчеты, отчеты об инцидентах, мониторинге, проверках) и предоставлять ее руководству, подразделениям ИБ и уполномоченным органам.
Смена стандартов защиты информации
12 марта 2026 года ФСТЭК России опубликовала информационное сообщение, разъясняющее требования к защите информации в ГИС, а также в иных ИС государственных органов, государственных учреждений и государственных унитарных предприятий.
1 марта 2026 года вступили в силу новые Требования о защите информации, утвержденные приказом ФСТЭК России № 117. Это означает обязательную смену стандартов и требований к защите информации: государственные органы, государственные учреждения и государственные унитарные предприятия должны привести свои ИС и процессы защиты в соответствие с новыми требованиями.
Информационное сообщение ФСТЭК России разъясняет, какие конкретные действия государственные органы и учреждения должны предпринять для перехода на новые требования.
Ключевые положения сообщения:
  • До момента утверждения нового методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах» при реализации мер защиты информации в ГИС и иных ИС необходимо руководствоваться старым методическим документом «Меры защиты информации в государственных информационных системах», утвержденным ФСТЭК России 11.02.2014 (тот, который был разработан под приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее − приказ ФСТЭК России № 17).
  • Необходимо сформировать планы перехода ГИС и иных ИС государственных органов на новые Требования (приказ ФСТЭК России № 117).
Что должны сделать организации?
01
Для государственных органов, учреждений, унитарных предприятий (заказчиков ГИС и иных ИС):
  • составить план перехода на новые требования с оценкой сроков, стоимости и ресурсов;
  • новые ГИС разрабатывать сразу с учетом требований приказа ФСТЭК России № 117;
  • в отношении разработанных ГИС необходимо провести их модернизацию, после чего нужно провести дополнительные аттестационные испытания и переоформить аттестат соответствия требованиям Приказа ФСТЭК России № 117;
  • до утверждения нового методического документа при реализации мер защиты в ГИС и иных ИС руководствоваться старым методическим документом от 11.02.2014 «Меры защиты информации в государственных информационных системах» (как справочным пособием);
  • если договор на создание или развитие (модернизацию) ИС был заключен до 01.03.2026, допускается завершить работы по старым требованиям (Приказ ФСТЭК России № 17).
02
Коммерческим организациям — разработчикам и сопровождающим ГИС:
  • обеспечить соответствие систем приказу ФСТЭК России № 117, обновить документацию, провести аудит, оценить затраты на модернизацию, сообщить клиентам-госорганам сроки, обучить специалистов;
03
Поставщикам облачных услуг и «программного обеспечения, как услуга» (SaaS):
  • обеспечить соответствие платформ приказа ФСТЭК России № 117, обновить соглашение об уровне услуг (SLA), получить сертификаты для обработки информации ограниченного доступа (не государственная тайна) − это сертификаты соответствия требованиям о защите информации (уровень защищенности не ниже 3 класса), предоставлять их государственным заказчикам, вести логирование и мониторинг.
Деятельность ТК 362
Технический комитет по стандартизации «Защита информации» (далее — ТК 362) продолжает активную работу по развитию нормативно-технической базы в области защиты информации, выполнению планов стандартизации и взаимодействию с участниками рынка. На официальном сайте ФСТЭК России выставлена справка-доклад о ходе работ по плану ТК 362 (по состоянию на 26.02.2026).
Основные события:
  • утвержден и распространен план работы ТК 362 на 2026 год;
  • принято решение о реорганизации и создании рабочих групп ТК 362, утвержден их состав;
  • подготовлено обращение в Федеральное агентство по техническому регулированию и метрологии РФ об утверждении нового состава ТК 362 и закреплении ФГБУ «НИЦ «Курчатовский институт» как базовой организации для ПК 3;
  • дорабатываются два проекта ГОСТ Р о доверенной среде исполнения (разработчики — ООО «Открытая мобильная платформа» и АО «Актив-софт»). Сроки представления — март и июль 2026 г;
  • направлены сведения о представителе в ТК 167 (по КИИ и программному обеспечению);
  • разосланы на доработку проекты предварительных национальных стандартов по приватности данных и оценке рисков обезличивания (разработка ТК 22);
  • подготовлены результаты согласования тем межгосударственных стандартов в МТК 566 «Искусственный интеллект»;
  • приняты новые организации-наблюдатели в ТК 362: АО «СекьюриТ», АО «НПК «КРИПТОНИТ», ООО «В К Цифровые Технологии».