Обзор изменений в законодательстве за апрель 2025 года

23 мая 2025 г.время чтения ~14 мин.

Обзор подготовлен Аналитическим центром Уральского центра систем безопасности (УЦСБ).

В обзоре изменений за апрель 2025 года рассмотрим следующие темы:

  1. Критическая информационная инфраструктура
    • Рассмотрим вступившие в силу изменения в Федеральном законе № 187 и утвержденные в соответствии с ними Методические указания по категорированию объектов КИИ сферы связи. Также рассмотрим проект приказа ФСТЭК России с изменениями в форме результатов присвоения категорий значимости объектам КИИ.
  2. Персональные данные
    • Опубликованы проекты требований, методов и правил обезличивания ПДн, которые должны будут применяться операторами ПДн при получении ими требования от Минцифры России о предоставлении обезличенных ПДн, а также проект Правил формирования составов обезличенных ПДн и доступ к ним.
    • Опубликовано постановление Правительства РФ, содержащее случаи, при которых Минцифры России формирует составы данных, полученных в результате обезличивания ПДн.
  3. Иное
    • ФСБ России планирует продлить на 2 года переходный период, в течение которого центрам ГосСОПКА разрешено осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты на основании соглашений о сотрудничестве.
  4. Стандартизация
    • Минпросвещения России приняло два стандарта:
      • «Техническая эксплуатация и сопровождение информационных систем»;
      • «Разработка и управление ПО».
  5. Деятельность ФСТЭК России
    • Рассмотрим результаты работы ТК 362 за первый квартал 2025 года, а также сводку НПА, содержащих требования, соблюдение которых оценивается при лицензировании деятельности по разработке СКЗИ и технической защите конфиденциальной информации.

Критическая информационная инфраструктура

Изменения в 187-ФЗ

Опубликован 58-ФЗ от 07.04.2025

См. 187-ФЗ от 26.07.2017

7 апреля 2025 года официально опубликован Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ)».

Положения закона направлены на расширение полномочий Правительства РФ. Согласно изменениям Правительство РФ будет устанавливать:

  • перечни типовых отраслевых объектов КИИ;
  • отраслевые особенности категорирования объектов КИИ, определяющие:
    • порядок установления соответствия объекта КИИ критериям значимости;
    • отраслевые признаки значимости объектов КИИ, соответствующие критериям значимости и показателям их значений;
    • порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта КИИ;
  • требования к используемым на значимых объектах КИИ программно-аппаратным средствам;
  • сроки и порядок перехода субъектов КИИ на использование на значимых объектах КИИ программного обеспечения (далее – ПО), включенного в реестр российского ПО;
  • порядок осуществления мониторинга такого перехода.

Согласно изменениям из перечня субъектов КИИ исключаются индивидуальные предприниматели. Также субъекты КИИ при категорировании объектов КИИ должны будут учитывать отраслевые особенности. В перечни типовых отраслевых объектов КИИ будут включаться только типы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, обладающих признаком значимости.

Обязанности субъектов КИИ в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ дополняются следующими обязанностями:

  • использовать на значимых объектах КИИ ПО:
    • включенное в реестр российского ПО;
    • которое используется в соответствующих требованиям о защите информации ГИС и иных информационных системах государственных органов, унитарных предприятий, учреждений;
  • осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА).

Закон вступает в силу с 1 сентября 2025 года.

Методические указания по категорированию объектов КИИ в сфере связи

Опубликованы Метрекомендации Минцифры №АШ-7089вн от 04.04.2025

См. 187-ФЗ от 26.07.2017

В связи с изменениями в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуре Российской Федерации», согласно которым при категорировании объектов КИИ необходимо будет учитывать отраслевые особенности объектов КИИ, Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликовало «Методические указания по категорированию объектов КИИ, принадлежащих субъектам КИИ, осуществляющим деятельность в отрасли связи».

Указания учитывают перечни типовых отраслевых объектов КИИ, функционирующих в сфере связи, и содержат особенности категорирования объектов КИИ и присвоения категории значимости таким объектам КИИ. В документе предусмотрено подробное описание всех этапов проведения категорирования объектов КИИ в сфере связи.

Изменения в форме с результатами присвоения категорий значимости

Проект приказа ФСТЭК России

См. Приказ ФСТЭК России №236 от 22.12.2017

Федеральная служба по техническому и экспортному контролю России (далее – ФСТЭК России) представила для общественного обсуждения проект приказа «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной ‎из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России ‎от 22.12.2017 № 236».

В сведения об объекте КИИ предлагается включить:

  • наименование типового отраслевого объекта КИИ, которому соответствует объект;
  • доменное имя и сетевой адрес объекта.

В сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, при указании:

  • наименования применяемых программно-аппаратных средств предлагается добавить описание моделей и производителей пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств;
  • средств защиты информации (далее – СрЗИ) предлагается добавить наименования моделей и производителей СрЗИ.

Общественное обсуждение проекта завершилось 9 мая 2025 года.

Персональные данные

Требования и методы обезличивания ПДн при формировании составов данных

Проект Постановления Правительства РФ

См. 152-ФЗ от 27.07.2006

Минцифры России опубликовало для общественного обсуждения проект постановления Правительства РФ «Об установлении требований к обезличиванию персональных данных (далее – ПДн), методов и правил обезличивания ПДн».

Требования, методы и правила обезличивания ПДн, представленные в проекте, должны будут применяться операторами ПДн при получении ими требования от Минцифры России о предоставлении обезличенных ПДн в соответствии с частью 2 статьи 13.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ).

Для реализации требований Минцифры России проект предусматривает 5 методов обезличивания ПДн:

  • метод введения идентификаторов;
  • метод изменения состава или семантики;
  • метод декомпозиции;
  • метод перемешивания;
  • метод преобразования.

Для обезличивания ПДн Минцифры России будет безвозмездно предоставлять операторам ПДн ПО, реализующее перечисленные выше методы обезличивания.

Общественное обсуждение проекта постановления завершилось 6 мая 2025 года. В случае принятия постановление вступит в силу с 1 сентября 2025 года.

Правила формирования составов обезличенных ПДн и доступ к ним

Проект Постановления Правительства РФ

См. 152-ФЗ от 27.07.2006

Для общественного обсуждения представлен проект постановления Правительства РФ «О порядке формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и порядке предоставления доступа к составам таких данных».

Проект разработан с целью реализации частей 5 и 6 статьи 13.1 152-ФЗ и содержит:

  • правила формирования составов обезличенных ПДн;
  • правила предоставления доступа к составам обезличенных ПДн в определенной Правительством РФ государственной информационной системе (далее – ГИС) Минцифры России.

При формировании составов данных будут учитываться следующие типы угроз безопасности ПДн:

  • возможность определения принадлежности информации, содержащейся в составах данных, конкретному субъекту ПДн;
  • возможность выделения из составов данных тех данных, которые относятся к одному или нескольким конкретным субъектам ПДн;
  • определение истинных значений ПДн, относящегося к субъекту ПДн.

При нейтрализации таких угроз Минцифры России может исключать или исправлять неточные, неполные, повторяющиеся, некорректно отформатированные ПДн. При формировании составов данных не допускается использование биометрических ПДн и специальных категорий ПДн.

Для доступа к составам данных пользователю необходимо будет направить запрос в личном кабинете в ГИС Минцифры России, содержащий цель предоставления доступа, планируемый результат, срок обработки указанного состава данных, правовые основания доступа к конкретному составу данных.

В случае выявления попыток со стороны пользователя записи, извлечения, передачи составов данных из ГИС Минцифры России, а также при получении Минцифры России информации:

  • о несоответствии пользователя требованиям по получению доступа;
  • что использование таких составов данных или результатов их обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым федеральным законом ценностям, доступ к составам данных пользователям будет заблокирован.

Публичное обсуждение проекта завершилось 6 мая 2025 года. В случае принятия постановление вступит в силу с 1 сентября 2025 года.

Случаи формирования составов обезличенных ПДн

Опубликовано ПП-538 от 24.04.2025

Опубликовано постановление Правительства РФ от 24.04.2025 № 538 «Об утверждении перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных», согласно которому Минцифры России формирует составы данных, полученных в результате обезличивания ПДн, в следующих случаях:

  • при угрозе или возникновении чрезвычайных ситуаций природного и техногенного характера;
  • при выработке и реализации государственной политики в области противодействия терроризму;
  • при введении чрезвычайного положения на всей территории РФ или в ее отдельных местностях;
  • при введении карантина на территории одного или нескольких субъектов РФ для предупреждения распространения инфекционных заболеваний и массовых неинфекционных заболеваний;
  • при проведении статистических или иных исследований в целях выработки и реализации государственной политики в сфере туризма, получения информации о следовании по туристским маршрутам и необходимости определения количества туристов;
  • при проведении исследований в экономической и социальной сферах в целях реализации государственной миграционной политики РФ, учета естественного движения и миграции населения;
  • при проведении статистических, научных или иных исследований в области обеспечения санитарно-эпидемиологического благополучия населения в целях прогнозирования санитарно-эпидемиологической обстановки.

Составы данных могут включать обезличенный идентификатор абонента, год рождения, пол, гражданство, местоположение, включая информацию об изменении местоположения с определенной периодичностью и иное.

Постановление вступает в силу с 1 сентября 2025 года.

Обезличивание ПДн в сфере здравоохранения

Опубликован Приказ Минздрава №139н от 20.03.2025

Опубликован приказ Министерства здравоохранения РФ от 20.03.2025 №139н «Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования».

В соответствии с утвержденным порядком обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы (далее – субъекты ПДн), медицинские осмотры и медицинские освидетельствования (далее – порядок обезличивания ПДн) обезличиванию подлежат следующие сведения о субъектах ПДн:

  • фамилия, имя, отчество (далее – ФИО);
  • пол;
  • дата рождения;
  • место рождения;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • место жительства;
  • место регистрации;
  • дата регистрации;
  • СНИЛС (далее – страховой номер индивидуального лицевого счета);
  • номер полиса обязательного медицинского страхования;
  • анамнез;
  • диагноз;
  • сведения об организации, осуществляющей медицинскую деятельность;
  • вид оказанной медицинской помощи;
  • условия, сроки и объем оказанной медицинской помощи;
  • результат обращения за медицинской помощью;
  • серия и номер выданного листа нетрудоспособности (при наличии);
  • сведения о проведенных медицинских экспертизах, осмотрах и освидетельствованиях, а также их результаты;
  • примененные клинические рекомендации;
  • сведения о медицинском работнике, оказавшем медицинскую помощь или проводившем медицинские экспертизы, осмотры и освидетельствования.

Процедуру обезличивания планируется осуществлять в автоматическом режиме с использованием подсистемы обезличивания ПДн единой ГИС в сфере здравоохранения (далее – подсистема обезличивания).

В подсистеме обезличивания реализованы такие методы обезличивания как:

  • метод введения идентификаторов.
  • метод изменения состава или семантики.

Первый метод заключается в замене части ПДн идентификаторами с созданием справочника соответствия идентификаторов с исходными данными. Метод введения идентификаторов применяется в отношении сведений о:

  • ФИО;
  • данных документа, удостоверяющего личность;
  • СНИЛС;
  • серии и номере выданного листка нетрудоспособности (при наличии).

См. 184-ФЗ от 27.12.2002

Порядок обезличивания определяет формулу создания комбинации идентификатора, которая вычисляется путем криптографических преобразований по алгоритмам из ГОСТ Р 34.11-2012 с использованием СрЗИ, сертифицированных в соответствии с требованиями Федерального закона от 27.12.2002 № 184-ФЗ «О техническом регулировании».

Второй метод обезличивания заключается в изменении состава или семантики ПДн путем замены результатами семантической обработки, обобщения или удаления части уточняющих сведений.

Метод изменения состава или семантики применяется в отношении сведений о:

  • дате рождения;
  • месте рождения;
  • месте жительства;
  • месте регистрации;
  • дате регистрации.

Таким образом в результате обезличенные сведения о субъектах ПДн представляют собой комбинацию идентификаторов и сведений, преобразованных методом изменения состава и семантики. Обезличенные данные автоматически сохраняются в федеральной интегрированной электронной медицинской карте, которая является подсистемой единой ГИС в сфере здравоохранения.

Приказ вступает в силу с 1 сентября 2025 года.

Предоставление доступа к ПДн субъектов ПДн сотрудникам ФСБ России, СВР России, МО России, ФСО России и МВД России

Проект приказа ФСБ России

Федеральная служба безопасности РФ совместно со Службой внешней разведки РФ, министром обороны РФ, Федеральной службой охраны РФ и министерством внутренних дел РФ подготовили проект приказа «Об установлении Порядка предоставления доступа ‎к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях и статьи 6 152-ФЗ, обработки содержащихся в них персональных данных указанных лиц и формы предписания о предоставлении доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях и статьи 6 152-ФЗ.

Проект приказа устанавливает порядок предоставления доступа к информационным системам (далее – ИС) и базам данных (далее – БД), содержащим ПДн лиц, условиями обработки ПДн которых является:

  • наличие согласия субъекта ПДн на обработку ПДн в этих ИС;
  • обработка для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Владельцы ИС и БД должны предоставить доступ сотрудникам уполномоченных органов, в частности должностным лицам органов ФСБ России, внешней разведки РФ, органов государственной охраны, полиции, включенным в перечни, определенные руководителями указанных органов к ИС и БД на основании предписания, сформированного уполномоченными органами по форме, установленной в проекте приказа. Исключением являются ИС:

  • государственных органов города Москвы;
  • органов местного самоуправления;
  • государственных ‎и муниципальных учреждений;
  • иных организаций, на которые возложено осуществление в городе Москве публично значимых функций.

Для получения доступа к указанным ИС предписание не требуется.

При предоставлении доступа должностным лицам уполномоченных органов к ИС и БД, содержащим ПДн субъектов ПДн, владелец ИС должен:

  • определить сотрудников, ответственных ‎за предоставление доступа;
  • проинформировать уполномоченные органы о сотрудниках, ответственных за предоставление доступа не позднее 24 часов с момента получения предписания (по предписаниям, содержащим требование ‎о предоставлении доступа к ИС, с даты, наступившей на момент получения предписания, – не позднее 3 часов с момента получения предписания);
  • обеспечить доступ к ИС без возможности определения предыдущего содержания учетных записей, в которые внесены изменения;
  • предоставить информацию и документы, включая техническую документацию, необходимую должностным лицам для обработки ПДн и внесения в ИС ранее не учтенных ПДн;
  • принимать меры для исключения разглашения сведений о факте направления уполномоченными органами предписаний и о ПДн должностных лиц, которым предоставляется доступ к ИС.

В случае, если предписание содержит запрос сведений составляющих государственную тайну, то владелец ИС должен:

  • обеспечить условия для работы со сведениями, составляющими государственную тайну, в соответствии с требованиями законодательства РФ о государственной тайне;
  • принимать меры для исключения разглашения сведений о факте направления уполномоченными органами предписаний и о ПДн должностных лиц, которым предоставляется доступ к ИС.

В случае, если приказ будет принят, он вступит в силу с 1 июля 2025 г.

Иное

Продление переходного периода

Проект приказа ФСБ России

См. Приказ ФСБ России №543 от 01.11.2022

См. Указ Президента №250 от 01.05.2022

Федеральная служба безопасности РФ представила проект приказа «О внесении изменения в приказ ‎ФСБ России от 01.11.2022 ‎№ 543 (далее – приказ ФСБ России № 543)», которым планируется продлить на 2 года переходный период, в течение которого центрам ГосСОПКА разрешено осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в отношении органов и организаций, указанных в части 1 Указа ‎Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ».

Согласно действующему приказу ФСБ России № 543 переходный период завершается 13 декабря 2025 года, однако, в случае вступления в силу изменений, переходный период завершится 13 декабря 2027 года.

Общественное обсуждение проекта приказа завершилось 2 мая 2025 года.

Стандартизация

Стандарт «Техническая эксплуатация и сопровождение информационных систем»

Вступил в силу Приказ Минпросвещения №184 от 10.03.2025

26 апреля 2025 года вступил в силу приказ Министерства просвещения РФ (далее – Минпросвещения России) от 10.03.2025 № 184 «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 09.02.12 Техническая эксплуатация и сопровождение информационных систем».

Обязательная часть образовательной программы содержит изучение основ информационной безопасности. В результате освоения образовательной программы в части информационной безопасности выпускниками будут получены компетенции по обнаружению инцидентов информационной безопасности, связанные с работой информационных систем, и выявлению инцидентов при обеспечении функционирования баз данных.

Стандарт «Разработка и управление ПО»

Вступил в силу Приказ Минпросвещения №138 от 24.02.2025]

11 апреля 2025 года вступил в силу приказ Минпросвещения России от 24.02.2025 № 138 «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 09.02.11 Разработка и управление ПО».

В результате освоения образовательной программы в части информационной безопасности выпускниками будут получены компетенции по:

  • разработке подсистемы безопасности информационной системы в соответствии с техническим заданием;
  • осуществлению аудита безопасности веб-приложения в соответствии с регламентом по безопасности;
  • реализации безопасности ИТ-инфраструктуры;
  • защите информации в базе данных с использованием технологий защиты информации;
  • защите данных в мобильных приложениях.

ФСТЭК России

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 28 марта 2025 года, а также Результаты работы ТК 362 в первом квартале 2025 года.

См. ГОСТ Р 59453.3-2025 и ГОСТ Р 59453.4-2025

  • По итогам работы подготовлены к утверждению:
    • ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
    • ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
  • Проводятся работы по издательскому редактированию и подготовке к утверждению проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
  • Подготовлена окончательная редакции проекта ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
  • Дорабатываются в соответствии с замечаниями:
    • ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
    • ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования»;
    • ГОСТ Р «Защита информации. Разработка безопасного ПО. Методика оценки уровня реализации процессов разработки безопасного ПО».

Перечень НПА для разработки СКЗИ и технической защите конфиденциальной информации

На официальном сайте ФСТЭК России опубликованы перечни нормативных правовых актов, содержащих требования, соблюдение которых оценивается при лицензировании деятельности:

Перечни содержат наименования нормативных правовых актов, разделы, содержащие обязательные требования, и ссылки на них.

Обратные ссылки

  • Обратные ссылки отсутствуют

Реклама (эксперимент)

Недавние НПА

Реклама (эксперимент)