Обзор изменений в законодательстве за май 2025 года

12 июн. 2025 г.время чтения ~13 мин.

Обзор подготовлен Аналитическим центром Уральского центра систем безопасности (УЦСБ).

Остальные обзоры: https://hub.zlonov.ru/laws/reviews/

В обзоре изменений за май 2025 года рассмотрим следующие темы:

  1. Критическая информационная инфраструктура
    • Рассмотрим отраслевые особенности категорирования объектов КИИ сферы связи и сферы недвижимости, опубликованные во исполнение изменений в Федеральном законе № 187-ФЗ.
  2. Персональные данные
    • Минцифры России предложило снизить требования к техническим параметрам биометрических ПДн в ЕБС. В качестве ГИС Минцифры России официально определена Единая информационная платформа национальной системы управления данными. Опубликованы Правила проверки соответствия пользователей этой системы требованиям статьи 13.1 Федерального закона № 152-ФЗ. Вступили в силу изменения в КоАП РФ, согласно которым увеличиваются штрафы за нарушение обработки ПДн.
  3. Иное
    • Вступили в силу изменения в КоАП РФ, согласно которым увеличиваются штрафы за нарушения требований о защите информации, в том числе за использование несертифицированных СрЗИ.
    • Опубликован План мероприятий по реализации Стратегии развития отрасли связи РФ на период до 2035 года. Минцифры России опубликовало рекомендации по формированию перечня недопустимых событий для операторов ИС, которые не являются объектами КИИ.
  4. Деятельность ФСТЭК России
    • Рассмотрим Справку-доклад о ходе работ по плану ТК 362 по состоянию на 29 апреля 2025 года.

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ сферы связи

Проект Постановления Правительства РФ

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило проект постановления Правительства РФ «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере связи».

Документ регламентирует особенности категорирования объектов критической информационной инфраструктуры (далее – КИИ) в сфере связи и включает:

  • отраслевые признаки значимости объектов КИИ;
  • порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объектов КИИ.

Согласно проекту к субъектам КИИ сферы связи применимы следующие показатели критериев значимости:

  • прекращение или нарушение функционирования сети связи – для всех субъектов КИИ;
  • прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия) – для субъектов КИИ, заключивших государственный контракт с органом государственной власти;
  • нарушение условий международного договора РФ, срыв переговоров или подписания планируемого к заключению международного договора РФ, оцениваемые по уровню международного договора РФ – для субъектов КИИ, заключивших договор об оказании услуг связи, предусматривающий международные обязательства РФ;
  • возникновение ущерба субъекту КИИ, оцениваемого в снижении уровня дохода – для субъектов КИИ, являющихся:
    • государственными корпорациями, унитарными предприятиями, компаниями;
    • организациями с государственным участием;
    • стратегическими акционерными обществами или предприятиями;
    • организациями оборонно-промышленного комплекса;
  • возникновение ущерба бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет.

Для каждого из указанных выше показателей критериев значимости в документе представлен порядок расчета значений показателей. Также документ включает признаки значимости объектов КИИ. В целях определения категории значимости для каждого объекта КИИ сферы связи:

  • оценивается фактическое количество абонентов объекта КИИ, исходя из количества обслуживаемых абонентов;
  • оценивается масштаб последствий возникновения компьютерных атак и компьютерных инцидентов в виде нарушения или прекращения функционирования сети связи;
  • сопоставляется фактическая абонентская емкость объекта КИИ со значениями, приведенными для показателя Перечня «прекращение или нарушение функционирования сети связи».

При оценке масштаба последствий возникновения компьютерных атак и компьютерных инцидентов в виде нарушения или прекращения функционирования сети связи субъект КИИ:

  • рассматривает наихудшие сценарии последствий проведения компьютерных атак и компьютерных инцидентов;
  • определяет зависимость функционирования одного объекта КИИ от другого;
  • выявляет статистические данные о компьютерных атаках и компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа.

Общественное обсуждение проекта завершится 17 июня 2025 года.

Отраслевые особенности категорирования объектов КИИ сферы недвижимости

Проект Постановления Правительства РФ

Федеральная служба государственной регистрации, кадастра и картографии России представила для общественного обсуждения проект постановления Правительства РФ «Об утверждении отраслевых особенностей категорирования объектов КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним».

Для объектов КИИ, функционирующих в сфере государственной регистрации прав на недвижимое имущество и сделок с ним, оцениваются следующие показатели критериев значимости:

  • отсутствие доступа к государственной услуге, оцениваемое:
    • в максимальном допустимом времени, в течение которого услуга может быть недоступна для получателей;
    • во времени с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана;
  • прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия);
  • возникновение ущерба бюджету РФ, оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом КИИ.

Для каждого из показателей в документе указан подробный порядок расчета значений с учетом особенностей функционирования объектов КИИ.

Общественное обсуждение проекта завершится 13 июня 2025 года.

Персональные данные

Изменения в технических требованиях к биометрическим ПДн в ЕБС

Проект изменений в Приказ Минцифры №453 от 12.05.2023

Минцифры России внесло на рассмотрение проект приказа «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических персональных данных (далее – ПДн), в том числе требования к параметрам биометрических ПДн, и в Порядок размещения и обновления биометрических ПДн в единой биометрической системе (далее – ЕБС), а также случаи и сроки использования биометрических ПДн при их размещении в ЕБС в соответствии с ч. 14 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ, утвержденные приказом Минцифры России от 12.05.2023 № 453.

Проект предлагает снизить требования к техническим параметрам биометрических ПДн, размещаемых в ЕБС. Изменения обусловлены тем, что ряд биометрических ПДн, импортированных в ЕБС из других информационных систем (далее – ИС), не соответствует установленным требованиям к биометрическим образцам, поэтому их использование с целью идентификации и аутентификации на данный момент невозможно.

Предлагается внести изменение в процесс сбора записи голоса в целях осуществления идентификации. На данный момент используется текстозависимый метод – запись голоса осуществляется при чтении определенного текста на русском языке, что затрудняет регистрацию биометрических ПДн иностранных граждан. Проект предлагает использовать текстонезависимый метод, который не требует использования конкретного текста для идентификации говорящего.

Общественное обсуждение проекта приказа завершится 16 мая 2025 года. Планируется, что в случае принятия приказа, изменения будут действовать до 1 июня 2029 года.

Требования к пользователям ЕИП НСУД

Вступает в силу ст.13.1 152-ФЗ от 27.07.2006

1 сентября 2025 года вступает в силу ст.13.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), которая регламентирует особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним. Согласно ст.13.1 152-ФЗ пользователями государственной информационной системы (далее – ГИС) Минцифры России являются:

  • государственные, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов;
  • граждане РФ и российские юридические лица, которые соответствуют требованиям ч.7 ст.13.1 152-ФЗ.

См. ПП-702 от 22.05.2025 и ПП-740 от 28.05.2025

Постановлением Правительства РФ от 28.05.2025 № 740 в качестве ГИС Минцифры была определена Единая информационная платформа национальной системы управления данными (далее – ЕИП НСУД).

Опубликованы Правила проверки соответствия пользователей ЕИП НСУД требованиям, указанным в ч.7 ст.13.1 152-ФЗ (утв. постановлением Правительства РФ от 22.05.2025 № 702).

Проверку соответствия требованиям осуществляет Минцифры России. Для проверки пользователю, который является гражданином РФ, необходимо подать запрос о проведении проверки, содержащий:

  • фамилию, имя, отчество (при наличии);
  • дату и место рождения;
  • страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования (далее – СНИЛС);
  • идентификационный номер налогоплательщика (далее – ИНН);
  • паспортные данные (серия, номер и дата выдачи);
  • адрес электронной почты.

Если пользователь является юридическим лицом, то запрос должен содержать:

  • полное наименование и адрес в пределах места нахождения;
  • ИНН;
  • основной государственный регистрационный номер;
  • сведения о единоличных исполнительных органах и членах коллегиального исполнительного органа:
    • фамилия, имя, отчество (при наличии);
    • СНИЛС;
    • наименование должности;
    • дата и место рождения;
    • серия и номер паспорта;
  • адрес электронной почты;
  • сведения и документы, подтверждающие, что пользователь находится под контролем РФ, субъекта РФ, муниципального образования или гражданина РФ, не имеющего гражданства другого государства;
  • доверенность или иной документ, подтверждающий право уполномоченного лица заявителя действовать от имени заявителя.

Минцифры России в срок, не превышающий 15 рабочих дней с даты получения запроса, рассматривает запрос, проверяет соответствие заявителя требованиям и по результатам проверки направляет электронное уведомление о соответствии или несоответствии требованиям.

В случае выявления неполноты или недостоверности сведений Минцифры России направляется запрос об уточнении сведений или представлении недостающих документов. Данные необходимо предоставить в течение 15 рабочих дней.

Постановление вступает в силу с 1 сентября 2025 года.

Проект изменений перечня общедоступных данных в Реестре операторов ПДн

Проект изменений в ст.22 152-ФЗ от 27.07.2006

В Государственную думу на рассмотрение внесен законопроект «О внесении изменения в статью 22 152-ФЗ», который нацелен на защиту операторов ПДн, являющихся физическим лицом или индивидуальным предпринимателем.

При заполнении уведомления об обработке ПДн в обязательном порядке указывается адрес оператора ПДн. Данные об операторе вносятся в Реестр операторов, осуществляющих обработку ПДн, и становятся общедоступными. С целью защиты ПДн операторов законопроект предлагает исключить из общего доступа в Реестре операторов сведения об адресе оператора, если он является физическим лицом или индивидуальным предпринимателем.

Ответственность за нарушения в сфере ПДн

Вступил в силу 420-ФЗ от 30.11.2024

30 мая 2025 года вступил в силу Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ)».

Изменения вводят новые составы правонарушений и увеличивают штрафы за:

  • нарушение обработки ПДн в случаях, не предусмотренных законодательством РФ в области ПДн;
  • обработку ПДн, несовместимую с целями сбора ПДн;
  • повторное совершение правонарушения.

См. Обзор изменений в законодательстве ИТ и ИБ за ноябрь 2024 года

Подробнее с изменениями можно ознакомиться в обзоре за ноябрь 2024 года Аналитического центра УЦСБ.

Иное

Увеличение штрафов за нарушение правил защиты информации

Вступил в силу 104-ФЗ от 23.05.2025

23 мая 2025 официально вступил в силу Федеральный закон от 23.05.2025 № 104-ФЗ «О внесении изменений в статьи 4.5 и 13.12 КоАП РФ и статью 1 Федерального закона «О внесении изменений в КоАП РФ», согласно которому увеличиваются штрафы за нарушения требований о защите информации, в том числе за использование несертифицированных средств защиты информации (далее – СрЗИ):

СтатьяСодержание Для кого Ответственность
БылоСтало
ч.2 ст. 13.12Использование несертифицированных ИС, баз и банков данных, а также несертифицированных СрЗИ, если они подлежат обязательной сертификации (за исключением СрЗИ, составляющей государственную тайну)Для гражданот 1,5 до 2,5 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковоот 5 до 10 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
Для должностных лицот 2,5 до 3 тыс. руб.от 10 до 50 тыс. руб.
Для юридических лицот 20 до 25 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковойот 50 до 100 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
ч.4 ст. 13.12Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайнуДля должностных лицот 3 до 4 тыс. руб.от 20 до 50 тыс. руб.
Для юридических лицот 20 до 30 тыс. руб. с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковойот 50 до 100 тыс. руб. с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой
ч.6 ст. 13.12Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 1, 2 и 5 ст. 13.12Для гражданот 500 руб. до 1 тыс. руб.от 5 до 10 тыс. руб.
Для должностных лицот 1 до 2 тыс. руб.от 10 до 50 тыс. руб.
Для юридических лицот 10 до 15 тыс. руб.от 50 до 100 тыс. руб.
ч.7 ст. 13.12Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 3 и 4 ст. ст. 13.12, если такие действия (бездействие) не содержат уголовно наказуемого деянияДля гражданот 1 до 2 тыс. руб.от 10 до 20 тыс. руб.
Для должностных лицот 3 до 4 тыс. руб.от 20 до 50 тыс. руб.
Для юридических лицот 15 до 20 тыс. руб.от 50 до 100 тыс. руб.

План мероприятий по реализации Стратегии развития отрасли связи

Опубликовано РП-1312-р от 24.05.2025

См. РП-3339-р от 24.11.2023

Опубликован План мероприятий по реализации Стратегии развития отрасли связи РФ на период до 2035 года (утв. распоряжением Правительства РФ от 24.05.2025 № 1312­‑р).

В части информационной безопасности в План включены следующие мероприятия:

  • разработка и утверждение стандарта, определяющего механизмы криптографической защиты информации в сетях цифровой профессиональной подвижной радиосвязи;
  • разработка и утверждение плана мероприятий по организации промышленного производства:
    • оборудования стандарта 5G с применением доверенных криптографических алгоритмов защиты информации;
    • оборудования стандарта LTE учетом выполнения требований, основанных на применении сертифицированных средств криптографической защиты информации;
    • SIM/USIM-карт с применением доверенных криптографических алгоритмов защиты информации;
  • проработка вопроса включения в состав требований, применяемых при сертификации СрЗИ, наличие у СрЗИ встроенных функций для взаимодействия со средствами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  • оценка необходимости детализации требований к доверенным программно-аппаратным комплексам, применяемым на значимых объектах КИИ РФ, в том числе требований к используемому в их составе телекоммуникационному оборудованию и иные.

Рекомендации по формированию перечня недопустимых событий

Опубликованы Метрекомендации Минцифры от 06.05.2025

Минцифры России на своем официальном сайте опубликовало Методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию.

Рекомендации разработаны для операторов ИС, не являющихся объектами КИИ, в целях оказания помощи в формировании перечня недопустимых событий для обеспечения непрерывности при использовании информационных технологий.

Для снижения влияния возможных субъективных факторов при формировании перечня недопустимых событий рекомендуется сформировать постоянно действующую рабочую группу. В документе представлены рекомендации по составу участников рабочей группы, а также ее задачи.

Процесс формирования перечня недопустимых событий включает следующие этапы:

  • формирование перечня последствий реализации недопустимых событий. При формировании рекомендуется отталкиваться от видов ущерба, которые являются неприемлемыми или нежелательными для организации;
  • определение бизнес и технологических процессов и связанных с ними ИС;
  • формирование гипотетических сценариев реализации недопустимых событий;
  • определение критериев реализации недопустимых событий;
  • моделирование гипотетических сценариев реализации недопустимых событий;
  • формирование перечня недопустимых событий.

В документе представлена типовая форма перечня недопустимых событий организации.

ФСТЭК России

Деятельность ТК 362

Федеральная служба по техническому и экспортному контролю России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 29 апреля 2025 года.

См. ГОСТ Р 70262.2-2025

В интересах выполнения плана были проведены следующие работы:

  • проект ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации» в процессе издательского редактирования и подготовки к утверждению;
  • заключается договор на издательское редактирование и подготовку к утверждению проекта ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
  • дорабатываются проекты национального стандарта:
    • ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»;
    • ГОСТ Р «Защита информации. Композиционный анализ программного обеспечения. Общие требования»;
    • ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения»;
  • председателю ТК 362 представлены проекты следующих национальных стандартов для организации голосования по вопросу их представления в Федеральное агентство по техническому регулированию и метрологии на утверждение:
    • ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
    • ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
  • руководителям организаций-членов ТК 362 направлено письмо о представлении предложений по разработке (пересмотру) документов по стандартизации в области защиты информации, предлагаемых для включения в Перспективную программу работы ТК 362 на 2025-2030 годы;
  • в организации-члены ТК 362 разосланы на рассмотрение проекты:
    • рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Схема формирования и проверки кода проверки»;
    • предварительного национального стандарта (далее – ПНСТ) «КИИ. Программно-аппаратные комплексы. Классификация по назначению»;
    • ПНСТ «КИИ. Программное обеспечение для доверенных программно-аппаратных комплексов. Общие положения».

Обратные ссылки

  • Обратные ссылки отсутствуют

Реклама (эксперимент)

Недавние НПА

Реклама (эксперимент)