Обзор изменений в законодательстве за октябрь 2025 года

время чтения ~12 мин.

Обзор подготовлен Аналитическим центром Уральского центра систем безопасности (УЦСБ).

Остальные обзоры: https://hub.zlonov.ru/laws/reviews/

В обзоре изменений за октябрь 2025 года рассмотрим следующие темы:

  1. Критическая информационная инфраструктура
    • Рассмотрим уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ.
  2. Иное
    • Разберем положение о ГИС для противодействия киберпреступности.
  3. Стандартизация
    • Рассмотрим окончательную версию стандарта для систем ИИ в КИИ, новый стандарт в области криптографической защиты информации и стандарт для доверенной среды исполнения.
  4. ФСТЭК России
    • Разберем риски использования Windows 10 и Exchange Server 2016/2019 и отмену дублирующих требований к уровням доверия СрЗИ.
    • Рассмотрим Справку-доклад о ходе работ по плану ТК 362 по состоянию на 31 октября 2025 года.

Критическая информационная инфраструктура

Уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ

Опубликовано Информационное сообщение ФСТЭК России №240-84-3451 от 22.10.2025

Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) опубликовала информационное сообщение от 22.10.2025 № 240/84/3451 «О порядке представления субъектами критической информационной инфраструктуры (далее – КИИ) сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

См. 187-ФЗ от 26.07.2017, Приказ ФСТЭК России №247 от 11.07.2025, Приказ ФСТЭК России №236 от 22.12.2017

Уточняется порядок заполнения и актуализации сведений о результатах категорирования объектов КИИ. Уточнения связаны с внесением изменений в статью 8 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» и конкретизируются приказом ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – форма), утвержденную приказом ФСТЭК России от 22.12.2017 № 236».

Требования к заполнению формы:

  • в пункте 1.7 формы ставится прочерк до утверждения перечней типовых отраслевых объектов КИИ. После их утверждения субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения об объектах КИИ;
  • в пункте 1.8 формы необходимо указать доменное имя и внешний (публичный) IP-адрес объекта КИИ. При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не подключен к сети «Интернет» заполнение этого поля не требуется.

См. ПП-127 от 08.02.2018

Процедура актуализации сведений о результатах категорирования в соответствии с пунктом 191 постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования):

  • без изменения категории значимости: сведения направляются электронным документом, записанным на машинном носителе информации, с сопроводительным письмом, содержащим размер электронных документов;
  • с изменением категории значимости: сведения направляются в печатном и электронном виде (в формате .ods или .odt) по форме, установленной пунктом 18 Правил категорирования.

Иное

Положение о ГИС для противодействия киберпреступности

Проект Постановления Правительства РФ

9 октября 2025 года опубликован проект постановления Правительства РФ «О государственной информационной системе (далее – ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий».

Будет введено положение о ГИС и утвердятся правовые и организационные основы ее функционирования. Создание, развитие и эксплуатация ГИС будут осуществляться на единой цифровой платформе «ГосТех». Положением будет установлен порядок подключения и доступа к ГИС.

Оператором ГИС будет назначено Министерство цифрового развития, связи и массовых коммуникаций РФ.

Участниками информационного взаимодействия станут оператор ГИС и оператор платформы «ГосТех», а также следующие пользователи:

  • федеральные органы исполнительной власти;
  • Генеральная прокуратура РФ;
  • Следственный комитет РФ;
  • Центральный банк РФ;
  • кредитные организации;
  • операторы связи;
  • организаторы сервиса обмена мгновенными сообщениями, являющиеся российскими юридическими лицами или гражданами РФ;
  • провайдеры хостинга;
  • владельцы социальных сетей;
  • владельцы сервисов размещения объявлений;
  • иные государственные органы и организации.

Пользователи будут обязаны:

  • предоставлять в ГИС достоверные и актуальные сведения;
  • немедленно сообщать о сбоях в работе системы;
  • соблюдать требования законодательства РФ по защите информации;
  • предоставлять данные:
    • об абонентских номерах, используемых для противоправных действий;
    • о лицах, совершивших противоправные действия (с указанием масок номеров банковских карт, счетов, паспортов, IP-адресов, доменных имен, URL-адресов, временных меток событий и иной информации);
    • об информационных ресурсах, распространяющих информацию, направленную на введение в заблуждение.

В системе будет запрещено использовать сведения, составляющие государственную тайну.

Дата окончания общественного обсуждения проекта – 7 ноября 2025 года.

Стандартизация

Стандарт для систем ИИ в КИИ

Проект национального стандарта

Технический комитет по стандартизации «Искусственный интеллект (далее – ИИ)» опубликовал окончательную версию проекта национального стандарта ГОСТ Р «ИИ в КИИ. Общие положения».

Стандарт будет обязателен для применения субъектами КИИ при проектировании, разработке, внедрении, эксплуатации, сопровождении и выводе из эксплуатации систем ИИ, которые являются частью программно-аппаратных комплексов (далее – ПАК) объектов КИИ.

Стандарт не будет распространяться на исследовательские и экспериментальные системы ИИ, не используемые в КИИ.

Стандартом предложена следующая классификация систем ИИ для КИИ:

  • по уровню автономности принятия решений:
    • низкая (рекомендательные системы и иные);
    • средняя (частичная автоматизация с возможностью контроля человеком);
    • высокая (автономные решения с прямым воздействием на критические процессы принятия решений);
  • по функциональному назначению (системы обеспечения информационной безопасности (далее – ИБ), анализа физической инфраструктуры, автоматизированного управления процессами, физической безопасности (включая ИИ-дроны), анализа данных и иные);
  • по области применения в отрасли (здравоохранение, транспорта и иные);
  • по источнику данных (работающие на внутренних, доверенных внешних или публичных данных).

Будет введена система критичности:

  • уровень 1 (критический): системы ИИ, играющие ключевую роль в обеспечении ИБ и непрерывности функционирования объектов КИИ;
  • уровень 2 (высокий): системы ИИ, автоматически принимающие решения, непосредственно влияющие на функционирование объектов КИИ;
  • уровень 3 (средний): системы ИИ, участвующие в управлении процессами, но с обязательным контролем человеком перед исполнением критически важных решений;
  • уровень 4 (низкий): системы ИИ, используемые для аналитики и поддержки принятия решений без прямого воздействия на процессы.

Для систем ИИ, применяемых в КИИ, должна будет проводиться комплексная оценка рисков на всех этапах жизненного цикла, включая проектирование, внедрение, эксплуатацию и вывод из эксплуатации.

Организации, применяющие системы ИИ в КИИ, должны будут разработать и внедрить следующие политики и процедуры:

  • политику ИБ систем ИИ;
  • процедуры управления жизненным циклом систем ИИ, включая учет внедренных решений ИИ;
  • процедуры управления доступом к системам ИИ; 
  • процедуры тестирования и валидации систем ИИ;
  • процедуры реагирования на инциденты ИБ;
  • процедуры резервного копирования и восстановления;
  • процедуры управления изменениями;
  • процедуры обучения персонала, работающего с системами ИИ, мониторингу и реагированию на специфические риски ИИ.

Для систем ИИ, применяемых в КИИ, должны будут проводиться проверки, включающие в себя:

  • внутренний аудит ИБ;
  • функциональное тестирование;
  • тестирование на проникновение;
  • проверку соответствия требованиям нормативных документов;
  • проверку процедур резервного копирования и восстановления;
  • проверку защищенности от компьютерных атак на обучающие выборки и манипуляции данными для искажения работы моделей ИИ;
  • проверку защищенности от постоянных серьезных угроз с помощью эвристического анализа или иных методов.

Для систем ИИ, применяемых в КИИ, должна будет формироваться следующая отчетность:

  • оперативные отчеты о состоянии систем ИИ (для систем с уровнями критичности 1 и 2 при наличии критических инцидентов ИБ – в режиме реального времени, без инцидентов ИБ и для систем с уровнями критичности 3 и 4 – ежедневно);
  • отчеты об инцидентах ИБ (немедленно после инцидента и по завершении расследования);
  • отчеты о результатах мониторинга показателей эффективности (еженедельно);
  • отчеты по результатам проверок (после каждой проверки);
  • периодические отчеты о функционировании систем ИИ (в соответствии с периодичностью, установленной для конкретного субъекта КИИ).

Стандарт в области криптографической защиты информации

Опубликован ГОСТ Р 34.14-2025

Опубликован национальный стандарт ГОСТ Р 34.14-2025 «Информационная технология (далее – ИТ). Криптографическая защита информации. Термины и определения».

Стандарт содержит систематизированный перечень терминов и определений, сгруппированных по следующим тематическим разделам:

  • ключевая система;
  • система шифрования;
  • система цифровой подписи;
  • система имитозащиты;
  • система аутентификации стороны;
  • средства криптографической защиты информации.

Стандарт вводится взамен предварительного национального стандарта ПНСТ 799-2022 «ИТ. Криптографическая защита информации. Термины и определения».

Стандарт вводится в действие 1 января 2026 года.

Стандарт для доверенной среды исполнения

Проект национального стандарта

Технический комитет по стандартизации «Защита информации» (далее – ТК 362) приступил к рассмотрению проекта национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения (далее – ДСИ). Общие положения».

Стандарт устанавливает общие положения, которые следует учитывать при проектировании, создании и использовании ПАК с ДСИ, включая взаимодействия ДСИ с иными компонентами ПАК.

Стандарт предназначен для следующих категорий пользователей:

  • разработчиков ДСИ;
  • разработчиков программного обеспечения (далее – ПО), взаимодействующего с ДСИ;
  • разработчиков аппаратных платформ;
  • разработчиков информационных систем (далее – ИС), применяющих ДСИ;
  • организаций, выполняющих оценку соответствия ДСИ требованиям стандарта.

Стандарт устанавливает требования к обязательным и опциональным функциям ДСИ, ее аппаратной и программной архитектуре, функциям безопасности и иным аспектам, а также общие требования к ДСИ с целью создания и применения для обеспечения:

  • конфиденциальности и целостности при обработке и хранении данных;
  • изоляции и безопасности при выполнении операций, критически важных для безопасного функционирования устройства, универсальной среды исполнения, приложений;
  • доступности обрабатываемых и хранимых данных.

Для каждого ПАК сможет применяться одна или несколько технологий для реализации ДСИ. В качестве примеров таких технологий приведены:

  • аппаратная виртуализация;
  • Arm TrustZone;
  • eSIM и иные.

Также ДСИ может использоваться для:

  • управления криптографическими ключами;
  • идентификации и аутентификации пользователей устройства;
  • поддержки функций доверенной загрузки;
  • реализации компонентов финансовых сервисов платежных систем и иных задач.

ФСТЭК России

Риски использования Windows 10 и Exchange Server 2016/2019

Опубликовано Информационное сообщение ФСТЭК России от 28.10.2025

ФСТЭК России опубликовала информационное сообщение «О применении операционной системы (далее – ОС) Microsoft Windows 10 и серверного ПО Microsoft Exchange Server 2016, Microsoft Exchange Server 2019 в связи с прекращением их технической поддержки».

С 14 октября 2025 года компания Microsoft официально прекратила техническую поддержку и выпуск обновлений для ОС Windows 10 и серверных продуктов Exchange Server 2016 и Exchange Server 2019, в том числе обновлений, направленных на устранение ошибок и уязвимостей.

Microsoft выпустила финальные публичные обновления безопасности для Exchange Server 2016 и 2019. Новые обновления безопасности для этих версий будут получать только те клиенты, которые приобрели программу расширенного обновления безопасности Extended Security Update (ESU).

ФСТЭК России акцентирует внимание на двух ключевых рисках:

  • непосредственная угроза ИБ: прекращение выпуска обновлений в сочетании с неизбежным обнаружением новых уязвимостей создаёт прямую возможность для кибератак (системы, работающие на неподдерживаемом ПО, становятся уязвимыми целями);
  • повышенное внимание злоумышленников: прогнозируется, что хакерские группировки активизируют поиск и разработку эксплойтов для указанных версий, так как их эксплуатация со временем будет становиться все более вероятной.

ФСТЭК России рекомендует органам государственной власти, субъектам КИИ и организациям, использующим в своих ИС указанное ПО, в короткие сроки спланировать и осуществить переход:

  • на российские ОС или сертифицированные версии;
  • на почтовые серверы, имеющие действующую техническую поддержку.

См. Методика ФСТЭК России от 28.10.2022 (обновления), Методика ФСТЭК России от 30.06.2025, Методика ФСТЭК России от 17.05.2023

В случае невозможности перехода ФСТЭК России установила компенсирующие меры, направленные на нейтрализацию угроз безопасности информации:

  • установить все актуальные обязательные обновления для ОС и серверного ПО Microsoft в соответствии с методиками:
  • ограничить с помощью межсетевых экранов (далее – МЭ) уровень периметра внешнего доступа к автоматизированным рабочим местам (далее – АРМ) с ОС Windows 10 и серверному ПО Microsoft Exchange, а при отсутствии такой возможности, применять в обязательном порядке меры по сегментированию ИС, защите периметра ИС и ее сегментов, в том числе с использованием:
    • МЭ;
    • средств антивирусной защиты;
    • систем обнаружения вторжений;
    • DLP-систем;
    • средств однонаправленной передачи данных;
  • организовать постоянный мониторинг общедоступных источников на предмет появления сведений о новых уязвимостях в ОС и серверном ПО Microsoft, а также принимать меры по нейтрализации выявленных уязвимостей;
  • регламентировать порядок работы ответственных структурных подразделений в случае выявления уязвимостей в соответствии с методикой по организации процесса управления уязвимостями в органе (организации), утвержденной ФСТЭК России 17.05.2023;
  • обеспечить регулярное резервное копирование информации, баз данных, настроек конфигурации, ПО АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft;
  • проводить периодическое сканирование АРМ с ОС Windows 10 и серверного оборудования с ПО Microsoft, на предмет наличия уязвимостей с использованием средств контроля (анализа) защищенности информации, а также контроль целостности компонентов ОС;
  • обеспечить применение дополнительных сертифицированных средств защиты информации (далее – СрЗИ), реализующих (дублирующих) функции по безопасности информации ОС.

Отмена дублирующих требований к уровням доверия СрЗИ

Опубликовано Информационное сообщение ФСТЭК России №240-24-5531 от 16.10.2025

См. Приказ ФСТЭК России №76 от 02.06.2020

ФСТЭК России опубликовала информационное сообщение от 16.10.2025 № 240/24/5531 «О внесении изменений в приказ ФСТЭК России от 02.06.2020 № 76 «Требования по безопасности информации, устанавливающие уровни доверия к СрЗИ и средствам обеспечения безопасности ИТ (далее – Требования доверия)».

См. ПП-719 от 17.07.2015

Цель изменений – устранение дублирования регулирования с постановлением Правительства РФ от 17.07.2015 № 719 «О подтверждении производства промышленной продукции на территории РФ».

Утратили силу положения Требований доверия, касающиеся необходимости наличия сведений об аппаратных платформах СрЗИ и их компонентах в едином реестре радиоэлектронной продукции, а именно положения о применении:

  • в составе СрЗИ аппаратных платформ, сертифицируемых на соответствие 1-5 уровням доверия;
  • в составе аппаратных платформ СрЗИ, сертифицируемых на соответствие 1-4 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти, сетевых карт, графических адаптеров;
  • в качестве среды функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, аппаратных платформ средств вычислительной техники;
  • в составе аппаратных платформ средств вычислительной техники, являющихся средой функционирования СрЗИ, сертифицируемых на соответствие 1-3 уровням доверия, процессоров или микросхем, выполняющих функции процессоров (микроконтроллеров), элементов памяти, сетевых карт, графических адаптеров.

Деятельность ТК 362

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану ТК 362 на 2025 год по состоянию на 31 октября 2025 года.

В интересах выполнения плана были проведены следующие работы:

Реклама (эксперимент)

Недавние НПА

Реклама (эксперимент)