Подготовили свежий дайджест об изменениях в регулировании вопросов защиты информации. В этот раз расскажем о проектах и инициативах, которые появились в апреле-июне 2026.

Какие изменения уже произошли:
-
12 апреля ФСТЭК России выпустила методический документ «Мероприятия и меры по защите информации, содержащейся в информационных системах». В документе отражен состав прикладных ИБ-задач для организаций госсектора и субъектов КИИ. В акте описана модель конструктивной ИБ (secure-by-design), реализуемой на всех стадиях жизненного цикла ИС. Документ вводит более 30 новых технических мер и мероприятий по защите информации и определяет состав обязательных ИБ-задач при работе с подрядчиками. О подготовке этого документа мы писали в предыдущем материале.
-
Вступили в силу федеральные законы № 77-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и № 76-ФЗ «О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации». Теперь субъектам КИИ грозят штрафы в 100-500 тысяч рублей за нарушение правил эксплуатации объектов КИИ, хранения, обработки, передачи и доступа к этим объектам и информации в системах КИИ. Должностные лица организаций за такие же нарушения могут быть оштрафованы на 10-50 тысяч рублей. Таким образом, наказания за нарушения требований ИБ могут быть наложены, даже если инцидент не произошел. При этом, специалисты, которые работают на объектах КИИ, освобождаются от уголовной ответственности по ст. 274.1 УК РФ при выполнении нескольких условий. Чтобы избежать наказания, им потребуется сохранить следы инцидента и содействовать следствию. Также важно, чтобы неправомерное воздействие на КИИ не было сопряжено с другими преступлениями. О подготовке этих законов мы писали здесь.
Что на подходе?
1. Контроль защищенности по-новому
Официально:
ФСТЭК России подготовила проекты приказа «О внесении изменений в приказы ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239», Указа Президента РФ «О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и постановления Правительства РФ «О порядке расчета количественных значений показателей, характеризующих уровень защищенности объектов информационной инфраструктуры органов (организаций)».
Документы устанавливают обязательное достижение требуемых уровней защищенности и регламентируют порядок его оценки (КЗИ). Для субъектов КИИ будут изменены требования к обслуживанию средств ИБ.
Фактически:
Согласно проекту Указа, субъекты КИИ и организации госсектора должны будут поддерживать и повышать уровень защиты своих объектов до целевых показателей. 80% ИТ-объектов региональных органов власти и субъектов КИИ должны быть защищены от ИБ-угроз.
Проект постановления Правительства предусматривает регулярную оценку уровня текущего состояния защищенности ИТ-объектов самими организациями 1 раз в 6 месяцев. Результаты этой оценки организации должны будут направлять в ФСТЭК России. На основании этих данных служба будет рассчитывать текущие уровни защищенности КИИ в отраслях и ИС госсектора в регионах. Результаты оценки ФСТЭК будет направлять федеральным отраслевым регуляторам и руководству субъектов РФ раз в полгода.
Проекты приказов ФСТЭК также регламентируют будущую обязанность организаций в части контроля безопасности. Расчет показателя защищенности (КЗИ), согласно предложенным поправкам в приказ № 235, должен проводиться раз в 6 месяцев, а расчет показателя зрелости ИБ (ПЗИ) – раз в 2 года. Первый показатель характеризует уровень безопасности от базового уровня угроз и рассчитывается по методике от 11.11.2025. Второй – показывает достаточность и эффективность ИБ-мероприятий в организации. ФСТЭК опубликовала проект методики расчета показателя ПЗИ, о нем мы расскажем ниже.
Если по итогам расчетов какого-либо из показателей окажется, что уровень защищенности или зрелости ИБ ниже установленного методическими документами, руководитель субъекта КИИ должен будет принять решение о применении дополнительных мер защиты информации.
Проект приказа № 239 содержит и несколько прикладных задач. Например, субъекты КИИ, имеющие значимые объекты, должны будут обеспечивать средства защиты информации технической поддержкой. Ранее такие организации могли обойтись только гарантийным обслуживанием.
Комментарий
Предложенные поправки углубляют действующие обязанности организаций в части защиты информации. С их принятием организациям будет недостаточно закупить российские ИБ-решения. ИБ-средства не должны стоять «на полке» и быть в наличии только для того, чтобы отчитаться властям. Средства защиты должны применяться в ИС согласно внутренним регламентам организации. Субъекты КИИ должны будут регулярно обновлять ИБ-решения, получать техническую поддержку от поставщиков и вести системную работу по повышению уровня защищенности.
Обязанность руководителей субъектов КИИ принимать решения о реализации дополнительных ИБ-мер упростит ИБ-службе согласование масштабирования имеющихся и внедрения новых СЗИ. Это положение повысит влияние ИБ-службы в организации, регламентирует ее вовлечение в процессы ИТ- и ИБ-планирования.
2. Первые правки в приказ 117
Официально:
ФСТЭК России разработала проект приказа «О внесении изменений в Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 апреля 2025 г. № 117». В проекте приказа вносятся корректировки в состав защищаемых объектов, требования по оценке защищенности и отдельные технические меры защиты.
Фактически:
Согласно вышедшим в декабре 2025 года изменениям в Федеральный закон № 149-ФЗ, которые касаются создания ГИС и иных систем госсектора, в сферу действия приказа № 117 будут включены ПО, базы данных, информационно-телекоммуникационная инфраструктура, применяемые в ходе создания и эксплуатации ИС государственных организаций. Защита этих объектов должна быть обеспечена согласно требованиям приказа, а ИТ-инфраструктура ГИС должна быть аттестована по классу защищенности не ниже, чем сама ГИС.
Из приказа удалят требование об обязательном доступе конечных устройств ИС к интернету, а при защите мобильных устройств будет допускаться многофакторная аутентификация.
Изменения коснутся и оценки уровня ИБ в системах госсектора. Операторы ГИС и ИС госсектора должны будут передавать в ФСТЭК результаты оценки защищенности (показатель КЗИ). Регулятор будет определять достаточность применяемых ИБ-мер, исходя из этого показателя. Планирование защиты информации также должно строиться, исходя из цели повышения показателя КЗИ.
Расчет зрелости ИБ (ПЗИ) будет осуществляться только ИТ-подрядчиками до начала технического взаимодействия с системами госсектора.
Комментарий:
Предложения ФСТЭК расширят круг защищаемых ИТ-объектов в госсекторе. С их принятием организации должны будут защищать веб-сервисы, решения, доступ к которым реализуется через интернет, а также все средства, используемые в рамках ИС.
Организациям необходимо уже сейчас регламентировать и спланировать мероприятия по защите применяемых для работы своих ИС программ, баз данных и инфраструктуры. Это необходимо, чтобы пройти контроль ФСТЭК.
ИТ-подрядчикам также необходимо провести аудит защищенности своих систем, с помощью которых осуществляется доступ к ИС госзаказчиков либо создание и обслуживание их ИС.
3. ГосСОПКА как у всех
Официально:
30 апреля ФСБ России опубликовала проект приказа «Об утверждении Порядка взаимодействия операторов государственных информационных, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных ИС информации». Проект передан на согласование в Минюст РФ.
Фактически:
Согласно действующим положениям статьи ч. 4 ст. 14 187-ФЗ и новым положениям 149-ФЗ, которые вступят в силу с сентября, операторы ГИС и иных систем государственных органов, учреждений, унитарных предприятий, обязаны незамедлительно сообщать о кибератаках и ИБ-инцидентах в НКЦКИ, используя систему ГосСОПКА. Проект приказа ФСБ уточнит порядок такого взаимодействия и сроки направления уведомлений. Основным способом связи с НКЦКИ для организаций госсектора, как и для предприятий, будет онлайн-обмен информацией в личном кабинете субъекта ГосСОПКА.
Проект приказа определит сроки, в которые должно быть реализовано взаимодействие. Так же, как и в случае информационного обмена об инцидентах на объектах КИИ, не отнесенных к значимым, организации должны будут сообщать о нарушениях в течение 24 часов с момента их обнаружения. Такой же срок отведен и для ответов на сообщения НКЦКИ.
Комментарий:
С принятием проекта, ИБ-обязанности организаций госсектора практически не будут отличаться от обязанностей субъектов КИИ. Однако, важно заметить, что субъекты КИИ – часто крупные организации, имеющие развитые службы ИБ и достаточные ресурсы для обеспечения эффективной технической защиты информации. В организациях госсектора, зачастую, ситуация обратная: финансирования, мощностей и квалифицированного персонала не хватает.
Вместе с этим, взаимодействие с ГосСОПКА и выполнение других нормативных предписаний требуют постоянного мониторинга и анализа ИБ-событий. Вручную или с помощью штатных средств ИС реализовать это на практике невозможно – ИБ-специалисты «тонут» в потоке логов, а важные сведения о событиях могут пройти незамеченными. Для того, чтобы автоматизировать контроль событий безопасности, выявление инцидентов и подготовку отчетности на практике широко и успешно применяются решения для управления событиями ИБ (SIEM). Однако эти решения дорогие, ресурсоемкие, сложные в настройке и эксплуатации, особенно, для ИБ-специалистов начального уровня.
У организаций возникает потребность в решениях для мониторинга ИБ, адаптированных к развертыванию на маломощной и разнородной инфраструктуре, нетребовательных к квалификации оператора и «вписывающихся» даже в ограниченный бюджет. Такие решения, например, «СерчИнформ Мониторинг безопасности» (СерчИнформ SIEM) уже представлены на рынке и зарекомендовали себя как эффективные средства управления событиями ИБ, подходящие даже для небольших организаций.
4. Аттестация на неуязвимость
Официально:
Принят и 25 июня опубликован приказ ФСТЭК России № 60 от 27.02.2026 «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29 апреля 2021 г. № 77». Внесены дополнения в порядок аттестации на соответствие требованиям приказов ФСТЭК России № 21, 117, 239, № 5, № 31.
Фактически:
Регулятор ввел два основных изменения. Первое – это конкретизация требований к периодическому контролю защищенности. Эта процедура должна будет проводиться внутренней комиссией в порядке, аналогичном аттестационным испытаниям. По ее итогам комиссия также составляет протокол, который необходимо направить в ФСТЭК России. Проводить периодический контроль организации должны будут реже – раз в три года.
Второе изменение – это дополнение состава мероприятий, реализуемых при испытаниях и периодическом контроле. Теперь субъектам КИИ, операторам ГИС и иных систем госсектора, их подрядчикам, субъектам КИИ, операторам АСУ ТП на критических объектах необходимо будет проводить тестирование на проникновение и анализ уязвимости защищаемых ИС. Кроме того, в рамках повторной аттестации ИС необходимо будет проводить анализ их уязвимостей и функциональное тестирование.
Комментарий:
Принятие приказа повышает приоритет защиты от внешних угроз защиты информации и их оперативного обнаружения. Важной частью ИБ организаций становятся не только проверки на проникновение (пентесты), но и инструменты обнаружения уязвимостей и ИБ-инцидентов. С одной стороны, это увеличит нагрузку ИБ-службы и затраты на обеспечение защиты информации. С другой стороны, комплексные средства для мониторинга ИБ с возможностью выявления уязвимостей, уже представлены на рынке. Их внедрение поможет упростить защиту от внешних угроз и прохождение проверки на проникновение (пентеста).
Однако угрозы от хакеров и сторонних атакующих – важный, но далеко не единственный фактора риска для всех перечисленных систем. Исследования и судебная практика показывают, что угрозы со стороны собственного персонала актуальны для всех организаций. Снизить риск внутренних инцидентов не помогут ни проверка на проникновение (пентест), ни закрытие уязвимостей, а мероприятия по предотвращению таких событий, реализованные в рамках требований приказов ФСТЭК, также должны оцениваться при аттестации и периодическом контроле.
Во втором квартале 2026 года регуляторы сосредоточились на вопросах оценки и контроля защищенности в организациях. Это ожидаемый шаг после принятия или обновления прикладных ИБ-требований. Власти создают условия, в которых организации должны будут реализовывать комплексный и всесторонний подход к защите информации.
В следующем материале мы расскажем о том, что изменится в ИБ-регулировании за июль-сентябрь 2026 года. В завершение дайджеста традиционно делимся полезными ИБ-материалами:
1. Чек-лист о выполнении ИБ-требований ФСТЭК в госсекторе. В материал включены рекомендации о том, как на практике реализовать значительную часть предписаний методического документа от 12.04.2026.
2. Вебинар «СёрчИнформ» и SECURITM об актуальных инструментах оценки защищенности от внутренних угроз ИБ. Эксперты рассказали о том, как упростить проверку уровня защищенности систем и ее соответствия требованиям властей.
3. Исследование о том, как ИБ-специалисты используют ИИ-инструменты в своей работе. Свежая аналитика поможет разобраться, как снизить трудозатраты ИБ-службы с помощью ИИ и какие меры предпринимают организации, чтобы сделать применение этих технологий безопасным.
ссылка на оригинал статьи https://habr.com/ru/articles/1056494/