Продолжаем серию обзоров законов, приказов, постановлений и инициатив регуляторов, касающихся информационной безопасности.

В этой серии – о том, что изменилось в ИБ-регулировании во 2 квартале 2025 года.

Что нового?

Перечни критических объектов

Что произошло?

Официально: разрабатываются проекты постановлений Правительства РФ об утверждении Перечней типовых отраслевых объектов КИИ, о внесении изменений в постановление Правительства РФ от 8 февраля 2018 г. № 127 и об отраслевых особенностях категорирования ОКИИ в сферах здравоохранения, химической, горнодобывающей, металлургической, оборонной, ракетно-космической промышленности, энергетики (в т.ч. атомной), транспорта, связи, регистрации прав на недвижимость и науки.

Фактически: устанавливаются перечни объектов КИИ и выполняемых ими функций в отраслях:

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• регистрации прав на недвижимость и сделок с ней;
• финансовой сферы;
• оборонной, ракетно-космической, добывающей, металлургической, химической промышленности.

На основании этих перечней организации должны будут принимать решения о категорировании объектов КИИ. Категорированию подлежат также и другие ИС, если нарушение их работы приведет к сбоям в основных процессах субъектов КИИ (как уже показывает практика, это могут быть даже отдельные ПК работников!). Процедуру категорирования и расчет показателей значимости необходимо будет проводить, учитывая особенности, установленные отраслевыми регуляторами. 

Комментарий:

Перечни упростят работу по категорированию объектов КИИ. Организациям не потребуется самим определять, какие из своих ИТ-систем относить к ОКИИ: достаточно будет свериться с их перечнем по своей отрасли. Если указанные в нем системы в компании есть, ей следует категорироваться и выполнять обязанности субъекта КИИ по 187-ФЗ. 

В перечне объектов есть неочевидные, но очень распространенные в разных отраслях системы. Например, системы учета товаров в аптеках и малом химпроме, клиентов – в микрофинансовых организациях, СХД и СКУД в промышленности. Если компания такими пользуется, то является субъектом КИИ. И, если по итогам категоризации система получит категорию значимости, организация должна принять ИБ-меры по 239-му Приказу ФСТЭК. А затем выявлять инциденты ИБ и сообщать о них. 

Для выполнения этих задач нужны технические средства. Обнаруживать ИБ-инциденты, взаимодействовать с НКЦКИ и выполнять значительную часть требований ФСТЭК можно помощью SIEM-систем. Существуют «коробочные» SIEM с минимальными требованиями к аппаратным мощностям и квалификации оператора. Их могут использовать даже небольшие организации.

Что для вас недопустимо – определите сами

Что произошло?

Официально: Минцифры выпустило методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию. 

Фактически: всем организациям рекомендовано регламентировать бизнес-процессы, определить показатели операционной надежности (например, допустимое время простоя или нарушения работы ИС) и смоделировать недопустимые события, которые могут возникнуть из-за инцидентов ИБ.

Комментарий:

Моделирование угроз поможет сопоставить ИБ-риски и угрозы для бизнеса. Например, связать уход клиентов к конкуренту с тем, что сотрудник пересылал на личную почту сведения о сделках. 
Моделирование поможет определить:

• какие ИТ-ресурсы требуют особого внимания, 
• какие ИБ-средства и в каком объеме нужны, чтобы предотвратить угрозы бизнесу, 
• сколько затрат и мощностей понадобится для их внедрения,
• актуально ли для сотрудников ИБ-обучение и в каком объеме его проводить.

В результате будет проще обосновать руководству организации выгоду от реализации ИБ-мер.  А то и добиться, чтобы бизнес-процессы стали безопаснее: например, ввести запрет на пересылку рабочих документов в публичных мессенджерах. 

Давайте договариваться

Что произошло?

Официально: разработан и принят в первом чтении законопроект о внесении изменений в Кодекс Российской Федерации об административных правонарушениях.

Фактически: законодатели предлагают ввести механизм, который позволит привлекаемым к административной ответственности избежать наказания. Но только в том случае, если они исправятся! Законопроект касается почти всех правонарушений, в том числе в сфере ИБ. Чтобы воспользоваться возможностью, понадобится заключить соглашения об устранении нарушений законодательства с контролирующими органами.

Комментарий:

По замыслу, мера замотивирует нарушителей реально исправлять свои ошибки. Но важно, чтобы они сами проявляли инициативу – и до того, как им будет назначено наказание. Законодатели признают, что путь будет непростой: в каждом случае работа по устранению нарушений может занять годы. Зато, если завершится успешно, административное дело закроют – а фигурант еще и останется в плюсе.

Разберемся на ИБ-примере. Возьмем оператора персональных данных, который – по ошибке или «для удобства» – хранил их в публичном облаке. Начинается административное производство, но оператор берет на себя обязательства: 

• удалить скомпрометированную информацию, 
• внедрить СЗИ, 
• разграничить доступ к данным,
• заблокировать каналы утечки. 

В итоге он заменит выплату штрафа вложениями в ИБ, так что минимизирует и репутационные риски, и угрозу новых инцидентов с ПДн.

Таким образом исчезнет перекос, когда инвестиции в ИБ снижают наказание только за повторные нарушения с ПДн. Если законопроект примут, компании, готовые реализовать меры защиты, смогут полностью снять с себя административную ответственность. Это касается ст. 13.12.1 КоАП РФ (для КИИ), и ст. 13.12 КоАП РФ (для остальных организаций).

Какие изменения уже произошли? 

• Вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024. Начинают действовать увеличенные штрафы за инциденты с персональными данными. Подробнее о них рассказывали в дайджесте за ноябрь-декабрь 2024. А как это будет выглядеть на практике – разбирали здесь.
• Принят и вступил в силу Федеральный закон от 23.05.2025 № 104-ФЗ «О внесении изменений в статьи 4.5 и 13.12 КоАП РФ и статью 1 Федерального закона «О внесении изменений в КоАП РФ». Выросли штрафы за нарушение правил защиты информации и использование несертифицированных СЗИ. О подготовке закона писали в дайджесте за январь-март 2024.
• Принят и с 1 сентября вступает в силу Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности КИИ РФ». Объекты КИИ будут определяться в соответствии с отраслевыми перечнями, требования к ИТ- и ИБ-импортозамещению будет устанавливать Правительство, а организации госсектора будут обязаны подключиться к ГосСОПКА. Подробнее об этом – в дайджесте  за январь-март 2024. 
• Принят и вступил в силу Федеральный закон от 01.04.2025 № 41-ФЗ «О создании ГИС противодействия правонарушениям, совершаемым с использованием ИКТ, и о внесении изменений в отдельные законодательные акты РФ». Пилотный проект по созданию системы стартовал 4 июня. Органам власти, государственным и финансовым учреждениям, владельцам агрегаторов и маркетплейсов запрещено использовать для коммуникации с гражданами иностранные мессенджеры. Один из банков уже привлечен к ответственности за нарушение этого требования. Проект разбирали в дайджесте за январь-март 2024.
• Принят и вступает в силу с 1 марта 2026 года приказ ФСТЭК России № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Требования приказа распространяются на любые не относящиеся к КИИ информсистемы государственных организаций и муниципальные ИС. Как обязательные цели защиты информации в нем указаны обеспечение конфиденциальности и предотвращение утечек информации. О разработке приказа писали в дайджесте за ноябрь-декабрь 2024.

Во втором квартале вступили в силу изменения, которые серьезно ужесточают действующие требования или ответственность за их нарушение. В то же время появились инициативы, которые помогут организациям выполнить ИБ-нормативы и смягчить наказание за инциденты. Отраслевые перечни ОКИИ упростят категорирование, методика Минцифры поможет определить ИБ-потребности и донести их до руководства, а поправки в КоАП позволят добросовестным организациям решить проблемы с законом. Это ли не потепление?

В следующем дайджесте мы расскажем о новостях регулирования ИБ по итогам июля-сентября этого года. А пока делимся полезными ИБ-материалами:

• Памятка о том, как будут работать штрафы за нарушения с персональными данными, кому они грозят и как можно смягчить ответственность.
• Практический вебинар «Как избежать наказания за утечку персональных данных». На нем эксперты «СёрчИнформ» обсудили, как минимизировать ответственность в случае инцидента, и как его избежать в будущем. 
• Итоги опроса ИБ-руководителей об ИБ-тенденциях в первом полугодии 2025 года. Из него вы узнаете, как компании защищаются от угроз, минимизируют риски штрафов за инциденты с ПДн и повышают у себя ИБ-культуру.