Дайджест ИБ-регулирования: чем закончился 2025?

Продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности.В этом дайджесте – о том, что изменилось в ИБ-регулировании в 4 квартале 2025 года.

Проверка ИБ на деле

Что произошло?

Официально:

ФСТЭК России обновила методику оценки показателя состояния технической защиты информации в ИС и обеспечения безопасности значимых объектов КИИ РФ. Теперь документ содержит требование об обязательных дополнительных способах проверки защищенности – поиске уязвимостей, тестировании на проникновение, проведении ИБ-учений.

Фактически:

Для того, чтобы пройти оценку защищенности, субъекты КИИ должны будут не только предоставить документы, содержащие внутренние требования к защите информации и отчитаться о внедрении средств ИБ, но и провести пентест или BugBounty на защищаемых объектах. Если в ходе таких испытаний проверяющие получат доступ к ИС или обнаружат уязвимости, показатель защищенности оценят в 0 баллов, а организации потребуется закрывать «слабые места».

Комментарий:

Инциденты ИБ становятся разрушительнее с каждым годом. Уже стали обыденностью атаки, из-за которых под угрозой оказываются не только отдельные бизнес-процессы организаций, но и функционирование организаций или целых отраслей. Адекватной реакцией на такие угрозы является введение строгих требований к защищенности ключевых информационных систем в разных отраслях. Власти видят, что формального соответствия требованиям недостаточно: опасные инциденты происходят и в организациях, к которым предъявляются наивысшие ИБ-требования.

Введение обязательных пентестов и поиска уязвимостей для субъектов КИИ – еще одно решение, подчеркивающее приоритет регуляторов – добиться фактической защищенности информационных систем. Обложиться регламентирующими документами и закупить несколько лицензий ИБ-средств уже недостаточно для того, чтобы соответствовать требованиям властей. Средства защиты должны быть введены в эксплуатацию и правильно настроены. В ИБ-службе должны быть отработаны практики поиска и закрытия уязвимостей ИС, сценарии немедленного реагирования на инциденты. Если этого не будет сделано, защищенность объектов получит нулевой балл, даже если все формальные требования соблюдены.

Штрафы и амнистии

Что произошло?

Официально:

Депутаты Госдумы разработали и внесли на рассмотрение два законопроекта об ответственности субъектов КИИ и специалистов, работающих с объектами КИИ:

• Законопроект № 1071997-8 о внесении изменений в КоАП РФ в части установления административной ответственности за нарушение правил эксплуатации объектов КИИ РФ. Законодатель предлагает дополнить КоАП РФ статьей 13.2.2 «Нарушение правил эксплуатации объектов КИИ РФ». Новая статья будет предполагать штрафы за нарушения правил использования или доступа к объектам КИИ в случаях, когда признаков преступления не обнаружено. Суммы штрафов составят 100-500 тысяч рублей для юридических лиц и 10-50 тысяч рублей – для должностных.
• Законопроект № 1071966-8 о внесении изменений в УК РФ в части уточнения ответственности за неправомерное воздействие на КИИ РФ. Законопроект конкретизирует понятие «вред КИИ РФ» в статье 274.1 УК РФ. Также законодатель предлагает ввести в ст. 274.1 УК РФ условие об освобождении от ответственности специалистов, работающих на объектах КИИ, если они:
• 1.приняли меры по сохранению следов преступления;
• 2.способствовали раскрытию преступления,
• 3.допустили нарушение впервые и не совершали других преступлений.

Фактически:

Первый законопроект (№ 1071997-8) предусматривает штрафы для компаний-субъектов КИИ и ИТ/ИБ-специалистов, работающих с объектами КИИ в случаях, если нарушение еще не повлекло инцидента.

Второй законопроект (№ 1071966-8) несет сразу два изменения. Уголовная ответственность за нарушение правил пользования и защиты ОКИИ наступает при условии нанесения вреда этим объектам. Законопроект предлагает раскрыть понятие «вреда» как уничтожение, блокирование, модификацию, копирование информации из систем КИИ.

Кроме того, этот этот законопроект предполагает освобождать от уголовной ответственности ИТ- и ИБ-специалистов, которые смогут зафиксировать ИБ-инциденты и помочь правоохранительным органам в установлении их обстоятельств.

Комментарий:

Инициатива Госдумы вписывается в общий тренд на практико-ориентированную информационную безопасность. Если законопроект будет принят, то ответственность за несоблюдение ИБ-требований будет грозить организациям и ИБ-специалистам, даже если инцидент еще не произошел, а нарушение выявлено, например, при проверке регуляторами. Представители ФСТЭК уже заявили о том, что с 2026 года будут применять штрафные санкции к сотрудникам и организациям, которые не обеспечивают требуемой защищенности на практике. Это значит, что всем организациям, которые подпадут под статус субъектов КИИ (а их со 2026 года станет больше) необходимо провести аудит уязвимостей, включить в планы ИБ модернизацию или ввод в эксплуатацию ИБ-средств, выделить требуемые для этого ресурсы и отработать сценарии реагирования на инциденты.

Другой законопроект (№ 1071966-8), наоборот, снимает с ИБ-специалистов риск уголовного преследования, если они смогут зафиксировать инцидент и передать информацию о нем для последующего расследования. Выполнить эти задачи позволяет ключевое для организаций КИИ решение – SIEM-система. Это средство собирает информацию об ИБ-событиях на всех объектах инфраструктуры, выявляет среди них инциденты, позволяет анализировать их и определяет их причины. Российские SIEM позволяют автоматизированно готовить отчеты для направления в систему ГосСОПКА, но, если законопроект о поправках в статью КоАП будет принят, эта информация позволит ИБ-специалистам избежать уголовной ответственности.

НКЦКИ требует внимания

Что произошло?

Официально:

Приняты разработанные ФСБ акты в части взаимодействия субъектов КИИ и других организаций с НКЦКИ:

• Приказ «О внесении изменений в Положение о НКЦКИ, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366»;
• Приказ «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов КИИ РФ, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты КИИ РФ, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ РФ», с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ»;
• Приказ «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ и иных информационных ресурсов РФ, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности КИИ РФ».
• Приказ «Об утверждении Порядка получения субъектами КИИ РФ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;

ФСБ обновила требования к информированию НКЦКИ об ИБ-событиях. Новые требования касаются уведомлений не только об ИБ-инцидентах, но и об атаках на информсистемы и реагировании на них. Кроме того, для органов власти и других организаций, не являющихся субъектами КИИ, будет установлен порядок взаимодействия с НКЦКИ, аналогичный предусмотренному для субъектов КИИ, не имеющих значимых объектов КИИ.

Фактически:

Регулятор устанавливает сжатые сроки информирования НКЦКИ об атаках и инцидентах на значимых объектах КИИ – всего 3 часа с момента обнаружения таких событий. Для остальных субъектов КИИ и госорганизаций срок для направления таких уведомлений будет составлять 24 часа. Кроме этого, ФСБ установит обязанность оперативно реагировать на сообщения НКЦКИ о готовящихся атаках и признаках потенциальных инцидентов. Организации будут обязаны отчитываться о принятых мерах в течение 24 часов с момента получения информации от координационного центра. Исполнять новые требования будет необходимо с 30 января 2026 года.

Комментарий:

Комплекс новых приказов конкретизирует порядок исполнения новых обязанностей организаций госсектора в части взаимодействия с НКЦКИ. Для них вводится порядок обмена информацией аналогичный тому, который существует для субъектов КИИ без значимых объектов.

Организации, которым принадлежат значимые объекты КИИ, должны будут уведомлять об ИБ-событиях и атаках в течение 3 часов с момента их обнаружения. Такой сжатый срок требует автоматизации управления ИБ-инцидентами.

Для выполнения задач, касающихся и обнаружения ИБ-инцидентов, и их автоматизированного анализа, и налаживания оперативного взаимодействия с НКЦКИ, уже существует отработанное решение – внедрение SIEM-системы. Эти средства также упрощают процедуры информирования об атаках. SIEM интегрируются с фаерволами и другими системами для предотвращения атак, позволяют видеть общую картину безопасности на одном интерфейсе, анализировать различные угрозы ИБ и оперативно отправлять необходимую информацию в координационный центр.

Стандарт защиты от утечек

Что произошло?

Официально:

ФСТЭК опубликована финальная редакция ГОСТ «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения».

Документ регламентирует организационные и технические процессы предотвращения ИБ-инцидентов, связанных с выгрузкой и передачей защищаемой информации пользователями ИС. ГОСТ определяет, что для решения этой задачи должны применяться программные средства защиты от утечек, имеющие возможность интеграции с системами управления ИБ-событиями. В документе отражены основные функциональные возможности, которые должны иметь DLP-системы.

Фактически:

Определен единый стандарт функциональности и порядка использования DLP-систем. Применение DLP должно сопровождаться организационными мерами, среди которых:

• разработка регламентов защиты информации от утечек;
• определение категорий защищаемой информации и каналов ее утечки (коммуникационных сервисов, съемных устройств, общих файловых ресурсов, сервисов печати, сетевых ресурсов);
• установление для пользователей ИС запретов и правил безопасности при работе с защищаемой информацией;
• уведомление пользователей ИС о мониторинге действий на устройствах в ИС.

Организационные меры по защите от утечек, согласно проекту ГОСТ, выполняются во взаимодействии нескольких подразделений организации:

• ИТ-служба внедряет СЗИ и, в случае инцидентов, изменяет и донастраивает параметры СЗИ для предотвращения будущих нарушений;
• ИБ-служба готовит документы об обращении с защищаемой информацией и вводе DLP в эксплуатацию, анализирует информационные ресурсы в поисках защищаемой информации, потенциальных угроз ее безопасности и каналов ее утечки, настраивает политики DLP, выявляет и реагирует на инциденты ИБ;
• кадровые и юридические подразделения вместе с ИБ-службой готовят документы об обращении с защищаемой информацией и вводе в эксплуатацию DLP, устанавливают и применяют меры ответственности за нарушения правил работы с конфиденциальными данными, сообщают властям о результатах служебных проверок по фактам инцидентов.

Установлено, что защита от утечек реализуется с помощью определенного класса технических средств (DLP-систем). Отражены их основные возможности:

• контроль действий пользователей с помощью агентских компонентов;
• перехват и копирование сетевого трафика;
• анализ передаваемой информации, в т.ч. контентный;
• выявление признаков утечки информации или нарушений при ее хранении;
• уведомление ИБ-службы и нарушителей о нарушениях правил ИБ;
• блокировка нежелательных действий пользователей в ИС;
• регистрация, расследование событий безопасности, защита информации о них и ее передача в SIEM-систему.

В качестве дополнительных возможностей DLP-систем предусмотрены инспекция файловых ресурсов и поведенческий анализ действий пользователей. Эти возможности характерны для UEBA и DCAP-систем и часто встраиваются в DLP-решения. ГОСТ устанавливает, что отчеты DLP могут применяться в служебных проверках и передаваться в органы власти при обнаружении нарушений.

Комментарий:

Формальная регламентация процессов защиты от утечек и функционала DLP-систем – давно ожидаемое нововведение. ГОСТ устанавливает, что предотвращать утечки информации необходимо с помощью специально предназначенных для этого средств, определяет место защиты от внутренних рисков в ИБ-системе организации. Стандарт вносит определенность в вопросы их правомерного внедрения, а также последующего использования показателей DLP. Положения ГОСТ формально закрепляют задачи и процессы предотвращения ИБ-угроз со стороны сотрудников как неотъемлемую часть обеспечения информационной и общей безопасности организации.

В подготовке ГОСТ участвовали основные вендоры DLP, поэтому в нем отражены основные функции современных решений этого класса, в том числе автоматизация расследований ИБ-инцидентов, вариативное реагирование на инциденты, дополнительные возможности инспекции файловой инфраструктуры и поведенческой аналитики.

Стандарт может применяться как руководство по выстраиванию и совершенствованию процессов защиты от внутренних ИБ-угроз и как аргумент ИБ-службы в пользу внедрения DLP. Кроме того, в стандарте определен порядок легитимного внедрения DLP-системы. Это снижает риски ошибок в юридическом оформлении контроля, а, следовательно, и санкций для ИБ-специалистов.

В четвертом квартале 2025 года регуляторы подготовили ряд основополагающих требований, которые касаются как введения дополнительных ИБ-задач, так и урегулирования уже работающих ИБ-практик. С одной стороны, выполнение новых предписаний – трудоемкий и затратный процесс. С другой стороны, новые акты регулирования помогают структурировать ИБ-процессы, сформировать планы выстраивания и совершенствования ИБ, аргументировать важность и ценность эффективной информационной безопасности.

В следующем материале мы расскажем о том, что изменится в ИБ-регулировании за январь-март 2026 года. В завершение дайджеста традиционно делимся полезными ИБ-материалами:

1. Практический вебинар, на котором наш эксперт разобрал, какие ИБ-задачи стоят перед организациями на рубеже 2025-2026 годов:

2. Исследование, в котором мы осветили основные угрозы безопасности информации при ее хранении, проблемы и практики ее защиты.

3. Чек-лист о том, как проводить служебные расследования по фактам ИБ-инцидентов и использовать в них возможности DLP.

4. Памятка по легитимному внедрению DLP.