ФСТЭК России, Банк России и ФСБ России озвучили планы на ближайшее время по изменению регулирования в сфере ИБ на конференции АБИСС

ФСТЭК России: изменение требований в части КИИ

Первой о ключевых направлениях работы рассказала Елена Борисовна Торбенко, начальник управления ФСТЭК России. Важным изменениям станет расширение регуляторики по категорированию объектов КИИ, в том числе введение перечней типовых отраслевых объектов КИИ, которые формируют отраслевые регуляторы. На сегодняшний день ФСТЭК России согласовано 12 из 14 проектов. После согласования полного комплекта Перечни будут введены в действие Постановлением Правительства РФ.

Елена Борисовна Торбенко, начальник управления ФСТЭК России
Источник: Ассоциация АБИСС

Параллельно ведется работа над отраслевой спецификой процесса категорирования: для 14 сфер подготовлены отдельные проекты постановлений, которые определяют особенности категорирования, расчета показателей и состава комиссий в каждой из них.

Также планируется актуализация показателей и критериев значимости объектов КИИ. Изменения затронут показатели для организаций оборонно-промышленного комплекса, банковского сектора и сферы связи. Проект новой редакции Постановления Правительства № 128, определяющего порядок категорирования, находится на этапе согласования. Указанные изменения направлены на облегчения проведения категорирования субъектами в части ранее не однозначных критериев, а также для исключения возможности искусственного занижения значимости объектов. Было отдельно отмечено, что по итогам проведения проверок по нарушению требований в отношении субъектов КИИ только за 2025 год заведено порядка 350 административных дел.

Еще одно важное изменение уже вступило в силу: дополнена форма подачи сведений в реестр КИИ. Появились две новые графы: для указания доменных имен и IP-адресов, используемых объектами, а также для ссылки на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать эти данные, направив информацию в ФСТЭК России в упрощенном порядке.

Ожидается, что все ключевые документы будут утверждены до конца года.

В планах регулятора на следующий год — пересмотр требований по безопасности для значимых объектов критической информационной инфраструктуры. Запланированы изменения в Приказы № 235 и 239, сообразные последним изменениям в Приказе № 117 относительно государственных информационных систем. Также работа ведется в направлении одной из самых проблемных тем — закрепление требований к подрядчикам, обслуживающим объекты КИИ. Это должно помочь в минимизации рисков, связанных с цепочками поставок, через которые происходит большинство инцидентов.

ФСБ России: Точечная настройка криптографии

Следующим с разъяснением актуальных изменений выступил Петров Алексей Владимирович, начальник экспертного подразделения ФСБ России. В текущем году ФСБ России планирует выпустить новые, уточняющие требования к средствам криптографической защиты информации (СКЗИ). Планируются изменения в Постановление Правительства РФ от 15.04.2014 г. № 313 в части IoT — прорабатывается вопрос формирования класса устройств, используемых в гражданских целях, связанных с массовым использованием криптографических средств защиты, и его выведением из-под лицензирования.

Отдельно Алексей Владимирович упомянул о недавно подписанных уточненных требованиях к значимым платежным системам, платежным картам, терминалам, банкоматам, HSM-модулям.

Также Алексей Петров напомнил про новый Приказ ФСБ России от 18.03.2025 г. № 117, в котором закреплена необходимость использования СКЗИ в государственных информационных системах, и обязанность согласования модели угроз и технических заданий на создание (развитие) государственных информационных систем с ФСБ России.

Пленарная сессия «Системное развитие ИБ-регуляторики»
Источник: Ассоциация АБИСС

Банк России: Защита клиентов и операционной надежности

Продолжил блок выступлений Антон Игоревич Чернодед, начальник отдела Департамента информационной безопасности Банка России.

Он подробно рассказал о нововведениях Положения БР № 851-П, которое вышло в начале года и уже введено в действие. Поскольку документ направлен на защиту граждан от несанкционированных переводов денежных средств, отдельно были отмечены следующие требования: вести детальный цифровой след каждого перевода посредством широкой регистрации событий, сообщать обо всех операциях по картам несовершеннолетних их родителям, а также внедрить функционал для оперативного заявления о мошеннических действиях в мобильные приложения.

Дополнительно Антон Игоревич прокомментировал процесс определения уровня защиты для организаций, ведущих различные виды деятельности (например, одновременно попадая под требования Положений БР № 851-П и № 757-П): в случае использования единой инфраструктуры, реализация мер и оценка соответствия должны проходить по наивысшему уровню защиты из применимых положений.

Антон Чернодед затронул тему операционной надежности: сигнальные и контрольные значения для показателей операционной надежности были зафиксированы в новом Положении БР № 850-П, поскольку, как поясняет Антон Игоревич, некоторые компании намеренно их занижали при самостоятельном определении.

Значимым кредитным организациям представитель Банка России напомнил о необходимости внедрять СКЗИ в системы ДБО для работы платформы цифрового рубля, а микрофинансовым организациям о скором распространении на них требований как по информационной безопасности, так и операционной надежности.

Была упомянута и работа технического комитета № 122: совместными усилиями БР, ФСТЭК России и экспертного сообщества проводится работа по актуализации всего семейства стандарта ГОСТ Р 57580. Так, например, Антон Игоревич сообщает, что разработка новой версии ГОСТ Р 57580.1 находится в финальной стадии, а сам документ увидит свет, предположительно, в начале 2026 года.

Также Антон Чернодед подтвердил, что у ЦБ РФ есть планы по разработке отдельного стандарта безопасности аутсорсинга технологических процессов. Однако, он также упомянул, что при разработке этого стандарта стоит обратить внимание в целом на подрядные организации, а не только аутсорсинг технологических процессов. В качестве примера он привел аудиторские компании, которые имеют доступ и хранят большой массив чувствительной и критической информации о кредитных организациях, но к ним не предъявляются аналогичные требования и не проводится оценка.

Антон Игоревич Чернодед, начальник отдела Департамента информационной безопасности Банка России.
Источник: Ассоциация АБИСС

Практические проблемы категорирования от ФГУП «Гамма»

Завершил тему нововведений Дмитрий Владимирович Бубнов, директор департамента кибербезопасности ФГУП НПП «Гамма», который представил итоги мониторинга поднадзорных Минпромторгу России организаций, являющихся субъектами КИИ. С 2022 года специалисты центра провели более 3000 выездных проверок на предприятиях металлургии, химической и горнодобывающей отраслей. По его словам, основная цель — методическая помощь. В ходе проверок выявляются типовые системные нарушения, например, несвоевременная актуализация сведений об объектах КИИ в реестре, категорирование без создания комиссии и др. Дмитрий Бубнов сообщил, что поднадзорные Минпромторгу России организации могут обратиться за бесплатной методической помощью по категорированию и переходу на отечественное ПО.

Еще одной центральной темой обсуждения на конференции АБИСС стала саморегуляция в сфере информационной безопасности. Динамичное развитие рынков ИТ и ИБ опережает возможности государственного регулирования, что неизбежно порождает «серые зоны». В этих условиях появление добровольных систем сертификации (СДС) — насущная необходимость. Рынок самостоятельно создает механизмы для обеспечения доверия и стандартизации в тех областях, куда регулятор пока не успел дойти. Создание СДС, инициированное самими участниками рынка, является эффективным способом заполнить правовые вакуумы и заложить основу для решения серьезных отраслевых задач. В дискуссии приняли участие эксперты АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.

Сессия «Саморегуляция в сфере информационной безопасности»
Источник: Ассоциация АБИСС

Далее работа конференции продолжилась в формате параллельных сессий, каждая из которых была посвящена прикладным вопросам в сфере ИБ.

• Сессия «Обработка и защита персональных данных». Модератором выступил Павел Новожилов («Инфосистемы Джет»). Эксперты из компаний AKTIV.CONSULTING, STEP LOGIC и экосистемной финансовой организации (член RPPA.pro Fintech Club) обсудили актуальные изменения в законодательстве, методы выявления и реагирования на утечки ПДн, а также алгоритмы снижения юридической ответственности.
• Сессия «Оценка зрелости ИБ». Под модерацией Олега Симакова (AKTIV.CONSULTING) специалисты из «Инфосистемы Джет», AKTIV.CONSULTING и «Норникеля» рассмотрели различные методики оценки, их преимущества и недостатки, а также применение оценки как инструмента для развития функции информационной безопасности.
• Сессия «Безопасность КИИ — практика». Модератором сессии выступил Федор Музалевский (RTM Group). Докладчики из компаний «СёрчИнформ», «РуСИЕМ», RTM Group и УЦСБ поделились лайфхаками и практическими решениями по защите от внутренних угроз, усилению контроля с помощью SIEM-систем и организации процессов проверок.
• Сессия, посвященная безопасной разработке (РБПО). В рамках сессии, которую модерировал Владимир Алферов (ПК «РАД КОП»), обсуждался практический опыт внедрения процессов безопасности в цикл разработки ПО. С докладами выступили представители Swordfish Security, OOO «СИГМА» и ПАО «МКБ», затронувшие темы от выполнения приказа ФСТЭК №117 до метрик и автоматизации безопасности приложений.
• Сессия «Информационная безопасность финансовых организаций». Под руководством Евгения Безгодова (Deiteriy) эксперты из «ДиалогНаука», Deiteriy Compliance, AKTIV.CONSULTING и ПК «РАД КОП» обсудили грядущие изменения требований Банка России, управление рисками в платежной системе «Мир» и системные подходы к трансформации ИБ.
• Сессия «Безопасность аутсорсинга». Модератором сессии выступил Хонин Александр (Angara Security). Докладчиками выступили эксперты «Инфосекьюрити», Angara Security, «Инфосистемы Джет». Обсудили юридические аспекты и тонкости составления договоров, правовые нюансы обработки ПДн через подрядчиков, методики определения границ рисков при аутсорсинге, а также методические рекомендации АБИСС по безопасной работе с поставщиками ИТ/ИБ-услуг.

Источник: Ассоциация АБИСС

Партнерами конференции АБИСС выступили Компании «Актив» (бизнес-направление AKTIV.CONSULTING), Deiteriy, ДиалогНаука, АИС, MITIGATOR.

Информационную поддержку конференции оказали Connect, ICT2go, Банковское обозрение, Comnews, Cybermedia, CISOClub, NBJ, BIS Journal, «Информационная безопасность», Rspectr; ТГ-каналы: Листок бюрократической защиты информации, Записки на рукавах, ИБ в «Законе», GDPR, КиберДед official, “Бизнес и ИБ”, RPPA PRO; Ассоциации РОСЭУ, РУССОФТ, Ассоциация больших данных; подкаст “Безопасный выход”.

В этом году на конференции собралось около 700 участников. Конференция АБИСС очередной раз подтвердила свой статус важнейшей отраслевой площадки, способствующей открытому диалогу между регуляторами, поднадзорными и поставщиками.