2025 год стал переломным для российского законодательства в области информационной безопасности.

В нормативно-правовых актах и методических документах, регулирующих область защиты информации, произошли значительные изменения. Они коснулись сразу трех основных направлений:

• защита информации в ГИС;
• обеспечение безопасности ПДн;
• категорирование и обеспечение безопасности значимых объектов КИИ.

Фактически сейчас мы совершаем переход от формального соответствия требованиям к постоянному измерению зрелости и эффективности защиты.

Ниже — структурированная справка-summary от нашей команды о ключевых изменениях и о том, что это означает для бизнеса в 2026 году.

«Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений»

Область применения / Что регулирует: обеспечение защиты информации в ГИС.

Ключевые изменения:

01. Расширение области применения

Теперь обязательной защите подлежат не только ГИС, но и иные ИС государственных органов, государственных унитарных предприятий, государственных учреждений, муниципальные ИС. А это значит, что и круг операторов / обладателей таких ИС, обязанных выполнять новые требования по защите информации, существенно расширился. Теперь к ним относятся:

• все государственные органы;
• государственные учреждения (автономные, казенные, бюджетные);
• государственные унитарные предприятия (УК, организации общественного транспорта, теплосети и т.д.);
• организации-владельцы ЦОД, предоставляющих размещение ИС, принадлежащим вышеупомянутым организациям, учреждениям и государственным органам;
• организации-подрядчики.

02. Отсутствие привычного перечня мер защиты. Вместо них вводятся показатели:

• показатель защищенности Кзи – показатель, характеризующий текущее состояние защиты информации от базового уровня угроз безопасности информации;
• показатель уровня зрелости Пзи – показатель, который определяет достаточность и эффективность проведения мероприятий по защите информации.

Значение этих показателей должен будет рассчитывать и передавать расчеты регулятору сам обладатель информации:

Кзи – минимум 1 раз в полгода, Пзи – не реже, чем 1 раз в 2 года.

Это – серьезное нововведение, которое выводит оценку состояния защищенности ИС на принципиально иной уровень. Окончательные методики расчета новых показателей ФСТЭК еще не публиковал (но мы обязательно выпустим обзор на них, когда они появятся).

03. Применение СЗИ

Так же, как и его предшественник, приказ ФСТЭК № 17, 117-й приказ ФСТЭК указывает на использование только сертифицированных СЗИ.

Но теперь требования к СЗИ этим не исчерпываются: 117-й приказ явно делает акцент на импортозамещение, устанавливая требование на применение запретов, установленных пунктом 6 Указа Президента Российской Федерации от 01.05.2022 N 250. А в перечне базовых (читай - обязательных для всех обладателей ГИС и иных ИС) требований к защите ИС появились требования, которые предполагают использование определённых видов СЗИ / технологий:

• средства класса EDR;
• строгая либо многофакторная аутентификация пользователей для защиты удаленного доступа пользователей и подрядчиков;
• PAM-системы для обеспечения привилегированного доступа к ИС;
• средства защиты облачных вычислений;
• средства защиты технологии контейнерных сред
• защита технологий искусственного интеллекта

04. Срок действия аттестатов соответствия

Согласно 117 приказу ФСТЭК, аттестаты соответствия на ИС, выданные до 01.03.2026, считаются действительными. А это значит, что можно успеть провести аттестацию ИС до вступления в силу новых требований к обеспечению безопасности ИС. Для выполнения работ по аттестации должна привлекаться организация-лицензиат ФСТЭК.

Федеральный закон от 07.04.2025 (вступил в силу 01.09.2025) «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».

Область применения / Что регулирует: обеспечение безопасности объектов КИИ.

Ключевые изменения:

01. Изменения в форме сведений о категорировании

Любые изменения формы сведений об объектах КИИ и ввод новых показателей теперь требуют актуализации ранее направленных во ФСТЭК сведений. Перечень сведений был расширен: добавились типовые объекты, доменные имена объекта. Также были изменены формулировки и состав пунктов о средствах защиты, состава объекта и сферы действия.

02. Изменение порядка категорирования

Порядок категорирования претерпел существенные изменения: теперь необходимо использовать типовые перечни объектов и методические рекомендации, формируемые для сферы деятельности, и рассматривать в связи с ними даже те объекты, которые не обеспечивают выполнение критических процессов.

03. Повторное категорирование

Существенные изменения в общем порядке процедуры являются основанием для проведения повторного категорирования и проверки полноты выполнения мер защиты для значимых объектов. Многие организации проходили категорирование больше 2 лет назад, и теперь при выявлении нарушений они могут получить серьёзные штрафы.

Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

Область применения / Что регулирует: изменение штрафных санкций за нарушение порядка обработки персональных данных.

Ключевые изменения:

01. Ужесточение ответственности за нарушение требований к обработке ПДн

В ст. 13.11 КоАП РФ, где указаны суммы штрафов за нарушение порядка обработки ПДн, были внесены изменения:

• расширен состав правонарушений;
• добавлены новые формы штрафов;
• штрафы кратно увеличены вплоть до 100 раз (по сравнению с теми, что были ранее).

Это создает условия, в которых предотвращение утечек и корректная обработка ПДн становится мерой сохранения бюджета организации. Гораздо выгоднее потратить деньги на внедрение системы защиты ПДн в организации сейчас, чем потом оплачивать штрафные санкции.

02. Появление оборотных штрафов

Введены штрафы за утечку ПДн в крупном размере, повторную утечку ПДн; за утечку ПДн, относящихся к категориям биометрических и специальных ПДн, предусмотрены штрафы, суммы которых начинаются с 20 миллионов рублей или от 1 до 3% выручки за календарный год.

Если штрафы ранее рассматривались как что-то незначительное, то сейчас они могут привести к существенному ухудшению финансовых показателей, вплоть до банкротства организации.

03. Методы смягчения штрафных санкций

Но есть и хорошие новости: сейчас законодательством предусмотрен набор мер для уменьшения сумм оборотных штрафов ниже минимальных (в том случае, если утечка все же произойдет). Чтобы добиться этого, организации-оператору необходимо:

• в течение 3-х лет каждый год тратить не менее 0,1% выручки (или капитализации, если оператор относится к кредитным организациям) на мероприятия по информационной безопасности, проводимые организациями-лицензиатами ФСТЭК – аудит защищенности ПДн в организации, проектирование и внедрение системы защиты ПДн;
• выполнять нормативные требования по обработке и защите ПДн – здесь тоже поможет аудит защищенности ПДН и формирование рекомендаций по его итогам;
• не иметь повторных нарушений по обработке персональных данных.

Изменения, которые сейчас происходят, постепенно меняют ключевые подходы к обеспечению защиты информации.

Если раньше можно было ограничиться формальным выполнением требований, то теперь:

• требуется регулярная оценка зрелости,
• усиливается контроль со стороны регуляторов,
• вводятся финансово значимые штрафы,
• расширяется круг обязанных организаций.
• Выиграют в этой гонке те компании, которые заранее проводят аудит, обновляют процессы и ответственно готовятся к новым требованиям.