Мы продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности. В этой серии – о том, что нового в ИБ-регулировании в 3 квартале 2025 года.
Что произошло?
Официально: разработан, внесен и принят в первом чтении «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». Он регламентирует статус государственных и муниципальных информационных систем, государственных цифровых платформ, ведомственных сервисов.
Фактически: законодатель устанавливает понятие ГИС, муниципальных ИС и ведомственных ИС. Все это – информсистемы, созданные по решению органов власти. Отличие между ними в том, что:
ГИС и муниципальные ИС используются для выполнения функций и полномочий государственных и муниципальных органов (например, контрольной деятельности, оказания госуслуг и т.п.),
ведомственные ИС – для организационного, документального, хозяйственного обеспечения деятельности этих организаций (например, кадрового и бухгалтерского делопроизводства).
Все операторы ИС госорганов и учреждений, государственных фондов и корпораций должны будут непрерывно взаимодействовать с ГосСОПКА.
Комментарий: Требование о взаимодействии с ГосСОПКА глубже, чем кажется. Организации, которым нужно будет работать с этой системой, должны обеспечить не только канал связи с регулятором, но и выполнить ряд ИБ-задач. В первую очередь это своевременное обнаружение инцидентов ИБ. Более того, согласно действующему Приказу ФСБ № 367, уведомление об инциденте должно содержать информацию о технических параметрах выявленного инцидента, о его последствиях, о связях с кибератаками или другими инцидентами. По регламенту НКЦКИ организации обязаны сообщать, с помощью каких средств был выявлен инцидент, и какие меры реагирования были предприняты. Это значит, что перед уведомлением регулятора, организации должны проанализировать инцидент. Поправки не содержат указания, в какие сроки госорганизациям необходимо отправлять данные в ГосСОПКА. Часть 2 статьи 9 Закона о КИИ говорит о том, что это нужно сделать «незамедлительно», а 282-й Приказ ФСБ указывает, что если затронут объект КИИ, не отнесенный к значимым, сообщить об этом в НКЦКИ необходимо в 24 часа с обнаружения инцидента. Вручную выявить и исследовать инцидент в такие сроки невозможно. Поэтому организации, в чьи обязанности входит взаимодействие с ГосСОПКА, используют для выполнения этой задачи технические средства управления инцидентами ИБ – SIEM-системы. Эти решения собирают данные о событиях на разных объектах ИТ-инфраструктуры: серверах, базах данных, конечных устройствах и других. С помощью определенных правил события сопоставляются и из них выделяются те, которые несут угрозу данным или информсистеме – это и есть инциденты. SIEM позволяет ИБ-службе проанализировать инциденты, определить их причины, последствия и связи, спланировать меры реагирования. А для российских SIEM характерны функции подключения к ГосСОПКА по API и автоматизированного составления уведомлений. Особенно удобно, если SIEM «коробочная» – оптимизированные, с преднастроенными правилами корреляции и реагирования и простые в использовании. С их помощью выполнить все требования по защите может любая организация, даже в условиях недостатка подготовленных кадров и аппаратных мощностей. |
Что произошло?
Официально: Минцифры России разработало проект :
Вводится законодательное определение ИИ. Использование ИИ-технологий становится квалифицирующим признаком преступлений.
Вводятся отдельные нормы об ответственности за кибератаки различных сценариев.
Устанавливаются смягчающие обстоятельства для сотрудников, допустивших нарушения правил эксплуатации объектов КИИ.
Фактически: в Уголовный кодекс вводится понятие технологий искусственного интеллекта. В понимании законопроекта, ИИ – это комплекс технологий, которые позволяют имитировать мыслительные (когнитивные) функции и получать при выполнении задач результаты, сопоставимые с результатами интеллектуальной деятельности человека.
Нарушителей, совершающих атаки на ИС, в том числе с применением ИИ, смогут привлечь к уголовной ответственность в рамках отдельной статьи 272.2 УК РФ. Наказание по этой статье составит до 4 лет заключения и до 500 тыс. р. штрафа. Если виновник инцидента – сотрудник организации, например, сисадмин, решивший насолить руководству, наказанием будут до 8 лет лишения свободы и до 2 млн штрафа.
Для случаев, когда подобные атаки или угроза их совершения связаны с вымогательством, вводится отдельная статья 163.1 УК РФ. Наказывать за такие нарушения будут также заключением на срок до 4 лет и штрафом до 500 тыс. р.
За нарушения в крупном размере и совершенных группой ответственность вырастет до 7 лет лишения свободы 1 млн р. штрафа.
Для кибервымогателей, действующих организованными группами или в особо крупных объемах наказание составит 7-15 лет заключения и штраф на сумму до 5 млн р.
Ужесточается ответственность и по уже применяемым статьям 272, 273 и 274 УК – это неправомерный доступ к компьютерной информации, создание или использование вредоносного ПО и нарушение правил эксплуатации информсистем. В случае принятия поправок, штрафы и сроки заключения для виновников таких нарушений вырастут до двух раз.
Комментарий: Все чаще злоумышленники пользуются возможностями ИИ, а дополнительная ответственность за это должна заставить задуматься потенциальных нарушителей. Законодатель также хочет сделать наказание для профессиональных хакеров более ощутимым. Уголовная ответственность хакеров и кибервымогателей могла бы стать действенным инструментом защиты бизнеса, пострадавшего от их действий. В случае возбуждения уголовного дела по такому составу, организация, попавшая под атаку, будет признана потерпевшей. Практика по другим статьям показывает, что статус потерпевшей, как правило, или исключает ответственность для компании, или снижает для нее штраф за инцидент. К тому же организация получает право требовать возмещения убытков от нарушителя. Однако, если поправки в этой части будут приняты, не стоит ожидать их массового применения. Хакеры и кибергруппировки умело скрываются или, находятся за границей. Это осложняет расследование кибератак правоохранительными органами и установление виновных. В случаях, если нарушители действовали из-за рубежа, то привлечь их к суду на практике, как правило, не удается. Новые поправки несут еще один риск. Он связан с очень широким пониманием ИИ-технологий в Уголовном кодексе. Это может поставить деятельность по расследованию ИБ-инцидентов, тестированию защищенности информсистем под угрозу. Например, пентестеры используют ИИ для того, чтобы выявить «слабые места» в защите информсистем, которые нужно закрыть. Чтобы исключить ответственность специалистов, которые преследуют законные цели, в рамках УК уместно разработать и применять определения «опасных» ИИ-технологий. Другое дело – ужесточение ответственности для работников организаций, допускающих ИБ-инциденты. Проблема актуальная: по данным нашего , около половины организаций столкнулись с такими нарушениями в 2024 году. За это отвечают поправки в действующие статьи:
Угроза крупных штрафов и реального лишения свободы заставит задуматься потенциальных нарушителей, действующих, например, из мести. Дополнительно повысить ИБ-дисциплину и раскрываемость ИБ-преступлений может участие компаний в расследовании таких нарушений. Сформирована судебная практика по случаям, в которых инциденты обнаружены ИБ-службами самих компаний. Доказательствами по таким делам становятся показания ИБ-специалистов и отчеты средств защиты информации, например, DLP-систем. Содействие организаций позволяет правоохранительным органам быстрее раскрыть преступление. Компании получают возможность компенсировать причиненные убытки и избегают ответственности непричастных к инцидентам лиц. Применение части 3 статьи 274.1 УК, связанной с нарушениями правил эксплуатации объектов КИИ, наоборот, становится более «гуманным». Специалисты, работающие с системами КИИ, освобождаются от ответственности, если они добровольно сообщат о нарушении и окажут содействие его расследованию. Это разумная мера, которая поможет сократить количество инцидентов, связанных с уязвимостями на объектах КИИ и неправомерным доступом к информации в таких системах. |
Что случилось?
Официально: приняты и вступили в силу Приказ Роскомнадзора от 19.06.2025 № 140
«Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9-1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановление Правительства РФ от 01.08.2025 № 1154
«Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных».
Фактически: регулятор определил ограниченный перечень методов, которые операторы могут применять, если сочтут нужным обезличивать ПДн:
Замена части персональных данных идентификаторами. Это, например, присвоение индивидуальных номеров вместо ФИО граждан в списках, базах и таблицах.
Изменение состава или семантики – удаление, замена или искажение части персональных данных, не препятствующее целям их обработки. Это, например, «закрытие» ФИО гражданина звездочками.
Перемешивание персональных данных. Это перемена местами тех или иных сведений о гражданах в рамках одного массива данных.
Декомпозиция персональных данных. Это разбивка массива данных на части, каждая из которых, взятая отдельно, не позволяет идентифицировать человека. Такие части массива предполагается хранить отдельно.
Если организация обезличивает данные, то она должна разработать регламент для каждого из выбранных способов обезличивания и закрепить его приказом, положением и т.д. Персональные данные после обезличивания могут использоваться в целях, не предусмотренных согласием на их первоначальную обработку. Минцифры вправе требовать у любого оператора ПДн обезличенные данные для государственных нужд.
Если у организации нет ПО для обезличивания, его может предоставить Минцифры. Но расходы на его эксплуатацию несет организация.
Операторы обязаны защищать обезличенные данные и хранить их отдельно от необезличенных.
Комментарий: Обезличивание данных снижает риск их неправомерного использования. Однако в текущей редакции закона о персональных данных, постановления Правительства и приказа Роскомнадзора не отражено, чем отличаются меры защиты обезличенных данных от тех же мер для «обычных» ПДн. Кроме этого, неясно, какова ответственность за утечку состава обезличенных данных. Пока что, вне зависимости от анонимизации, эта информация считается персональными данными, а значит, если сведения в таком формате утекут, штраф будет такой же, как и при компрометации ПДн. Особую же угрозу представляет утечка ключей деанонимизации. С помощью ключей злоумышленники смогут получить доступ ко всей информации, обезличенной определенным способом. Поэтому важно ограничить установить особый контроль за устройствами сотрудников, работающих с ними. Операторы должны отделить обезличенные данные от других ПДн и выделить отдельные места для хранения этих сведений и средств деанонимизации. Для этого операторам потребуется внедрить как минимум решения класса SIEM для того, чтобы своевременно выявлять и реагировать на ИБ-угрозы, в том числе, попытки несанкционированного доступа к объектам ИС и данным в работе. Мы ждем разработки более конкретных указаний для защиты обезличенных данных. Пока же все информационные системы с ними подпадают под категорию ИСПДн и требуют защиты согласно положениям 19-й статьи Закона о персональных данных. |
Что случилось?
Официально: Минцифры России разработало постановления Правительства «О порядке и сроках перехода субъектов КИИ РФ на использование программ для ЭВМ и баз данных, сведения о которых включены в единый реестр российских программ для ЭВМ и баз данных, предусмотренный статьей 121 Федерального закона «Об информации, информационных технологиях и о защите информации», на значимых объектах КИИ РФ».
Фактически: Минцифры установит общий срок для перевода значимых объектов КИИ на российские ИТ-решения – 1 января 2028 года. Планы ИТ-импортозамещения в КИИ по отраслям будут разработаны отраслевыми органами власти (Минпромторгом, Минтрансом, Минздравом, Минцифры и иными) до 1 июня 2026 года. После этого эти планы будут доведены до субъектов КИИ. В течение 3 месяцев после этого организации должны будут составить и согласовать с регуляторами собственные планы импортозамещения. В них потребуется отразить сведения о субъекте КИИ, о том, какое ПО применяется на его значимых объектах КИИ, каковы в нем доли российских и импортных программ, информацию об объеме затрат на импортозамещение ПО и когда планируется завершить этот процесс.
Если на российском рынке не представлены необходимые ИТ-решения, то Правительственная комиссия может продлить срок импортозамещения, но не далее, чем до 1 декабря 2030 г. Также, если субъекты КИИ используют ПО, встроенное в ПАК, они имеют право работать на этом ПАК до истечения бухгалтерских сроков полезного использования, но не далее, чем до 1 января 2035 года.
Комментарий: Необходимость импортозамещаться для КИИ не новость. Еще в 2022 г. вышел Указ Президента №166. Затем его положения закрепил закон № 58-ФЗ, который вступил в силу 1 сентября 2025 г. Он обязывает субъекты КИИ выполнить ИТ/ИБ импортозамещение согласно порядку, установленному Правительством. Подготовленный теперь проект Постановления устанавливает этот порядок. Он ставит серьезную задачу и перед субъектами КИИ, и перед вендорами. До 2028 года необходимо не просто перейти на российское ПО, но и сохранить эффективность бизнес-процессов, и соблюсти ИБ-требования на объектах КИИ. Основной проблемой при выполнении новых требований будет совместимость ПО и ИБ-средств между собой и с аппаратными мощностями. По данным наших исследований, 66% российских организаций столкнулись с несовместимостью между компонентами ПО, а 33% - между ПО и «железом». Кроме того, сейчас большинство организаций работают на смешанной инфраструктуре – сочетании российских и импортных ИТ-продуктов. ИБ-решения от российских вендоров позволяют полностью выполнить ИБ-задачи в таких условиях и полностью сосредоточиться на ИТ-импортозамещении. Например, российские «коробочные» SIEM позволяют выполнить значительную часть требований 239-го Приказа ФСТЭК, интегрированы как с отечественными, так и с иностранными ОС, БД, ИБ-системами и прикладным ПО. |
В третьем квартале 2025 года регуляторы продолжили тренд на введение дополнительных ИБ-требований, которые коснутся большей части организаций. Выполнять их придется в сжатые сроки. Некоторые задачи, например, обезличивание, будут в новинку для многих российских компаний. Однако, для выполнения большинства новых требований уже наработана успешная практика.
В следующем материале мы расскажем о том, что изменится в ИБ-регулировании за октябрь-декабрь этого года. А в завершение дайджеста, как обычно, делимся полезными ИБ-материалами:
1. , на котором наш эксперт разобрал, как организациям госсектора выполнить задачу по взаимодействию с ГосСОПКА.
2. по уголовным делам, связанным с внутренними инцидентами ИБ за 2024-2025 годы.
3. в российских организациях за 2024-2025 годы.
