Продолжаем серию материалов об изменениях в регулировании вопросов защиты информации. В этом дайджесте расскажем о том, что изменилось в январе-марте 2026.
Какие изменения уже произошли:
- С 1 марта вступил в силу приказ ФСТЭК России № 117. Акт вводит новые требования к защите информационных систем государственных органов, учреждений и предприятий. В частности, установлены обязательные меры по защите конечных устройств, обеспечению ИБ при работе с подрядчиками и использовании ИИ-решений. О разработке приказа и основных его отличиях мы писали ранее здесь и здесь. Приказ ФСТЭК России № 17 от 11.02.2013 утратил силу.
- Перечень типовых объектов КИИ в различных отраслях утвержден распоряжением Правительства № 360-Р от 26.02.2026. С принятием этого акта меняется подход к определению систем, относящихся к КИИ. Теперь организациям, имеющим у себя типовые объекты из приложенных к распоряжению перечней, необходимо пройти категорирование и выполнять обязанности субъектов КИИ. О подготовке перечней мы писали в дайджесте за апрель-июнь 2025 года.
- Утверждено и вступило в силу постановление Правительства РФ от 04.03.2026 № 226 «О внесении изменений в постановление Правительства РФ от 3 ноября 1994 г. № 1233». Документ расширяет круг действия более ранних требований к защите информации для служебного пользования. Теперь меры ИБ, ранее предусмотренные только для федеральных органов власти, распространены и на другие организации госсектора. Кроме того, документ содержит требования по защите цифровой информации ДСП, регламентирует маркировку и передачу конфиденциальных электронных документов. Ранее мы писали о проекте этого постановления здесь и здесь.
- Принят и одобрен Советом Федерации закон о введении штрафов в 100-500 тысяч рублей за нарушения при эксплуатации объектов КИИ даже в отсутствие инцидентов. Также ожидает подписания Президентом закон об освобождении от уголовной ответственности ИБ-специалистов, содействовавших расследованию инцидентов с неправомерным воздействием на КИИ. Ранее об этих инициативах писали здесь. Вступление в силу новых законов ожидается в течение 2 квартала 2026 года.
Методичка, которую ждали все
Что произошло?
Официально:
ФСТЭК России опубликовала проект методического документа «Мероприятия и меры по защите информации, содержащейся в информационных системах». В документе отражен состав базовых и дополнительных прикладных ИБ-мероприятий для реализации в ИС различных классов защищенности в госсекторе.
Методический документ содержит прямые указания о применении средств защиты определенных классов для реализации некоторых ИБ-мер (например, DLP-систем при предотвращении неправомерной передачи информации ограниченного доступа). Также в проект акта включены требования, которые касаются документирования ИБ-мероприятий.
Фактически:
Документ серьезно отличается от таблицы, приведенной в ранее действовавшем приказе № 17.
Классов защищенности будет три, а не четыре. Это значит, что защиту систем, ранее относившихся к 4-му классу защищенности, необходимо будет повысить до более высоких уровней. Структура задач по защите информации также изменится. Для каждой задачи предусмотрен состав базовых и дополнительных прикладных мер в зависимости от класса защищенности системы. Также разработаны требования к документированию процессов ИБ в локальных актах организации.
В части технической защиты информации введено более 30 новых требований, а также закреплена техническая ИБ-терминология. Отдельные ИБ-мероприятия и их разделы, например, «Антивирусная защита», «Защита мобильных устройств» значительно расширены. Введены новые блоки требований, например, «Защита информации ограниченного доступа», «Защита личных устройств», «Защита систем искусственного интеллекта». Они содержат подробные описания необходимых ИБ-мер. В некоторых случаях указаны применимые классы ИБ-решений.
Комментарий:
Каждый блок методологии – это «техническое задание», в котором указаны конкретные функции или даже классы СЗИ. Поэтому легко определить, какие решения необходимо внедрить для выполнения тех или иных мер. Например, для реализации контекстной проверки исходящего трафика (ЗКС.5) и усиления защиты информации ограниченного доступа (раздел 3.5), методология прямо предписывает использовать DLP-системы.
Методология сформирует общий ландшафт защиты информации в системах разных классов защищенности. Поэтому, с применением методологии, сформируются типовые наборы ИБ-решений для организаций с разным уровнем защиты. В будущем это позволит быстро тиражировать опыт выполнения 117-го приказа и упростить планирование создания ИТ- и ИБ-систем.
Методический документ ФСТЭК даже на стадии проекта – это уже руководство к действию для операторов и пользователей информационных систем. Поскольку 117-й приказ уже работает, техническим специалистам ИБ-подразделений необходимо, согласно предписаниям ФСТЭК, в сжатые сроки разработать внутренние стандарты, политики и регламенты в соответствии с приказом, провести аудит реализуемых мер защиты информации и аттестацию ИС. Затем следует сопоставить их с указаниями из методологии, спланировать масштабирование и внедрение средств защиты, подготовить для руководства предложения в части ресурсного обеспечения ИБ.
Кто в ответе за утечки у подрядчиков?
Что произошло?
Официально:
Верховный Суд вынес постановление, согласно которому административную ответственность за нарушения с персональными данными несет их изначальный оператор, даже если данные хранились у подрядчика и пострадали в результате атаки на него.
Суд отметил, что оператор персональных данных не может быть признан невиновным в нарушении, если он не реализует меры по контролю и аудиту соответствия закону процессов обработки и мер по защите информации.
Фактически:
Позиция Верховного Суда закрепила сложившуюся практику привлечения к административной ответственности изначальных операторов персональных данных в случаях, если эта информация передана для обработки другим организациям.
На деле это значит, что операторам необходимо убедиться, что подрядчики должным образом выполняют меры по защите персональных данных. А чтобы реально снизить риск ответственности, контролировать процесс нужно постоянно и проверять подрядчиков регулярно.
Также в акте Верховного Суда отражено, итоги каких мероприятий необходимо представить Роскомнадзору и суду для решения вопроса о невиновности организации в инциденте.
Комментарий:
Постановление Верховного Суда – прецедентное. Оно закрепляет уязвимое с правовой точки зрения положение операторов персональных данных, которые пользуются услугами сторонних организаций по хранению и обработке персональных данных.
Возможности контроля и воздействия на подрядчиков со стороны заказчика на деле ограничены. Как правило, операторы не имеют доступа к полной информации об ИБ-процессах контрагентов и не могут на них повлиять. Исключение – если и оператор, и подрядчик входят в одну группу компаний. Поэтому передача персональных данных для обработки «на сторону» часто становится фактором риска даже для тех компаний, которые реализуют в своей инфраструктуре полный набор ИБ-мер.
Еще один риск возникает в случае, если данные о гражданах передаются по требованию органов власти. В таком случае неясно, какая из сторон понесет ответственность при утечке персданных данных из систем госструктур.
Снизить эти риски можно несколькими способами. Во-первых, оператор может вернуться к обработке персональных данных в собственных системах. В этом случае защищать информацию и инфраструктуру можно своими силами – или привлекать провайдеров ИБ-аутсорсинга. Тогда процессы обработки персональных данных станут более контролируемыми и управляемыми.
Во-вторых, оператор может требовать от подрядчика, чтобы тот принимал конкретные меры защиты данных – и закрепить это в условиях обработки передаваемых персональных данных. Также в документе следует отразить право оператора на контроль процессов по защите информации. В таком случае, если утечка на стороне подрядчика произойдет, изначальный оператор сможет доказать свою невиновность – меры соответствуют условиям, которые описал Верховный Суд.
Кроме этого, для организаций-обработчиков персональных данных становятся более актуальными проведение аудита защиты и внедрение современных средств ИБ, в частности:
- DCAP-систем для категоризации защищаемых данных, желательно с возможностью ручной категоризации и надежным разграничением доступа к выбранным категориям;
- DLP-систем для защиты данных от внутренних угроз («пробива», ошибок сотрудников, утечек вследствие социальной инженерии);
- SIEM-систем для оперативного выявления инцидентов;
- Криптографических средств или решений для обезличивания данных.
Для организаций, предоставляющих услуги по хранению и обработке ПДн, внедрение таких СЗИ, наличие заключений о соответствии требованиям законодательства и открытость при взаимодействии с заказчиками станут конкурентным преимуществом и помогут минимизировать риск и возможные последствия инцидентов.
Ужесточение ИБ-требований в финсекторе
Что произошло?
Официально:
Утверждено и вступает в силу с 2027 года Указание Банка России № 7219-У от 28.10.2025 «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П».
Изменения касаются введения:
- стандартного уровня защиты информации для любых страховых организаций и НПФ независимо от объема их средств;
- минимального уровня защиты информации для микрофинансовых организаций;
- дополнительных требований к оценке и расчету показателей уровня защиты информации в соответствии с Указаниями Банка России № 6406-У, 7119-У, 6796-У, 7122-У, 7124-У (в зависимости от видов деятельности организации);
- дополнительных требований к действиям организаций в случае выявления компьютерных атак, инцидентов ИБ, утечек информации и срокам взаимодействия с Банком России в случае возникновения таких событий.
Фактически:
Регулятор установил более высокий уровень ИБ-требований для организаций финсектора. В первую очередь это требования к отчетности об инцидентах. Организациям финсектора со стандартным и усиленным уровнем защиты (страховые компании, НПФ, биржи), а также имеющим значимые объекты КИИ дается 3 часа на то, чтобы сообщить в ЦБ об инциденте. Для остальных некредитных организаций такой срок составит 24 часа. Отчитываться о расследовании инцидентов в ЦБ необходимо в течение 30 дней с момента обнаружения, теперь это обязательное требование.
Во-вторых, регулятор вводит дополнительные обязательные прикладные мероприятия для финансовых организаций. Например, реализация мер по защите от утечек становится обязательной для всех страховых компаний, пенсионных фондов, регистраторов, депозитариев. МФО должны будут вести мониторинг ИБ, обеспечивать сбор об ИБ-события от объектов ИС.
Кроме этого, становится обязательной оценка защищенности некредитных организаций. Для этого необходимо привлекать компании, лицензированные на деятельность в сфере защиты информации.
Комментарий:
Банк России усиливает внимание к защите информации в организациях финсектора. В частности, помимо принятия Указания, регулятор планирует усилить контроль за реализацией ИБ-мероприятий в аудиторских организациях и дисквалифицировать руководителей банков за нарушения в части ИБ. Новый акт следует воспринимать как часть общего регуляторного тренда на качественное усиление ИБ и ужесточение контроля за ее обеспечением.
По данным наших исследований, в финансовом секторе утечки данных случаются на 10% чаще, чем в других отраслях. Инициативы ЦБ повышают административную нагрузку на финсектор, но оправданы с точки зрения безопасности пользователей финансовых услуг и борьбы с ИТ-преступностью.
Указание способствует тому, что финансовые учреждения, в частности, МФО, страховщики, участники рынка ценных бумаг, пенсионные фонды станут больше вкладываться в прикладные ИБ-мероприятия. В частности, таким организациям нужно будет срочно внедрить или масштабировать системы мониторинга ИБ, защиты от утечек, антивирусной защиты, выявления уязвимостей, а также привлечь ИБ-подрядчиков для оценки защищенности. Основная нагрузка по выполнению новых требований ляжет на микрофинансовые организации, т.к. большинство требований в документе для них новые. Теперь им, как минимум, будут нужны решения для выявления и управления инцидентами ИБ, для контроля действий пользователей, продвинутые системы антивирусной защиты.
Представленные на рынке российские ИБ-продукты, например, ПО для мониторинга инцидентов ИБ, системы предотвращения утечек позволяют оперативно и в полной мере выполнить новые задачи технической защиты информации без перестройки ИТ-инфраструктуры. Основным аргументом для их внедрения и масштабирования в финсекторе в 2026-2027 годах станет предотвращение риска штрафов и санкций со стороны Банка России.
С прошлого года заметен регуляторный тренд на качественное усиление защиты информации в любых отраслях. Поскольку решение организационных вопросов ИБ уже регламентировано и отработано, власти уделяют большее внимание технике. Поэтому первый квартал нового года принес ИБ-службам много новых и трудоемких задач.
Техническая составляющая требований становится глубже, а основной задачей «бумажной» безопасности становится описание прикладных ИБ-мероприятий и закрепление правил поведения при создании и использовании информационных систем. В силу этого в 2026 году ожидается дальнейший рост интереса к комплексным решениям по защите информации. Техническая ИБ становится необходимой задачей для небольших организаций, например, бюджетных учреждений, МФО, компаний потребительского сектора. Поэтому важными факторами при выборе ИБ-средств станут стоимость внедрения и владения, их требования к ИТ-инфраструктуре и квалификации персонала, масштабируемость и многофункциональность.
В следующем материале мы расскажем о том, что изменится в ИБ-регулировании за апрель-июнь 2026 года. В завершение дайджеста традиционно делимся полезными ИБ-материалами:
- Исследование о внутренних ИБ-угрозах, оснащенности средствами защиты, ситуации с кадрами и финансированием ИБ в российских организациях разных отраслей по итогам 2025 года.
- Памятку с ИБ-правилами для сотрудников организаций-субъектов КИИ. Ее можно использовать при информировании и повышении ИБ-компетенций персонала.:
- Инструкцию о том, как рассчитать эффективность и стоимость владения ИБ-решениями.
Вопросы регулирования ИБ станут одной из основных тем межотраслевой конференции для руководителей ИБ-служб «Про ИБ без воды: практика от практиков». Мероприятие пройдет 22 апреля в Москве. Участие бесплатно для руководителей ИБ-подразделений. Отправить заявку на участие можно по ссылке.
