Обзор изменений в законодательстве за май 2026 года

В обзоре изменений за май 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим официально опубликованные документация:

• порядок аккредитации центров ГосСОПКА;

• правила проверки сведений о категорировании объектов КИИ в атомной отрасли;

• изменения в перечне типовых отраслевых объектов КИИ РФ.

Изучим методику оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ.

2. Персональные данные

Разберем изменения в порядке обезличивания и формирования составов ПДн.

3. Иное

Рассмотрим официально опубликованные требования к ИБ облачных услуг Гособлако.

Разберем изменения в положениях о лицензировании деятельности в сферах СТС и криптографии.

Изучим апдейт требований к защите информации при предоставлении вычислительных мощностей государственным органам.

4. ФСТЭК России

Рассмотрим справку-доклад о ходе работ по плану ТК 362 по состоянию на 27 мая 2026 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Порядок аккредитации центров ГосСОПКА

20 мая Федеральная служба безопасности Российской Федерации (далее – ФСБ России, РФ) официально опубликовала приказ от 22.04.2026 № 161 «Об утверждении Порядка аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) и Требований к центрам ГосСОПКА, а также к аккредитованным центрам».

Документ устанавливает порядок оценки соответствия заявителей требованиям, предъявляемым к центрам ГосСОПКА, проводимой Центром защиты информации и специальной связи ФСБ России.

Подробнее с документом можно прочитать в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

• убран пункт с фиксированным сроком действия аккредитации (5 лет), тем не менее согласно рекомендуемому образцу аттестата аккредитации дедлайн действия не может превышать 5 лет, что допускает установление более короткого периода аккредитации;

• добавлены процентные критерии успешного прохождения проверки знаний работников соискателя (тест считается пройденной, если не менее 75% присутствующих сотрудников, а также руководитель и его заместитель правильно выполнили не менее 75% тестовых заданий);

• сокращен дедлайн ожидания для повторной подачи документов с 25 до 5 рабочих дней, если причиной отказа стало представление неполного комплекта документов и сведений;

• добавлен образец аттестата аккредитации (приложение №1 к документу);

• исключено приложение № 4, содержавшее подробную таблицу требований к знаниям и навыкам сотрудников для каждой должности, однако в пункт 21 приложения № 2 Требований к центрам ГосСОПКА были включены общие требования к знанию нормативных правовых актов, национальных и международных стандартов, а равным образом методических документов;

• разрешено передавать производителям программного обеспечения (далее – ПО) информацию об уязвимостях их продуктов.

Правила проверки сведений о категорировании объектов КИИ в атомной отрасли

21 мая Государственной корпорацией по атомной энергии «Росатом» (далее – Госкорпорация «Росатом») официально опубликован приказ от 20.03.2026 № 1/9-НПА «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры (далее – КИИ) РФ, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127».

Подробнее с документом можно прочитать в обзоре за декабрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

• установлен переходный период для 2026 года (направление запроса Госкорпорации «Росатом» субъектам КИИ должно быть обеспечено в срок до 01.07.2026, а подготовка и подписание решения о графике проведения оценки по месту нахождения объектов КИИ – в срок до 01.09.2026);

• ежегодный запрос сведений от Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) обо всех субъектах КИИ в области атомной энергии заменен на прямое взаимодействие с субъектами КИИ на основании имеющихся данных о категорировании;

• из требований к организациям, которые Госкорпорация «Росатом» может привлекать к оценке, исключено требование о наличии основного вида деятельности в области информационных технологий.

Методика оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ

22 мая опубликовано информационное сообщение ФСТЭК России № 240/92/3506 о разработке проекта методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации (далее – ТЗИ) в информационных системах (далее – ИС) и обеспечения безопасности значимых объектов КИИ РФ».

Методика будет определять порядок оценки уровня зрелости деятельности по:

• ТЗИ, не составляющей государственную тайну, содержащейся в ИС;

• обеспечению безопасности значимых объектов КИИ.

Методика будет предназначена для оценки уровня зрелости данной деятельности на соответствие требованиям следующих нормативных правовых актов ФСТЭК России:

• требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее – ГИС), утвержденные приказом ФСТЭК России от 11.04.2025 № 117 (далее – требования к защите информации ГИС);

• требования к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31;

• требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239;

• требования к обеспечению защиты информации в автоматизированных системах управления (далее – АСУ) производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2014 № 31;

• состав и содержание организационных и технических мер по обеспечению безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн), утвержденные приказом ФСТЭК России от 18.02.2013 № 21.

Методика будет применяться:

• операторами ИС и значимых объектов КИИ (для оценки уровня зрелости при эксплуатации ИС и значимых объектов КИИ);

• подрядными организациями (для подтверждения уровня зрелости при оказании услуг, проведении работ);

• государственными органами и организациями, в том числе субъектами КИИ, являющимися заказчиками услуг или работ (для установления требований к уровню зрелости при оказании услуг и проведении работ);

• операторами ИСПДн (для подтверждения уровня зрелости деятельности в области обеспечения безопасности ПДн, обрабатываемых в ИСПДн);

• ФСТЭК России (для оценки эффективности деятельности, осуществляемой операторами и подрядными организациями).

Оценка уровня зрелости будет проводиться оператором самостоятельно или с привлечением внешней организации, имеющей лицензию на деятельность в области технической защиты конфиденциальной информации (далее – ТЗКИ).

Одновременно в методике отдельно уточняется, что внешняя оценка уровня зрелости обладает более высокой объективностью.

ООО «УЦСБ» обладает глубокой экспертизой в проведении комплексных аудитов и целиком соответствует критериям регулятора. Компания имеет официальные лицензии ФСТЭК России на:

• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года);

• деятельность по разработке и (или) производству средств защиты конфиденциальной информации (далее – СрЗИ) (№Л050-00107-00/00579687 от 08 октября 2007 года).

Новая методика определит следующую шкалу уровня зрелости:

• нулевой (отсутствует);

• начальный;

• системный;

• контролируемый;

• верифицируемый.

Оценка уровня зрелости будет включать в себя следующие ключевые этапы:

• Определение оцениваемых направлений деятельности и целевого уровня зрелости

В контексте оценки рассматривается 21 базовое направление деятельности. Для каждого из них целевой уровень зрелости определяется с учетом результатов текущей оценки.

• Сбор и аналитика исходных данных

В процессе этапа осуществляется сбор и изучение внутренних документов и материалов организации, проводятся интервью с ответственными специалистами, а равным образом выполняется детальный технический аналитика функционирования программных и программно-аппаратных средств ИС.

• Определение текущего и итогового (общего) уровня зрелости

В ходе оценки проводится проверка соответствия установленным критериям. Для каждого типа требований рассчитывается процент выполнения по утвержденной математической формуле.

• Документирование

По итогам работ формируется подробный отчет, включающий визуализацию результатов оценки (в том числе сравнительные диаграммы текущего и целевого уровней зрелости), рекомендации и поэтапный план мероприятий по повышению уровня защиты информации, а также иные сопутствующие материалы.

Изменения в перечне типовых отраслевых объектов КИИ РФ

29 мая официально опубликовано распоряжение Правительства РФ от 27.05.2026 № 1237-р.

Распоряжением вносятся изменения в перечень типовых отраслевых объектов КИИ РФ, утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р.

Изменения затронули типовые объекты КИИ в сфере энергетики.

Уточнены следующие признаки значимости для ИС, АСУ, информационно-телекоммуникационных сетей (далее – ИТКС), предназначенных для контроля и управления технологическим оборудованием и электротехническими процессами тепловых электростанций (электроцентралей) (за исключением атомных электростанций):

• в типовые процессы (функции), выполняемые типовыми объектами КИИ РФ, добавлены:

  • управление теплогенерирующими энергоустановками тепловой электростанции;

  • контроль параметров теплогенерирующих энергоустановок тепловой электростанции.

• исключен вид деятельности субъекта КИИ РФ 35.3 (производство, передача и распределение пара и горячей воды; кондиционирование воздуха);

• дополнен вид деятельности субъекта КИИ РФ 35.30.11 (производство пара и горячей воды (тепловой энергии) тепловыми электростанциями)

Из перечня типовых отраслевых объектов КИИ РФ исключены ИС, АСУ, ИТКС, предназначенные для управления технологическими процессами котельной (за исключением атомных электростанций).

Персональные данные

Изменения в порядке обезличивания и формирования составов ПДн

5 мая Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликовало проект постановления Правительства РФ «О внесении изменений в акты Правительства РФ».

Проект предусматривает внесение изменений в постановления Правительства РФ, регулирующих вопросы обезличивания ПДн и функционирования Единой информационной платформы национальной системы управления данными (далее – ЕИП НСУД).

В правилах обезличивания ПДн, утвержденных постановлением Правительства РФ от 01.08.2025 № 1154, изменения коснутся порядка предоставления обезличенных ПДн при использовании метода преобразования (агрегации массива ПДн). Данные будут предоставляться в Минцифры России через ЕИП НСУД.

В правила формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн, утвержденные постановлением Правительства РФ от 26.06.2025 № 961, внесут следующие изменения:

• документ дополнится нормой, позволяющей включать в состав обезличенных ПДн сторонние сведения (статистические показатели, пространственные данные и иную информацию, полученную в том числе на основании соглашений между обладателями информации и Минцифры России);

• для Минцифры России будет введена обязанность уведомлять ФСБ России о факте использования дополнительных данных в составе обезличенных ПДн.

В положение о федеральной государственной информационной системе «ЕИП НСУД», утвержденное постановлением Правительства РФ от 14.05.2021 № 733, внесут следующие изменения:

• обновится понятие «составы данных», будет прямо указано, что в них могут входить не только обезличенные ПДн, но и иная информация (дополнительные данные), предусмотренная правилами формирования составов ПДн;

• к поставщикам подсистемы обработки обезличенных данных ЕИП НСУД будут отнесены обладатели другой информации, которая используется для формирования составов обезличенных данных.

Дата окончания публичного обсуждения 13 мая 2026 года.

Иное

Требования к ИБ облачных услуг Гособлако

20 мая официально опубликован приказ Минцифры России от 02.12.2025 № 1106 «Об утверждении Требований к обеспечению информационной безопасности (далее – ИБ) в контексте предоставления облачных услуг посредством государственной единой облачной платформы (далее – Гособлако)».

Требования разработаны с целью обеспечения устойчивого функционирования Гособлака с надлежащим уровнем ИБ, минимизации ущерба и предотвращения отказа функционирования информационно-телекоммуникационной инфраструктуры (далее – ИТКИ), в рамках которой поставщиками предоставляются облачные услуги, а равным образом во исполнение постановления Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о Гособлаке».

ИТКИ должна соответствовать:

• требованиям к защите информации ГИС;

• требованиям, установленным составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности, установленным приказом ФСБ России от 10.07.2014 №378;

• требованиям о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств, утвержденных приказом ФСБ России от 18.03.2025 № 117.

Мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак (включая защиту от атак типа «отказ в обслуживании») должны выполняться аккредитованными центрами ГосСОПКА.

Технические средства, которые обрабатывают информацию, СрЗИ, а также средства, которые обеспечивают функционирование центров обработки данных, должны размещаться на территории РФ.

Программные и аппаратные компоненты ИТКИ должны быть реализованы на отечественных продуктах, включенных в соответствующие реестры российского или евразийского ПО, а СрЗИ должны иметь соответствующие сертификаты.

Каждый поставщик, предоставляющий облачные услуги, должен определить структурное подразделение, ответственное за защиту информации, а также за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты, в котором должны проводиться следующие мероприятия:

• выявление и оценка угроз безопасности информации;

• контроль конфигурации ИТКИ;

• управление уязвимостями;

• мониторинг ИБ;

• контроль уровня защищенности информации, содержащейся в ИТКИ;

• обнаружение, предупреждение и ликвидация последствий компьютерных атак, и реагирование на компьютерные инциденты.

Изменения в положениях о лицензировании деятельности в сферах СТС и криптографии

19 мая ФСБ России опубликовала проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ».

Проект предусматривает внесение изменений в следующие постановления Правительства РФ:

• № 770 от 01.07.1996 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением с целью продажи, ввоза в РФ и вывоза за ее пределы специальных технических средств (далее – СТС), предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и Перечня видов СТС, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности»:

  • регистрации и учета СТС будет прямо возлагаться на юридических лиц и индивидуальных предпринимателей (далее – ИП);

  • будет добавлен новый объект учета (нормативно-техническая документация на производство и использование СТС).

• № 313 от 16.04.2012 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, ИС и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или ИП)»:

  • часть работ в отношении шифровальных (криптографических) средств смогут проводиться без привлечения лицензиата ФСБ России юридическими лицами или ИП для обеспечения собственных нужд, если проведение указанных работ предусмотрено эксплуатационной документацией.

Дата окончания общественного обсуждения 3 июня 2026 года.

Обновление требований к защите информации при предоставлении вычислительных мощностей государственным органам

25 мая Минцифры России представило проект приказа «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к ИТКС «Интернет», операторам ГИС, иных ИС государственных органов, муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».

Концептуальных изменений свежий приказ не содержит, формат требований не изменилась. Документ будет переиздан для актуализации затронутых в нем нормативно-правовых актов в смежных областях регулирования.

Аналогичный приказ Минцифры России от 31.07.2024 № 677 будет признан утратившим силу.

Вступление в силу приказа запланировано на 1 сентября 2026 года.

Дата окончания общественного обсуждения 24 июня 2026 года.

ФСТЭК России

Деятельность ТК 362 в мае 2026 года

6 мая ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 27 мая 2026 года.

В интересах выполнения плана были проведены следующие работы:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации» направлен разработчику на издательское редактирование и подготовку к утверждению в интересах представления проекта национального стандарта в Федеральное агентство по техническому регулированию и метрологии;

• ГОСТ Р «Безопасность информации. Доверенная среда исполнения. Общие положения» доработан и подготавливается разработчиком для представления в секретариат ТК 362 (плановый дедлайн представления проекта национального стандарта в ТК 362 – июнь 2026 года). Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ;

• ГОСТ Р «Безопасность информации. Доверенная среда исполнения. Требования к аппаратно-программной платформе» доработан разработчиком (плановый дедлайн представления проекта национального стандарта в ТК 362 – июль 2026 года);

• в организации-разработчики – члены ТК 362 направлены информационные письма о необходимости представления в секретариат ТК 362 справок о состоянии работ по разработке проектов национальных стандартов согласно плану работы ТК 362;

• подход о создании рабочей группы (далее – РГ) 2/4 по разработке проекта национального стандарта ГОСТ Р «Безопасность информации. Разработка безопасного ПО. Среда разработки безопасного ПО. Общие требования», назначении руководителя и утверждении состава РГ 2/4 направлено руководителю РГ 2/4.

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

• реестр лицензий на деятельность по ТЗКИ;

• реестр лицензий на деятельность по разработке и производству СрЗИ;

• государственный реестр сертифицированных СрЗИ;

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;

• реестр аккредитованных ФСТЭК России органов по сертификации;

• реестр аккредитованных ФСТЭК России испытательных лабораторий;

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

• перечень сертификатов соответствия процессов безопасной разработки ПО.

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

• деятельность по разработке и (или) производству СрЗИ (№Л050-00107-00/00579687 от 08 октября 2007 года);

• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года).

Автор: Виктор Бармак, аналитик УЦСБ