ФСТЭК, ЦБ и ФСБ озвучили планы по изменению регулирования в сфере ИБ на конференции АБИСС

В Москве прошла четвертая межотраслевая конференция АБИСС по регуляторике в сфере информационной безопасности. Открыла мероприятие пленарная сессия «Системное развитие ИБ-регуляторики», в рамках которой представители ключевых регуляторов поделились актуальными планами, а также дали свои комментарии и пояснения по вопросам регуляторики в сфере ИБ. Модератором сессии выступила Анастасия Харыбина, председатель АБИСС.

Первой о ключевых направлениях работы рассказала Елена Борисовна Торбенко, начальник управления ФСТЭК России. Важным изменениям станет расширение регуляторики по категорированию объектов КИИ, в том числе введение перечней типовых отраслевых объектов КИИ, которые формируют отраслевые регуляторы. На сегодняшний день ФСТЭК России согласовано 12 из 14 проектов. После согласования полного комплекта Перечни будут введены в действие Постановлением Правительства РФ.

Параллельно ведется работа над отраслевой спецификой процесса категорирования: для 14 сфер подготовлены отдельные проекты постановлений, которые определяют особенности категорирования, расчета показателей и состава комиссий в каждой из них.

Также планируется актуализация показателей и критериев значимости объектов КИИ. Изменения затронут показатели для организаций оборонно-промышленного комплекса, банковского сектора и сферы связи. Проект новой редакции Постановления Правительства № 128, определяющего порядок категорирования, находится на этапе согласования. Указанные изменения направлены на облегчения проведения категорирования субъектами в части ранее не однозначных критериев, а также для исключения возможности искусственного занижения значимости объектов. Было отдельно отмечено, что по итогам проведения проверок по нарушению требований в отношении субъектов КИИ только за 2025 год заведено порядка 350 административных дел.

Еще одно важное изменение уже вступило в силу: дополнена форма подачи сведений в реестр КИИ. Появились две новые графы: для указания доменных имен и IP-адресов, используемых объектами, а также для ссылки на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать эти данные, направив информацию в ФСТЭК России в упрощенном порядке. Ожидается, что все ключевые документы будут утверждены до конца года.

В планах регулятора на следующий год — пересмотр требований по безопасности для значимых объектов критической информационной инфраструктуры. Запланированы изменения в Приказы № 235 и 239, сообразные последним изменениям в Приказе № 117 относительно государственных информационных систем. Также работа ведется в направлении одной из самых проблемных тем — закрепление требований к подрядчикам, обслуживающим объекты КИИ. Это должно помочь в минимизации рисков, связанных с цепочками поставок, через которые происходит большинство инцидентов.

Следующим с разъяснением актуальных изменений выступил Алексей Петров, начальник экспертного подразделения ФСБ России. В текущем году ФСБ России планирует выпустить новые, уточняющие требования к средствам криптографической защиты информации (СКЗИ). Планируются изменения в Постановление Правительства РФ от 15.04.2014 г. № 313 в части IoT — прорабатывается вопрос формирования класса устройств, используемых в гражданских целях, связанных с массовым использованием криптографических средств защиты, и его выведением из-под лицензирования.

Отдельно Алексей Владимирович упомянул о недавно подписанных уточненных требованиях к значимым платежным системам, платежным картам, терминалам, банкоматам, HSM-модулям.

Также Алексей Петров напомнил про новый Приказ ФСБ России от 18.03.2025 г. № 117, в котором закреплена необходимость использования СКЗИ в государственных информационных системах, и обязанность согласования модели угроз и технических заданий на создание (развитие) государственных информационных систем с ФСБ России.

Продолжил блок выступлений Антон Чернодед, начальник отдела Департамента информационной безопасности Банка России.

Он подробно рассказал о нововведениях Положения БР № 851-П, которое вышло в начале года и уже введено в действие. Поскольку документ направлен на защиту граждан от несанкционированных переводов денежных средств, отдельно были отмечены следующие требования: вести детальный цифровой след каждого перевода посредством широкой регистрации событий, сообщать обо всех операциях по картам несовершеннолетних их родителям, а также внедрить функционал для оперативного заявления о мошеннических действиях в мобильные приложения.

Эксперт прокомментировал процесс определения уровня защиты для организаций, ведущих различные виды деятельности (например, одновременно попадая под требования Положений БР № 851-П и № 757-П): в случае использования единой инфраструктуры, реализация мер и оценка соответствия должны проходить по наивысшему уровню защиты из применимых положений.

Антон Чернодед затронул тему операционной надежности: сигнальные и контрольные значения для показателей операционной надежности были зафиксированы в новом Положении БР № 850-П, поскольку, как поясняет Антон Игоревич, некоторые компании намеренно их занижали при самостоятельном определении.

Значимым кредитным организациям представитель Банка России напомнил о необходимости внедрять СКЗИ в системы ДБО для работы платформы цифрового рубля, а микрофинансовым организациям о скором распространении на них требований как по информационной безопасности, так и операционной надежности.

Была упомянута и работа технического комитета № 122: совместными усилиями БР, ФСТЭК России и экспертного сообщества проводится работа по актуализации всего семейства стандарта ГОСТ Р 57580. Так, например, Антон Игоревич сообщает, что разработка новой версии ГОСТ Р 57580.1 находится в финальной стадии, а сам документ увидит свет, предположительно, в начале 2026 года.

Еще одной центральной темой обсуждения на конференции АБИСС стала саморегуляция в сфере информационной безопасности. Динамичное развитие рынков ИТ и ИБ опережает возможности государственного регулирования, что неизбежно порождает «серые зоны». В этих условиях появление добровольных систем сертификации (СДС) — насущная необходимость. Рынок самостоятельно создает механизмы для обеспечения доверия и стандартизации в тех областях, куда регулятор пока не успел дойти. Создание СДС, инициированное самими участниками рынка, является эффективным способом заполнить правовые вакуумы и заложить основу для решения серьезных отраслевых задач. В дискуссии приняли участие эксперты АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.

В этом году на конференции собралось около 700 участников. Конференция АБИСС очередной раз подтвердила свой статус важнейшей отраслевой площадки, способствующей открытому диалогу между регуляторами, поднадзорными и поставщиками.