В Москве прошла четвёртая межотраслевая конференция АБИСС по регуляторике в сфере информационной безопасности. Открыла мероприятие пленарная сессия «Системное развитие ИБ-регуляторики», в рамках которой представители регуляторов поделились актуальными планами, а также дали свои комментарии и пояснения по вопросам регуляторики в сфере ИБ. Модератором сессии выступила Анастасия ХАРЫБИНА, председатель АБИСС.

ФСТЭК России: изменение требований в части КИИ

Первой о ключевых направлениях работы рассказала Елена Торбенко, начальник управления ФСТЭК России. Важным изменением станет расширение регуляторики по категорированию объектов КИИ, в том числе введение перечней типовых отраслевых объектов КИИ, которые формируют отраслевые регуляторы. На сегодня ФСТЭК России согласовано 12 из 14 проектов. После согласования полного комплекта Перечни будут введены в действие Постановлением Правительства РФ.

Параллельно ведётся работа над отраслевой спецификой процесса категорирования: для 14 сфер подготовлены отдельные проекты постановлений, которые определяют особенности категорирования, расчёта показателей и состава комиссий в каждой из них.

Планируется актуализация показателей и критериев значимости объектов КИИ. Изменения затронут показатели для организаций оборонно-промышленного комплекса, банковского сектора и сферы связи. Проект новой редакции Постановления Правительства № 128, определяющего порядок категорирования, находится на этапе согласования. Указанные изменения направлены на облегчение проведения категорирования субъектами в части ранее неоднозначных критериев, а также для исключения возможности искусственного занижения значимости объектов. Было отдельно отмечено, что по итогам проверок по нарушению требований в отношении субъектов КИИ только за 2025 год заведено порядка 350 административных дел.

Ещё одно важное изменение уже вступило в силу: дополнена форма подачи сведений в реестр КИИ. Появились две новые графы: для указания доменных имён и IP-адресов, используемых объектами, а также для ссылки на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать эти данные, направив информацию в ФСТЭК в упрощённом порядке.

Ожидается, что все ключевые документы будут утверждены до конца года.

В планах регулятора на следующий год – пересмотр требований по безопасности для значимых объектов КИИ. Запланированы изменения в Приказы № 235 и 239, сообразные последним изменениям в Приказе № 117 относительно государственных информационных систем. Также работа ведётся в направлении одной из самых проблемных тем – закрепление требований к подрядчикам, обслуживающим объекты КИИ. Это должно помочь в минимизации рисков, связанных с цепочками поставок, через которые происходит большинство инцидентов.

ФСБ России: точечная настройка криптографии

Следующим с разъяснением актуальных изменений выступил Алексей Петров, начальник экспертного подразделения ФСБ России. В текущем году ФСБ России планирует выпустить новые, уточняющие требования к средствам криптографической защиты информации (СКЗИ). Планируются изменения в Постановление Правительства РФ от 15.04.2014 г. № 313 в части IoT –
прорабатывается вопрос формирования класса устройств, используемых в гражданских целях, связанных с массовым использованием криптографических средств защиты, и его выведением из-под лицензирования.

Отдельно он упомянул о недавно подписанных уточнённых требованиях к значимым платёжным системам, платёжным картам, терминалам, банкоматам, HSM-модулям.

Также Алексей Петров напомнил про новый Приказ ФСБ России от 18.03.2025 г. № 117, в котором закреплена необходимость использования СКЗИ в государственных информационных системах и обязанность согласования модели угроз и технических заданий на создание (развитие) государственных информационных систем с ФСБ России.

Банк России: защита клиентов и операционной надёжности

Продолжил блок выступлений Антон Чернодед, руководитель направления Департамента информационной безопасности Банка России.

Он рассказал о нововведениях Положения БР № 851-П, которое вышло в начале года и уже введено в действие. Поскольку документ направлен на защиту граждан от несанкционированных переводов денежных средств, отдельно были отмечены следующие требования: вести детальный цифровой след каждого перевода посредством широкой регистрации событий, сообщать обо всех операциях по картам несовершеннолетних их родителям, а также внедрить функционал для оперативного заявления о мошеннических действиях в мобильные приложения.

Дополнительно Антон Чернодед прокомментировал процесс определения уровня защиты для организаций, ведущих различные виды деятельности (например, одновременно попадая под требования Положений БР № 851-П и № 757-П): в случае использования единой инфраструктуры, реализация мер и оценка соответствия должны проходить по наивысшему уровню защиты из применимых положений.

Он также затронул тему операционной надёжности: сигнальные и контрольные значения для показателей операционной надёжности были зафиксированы в новом Положении БР № 850-П, поскольку, как поясняет представитель мегарегулятора, некоторые компании намеренно их занижали при самостоятельном определении.

Значимым кредитным организациям представитель Банка России напомнил о необходимости внедрять СКЗИ в системы ДБО для работы платформы цифрового рубля, а микрофинансовым организациям – о скором распространении на них требований как по информационной безопасности, так и операционной надёжности.

Была упомянута и работа технического комитета № 122: совместными усилиями БР, ФСТЭК России и экспертного сообщества проводится работа по актуализации всего семейства стандарта ГОСТ Р 57580. Так, например, Антон Чернодед сообщает, что разработка новой версии ГОСТ Р 57580.1 находится в финальной стадии, а сам документ увидит свет, предположительно, в начале 2026 года.

Также Антон Чернодед подтвердил, что у ЦБ РФ есть планы по разработке отдельного стандарта безопасности аутсорсинга технологических процессов. Однако он также упомянул, что при разработке этого стандарта стоит обратить внимание в целом на подрядные организации, а не только аутсорсинг технологических процессов. В качестве примера он привёл аудиторские компании, которые имеют доступ и хранят большой массив чувствительной и критической информации о кредитных организациях, но к ним не предъявляются аналогичные требования и не проводится оценка.

Ещё одной центральной темой обсуждения на конференции АБИСС стала саморегуляция в сфере информационной безопасности. Динамичное развитие рынков ИТ и ИБ опережает возможности государственного регулирования, что неизбежно порождает «серые зоны». В этих условиях появление добровольных систем сертификации (СДС) – насущная необходимость. Рынок самостоятельно создаёт механизмы для обеспечения доверия и стандартизации в тех областях, куда регулятор пока не успел дойти. Создание СДС, инициированное самими участниками рынка, является эффективным способом заполнить правовые вакуумы и заложить основу для решения серьёзных отраслевых задач.

В дискуссии приняли участие эксперты АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.

В рамках мероприятия, корреспонденты Национального Банковского Журнала (NBJ) взяли комментарии у партнеров и участников конференции.

Материал также опубликован  в печатной версии Национального банковского журнала (октябрь 2025)