Персональные данные (ПДн)

18.03.2025 опубликован приказ Минцифры России от 06.03.2025 № 150 «Об утверждении доклада о правоприменительной практике организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации в 2024 году». В докладе рассматриваются вопросы идентификации и аутентификации с использованием биометрических персональных данных.

27.03.2025 опубликован проект приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных». В числе прочего проект нормативного акта устанавливает следующие положения:

• оператор ПДн при обезличивании должен гарантировать, что после этого данные не могут быть восстановлены без дополнительной информации;
• оператор обязан использовать системы, обеспечивающие безопасность таких ПДн;
• запрещено совместное хранение исходных и обезличенных ПДн;
• все действия по обезличиванию ПДн должны фиксироваться и иметь возможность подтверждения;
• в качестве основных методов обезличивания ПДн выделяются введение идентификаторов с переменным значением, семантическое изменение состава данных, их искажение, перемешивание или удаление.

14.04.2025 опубликованы проекты постановлений Правительства Российской Федерации «О порядке формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определённому признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и порядке предоставления доступа к составам таких данных» и «Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных».

28.04.2025 опубликовано постановление Правительства Российской Федерации от 24.04.2025 № 538 «Об утверждении перечня случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определённому признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных». При возникновении чрезвычайной ситуации, для противодействия терроризму, при введении чрезвычайного положения и карантина, а также при проведении исследований в сфере туризма, в экономической и социальной сферах для реализации миграционной политики и прогнозирования санитарно-эпидемиологической обстановки Минцифры России сможет формировать составы обезличенных ПДн, если последующая обработка таких данных не позволит определить их принадлежность. Постановление вступает в силу с 01.09.2025.

07.05.2025 опубликован проект приказа ФСБ России, СВР России, Министерства обороны Российской Федерации, ФСО России, МВД России «Об установлении Порядка предоставления доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", обработки содержащихся в них персональных данных указанных лиц и формы предписания о предоставлении доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в частях 11 и 12 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"» (подготовлен ФСБ России). Проект устанавливает порядок предоставления доступа к информационным системам и (или) базам данных, содержащим сведения о лицах, указанных в отдельных частях статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также определяет форму предписания для предоставления такого доступа. Предполагается, что документ вступит в силу 01.07.2025.

12.05.2025 опубликован проект приказа «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических персональных данных, в том числе требования к параметрам биометрических персональных данных, и в Порядок размещения и обновления биометрических персональных данных в единой биометрической системе, а также случаи и сроки использования биометрических персональных данных при их размещении в единой биометрической системе в соответствии с частью 14 статьи 4 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», утверждённые приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12.05.2023 № 453». Документ вносит изменения в порядок сбора и хранения биометрических персональных данных граждан (изображение лица и запись голоса) в единой биометрической системе, а также требования к их параметрам. Необходимость изменений связана с улучшением качества техники для сбора и распознавания данных, а также с тем, что отдельные из них не соответствуют современным нормативам.

28.05.2025 опубликовано постановление Правительства Российской Федерации от 22.05.2025 № 702 «Об утверждении Правил проверки соответствия пользователей государственной информационной системы, определённой в соответствии с частью 2 статьи 13-1 Федерального закона "О персональных данных", требованиям, указанным в части 7 статьи 13-1 Федерального закона "О персональных данных"». Постановление вступает в силу 01.09.2025.

28.05.2025 в Государственную думу Российской Федерации был внесён законопроект № 928282-8 «О внесении изменения в статью 22 Федерального закона "О персональных данных"». В рамках данной инициативы предлагается изменить подход к раскрытию данных об операторах ПДн. В частности, если оператором ПДн выступает физическое лицо или индивидуальный предприниматель, его адрес не будет размещаться в открытой части реестра операторов ПДн. Адрес по-прежнему нужно будет указывать в уведомлении, но он будет доступен только уполномоченному органу.

11.06.2025 опубликован проект Федерального закона «О внесении изменений в статью 13 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»». Законопроектом предусматривается изменение действующего порядка применения биометрических персональных данных при проходе на отдельные территории государственных органов и организаций посредством использования информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов.

 

Критическая информационная инфраструктура (КИИ)

04.04.2025 опубликовано информационное сообщение ФСТЭК России от 12.03.2025 № 240/82/672 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий». В сообщении указано, какими структурами ФСТЭК осуществляется рассмотрение подаваемых сведений в зависимости от категории субъекта КИИ.

07.04.2025 опубликован Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации"». Закон уточняет порядок перевода критической информационной инфраструктуры на отечественное ПО. Правительство Российской Федерации устанавливает требования к системам, базам данных и радиоэлектронному оборудованию, а также порядок и сроки перехода КИИ на российское ПО. Субъекты КИИ из состава финансовых организаций должны согласовать этот процесс с Банком России. В каждой отрасли будут определены типы информационных систем, которые нужно будет относить к значимым объектам КИИ. Закон вступает в силу с 01.09.2025.

Также 07.04.2025 опубликован Указ Президента Российской Федерации от 07.04.2025 № 214 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"». С 01.01.2025 из запрета органам государственной власти и заказчикам использовать иностранное ПО на принадлежащих им значимых объектах КИИ может быть сделано исключение, если оно установлено федеральным законом. Указ вступает в силу со дня подписания.

14.04.2025 опубликованы методические рекомендации № АШ-7089вн, регламентирующие с учётом установленных перечней типовых отраслевых объектов КИИ, функционирующих в сфере связи, особенности категорирования объектов КИИ и присвоения им категории значимости. Данные рекомендации разработаны Минцифры России совместно с ФСТЭК России, Ассоциацией документальной электросвязи и отдельными представителями операторов связи. В документе приводится детальное описание этапов проведения категорирования объектов КИИ.

19.05.2025 опубликован проект постановления Правительства Российской Федерации «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере связи». В документе изложены особенности категорирования объектов КИИ в сфере связи и определяется порядок установления соответствия объекта КИИ критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости.

04.06.2025 опубликован проект постановления Правительства Российской Федерации «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры». Перечни сформированы для 14 отраслей, включая банковскую и иные сферы финансового рынка. Документ предполагает вступление в силу с 01.09.2025.

10.06.2025 опубликован проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 08.02.2018 № 127 ‎«Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». Согласно проекту, категорированию будут подлежать объекты критической информационной инфраструктуры, соответствующие типам информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, которые включены в перечни типовых отраслевых объектов критической информационной инфраструктуры. Также указывается, как устанавливать соответствие объекта критической информационной инфраструктуры критериям значимости и показателям их значений, рассчитывать значения показателей критериев значимости с учётом особенностей функционирования объекта и присваивать ему одну из категорий значимости либо принимать решение об отсутствии необходимости присвоения такой категории.

 

Президент и Правительство Российской Федерации

01.04.2025 опубликован Федеральный закон от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации».

В рамках борьбы с телефонным мошенничеством законом устанавливается:

• самозапрет на заключение договоров об оказании услуг связи без личного присутствия;
• запрет на передачу SIM-карт третьим лицам (кроме близких родственников);
• самозапрет на спам-обзвоны и рассылки;
• обязательная маркировка всех исходящих телефонных вызовов от организаций;
• запрет сотрудникам госорганов, банков, операторов связи, цифровых экосистем общаться с гражданами и клиентами через иностранные мессенджеры.

Закон вступает в силу с 01.06.2025, за исключением отдельных положений.

21.04.2025 был опубликован Федеральный закон от 21.04.2025 №94-ФЗ «О внесении изменений в Федеральный закон "Об электронной подписи"». Изменения связаны с определением порядка создания и выдачи квалифицированных сертификатов ключа проверки электронной подписи для госорганов, сведения о которых не включены в ЕГРЮЛ.

16.05.2025 опубликован проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». Законопроект предполагает, что поставщики облачных услуг по предоставлению программного обеспечения и (или) по предоставлению вычислительных ресурсов (ЦОД) на платформе «ГосТех» должны будут обеспечивать соответствие предоставляемой информационно-телекоммуникационной инфраструктуры и (или) программного обеспечения требованиям, предъявляемым к защите информации ‎и обеспечению безопасности критической информационной инфраструктуры Российской Федерации.

22.05.2025 опубликован Федеральный закон от 23.05.2025 № 104-ФЗ «О внесении изменений в статьи 4.5 и 13.12 Кодекса Российской Федерации об административных правонарушениях и статью 1 Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"». Изменения предусматривают увеличение штрафов за нарушение требований по использованию несертифицированных СЗИ (в т. ч. сертифицированных).

 

Минцифры России

05.06.2025 опубликован проект ведомственного акта Минцифры России «Об утверждении Требований к обеспечению информационной безопасности в рамках предоставления облачных услуг посредством государственной единой облачной платформы».

 

ФСБ России

26.03.2025 Федеральная служба безопасности Российской Федерации опубликовала приказ от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств». Ранее действовавший Приказ ФСБ России от 24.10.2022 № 524, соответственно, утратил силу.

09.04.2025 опубликован проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 10.03.2000 № 214». Проектом предлагается внести изменения в Положение о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию.

 

ФСТЭК России

25.04.2025 ФСТЭК России были опубликованы проекты следующих ведомственных актов:

• Приказ ФСТЭК России «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости ему одной из таких категорий, утверждённую приказом ФСТЭК России от 22.12.2017 № 236».
• Приказ ФСТЭК России «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённый приказом ФСТЭК России от 06.12.2017 №227».

05.06.2025 опубликован проект приказа ФСТЭК России «О внесении изменений в Порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённый приказом ФСТЭК России от 01.12.2023 № 240».

17.06.2025 опубликован приказ ФСТЭК России от 11.04.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Приказ вступает в силу с 01.03.2026 взамен приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Предусматривается, что аттестаты соответствия на государственные информационные системы и иные информационные системы, выданные до дня вступления в силу настоящего приказа, то есть до 01.03.2026, считаются действительными. В числе нововведений документа:

• Изменены и приведены в соответствие с приказом ФСБ России от 18.03.2025 № 117 правила определения масштаба информационной системы.
• Защита информационных систем, являющихся значимыми объектами КИИ, должна обеспечиваться в соответствии не только с требованиями Федерального закона № 187-ФЗ «О безопасности КИИ», но и с требованиями нового приказа.
• От оператора требуется разработать и утвердить политику ИБ, а также внутренние стандарты и регламенты по защите информации, связанные с особенностями деятельности оператора и функционирования ИС.
• Переработан базовый набор мер защиты информации.
• Изменены требования к периодической оценке показателей защищённости и уровня зрелости.
• Информационные системы, взаимодействующие с сетью «Интернет», должны проходить мероприятия по мониторингу ИБ в соответствии с ГОСТ Р 59547-2021 (раздел 5).
• Описана возможность использования искусственного интеллекта в рамках обеспечения защиты информации.
• Указана необходимость обеспечивать реализацию мер разработке ПО в соответствии с ГОСТ Р 56939-2024.
• Определён порядок проведения разработки и тестирования ПО подрядными организациями. В частности, работники подрядных организаций не смогут проводить разработку (развитие) и (или) тестирование программного обеспечения непосредственно в эксплуатируемых ИС.
• Указано, что для организации и управления деятельностью по обеспечению ИБ необходимо иметь структурное подразделение или специалистов по защите информации (30% специалистов должны иметь профильное образование или пройти переподготовку).

 

Центральный Банк Российской Федерации

18.03.2025 опубликовано Положение Банка России от 30.01.2025 № 851-П «Oбyстaнoвлeнииoбязaтельных для кредитных opгaнизaций, иностранных бaнкoв, осуществляющих деятельность нa территории Poссийскoй Федеpaции через свои филиалы, тpебoвaний к обеспечению зaщиты инфopмaции пpи oсyществлении бaнкoвскoй деятельности в цeлях противодействия осуществлению переводов денежных средств без сoглaсия клиента». Положение вступило в силу через 10 дней со дня опубликования (за исключением отдельных пунктов, сроки по которым отложены), Положение Банка России № 683-П, соответственно, утрачивает силу.

15.04.2025 Банком России опубликован проект указания «О внесении изменений в Положение Банка России от 15 ноября 2021 года № 779-П». Для некредитных финансовых организаций предлагается скорректировать требования к операционной надёжности, распространить их в т. ч. на микрофинансовые организации. Для них установят перечень технологических процессов и порогового уровня допустимого времени простоя и деградации соответствующих технологических процессов. Будут введены сигнальные и контрольные значения показателей операционной надёжности, уточнены случаи информирования Банка России о выявленных событиях операционного риска, связанных с нарушением операционной надёжности.

16.05.2025 Банком России опубликован обзор отчётности об инцидентах информационной безопасности при переводе денежных средств за I квартал 2025 года.

22.05.2025 Банком России опубликован Проект указания Банка России «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П». Проект предполагает установление дополнительных требований по защите информации для некредитных финансовых организаций:

• изменение критериев определения уровня защиты информации по ГОСТ Р 57580.1-2017 для отдельных некредитных финансовых организаций;
• распространение минимального уровня защиты информации по ГОСТ Р 57580.1-2017 на микрофинансовые организации, операторов инвестиционной платформы;
• определение обязанности по реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации, в случае если в отношении объектов информационной инфраструктуры некредитной финансовой организации действуют требования, установленные на основании статьи 57.4 Федерального закона № 86-ФЗ, части 3 статьи 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платёжной системе», и некредитная финансовая организация применяет единый контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1;
• установление сроков предоставления сведений об инцидентах некредитными финансовыми организациями в Банк России;
• установление требований к расчёту значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;
• приведение термина «получатель финансовых услуг» в соответствие с изменениями в Федеральный закон от 20.07.2020 № 211-ФЗ «О совершении финансовых сделок с использованием финансовой платформы» (в ред. Федерального закона от 11.03.2024 № 45-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации»);
• установление требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;
• определение права некредитных финансовых организаций на реализацию процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;
• уточнение требований по использованию электронной подписи и средств криптографической защиты информации;
• установление требований по регистрации информации о действиях клиентов при приёме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».

 

Отраслевые документы

11.03.2025 приняты национальные стандарты, вступающие в силу 31.03.2025:

• ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
• ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».

24.03.2025 опубликованы национальные стандарты:

• ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке». Стандарт устанавливает рекомендации по разработке и описанию формальных моделей управления доступом, на основе которых разрабатываются средства защиты информации, реализующие политики управления доступом;
• ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом». Стандарт устанавливает рекомендации по верификации средств защиты информации, реализующих политики управления доступом, на основе формализованного описания модели управления доступом.

Оба стандарта вступили в силу 31.03.2025.

26.03.2025 опубликован национальный стандарт ГОСТ Р 71998-2025 «Информационные технологии. Требования и оценка качества систем и программного обеспечения. Определение качества ИТ-услуг». Стандарт вступает в силу 30.06.2025.

02.06.2025 опубликован ГОСТ Р 70262.2-2025 «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации». Стандарт вступает в силу 01.10.2025.

10.06.2025 принят стандарт ГОСТ Р 72118-2025 «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки». Стандарт устанавливает требования и рекомендации для методологии разработки информационных систем (ИС), обеспечивающие реализацию конструктивных подходов к информационной безопасности. Описывает методологию разработки ИС, которая включает процессы планирования, анализа, проектирования, реализации, тестирования и сопровождения систем. Особое внимание уделяется синхронизации требований безопасности с основным функционалом системы. Вступает в силу 01.12.2025.