Открыла мероприятие пленарная сессия «Системное развитие ИБ-регуляторики», в рамках которой представители ключевых регуляторов поделились актуальными планами, а также дали свои комментарии и пояснения по вопросам регуляторики в сфере ИБ. Модератором сессии выступила Анастасия Харыбина, председатель АБИСС, руководитель AKTIV.CONSULTING.
ФСТЭК России: изменение требований в части КИИ
Первой о ключевых направлениях работы рассказала Елена Борисовна Торбенко, начальник управления ФСТЭК России. Важным изменениям станет расширение регуляторики по категорированию объектов КИИ, в том числе введение перечней типовых отраслевых объектов КИИ, которые формируют отраслевые регуляторы. На сегодняшний день ФСТЭК России согласовано 12 из 14 проектов. После согласования полного комплекта Перечни будут введены в действие Постановлением Правительства РФ.
Параллельно ведется работа над отраслевой спецификой процесса категорирования: для 14 сфер подготовлены отдельные проекты постановлений, которые определяют особенности категорирования, расчета показателей и состава комиссий в каждой из них.
Также планируется актуализация показателей и критериев значимости объектов КИИ. Изменения затронут показатели для организаций оборонно-промышленного комплекса, банковского сектора и сферы связи. Проект новой редакции Постановления Правительства № 128, определяющего порядок категорирования, находится на этапе согласования. Указанные изменения направлены на облегчения проведения категорирования субъектами в части ранее не однозначных критериев, а также для исключения возможности искусственного занижения значимости объектов. Было отдельно отмечено, что по итогам проведения проверок по нарушению требований в отношении субъектов КИИ только за 2025 год заведено порядка 350 административных дел.
Еще одно важное изменение уже вступило в силу: дополнена форма подачи сведений в реестр КИИ. Появились две новые графы: для указания доменных имен и IP-адресов, используемых объектами, а также для ссылки на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать эти данные, направив информацию в ФСТЭК России в упрощенном порядке.
Ожидается, что все ключевые документы будут утверждены до конца года.
В планах регулятора на следующий год — пересмотр требований по безопасности для значимых объектов критической информационной инфраструктуры. Запланированы изменения в Приказы № 235 и 239, сообразные последним изменениям в Приказе № 117 относительно государственных информационных систем. Также работа ведется в направлении одной из самых проблемных тем — закрепление требований к подрядчикам, обслуживающим объекты КИИ. Это должно помочь в минимизации рисков, связанных с цепочками поставок, через которые происходит большинство инцидентов.
ФСБ России: Точечная настройка криптографии
Следующим с разъяснением актуальных изменений выступил Петров Алексей Владимирович, начальник экспертного подразделения ФСБ России. В текущем году ФСБ России планирует выпустить новые, уточняющие требования к средствам криптографической защиты информации (СКЗИ). Планируются изменения в Постановление Правительства РФ от 15.04.2014 г. № 313 в части IoT — прорабатывается вопрос формирования класса устройств, используемых в гражданских целях, связанных с массовым использованием криптографических средств защиты, и его выведением из-под лицензирования.
Отдельно Алексей Владимирович упомянул о недавно подписанных уточненных требованиях к значимым платежным системам, платежным картам, терминалам, банкоматам, HSM-модулям.
Также Алексей Петров напомнил про новый Приказ ФСБ России от 18.03.2025 г. № 117, в котором закреплена необходимость использования СКЗИ в государственных информационных системах, и обязанность согласования модели угроз и технических заданий на создание (развитие) государственных информационных систем с ФСБ России.
Банк России: Защита клиентов и операционной надежности
Продолжил блок выступлений Антон Игоревич Чернодед, руководитель направления Департамента информационной безопасности Банка России.
Он подробно рассказал о нововведениях Положения БР № 851-П, которое вышло в начале года и уже введено в действие. Поскольку документ направлен на защиту граждан от несанкционированных переводов денежных средств, отдельно были отмечены следующие требования: вести детальный цифровой след каждого перевода посредством широкой регистрации событий, сообщать обо всех операциях по картам несовершеннолетних их родителям, а также внедрить функционал для оперативного заявления о мошеннических действиях в мобильные приложения.
Дополнительно Антон Игоревич прокомментировал процесс определения уровня защиты для организаций, ведущих различные виды деятельности (например, одновременно попадая под требования Положений БР № 851-П и № 757-П): в случае использования единой инфраструктуры, реализация мер и оценка соответствия должны проходить по наивысшему уровню защиты из применимых положений.
Антон Чернодед затронул тему операционной надежности: сигнальные и контрольные значения для показателей операционной надежности были зафиксированы в новом Положении БР № 850-П, поскольку, как поясняет Антон Игоревич, некоторые компании намеренно их занижали при самостоятельном определении.
Значимым кредитным организациям представитель Банка России напомнил о необходимости внедрять СКЗИ в системы ДБО для работы платформы цифрового рубля, а микрофинансовым организациям о скором распространении на них требований как по информационной безопасности, так и операционной надежности.
Была упомянута и работа технического комитета № 122: совместными усилиями БР, ФСТЭК России и экспертного сообщества проводится работа по актуализации всего семейства стандарта ГОСТ Р 57580. Так, например, Антон Игоревич сообщает, что разработка новой версии ГОСТ Р 57580.1 находится в финальной стадии, а сам документ увидит свет, предположительно, в начале 2026 года.
Также Антон Чернодед подтвердил, что у ЦБ РФ есть планы по разработке отдельного стандарта безопасности аутсорсинга технологических процессов. Однако, он также упомянул, что при разработке этого стандарта стоит обратить внимание в целом на подрядные организации, а не только аутсорсинг технологических процессов. В качестве примера он привел аудиторские компании, которые имеют доступ и хранят большой массив чувствительной и критической информации о кредитных организациях, но к ним не предъявляются аналогичные требования и не проводится оценка.
Практические проблемы категорирования от ФГУП «Гамма»
Завершил тему нововведений Дмитрий Владимирович Бубнов, директор департамента кибербезопасности ФГУП НПП «Гамма», который представил итоги мониторинга поднадзорных Минпромторгу России организаций, являющихся субъектами КИИ. С 2022 года специалисты центра провели более 3000 выездных проверок на предприятиях металлургии, химической и горнодобывающей отраслей. По его словам, основная цель — методическая помощь. В ходе проверок выявляются типовые системные нарушения, например, несвоевременная актуализация сведений об объектах КИИ в реестре, категорирование без создания комиссии и др. Дмитрий Бубнов сообщил, что поднадзорные Минпромторгу России организации могут обратиться за бесплатной методической помощью по категорированию и переходу на отечественное ПО.
Еще одной центральной темой обсуждения на конференции АБИСС стала саморегуляция в сфере информационной безопасности. Динамичное развитие рынков ИТ и ИБ опережает возможности государственного регулирования, что неизбежно порождает «серые зоны». В этих условиях появление добровольных систем сертификации (СДС) — насущная необходимость. Рынок самостоятельно создает механизмы для обеспечения доверия и стандартизации в тех областях, куда регулятор пока не успел дойти. Создание СДС, инициированное самими участниками рынка, является эффективным способом заполнить правовые вакуумы и заложить основу для решения серьезных отраслевых задач. В дискуссии приняли участие эксперты АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.
На стенде Компании «Актив» эксперты представили флагманские линейки продуктов Рутокен, рассказали об их возможностях для электронной подписи, аутентификации и защиты инфраструктуры. Алексей Лазарев, руководитель Департамента защиты киберфизических систем, выступил с докладом «Аппаратный корень доверия» в рамках открытого микрофона.
Команда AKTIV.CONSULTING привлекла внимание гостей конференции своим стендом: на протяжении всего мероприятия эксперты предоставляли консультации всем желающим и дарили кастомный мерч.
В деловой программе на сессии «Оценка зрелости ИБ» выступила Ольга Копейкина, руководитель отдела консалтинга по ИБ, с докладом «Оценка уровня зрелости ИБ: взгляд со стороны исполнителя». В своем выступлении она разобрала вопросы: цели оценки уровня зрелости; методы и подходы к ее проведению; преимущества привлечения внешних экспертов; роли участников процесса; а также то, кому и как могут быть полезны результаты оценки. Провел всю сессию Олег Симакова, директор по развитию AKTIV.CONSULTING.
«Обработка и защита персональных данных» с докладом «От закона к диалогу: актуальные изменения в регулировании ПДн» стала темой доклада Анастасии Калиничевой, консультанта по информационной безопасности AKTIV.CONSULTING. Эксперт проанализировала ключевые изменения в регулировании, вступивших в силу в 2025 году, разобрала четыре практических кейса с типовыми проблемами операторов и предложила конкретные решения.
Артём Денисов, специалист по информационной безопасности AKTIV.CONSULTING, в формате открытого микрофона рассказал о новых правилах категорирования. будет посвящён изменениям в практике категорирования объектов критической информационной инфраструктуры (ОКИИ) в связи с новыми требованиями закона от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».