Лицензирование разработки и требования к обслуживающим КИИ
4 мин
20
2
Что: изменения условий лицензирования разработки средств защиты конфиденциальной информации
Где: проект изменений в постановление Правительства РФ № 171 вынесен ФСТЭК на общественное обсуждение
Когда: в случае принятия вступит в силу 1 марта 2027 года
Суть изменений
- Лицензии на разработку СЗКИ перестанут выдавать иностранными юридическими лицами и компаниям, чьи руководители имеют гражданство другой страны.
- Руководитель проекта разработки должен иметь высшее образование по ИБ-направлению и стаж работы по нему не менее 5 лет.
- В штате необходимо иметь не менее пяти инженеров по направлению разработки СЗКИ с опытом от 3 лет и пройденными программами повышения квалификации. Сотрудники не должны работать в компании по совместительству.
- Требуется внедрение собственной системы контроля качества разрабатываемого продукта на основе ГОСТ Р 56939-2024.
«С практической точки зрения данные изменения ведут к повышению барьера входа на рынок и объективному удорожанию лицензируемой деятельности. Для действующих лицензиатов риски связаны с необходимостью подтверждения соответствия новым требованиям при контрольных мероприятиях и при расширении перечня услуг».Комментарий к законопроекту на сайте Ассоциации юристов России
Что: изменение требований к обслуживающим объекты КИИ
Где: проект изменений в приказы ФСТЭК № 235 и № 239 находится на этапе общественного обсуждения.
Когда: в случае принятия вступит в силу 1 сентября 2026 года.
Суть изменений
- Техническую поддержку средств защиты информации обязан выполнять именно разработчик (производитель).
- Если разработчик (производитель) не может осуществлять техподдержку, субъект КИИ обязан принять организационные и технические меры для нейтрализации угроз.
- Меры, предусмотренные поправками к приказу ФСТЭК № 239 от 2020 года, остаются действительными.
«Для многих организаций это будет означать необходимость не только актуализировать документы, но и дооснастить ЗОКИИ недостающими средствами защиты. В действующей методике КЗИ важными являются, в частности, инструменты многофакторной аутентификации привилегированных пользователей, межсетевого экранирования интернет-периметра, устранения критических уязвимостей, проверки почтовых вложений, централизованного управления антивирусной защитой, защиты от DDoS-атак и централизованного сбора и анализа событий безопасности».Алёна Лукашева,заместитель руководителя департамента консалтинга и аудита iTPROTECT
Что: ужесточение требований для получателей субсидий на развитие государственных информационных систем
Где: поправки в Бюджетный кодекс РФ, приняты Госдумой в первом чтении.
Когда: в случае вступления в силу — с 1 сентября 2026 года, но ранее заключённые соглашения потребуется привести в соответствие с документом в течение 30 дней.
Суть изменений: организации, получающие субсидии на развитие ГИС из бюджета и затем предоставляющие их третьим лицам, обязаны включать в соглашения с ними прямое указание на источник получения средств — бюджетную субсидию.
«Нужно учитывать, что в ближайшем будущем казначейский мониторинг, включая проверки ТОФК и УФК, может коснуться всех контрагентов, выполняющих работы или поставляющих товары и услуги за счёт бюджетных средств».Борис Пежемский,управляющий партнёр консалтинговой компании ProGRant
Что: изменение порядка пропуска на критически важные и потенциально опасные объекты по биометрии
Где: поправки в ФЗ-572 от 29.12.2022, законопроект прошёл первое чтение в Госдуме.
Когда: точный срок вступления в силу неизвестен.
Что изменится: организациям разрешается использовать для пропуска на объекты КИИ не только единую биометрическую систему, но также собственные информационные системы, имеющие соответствующую аккредитацию, или базы других аккредитованных организаций.
«Организация, которая хочет самостоятельно работать с ЕБС, обязана соответствовать жёстким требованиям: страховая сумма на счёте — от 500 млн рублей, сертифицированные ФСБ криптографические шлюзы, квалифицированный персонал. Для большинства компаний это нереально — именно поэтому появился альтернативный путь».Комментарий с сайта «PROБезопасность-2026»
Что: создание единого центра информационной безопасности транспортной системы
Где: проект закона «О транспортной политике РФ» вынесен Минтрансом на общественной обсуждение.
Когда: в случае принятия — через 180 дней с момента официального опубликования.
Суть изменений: функции мониторинга и анализа угроз, взаимодействия с национальными и международными структурами для обмена данными и ведения отраслевого реестра ИБ-инцидентов передаются созданному центру информационной безопасности транспортной системы.
«Крупные транспортные узлы постоянно меняются, формируются, развиваются. И одна из ключевых проблем — это разные собственники. К примеру, два вокзала напротив друг друга — автобусный и железнодорожный — это разные юридические лица и владельцы. Поэтому у этих организаций разные стандарты, своя охрана и система видеонаблюдения. Принятие этого закона создаст правовые условия для централизованного управления смешанными объектами».Александр Смирнов,юрист
«С каждым годом мы наблюдаем рост атак на критически важные объекты. Создание единого центра, обеспечивающего безопасность транспортного сектора, — важная задача, которая касается не только отдельных компаний, но и затрагивает государственные процессы. Коллективное противодействие угрозам и общий стандарт безопасности транспорта помогут экспертам обмениваться опытом и предвидеть грядущие атаки, тем самым укрепляя устойчивость отрасли. Создание центра — это не статичный процесс, а непрерывный цикл — это отражение атак, углубление киберэкспертизы всех участников, совершенствование систем защиты и мер по борьбе со злоумышленниками».Александр Ковалевский,генеральный директор группы компаний «Гарда»
