Рассказываем об изменениях в нормативных актах в сфере ИБ за первые пять месяцев 2026 года.
Персональные данные
Новые документы
Приказ Минцифры России от 03.03.2026 N 173 «Об утверждении методических рекомендаций по подготовке требования о предоставлении персональных данных, полученных в результате обезличивания персональных данных, направляемого в соответствии с частью 2 статьи 13.1 Федерального закона «О персональных данных»
Минцифры установило порядок, по которому государство может запрашивать у компаний обезличенные персональные данные для использования в государственных информационных системах. Документ описывает, как формируются и направляются такие требования.
Что это значит для бизнеса:
- компании могут получать обязательные запросы на передачу обезличенных данных;
- обезличенные данные становятся объектом контроля со стороны государства;
- важно выстроить процесс обработки таких запросов и проверить качество обезличивания;
- возрастает нагрузка на ИТ и комплаенс.
Федеральный закон от 28.12.2025 № 508-ФЗ о передаче дел по ст.13.11 КоАП из ведения арбитражных судов в суды общей юрисдикции
Закон изменяет порядок рассмотрения дел по ст. 13.11 КоАП РФ (нарушения законодательства о персональных данных). Теперь такие дела больше не рассматриваются арбитражными судами — они переданы в суды общей юрисдикции.
Что это значит для бизнеса
- Меняется судебная практика — подходы судов общей юрисдикции могут быть менее предсказуемыми, чем в арбитраже;
- Снижается «процессуальный комфорт» — бизнесу сложнее защищаться из-за иной процедуры и практики рассмотрения дел;
- Возрастает риск штрафов — суды общей юрисдикции традиционно реже встают на сторону компаний;
- Важно усиливать превентивный контроль — дешевле избежать нарушения, чем оспаривать его в новой судебной системе.
План обязательных профилактических визитов Роскомнадзора в отношении обработки персональных данных в 2026г. (утв. приказом Роскомнадзора от 19.12.2025 №390)
Роскомнадзор утвердил перечень компаний и организаций, в отношении которых в 2026 году будут проводиться обязательные профилактические визиты по вопросам обработки персональных данных. Всего в план включено более 1000 операторов — от бизнеса до государственных учреждений.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Проекты
«О внесении изменений в статью 12 ФЗ «О персональных данных»
Законопроект № 951518-8, внесенный в Госдуму в июне 2025 года, предлагает ужесточить требования ст. 12 ФЗ «О персональных данных» в части их трансграничной передачи. Основная цель — усилить защиту данных граждан РФ от утечек за рубеж, обязывая операторов строже оценивать иностранные государства-получатели.
«О внесении изменений в 572-ФЗ»
Законопроект № 1110676-8 предусматривает новые способы восстановления доступа к учетной записи в ЕСИА. Если доступ ограничен, пользователь сможет восстановить его через альтернативные каналы: ЕБС, банк, УКЭП, МФЦ и иные уполномоченные организации, имеющие право выдавать ключи ПЭП для государственных и муниципальных услуг.
Что это значит для бизнеса
- расширяется перечень способов идентификации пользователей;
- возрастает роль банков и иных посредников в процессах аутентификации;
- компаниям, интегрированным с ЕСИА, потребуется учитывать новые сценарии доступа.
Отраслевые стандарты
Разработка отраслевых стандартов ведется на базе Главного радиочастотного центра. Уже создано «Техническое задание» — инструмент для совместной работы, который определяет, какую структуру должен иметь стандарт, как определить минимально необходимый объем данных для конкретной услуги, как прописать сроки хранения и условия передачи и как заменить фиктивные «согласия» на честные правовые основания.
Что это значит для бизнеса
- появятся более конкретные и единые требования вместо разрозненной практики;
- сократится пространство для «формального» соблюдения — правила станут более прикладными;
- компаниям придется пересматривать процессы сбора, хранения и использования данных.
Разберем подробно: Приказ №117 ФСТЭК России
Что это
Приказ, который регламентирует меры и мероприятия по защите информации, содержащейся в государственных информационных системах (ГИС), иных информационных системах (ИС) госорганов, государственных унитарных предприятий, государственных учреждений.
Новый документ меняет подход к управлению деятельностью по защите информации.
По приказу №17 ФСТЭК России нужно было однократно провести необходимые меры по защите информации:
- сформировать требования по защите информации, содержащейся в ИС,
- разработать и внедрить систему защиты информации,
- аттестовать ИС и ввести ее в действие,
- обеспечить защиту информации в ходе эксплуатации ИС, при выходе из эксплуатации или после окончания обработки информации.
Часто этот процесс приводил к формальной «бумажной» защите информации — все регламенты и средства защиты есть, но они не работают должным образом.
По требованиям Приказа №117 ФСТЭК России в организациях должен быть выстроен циклический процесс из четырех элементов:
- разработка и планирование (plan)
- реализация мероприятий и мер по защите информации (do)
- оценка состояния защиты информации (check)
- совершенствование (act).
Это процесс повторяется регулярно. Это помогает сделать защиту ИС реальной, а не формальной «по документам».
На кого распространяется действие приказа
Приказ №17 ФСТЭК России действовал для ГИС.
Новый приказ распространяется на все информационные системы, которые размещаются в государственных и муниципальных органах, государственных унитарных предприятиях, государственных учреждениях.
Например: приказ 17 не распространялся на любые информационные системы в госорганизации, например, информационную систему персональных данных «1С». Приказ №117 ФСТЭК России обязывает государственный орган выполнять все его требования для защиты информационной системы.
Что должно быть реализовано в организации
- Три уровня документов по защите информации. Документ стратегического уровня — Политика защиты информации. На ее основе создаются стандарты и регламенты. Стандарт — документ тактического уровня, определяет, требования, которые необходимо реализовать. Например, требования к идентификации пользователей. Регламент — документ оперативного уровня, определяет «как» нужно сделать. Например, может содержать порядок работы с учетными записями и другие порядки выполнения действий по защите информации.
- Кадры. В организации, как минимум, должно быть назначено лицо, ответственное за защиту информации, создано структурное подразделение по защите информации, зафиксированы должностные обязанности, проверены компетенции специалистов. Важно: не менее 30% штатных сотрудников в подразделении по защите информации должны иметь профильное образование или переподготовку.
- Работа с подрядчиками. Если подрядчик обслуживает информационную систему, на его стороне должны быть реализованы меры защиты.
Что делать сейчас
С 1 марта приказ вступил в силу и госорганизации, использующие информационные системы должны разработать и утвердить политику защиты информации, внутренние стандарты по защите информации, а также внутренние регламенты по защите информации.
Чтобы реализовать меры защиты информации, нужно пользоваться методикой «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах».
Информационная безопасность
Новые документы
Изменения в Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», внесённые Федеральным законом от 29 декабря 2025 года №568-ФЗ.
Вступают в силу 1 сентября 2026.
Основные изменения касаются статьи 13 «Информационные системы»:
- Теперь ГИС определяются как федеральные и региональные информационные системы, созданные на основании федеральных законов, актов Президента РФ, Правительства РФ или законов субъектов РФ.
- Операторы ГИС и близких к ним ИС обязаны использовать вычислительные мощности провайдера хостинга, сведения о котором включены в перечень, утверждаемый Правительством РФ, а также не должны использовать иностранное ПО, функционирующее через интернет. Исключение — случаи, установленные Правительством РФ.
- Для обеспечения создания и эксплуатации ГИС и иных ИС государственных органов допускается использование технических средств и ПО с использованием ИТС только и при соблюдении требований о защите информации, установленных статьей 16 ФЗ-149.
Эти изменения направлены на усиление контроля за использованием информационных ресурсов в государственных и муниципальных системах, а также на ограничение применения иностранных технологий в определённых сферах.
Для частного бизнеса прямые последствия могут быть незначительными, так как изменения направлены на порядок взаимодействия ИТ систем в госсегменте. Однако компании, которые взаимодействуют с такими организациями, должны будут учитывать новые требования. Пока не понятен механизм реализации изменений для коммерческих компаний, поэтому можно сказать что изменения носят косвенных характер, но в целом у всех возможно увеличение затрат на соблюдение изменений.
Проекты
Законопроект по изменению ст. 4 149-ФЗ «Об информации, ИТ и о защите информации»
Правительство РФ может установить случаи, когда при авторизации по адресу электронной почты такой адрес должен быть создан с использованием доменных имён, входящих в группы доменных имён, составляющих российскую национальную доменную зону.
Вводится требование подтверждать совершение в интернете «значимых действий» (перечень утверждает Правительство): подтверждение идёт кодом из SMS + кодом/сообщением через MAX, отправляемыми владельцем ресурса (российское ЮЛ/гражданин РФ, деятельность в РФ). Для банков/финрынка перечень дополнительно согласуется с ЦБ.
Запрет на распространение «вводящей в заблуждение» информации: под видом достоверных сообщений, создающей угрозу имущественного ущерба и/или неправомерного доступа к ПД/иной информации пользователя (вводится как отдельная категория).
Планируемая легализация Bug Bounty
Авторы законодательной инициативы предлагают закрепить в ГК РФ право на тестирование. Специалисты могут получить право изучать и тестировать программы для ЭВМ и базы данных на наличие уязвимостей без согласия правообладателя, при условии, что это делается в целях повышения безопасности и без распространения информации.
За счет поправок в Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» предлагается закрепить легальную процедуру Bug Bounty:
- Правила привлечения исполнителей;
- Требования к платформам для тестирования;
- Порядок передачи информации об уязвимостях.
- Ответственность за неправомерную передачу информации об уязвимостях, которая может быть использована для кибератак.
Что это значит для бизнеса (в случае принятия изменений):
- Появится возможность легально запускать программы Bug Bounty;
- Потребуется пересмотреть политики взаимодействия с внешними исследователями;
- Рекомендуется заранее создать выделенный канал приема информации об уязвимостях.
Новые документы
Новая система реестров ПО
С 1 марта 2026 года вступили в силу новые правила, связанные с реестрами ПО. Теперь их станет два:
|
Перечень ПО для собственных нужд (Постановление Правительства № 1936). |
Перечень доверенного ПО (проект Постановления Правительства № 1931) |
|
создан специально для компаний, которые пишут софт «для себя» и не продают его на рынке. |
«Доверенное» ПО — это софт, который добровольно прошел дополнительную экспертизу на безопасность; |
|
Статус Включение в этот перечень приравнивается к использованию ПО из основного реестра для целей закона о безопасности КИИ. |
Статус доверенного ПО может дать приоритет при госзакупках; |
|
Конфиденциальность Сведения в этом перечне закрыты и не публикуются в открытом доступе. |
Перечень доступен |
|
ТребованияИсключительное право должно принадлежать только российскому лицу (РФ, субъекту, муниципалитету, гражданину или контролируемой ими компании). |
Требования Проверку будут проводить аккредитованные центры тестирования; |
Вступили в силу
Постановление Правительства РФ от 04.03.2026 № 226 «О внесении изменений в постановление Правительства РФ от 3 ноября 1994 г. № 1233».
Документ расширяет круг действия требований к защите информации для служебного пользования, а именно: соблюдение защиты цифровой информации ДСП, маркировки и передачи конфиденциальных электронных документов должны соблюдаться не только федеральными но и иными госорганами.
Что изменится.
Придется перестроить формальное соблюдение защиты документов с ДСП на более точные ИБ-процессы:
- хранить документы в определенном опечатанном месте и аттестованном помещении,
- использовать ЭДО, отвечающую требованиям регуляторов, связанную с обменом документов с отметкой ДСП.
Все это приведет к удорожанию бюджета ИТ.
Утверждено
вступает в силу с 2027 года
Указание Банка России № 7219-У от 28.10.2025 «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П».
Изменения касаются введения:
- стандартного уровня защиты информации для любых страховых организаций и НПФ независимо от объема их средств;
- минимального уровня защиты информации для микрофинансовых организаций;
- дополнительных требований к оценке и расчету показателей уровня защиты информации в соответствии с Указаниями Банка России № 6406-У, 7119-У, 6796-У, 7122-У, 7124-У (в зависимости от видов деятельности организации);
- дополнительных требований к действиям организаций в случае выявления компьютерных атак, инцидентов ИБ, утечек информации и срокам взаимодействия с Банком России в случае возникновения таких событий.
Что изменится.
Стандартный уровень защиты информации для страховых организаций и НПФ потребует внедрения организационных и технических мер, соответствующих требованиям стандарта, что может включать обновление инфраструктуры, процессов и документации, а соответственно удорожание бюджета ИБ, изменение внутренних процессов и т.п. Для МФО минимальный уровень защиты также потребует финансовых вложений.
Все должны будут проводить оценку выполнения технологических мер защиты информации и требований к прикладному программному обеспечению с отсылкой результатов в Банк России согласно установленным отчетам, что приведет к увеличению административного персонала, затрат на ФОТ. Также к этому приведет обязательный аудит ИБ для страховых компаний, НПФ и регистраторов.
КИИ
Ожидаемое обновление Приказа от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Ожидается, что в приказе будут:
- детализированы меры защиты для облачных инфраструктур;
- уточнены требования к криптографической защите информации;
- регламентированы использования технологий искусственного интеллекта в системах обнаружения угроз.
Для организаций КИИ, использующих облачные сервисы станет больше требований, регулятор пытается донести до пользователей важность коробочных версий и локального использования ПО.
Если же пользователи останутся на облачных версиях придется договариваться с провайдерами о выполнении требований регулятора, что приведет к удорожанию услуг.
Чтобы СКЗИ соответствовали новым требованиям придется провести аудит ИТ системы, что также повлечет удорожание бюджета на ИБ и обучение персонала.
Вступили в силу
Федеральный закон от 31.07.2025 № 325-ФЗ
Изменения в структуру владения субъектами КИИ.
Субъектами КИИ могут быть только российские юридические лица, находящиеся под контролем граждан РФ, органов госвласти или муниципальных образований. Иностранный контроль над КИИ исключен.
Минпромторг разрабатывает механизмы, позволяющие продлить эксплуатацию некоторых программно-аппаратных комплексом (ПАК) после 2030 года в исключительных случаях:
- если есть действующий договор на поставку доверенных ПАК, исполнение которого выходит за пределы 2030 года;
- если срок полезного использования оборудования истекает после 1 января 2030 года;
- если ПАК задействован на опасном объекте и его остановка технически невозможна;
- если ПАК неотделим от объекта капитального строительства.
Однако даже в этих случаях потребуется выполнение дополнительных требований ФСБ и ФСТЭК.
Ожидают подписания
Закон о введении штрафов в 100-500 тысяч рублей за нарушения при эксплуатации объектов КИИ даже в отсутствие инцидентов.
Вступление в силу возможно до конца 2 квартала 2026 года.
Закон об освобождении от уголовной ответственности ИБ-специалистов, содействовавших расследованию инцидентов с неправомерным воздействием на КИИ
Вступление в силу возможно до конца 2 квартала 2026 года.
Изменения вносятся в статью 274.1 УК РФ и устанавливают новое основание для освобождения от уголовной ответственности. Это явное преимуществом для бизнеса, так как ранее многие ИБ-специалисты боялись брать на себя ответственность из-за риска уголовного преследования, а сейчас они могут ее избежать, если будут участвовать в расследовании инцидентов.
Для самого бизнеса это снижает негативные последствия для компании, включая репутационные риски и штрафы, если она в лице ИБ-ка участвует в расследовании.
Но есть и подводные камни — например, юристам компании придется поработать над формулировками при разграничении ответственности между службами, донесения понимания до сотрудников их границ, постоянный мониторинг за соблюдением регламентов по ИБ.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.