Журнал "Information Security/ Информационная безопасность" #2, 2025

7 http://publication.pravo.gov.ru/document/0001202504070004 8 Под контролем понимается возможность определять решения, принимаемые юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем 50 % общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица. 9 Правила категорирования объектов КИИ, утвержденные постановлением Правительства РФ от 08.02.2018 № 127 10 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=156565 6 • ПРАВО И НОРМАТИВЫ Апрель-2025 обзоре изменений законодательства в области ИБ за апрель 2025 г. рассмотрим изменения в Федеральный закон от 26.07.2017 № 187–ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и следующие из этих изменений проекты приказов от ФСТЭК России, изменения в Указ Президента РФ № 166, проект по продлению срока переходного периода для аккредитации центров ГосСОПКА, изменения в федеральный закон об электронной подписи, а также нормативные правовые акты от Минцифры России в преддверии вступления в силу ст. 13.1 Федерального закона от 27.07.2006 № 152–ФЗ "О персональных данных". В Изменения в ФЗ о безопасности КИИ Федеральный закон от 07.04.2025 № 58–ФЗ "О внесении изменений в Федеральный закон "О безопасности критической информационной инфра- структуры Российской Федерации" 7 офи- циально опубликован 7 апреля 2025 г. Федеральный закон от 07.04.2025 № 58–ФЗ вступает в силу с 1 сентября 2025 г. и вносит изменения в Федераль- ный закон от 26.07.2017 № 187–ФЗ "О безопасности критической информа- ционной инфраструктуры Российской Федерации". Отметим основные нововведения согласно Федеральному закону от 07.04.2025 № 58–ФЗ: l Из дефиниции субъектов критической информационной инфраструктуры исключаются индивидуальные предпри- ниматели. l К полномочиям Правительства РФ добавлено установление перечня типо- вых отраслевых объектов КИИ и отрас- левых особенностей категорирования КИИ (по согласованию с ФСТЭК России, в банковской сфере и иных сферах финансового рынка – также по согласо- ванию с Банком России). Кроме того, дополнено, что Правительство РФ уста- навливает требования к программно- аппаратным средствам, используемым на значимых объектах КИИ, порядок и сроки перехода субъектов КИИ на использование на значимых объектах КИИ программного обеспечения, вклю- ченного в реестр российских программ, и программно-аппаратных средств, соот- ветствующих установленным требова- ниям, а также порядок мониторинга за исполнением указанных требований. l В перечни типовых отраслевых объ- ектов КИИ включаются только типы информационных систем, информа- ционно-телекоммуникационных сетей, автоматизированных систем управле- ния, обладающие признаком значимо- сти. Отраслевые особенности катего- рирования КИИ определяют порядок установления соответствия объекта КИИ критериям значимости и показа- телям их значений в целях присвоения ему одной из категорий значимости и включающие в себя отраслевые при- знаки значимости объектов КИИ, соот- ветствующие критериям значимости и показателям их значений, а также порядок расчета значений показателей критериев значимости с учетом осо- бенностей функционирования объекта КИИ. l Как следствие, в процесс категори- рования объектов КИИ также добавлено, что субъекты КИИ обязаны руковод- ствоваться перечнем типовых отрасле- вых объектов КИИ и отраслевыми осо- бенностями категорирования КИИ. При изменении отраслевых особенностей категорирования объектов КИИ может быть изменена категория значимости объекта КИИ. l При ведении реестра значимых объ- ектов КИИ также будет учитываться информация о доменном имени и сете- вом адресе значимого объекта КИИ. l Необходимо будет информировать не только о компьютерных инцидентах, но и о компьютерных атаках. l Обязанности по информированию о компьютерных атаках и компьютерных инцидентах ФСБ России и взаимодей- ствие с ГосСОПКА теперь распростра- няются не только на субъектов КИИ, но и на руководителей государственных органов, государственных унитарных предприятий, государственных учреж- дений, государственных фондов, госу- дарственных корпораций (компаний), иных российских юридических лиц, которые, если иное не предусмотрено международным договором РФ, нахо- дятся под контролем 8 РФ, и (или) субъ- екта РФ, и (или) контролируемых ими совместно или по отдельности лиц, в части информационных ресурсов РФ, принадлежащих таким органам и юри- дическим лицам на праве собственно- сти, аренды или ином законном осно- вании. До установления перечней типовых отраслевых объектов КИИ, отраслевых особенностей категорирования объектов КИИ, категорирование должно осуществ- ляться в соответствии с порядком осу- ществления категорирования, установ- ленным Правительством РФ 9 . Изменения в порядок ведения реестра значимых объектов КИИ Как следствие, за изменениями, вно- симыми в 187–ФЗ, к общественному обсуждению 25 апреля 2025 г. был пред- ставлен проект приказа ФСТЭК России "О внесении изменений в Порядок веде- ния реестра значимых объектов крити- ческой информационной инфраструкту- ры Российской Федерации, утвержден- ный приказом ФСТЭК России от 6 декаб- ря 2017 г. № 227" 10 . Проектом приказа предусматривается внесение в реестр значимых объектов КИИ информации о доменных именах и сетевой адресации. В регистрационном номере будет учи- тываться не сфера (область) деятель- ности, в которой функционирует значи- мый объект КИИ, а сфера (область) деятельности, в которой выполняет функции (полномочия) или осуществ- ляет деятельность субъект КИИ, кото- рому принадлежит значимый объект КИИ. Изменения в форме направления сведений о категорировании 25 апреля 2025 г. к общественному обсуждению был представлен проект приказа ФСТЭК России "О внесении изменений в форму направления све- дений о результатах присвоения объекту критической информационной инфра- структуры одной из категорий значимо- сти, либо об отсутствии необходимости