Журнал "Information Security/ Информационная безопасность" #3, 2025

6 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=157333 7 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=157463 8 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=157304 9 http://publication.pravo.gov.ru/document/0001202506170011 6 • ПРАВО И НОРМАТИВЫ Июнь–2025 обзоре изменений законодательства в области ИБ за июнь 2025 г. рассмотрим: пред- ложения по изменениям порядка сертификации процессов безопасной разработки ПО СрЗИ; проекты изменений в правилах категорирования объектов КИИ и перечней типовых отраслевых объектов КИИ; новые требования по защите ГИС; требования по оформлению согласий на обработку ПДн; проект изменений в требованиях по транс- граничной передаче ПДн. В Порядок сертификации процессов безопасной разработки ПО СрЗИ ФСТЭК России 5 июня 2025 г. пред- ставила к общественному обсуждению проект приказа "О внесении изменений в Порядок сертификации процессов без- опасной разработки программного обес- печения средств защиты информации, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. № 240" 6 . В частности, изменениями предлага- ется дополнить порядок сертификации процессов безопасной разработки тре- бованиями по содержанию руководства по безопасной разработке программного обеспечения. Сертификат соответствия выдается на область действия, указан- ную в руководстве по безопасной раз- работке программного обеспечения. Изменения в правилах категорирования объектов КИИ и перечни типовых отраслевых объектов КИИ В июне 2025 г. ФСТЭК России пред- ставила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правитель- ства Российской Федерации от 8 фев- раля 2018 г. № 127" 7 . Изменения подготовлены в связи с федеральным законом от 07.04.2025 № 58-ФЗ "О внесении изменений в Федеральный закон "О безопасности критической информационной инфра- структуры Российской Федерации". Как и федеральный закон от 07.04.2025 № 58-ФЗ, предлагаемые ФСТЭК России изменения планируются к вступлению в силу с 1 сентября 2025 г. Проектом постановления Правитель- ства РФ отмечается, что теперь катего- рированию будут подлежать объекты критической информационной инфра- структуры, соответствующие типам информационных систем, информацион- но-телекоммуникационных сетей, авто- матизированных систем управления, включенных в перечни типовых отрас- левых объектов КИИ. При категориро- вании теперь нужно будет также учиты- вать отраслевые особенности категори- рования объектов КИИ, утверждаемые Правительством РФ. Кроме того, к изме- нениям предлагается ряд показателей критериев значимости объектов КИИ и их значений. Далее представлен перечень проектов актов Правительства Российской Феде- рации, устанавливающих отраслевые особенности категорирования объектов КИИ в разных сферах: l сфера здравоохранения; l сфера науки; l сфера транспорта; l сфера связи; l сфера государственной регистрации прав на недвижимое имущество и сделок с ним; l сферы энергетики и топливно-энер- гетического комплекса; l в области использования атомной энергии; l сфера оборонной промышленности; l в области ракетно-космической про- мышленности; l сфера горнодобывающей промыш- ленности (в части руд, камней); l сфера металлургической промыш- ленности; l сфера химической промышленности. Однако 4 июня 2025 г. ФСТЭК России был представлен проект постановления Правительства Российской Федерации "Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры" 8 , утверждающий перечни для всех отрас- лей. Новые требования по защите ГИС Приказ ФСТЭК России от 11.04.2025 № 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных систе- мах государственных органов, государст- венных унитарных предприятий, госу- дарственных учреждений" 9 был офици- ально опубликован 17 июня 2025 г. При- каз ФСТЭК России от 11.04.2025 № 117 вступает в силу с 1 марта 2026 г. и отме- няет приказ ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Новые требования будут распростра- няться на защиту информации, содер- жащейся в государственных информа- ционных системах, иных информацион- ных системах государственных органов, государственных унитарных предприя- тий, государственных учреждений, и при- меняются для обеспечения защиты (некриптографическими методами) информации. Организация деятельности по защите информации должна включать: l разработку и утверждение политики защиты информации; l определение лиц, ответственных за защиту информации; l применение программных, программ- но-аппаратных средств, предназначен- ных для защиты информации; l разработку и утверждение внутренних стандартов по защите информации; l разработку и утверждение внутренних регламентов по защите информации; l выделение организационных, техни- ческих и иных ресурсов, необходимых для защиты информации. Кроме того, отмечается, что обязан- ности подрядной организации по выпол- нению внутренних стандартов и регла- ментов по защите информации должны быть определены в документах опера- тора (обладателя), на основании которых передается информация, предоставляет- ся доступ к информационным системам оператора (обладателя информации) или содержащейся в них информации. Оператором (обладателем информации) в отношении подрядной организации должны быть установлены требования по обеспечению защиты информации, к которой получен доступ. Оценка состояния защиты информа- ции должна проводиться на основе опре- деления оператором (обладателем информации): l показателя, характеризующего теку- щее состояние защиты информации от базового уровня угроз безопасности информации (показатель защищенности Кзи);