Журнал "Information Security/ Информационная безопасность" #5, 2025

Октябрь–2025 октябрьском обзоре изменений законодательства поговорим о порядке предоставления сведений по результатам категорирования объектов КИИ, о мониторинге актуально- сти сведений по категорированию со стороны Минпромторга России, о рекомендациях ФСТЭК России для организаций, использующих продукты Microsoft, изменениях в требованиях доверия к средствам защиты информации и стандартизации в области информационной безопасности. В Обновление формы сведений о результатах категорирования объектов КИИ В октябре 2025 г. на официальном сайте ФСТЭК России было опубликова- но информационное сообщение от 22.10.2025 № 240/84/3451 "О порядке представления субъектами критической информационной инфраструктуры све- дений о результатах присвоения объ- ектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необхо- димости присвоения ему одной из таких категорий" 11 . В частности, проектом Федерального закона предлагается уточнить в Феде- ральном законе от 27.07.2006 № 152- ФЗ "О персональных данных", что согла- сие на обработку ПДн, может быть дано оператору: l непосредственно; l с использованием федеральной госу- дарственной информационной системы "Единая система идентификации и аутен- тификации в инфраструктуре, обеспечи- вающей информационно-технологиче- ское взаимодействие информационных систем, используемых для предостав- ления государственных и муниципальных услуг в электронной форме" (ЕСИА) в порядке и случаях, установленных Правительством РФ. При этом информация о согласиях на обработку ПДн, предоставленных непо- средственно оператору, должна быть передана оператором в ЕСИА в составе, порядке и случаях, установленных Пра- вительством РФ. Типовые формы согласий на обра- ботку ПДн, которые могут быть даны с использованием ЕСИА в случаях и порядке, установленном Правитель- ством РФ, утверждаются Роскомнадзо- ром и Минцифры России (в банковской сфере и иных сферах финансового рынка дополнительно согласовываются с Банком России). Аналогично предлагается, что и отзыв согласия на обработку ПДн может быть отправлен субъектом ПДн непосредствен- но оператору или с использованием ЕСИА. Предполагается, что субъект ПДн, зарегистрированный в ЕСИА, имеет право на получение посредством единого портала государственных и муниципаль- ных услуг информации, подтверждающей факт обработки его ПДн оператором на основании согласия на обработку его ПДн, в составе, порядке и случаях, уста- новленных Правительством РФ. Методика ФСТЭК России по организации тестирования на проникновение Информационным сообщением от 8 сентября 2025 г. № 240/24/4734 ФСТЭК России сообщает об утверждении Мето- дики испытаний систем защиты инфор- мации информационных систем мето- дами тестирования на проникновение 9 . Методика определяет организацию, порядок проведения и содержание работ, проводимых в ходе испытаний систем защиты информации информационных систем, автоматизированных систем управления, информационно-телеком- муникационных сетей в соответствии с Порядком организации и проведения работ по аттестации объектов инфор- матизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государст- венную тайну, утвержденного приказом ФСТЭК России от 29 апреля 2021 г. № 77, с использованием методов тести- рования на проникновение. Методика применяется для проведения работ по тестированию на проникнове- ние в отношении государственных информационных систем, иных инфор- мационных систем государственных органов, государственных унитарных предприятий, государственных учреж- дений 1, 2 классов защищенности, кото- рые имеют подключение к сети Интернет и (или) взаимодействуют с иными инфор- мационными системами, в том числе с информационными системами подряд- ных организаций (за исключением слу- чаев, когда такое взаимодействие реа- лизовано с использованием сети циф- ровой связи или виртуальных частных сетей с применением сертифицирован- ных шифровальных (криптографических) средств защиты информации). В иных случаях решение о применении Мето- дики принимает обладатель информа- ции, заказчик, заключивший контракт на создание информационной системы, оператор информационной системы. Методика применяется в ходе: l аттестации информационных систем на соответствие требованиям по защите информации; l контроля защищенности конфиден- циальной информации от несанкциони- рованного доступа и ее модификации в информационных системах, проводимо- го в соответствии с требованиями по защите информации; l оценки соответствия информационных систем требованиям по защите инфор- мации (испытания) и достаточности при- нимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации. Актуализация порядка сертификации процессов безопасной разработки ПО СрЗИ Приказ ФСТЭК России от 30.06.2025 № 230 "О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информа- ции, утвержденный приказом ФСТЭК России от 1 декабря 2023 г. № 240" 10 был официально опубликован 19 сен- тября 2025 г. Приказ вступил в силу 30 сентября 2025 г. Приказом ФСТЭК России от 30.06.2025 № 230 в порядок проведения сертификации процессов безопасной разработки ПО средств защиты инфор- мации добавлены требования к содер- жанию руководства по безопасной раз- работке ПО. Уточнен сам процесс сер- тификации ПО. Кроме того, по тексту приказа уточнена актуальная редакция ГОСТ Р 56939–2024 "Защита информа- ции. Разработка безопасного программ- ного обеспечения. Общие требования". 6 • ПРАВО И НОРМАТИВЫ 9 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-8-sentyabrya-2025-g-n-240-24-4734 10 http://publication.pravo.gov.ru/document/0001202509190005 11 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-22-oktyabrya-2025-g-n-240-84-3451