Журнал "Information Security/ Информационная безопасность" #6, 2025

8 • ПРАВО И НОРМАТИВЫ Декабрь-2025 обзоре за декабрь 2025 г. рассмотрим законопроект по изменению ведения перечня иностранных государств, обеспечивающих адекватную защиту ПДн; проекты приказов по продлению срока применения приказов ФСТЭК России по лицензионному контро- лю; проект изменений в Положении о системе сертификации СрЗИ ФСТЭК России; методику анализа защищенности информационных систем; проект порядка проведения в отношении субъектов КИИ, осуществляющих деятельность в области атомной энер- гии, оценки актуальности и достоверности сведений по категорированию; рекоменда- ции от ФСТЭК России по защите от спуфинг-атак. В Ведение перечня иностранных государств, обеспечивающих адекватную защиту ПДн Законопроект № 951518-8 "О внесении изменений в ст. 12 Федерального закона "О персональных данных" 15 в декабре 2025 г. был принят в первом чтении. Законопроектом предлагается исклю- чить положения об обязательном включении государств, являющихся сто- ронами Конвенции Совета Европы о защите физических лиц при автома- тизированной обработке персональных данных, в перечень иностранных госу- дарств, обеспечивающих адекватную защиту прав субъектов ПДн. При этом основанием для включения иностранных государств в указанный перечень являет- ся соответствие положениям данной Конвенции их правового регулирования в области ПДн и применяемых ими мер по соблюдению основополагающих принципов защиты, обеспечению кон- фиденциальности и безопасности ПДн при их обработке. Продление срока применения приказов ФСТЭК России по лицензионному контролю Проект приказа ФСТЭК России "О вне- сении изменений в приказ ФСТЭК Рос- сии от 12 мая 2025 г. № 163 "Об уста- новлении сроков и последовательности административных процедур при осу- ществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицен- зионного контроля за деятельностью по технической защите конфиденциальной информации" и в приказ ФСТЭК России от 12 мая 2025 г. № 164 "Об установле- нии сроков и последовательности адми- нистративных процедур при осуществ- лении Федеральной службой по техни- ческому и экспортному контролю и ее территориальными органами лицензион- ного контроля за деятельностью по раз- работке и производству средств защиты конфиденциальной информации (в пре- делах компетенции ФСТЭК России)" 16 был представлен к общественному обсуждению 12 декабря 2025 г. Указанным проектом приказа пред- полагается продлить срок применения с 31 декабря 2025 г. до 31 декабря 2028 г. для следующих приказов ФСТЭК Рос- сии: l приказ ФСТЭК России от 12 мая 2025 г. № 163 "Об установлении сроков и последовательности административ- ных процедур при осуществлении Феде- ральной службой по техническому и экспортному контролю и ее террито- риальными органами лицензионного контроля за деятельностью по техни- ческой защите конфиденциальной информации"; l приказ ФСТЭК России от 12 мая 2025 г. № 164 "Об установлении сро- ков и последовательности админи- стративных процедур при осуществ- лении Федеральной службой по тех- ническому и экспортному контролю и ее территориальными органами лицен- зионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информа- ции (в пределах компетенции ФСТЭК России)". Изменения в Положении о системе сертификации СрЗИ ФСТЭК России Проект приказа ФСТЭК России "О вне- сении изменений в Положение о системе сертификации средств защиты инфор- мации, утвержденное приказом Феде- ральной службы по техническому и экс- портному контролю от 3 апреля 2018 г. № 55" 17 был представлен к обществен- ному обсуждению 24 декабря 2025 г. К изменениям предлагается Положе- ние о системе сертификации средств защиты информации. В качестве основ- ного изменения отметим, что при серти- фикации СрЗИ будут анализироваться: l заимствованные программные ком- поненты с открытым исходным кодом, входящие в состав СрЗИ (в случае нали- чия); l образы контейнеров, входящие в состав СрЗИ (в случае наличия). Методика анализа защищенности информационных систем Информационным сообщение от 4 декабря 2025 г. N 240/22/6902 18 ФСТЭК России сообщает, что 25 ноября 2025 г. утверждена Мето- дика анализа защищенности инфор- мационных систем 19 . Методика определяет организацию, порядок проведения и содержание работ, проводимых в ходе испытаний систем защиты информации информа- ционных систем, автоматизированных систем управления, информационно- телекоммуникационных сетей в рамках реализации требований Порядка орга- низации и проведения работ по аттеста- ции объектов информатизации на соот- ветствие требованиям о защите инфор- мации ограниченного доступа, не состав- ляющей государственную тайну, утвер- жденного приказом ФСТЭК России от 29 апреля 2021 г. № 77. Таким образом, методика применяется в ходе: l аттестации информационных систем на соответствие требованиям по защите информации; l контроля уровня защищенности кон- фиденциальной информации от несанк- ционированного доступа и ее модифи- кации в информационных системах, проводимого в соответствии с требова- ниями по защите информации; l оценки соответствия информационных систем требованиям по защите инфор- мации (испытания) и достаточности при- нимаемых мер по защите информации (обеспечению безопасности), реализа- ция которых предусмотрена требова- ниями по защите информации. 15 https://sozd.duma.gov.ru/bill/951518-8 16 https://regulation.gov.ru/projects/163234/ 17 https://regulation.gov.ru/projects/163649/ 18 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-4-dekabrya-2025-g-n-240-22-6902 19 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-25-noyabrya-2025-g