В Москве состоялась четвертая межотраслевая конференция АБИСС, посвященная регулированию в области информационной безопасности. Центральным событием стала пленарная сессия «Системное развитие ИБ-регуляторики», где представители ФСТЭК России, ФСБ России и Банка России представили стратегию изменений и дали комментарии по актуальным вопросам отрасли. Модератором дискуссии выступила председатель Ассоциации АБИСС Анастасия Харыбина.
ФСТЭК России: обновление подходов к КИИ
О ключевых направлениях работы рассказала Елена Торбенко, начальник управления ФСТЭК России. Одним из главных изменений станет расширение нормативной базы по категорированию объектов критической информационной инфраструктуры (КИИ). В частности, готовится введение типовых перечней отраслевых объектов, которые формируют профильные регуляторы. На текущий момент ФСТЭК согласовала 12 из 14 проектов, а после утверждения полного комплекта перечни будут введены в действие постановлением правительства.
Параллельно разрабатываются отраслевые проекты постановлений — для 14 секторов экономики, с учетом специфики категорирования, методов расчета показателей и состава комиссий.
ФСТЭК также готовит актуализацию критериев значимости объектов КИИ. Обновления затронут оборонно-промышленный комплекс, банковскую сферу и отрасль связи. Новая редакция Постановления № 128, регулирующего порядок категорирования, уже находится на согласовании. Изменения направлены на устранение неясностей и предотвращение искусственного занижения значимости объектов. По данным ведомства, только за 2025 год за нарушения требований к субъектам КИИ возбуждено около 350 административных дел.
Дополнительно обновлена форма подачи сведений в реестр КИИ — теперь включены поля для доменных имен, IP-адресов и ссылок на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать данные в упрощенном порядке. Все ключевые документы планируется утвердить до конца года.
На 2026 год в планах ФСТЭК — пересмотр требований безопасности для значимых объектов КИИ, включая изменения в приказы № 235 и № 239, а также актуализацию правил для подрядчиков, обслуживающих объекты КИИ. Цель — сократить риски инцидентов, возникающих в цепочках поставок.
ФСБ России: настройка криптографии и акцент на IoT
О новшествах в сфере криптографической защиты информации сообщил Алексей Петров, начальник экспертного подразделения ФСБ России. Ведомство готовит уточняющие требования к средствам криптографической защиты (СКЗИ), включая корректировки в Постановление № 313. Особое внимание уделено устройствам IoT, применяемым в гражданских целях: обсуждается их вывод из-под лицензирования при массовом использовании криптографии.
Петров также напомнил о новом приказе ФСБ № 117 от 18.03.2025, который закрепил обязательность применения СКЗИ в государственных информационных системах и необходимость согласования моделей угроз и технических заданий с ФСБ. Кроме того, ведомство утвердило уточненные требования к платежным системам, включая карты, терминалы, банкоматы и HSM-модули.
Банк России: фокус на клиента и операционную устойчивость
Продолжил пленарный блок Антон Чернодед, начальник отдела департамента информационной безопасности Банка России. Он представил практику применения Положения № 851-П, вступившего в силу в начале года. Документ направлен на повышение защиты граждан от несанкционированных переводов. Среди требований — регистрация всех событий перевода, уведомление родителей о транзакциях несовершеннолетних и появление в мобильных приложениях функции мгновенного заявления о мошенничестве.
Чернодед разъяснил, что при совмещении требований Положений № 851-П и № 757-П уровень защиты определяется по наивысшему из применимых стандартов, если используется единая инфраструктура.
Особое внимание уделено операционной надежности. Новый документ — Положение № 850-П — зафиксировал контрольные значения показателей, чтобы исключить случаи их искусственного занижения.
Банк России также напомнил кредитным организациям о необходимости внедрения СКЗИ в системы дистанционного банковского обслуживания для работы с цифровым рублем, а микрофинансовым организациям — о скором распространении на них требований по ИБ и надежности.
Отдельный блок был посвящен работе технического комитета № 122. Сейчас завершается подготовка новой версии ГОСТ Р 57580.1, выпуск которой ожидается в начале 2026 года. Кроме того, ЦБ планирует создание стандарта безопасности аутсорсинга технологических процессов, где внимание будет уделено не только подрядчикам, но и аудиторам, имеющим доступ к критическим данным финансовых организаций.
Практика: типовые нарушения и методическая помощь
О практических аспектах категорирования рассказал Дмитрий Бубнов, директор департамента кибербезопасности ФГУП НПП «Гамма». С 2022 года его команда провела более 3000 выездных проверок предприятий металлургии, химии и горнодобычи, поднадзорных Минпромторгу России. Основная цель инспекций — методическая поддержка.
Среди частых нарушений — несвоевременное обновление сведений о КИИ в реестре, категорирование без утверждения комиссий и ошибки в расчетах показателей. Организации могут получить бесплатные консультации по корректному категорированию и переходу на отечественное ПО.
Саморегуляция как ответ на темпы ИТ-рынка
Еще одной важной темой форума стала саморегуляция в сфере информационной безопасности. Эксперты сошлись во мнении, что развитие ИТ-рынков опережает возможности государственного регулирования, создавая «серые зоны». Ответом на этот вызов становится добровольная сертификация (СДС), создаваемая самими участниками рынка. Такие инициативы позволяют заполнить правовые пробелы и выстроить стандарты доверия.
В дискуссии приняли участие представители АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.
Прикладные сессии: от персональных данных до аутсорсинга
Дальнейшая программа конференции включала шесть параллельных сессий, посвященных практическим вопросам отрасли.
«Обработка и защита персональных данных» — под модерацией Павла Новожилова («Инфосистемы Джет») обсудили актуальные изменения законодательства, алгоритмы реагирования на утечки и снижение юридических рисков.
«Оценка зрелости ИБ» — модератор Олег Симаков (AKTIV.CONSULTING); эксперты из «Инфосистемы Джет», AKTIV.CONSULTING и «Норникеля» сравнили методики оценки и их влияние на развитие функций ИБ.
«Безопасность КИИ — практика» — модератор Федор Музалевский (RTM Group); компании «СёрчИнформ», «РуСИЕМ», RTM Group и УЦСБ поделились решениями по защите от инсайдерских угроз и применению SIEM-систем.
Сессия по безопасной разработке (РБПО) — под руководством Владимира Алферова (ПК «РАД КОП»); обсуждались практики внедрения приказа ФСТЭК № 117, метрики и автоматизация DevSecOps-процессов.
«Информационная безопасность финансовых организаций» — модератор Евгений Безгодов (Deiteriy); участники говорили о новых требованиях ЦБ, рисках в платежной системе «Мир» и трансформации корпоративных стратегий ИБ.
«Безопасность аутсорсинга» — под модерацией Александра Хонина (Angara Security); эксперты компаний «Инфосекьюрити», Angara Security и «Инфосистемы Джет» разбирали правовые аспекты взаимодействия с подрядчиками и методические рекомендации АБИСС по снижению рисков.
ФСТЭК России: обновление подходов к КИИ
О ключевых направлениях работы рассказала Елена Торбенко, начальник управления ФСТЭК России. Одним из главных изменений станет расширение нормативной базы по категорированию объектов критической информационной инфраструктуры (КИИ). В частности, готовится введение типовых перечней отраслевых объектов, которые формируют профильные регуляторы. На текущий момент ФСТЭК согласовала 12 из 14 проектов, а после утверждения полного комплекта перечни будут введены в действие постановлением правительства.
Параллельно разрабатываются отраслевые проекты постановлений — для 14 секторов экономики, с учетом специфики категорирования, методов расчета показателей и состава комиссий.
ФСТЭК также готовит актуализацию критериев значимости объектов КИИ. Обновления затронут оборонно-промышленный комплекс, банковскую сферу и отрасль связи. Новая редакция Постановления № 128, регулирующего порядок категорирования, уже находится на согласовании. Изменения направлены на устранение неясностей и предотвращение искусственного занижения значимости объектов. По данным ведомства, только за 2025 год за нарушения требований к субъектам КИИ возбуждено около 350 административных дел.
Дополнительно обновлена форма подачи сведений в реестр КИИ — теперь включены поля для доменных имен, IP-адресов и ссылок на типовые перечни. Организации, уже прошедшие категорирование, могут актуализировать данные в упрощенном порядке. Все ключевые документы планируется утвердить до конца года.
На 2026 год в планах ФСТЭК — пересмотр требований безопасности для значимых объектов КИИ, включая изменения в приказы № 235 и № 239, а также актуализацию правил для подрядчиков, обслуживающих объекты КИИ. Цель — сократить риски инцидентов, возникающих в цепочках поставок.
ФСБ России: настройка криптографии и акцент на IoT
О новшествах в сфере криптографической защиты информации сообщил Алексей Петров, начальник экспертного подразделения ФСБ России. Ведомство готовит уточняющие требования к средствам криптографической защиты (СКЗИ), включая корректировки в Постановление № 313. Особое внимание уделено устройствам IoT, применяемым в гражданских целях: обсуждается их вывод из-под лицензирования при массовом использовании криптографии.
Петров также напомнил о новом приказе ФСБ № 117 от 18.03.2025, который закрепил обязательность применения СКЗИ в государственных информационных системах и необходимость согласования моделей угроз и технических заданий с ФСБ. Кроме того, ведомство утвердило уточненные требования к платежным системам, включая карты, терминалы, банкоматы и HSM-модули.
Банк России: фокус на клиента и операционную устойчивость
Продолжил пленарный блок Антон Чернодед, начальник отдела департамента информационной безопасности Банка России. Он представил практику применения Положения № 851-П, вступившего в силу в начале года. Документ направлен на повышение защиты граждан от несанкционированных переводов. Среди требований — регистрация всех событий перевода, уведомление родителей о транзакциях несовершеннолетних и появление в мобильных приложениях функции мгновенного заявления о мошенничестве.
Чернодед разъяснил, что при совмещении требований Положений № 851-П и № 757-П уровень защиты определяется по наивысшему из применимых стандартов, если используется единая инфраструктура.
Особое внимание уделено операционной надежности. Новый документ — Положение № 850-П — зафиксировал контрольные значения показателей, чтобы исключить случаи их искусственного занижения.
Банк России также напомнил кредитным организациям о необходимости внедрения СКЗИ в системы дистанционного банковского обслуживания для работы с цифровым рублем, а микрофинансовым организациям — о скором распространении на них требований по ИБ и надежности.
Отдельный блок был посвящен работе технического комитета № 122. Сейчас завершается подготовка новой версии ГОСТ Р 57580.1, выпуск которой ожидается в начале 2026 года. Кроме того, ЦБ планирует создание стандарта безопасности аутсорсинга технологических процессов, где внимание будет уделено не только подрядчикам, но и аудиторам, имеющим доступ к критическим данным финансовых организаций.
Практика: типовые нарушения и методическая помощь
О практических аспектах категорирования рассказал Дмитрий Бубнов, директор департамента кибербезопасности ФГУП НПП «Гамма». С 2022 года его команда провела более 3000 выездных проверок предприятий металлургии, химии и горнодобычи, поднадзорных Минпромторгу России. Основная цель инспекций — методическая поддержка.
Среди частых нарушений — несвоевременное обновление сведений о КИИ в реестре, категорирование без утверждения комиссий и ошибки в расчетах показателей. Организации могут получить бесплатные консультации по корректному категорированию и переходу на отечественное ПО.
Саморегуляция как ответ на темпы ИТ-рынка
Еще одной важной темой форума стала саморегуляция в сфере информационной безопасности. Эксперты сошлись во мнении, что развитие ИТ-рынков опережает возможности государственного регулирования, создавая «серые зоны». Ответом на этот вызов становится добровольная сертификация (СДС), создаваемая самими участниками рынка. Такие инициативы позволяют заполнить правовые пробелы и выстроить стандарты доверия.
В дискуссии приняли участие представители АПКИТ, центра компетенций «Кибербезопасность» НТИ Энерджинет, ГК «Росатом», Ассоциации АБИСС и Ассоциации больших данных.
Прикладные сессии: от персональных данных до аутсорсинга
Дальнейшая программа конференции включала шесть параллельных сессий, посвященных практическим вопросам отрасли.
«Обработка и защита персональных данных» — под модерацией Павла Новожилова («Инфосистемы Джет») обсудили актуальные изменения законодательства, алгоритмы реагирования на утечки и снижение юридических рисков.
«Оценка зрелости ИБ» — модератор Олег Симаков (AKTIV.CONSULTING); эксперты из «Инфосистемы Джет», AKTIV.CONSULTING и «Норникеля» сравнили методики оценки и их влияние на развитие функций ИБ.
«Безопасность КИИ — практика» — модератор Федор Музалевский (RTM Group); компании «СёрчИнформ», «РуСИЕМ», RTM Group и УЦСБ поделились решениями по защите от инсайдерских угроз и применению SIEM-систем.
Сессия по безопасной разработке (РБПО) — под руководством Владимира Алферова (ПК «РАД КОП»); обсуждались практики внедрения приказа ФСТЭК № 117, метрики и автоматизация DevSecOps-процессов.
«Информационная безопасность финансовых организаций» — модератор Евгений Безгодов (Deiteriy); участники говорили о новых требованиях ЦБ, рисках в платежной системе «Мир» и трансформации корпоративных стратегий ИБ.
«Безопасность аутсорсинга» — под модерацией Александра Хонина (Angara Security); эксперты компаний «Инфосекьюрити», Angara Security и «Инфосистемы Джет» разбирали правовые аспекты взаимодействия с подрядчиками и методические рекомендации АБИСС по снижению рисков.