Обзор изменений в законодательстве за май 2026 года

15 июня 2026

В обзоре изменений за май 2026 года изучим методику оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ, а также рассмотрим официально опубликованные документы:

• порядок аккредитации центров ГосСОПКА;
• правила проверки сведений о категорировании объектов КИИ в атомной отрасли;
• изменения в перечне типовых отраслевых объектов КИИ РФ.

Порядок аккредитации центров ГосСОПКА

20 мая Федеральная служба безопасности Российской Федерации (далее – ФСБ России, РФ) официально опубликовала приказ от 22.04.2026 № 161 «Об утверждении Порядка аккредитации центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА) и Требований к центрам ГосСОПКА, а также к аккредитованным центрам».
Документ устанавливает порядок оценки соответствия заявителей требованиям, предъявляемым к центрам ГосСОПКА, проводимой Центром защиты информации и специальной связи ФСБ России.

Подробнее с документом можно ознакомиться в обзоре за ноябрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

• убран пункт с фиксированным сроком действия аккредитации (5 лет), однако согласно рекомендуемому образцу аттестата аккредитации срок действия не может превышать 5 лет, что допускает установление более короткого периода аккредитации;
• добавлены процентные критерии успешного прохождения проверки знаний работников соискателя (проверка считается пройденной, если не менее 75% присутствующих сотрудников, а также руководитель и его заместитель правильно выполнили не менее 75% тестовых заданий);
• сокращен срок ожидания для повторной подачи документов с 25 до 5 рабочих дней, если причиной отказа стало представление неполного комплекта документов и сведений;
• добавлен образец аттестата аккредитации (приложение №1 к документу);
• исключено приложение № 4, содержавшее подробную таблицу требований к знаниям и навыкам сотрудников для каждой должности, однако в пункт 21 приложения № 2 Требований к центрам ГосСОПКА были включены общие требования к знанию нормативных правовых актов, национальных и международных стандартов, а также методических документов;
• разрешено передавать производителям программного обеспечения информацию об уязвимостях их продуктов.

Правила проверки сведений о категорировании объектов КИИ в атомной отрасли

21 мая Государственной корпорацией по атомной энергии «Росатом» (далее – Госкорпорация «Росатом») официально опубликован приказ от 20.03.2026 № 1/9-НПА «Об утверждении порядка проведения в отношении субъектов критической информационной инфраструктуры (далее – КИИ) РФ, осуществляющих деятельность в области атомной энергии, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127, и критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127».

Подробнее с документом можно ознакомиться в обзоре за декабрь 2025 года Аналитического центра УЦСБ.

Ключевые отличия опубликованной версии документа от проекта:

• установлен переходный период для 2026 года (направление запроса Госкорпорации «Росатом» субъектам КИИ должно быть обеспечено в срок до 01.07.2026, а подготовка и подписание решения о графике проведения оценки по месту нахождения объектов КИИ – в срок до 01.09.2026);
• ежегодный запрос сведений от Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) обо всех субъектах КИИ в области атомной энергии заменен на прямое взаимодействие с субъектами КИИ на основании имеющихся данных о категорировании;
• из требований к организациям, которые Госкорпорация «Росатом» может привлекать к оценке, исключено требование о наличии основного вида деятельности в области информационных технологий.

Методика оценки уровня зрелости деятельности в области ТЗИ в ИС и обеспечения безопасности значимых объектов КИИ

22 мая опубликовано информационное сообщение ФСТЭК России № 240/92/3506 о разработке проекта методического документа «Методика оценки уровня зрелости деятельности в области технической защиты информации (далее – ТЗИ) в информационных системах (далее – ИС) и обеспечения безопасности значимых объектов КИИ РФ».

Методика будет определять порядок оценки уровня зрелости деятельности по:

• ТЗИ, не составляющей государственную тайну, содержащейся в ИС;
• обеспечению безопасности значимых объектов КИИ.

Методика будет предназначена для оценки уровня зрелости данной деятельности на соответствие требованиям следующих нормативных правовых актов ФСТЭК России:

• требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (далее – ГИС), утвержденные приказом ФСТЭК России от 11.04.2025 № 117 (далее – требования к защите информации ГИС);
• требования к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31;
• требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239;
• требования к обеспечению защиты информации в автоматизированных системах управления (далее – АСУ) производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2014 № 31;
• состав и содержание организационных и технических мер по обеспечению безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн), утвержденные приказом ФСТЭК России от 18.02.2013 № 21.

Методика будет применяться:

• операторами ИС и значимых объектов КИИ (для оценки уровня зрелости при эксплуатации ИС и значимых объектов КИИ);
• подрядными организациями (для подтверждения уровня зрелости при оказании услуг, проведении работ);
• государственными органами и организациями, в том числе субъектами КИИ, являющимися заказчиками услуг или работ (для установления требований к уровню зрелости при оказании услуг и проведении работ);
• операторами ИСПДн (для подтверждения уровня зрелости деятельности в области обеспечения безопасности ПДн, обрабатываемых в ИСПДн);
• ФСТЭК России (для оценки эффективности деятельности, осуществляемой операторами и подрядными организациями).

Оценка уровня зрелости будет проводиться оператором самостоятельно или с привлечением внешней организации, имеющей лицензию на деятельность в области технической защиты конфиденциальной информации (далее – ТЗКИ).

При этом в методике отдельно уточняется, что внешняя оценка уровня зрелости обладает более высокой объективностью.

ООО «УЦСБ» обладает глубокой экспертизой в проведении комплексных аудитов и полностью соответствует критериям регулятора. Компания имеет официальные лицензии ФСТЭК России на:

• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года)
• деятельность по разработке и (или) производству средств защиты конфиденциальной информации (№Л050-00107-00/00579687 от 08 октября 2007 года).

Новая методика определит следующую шкалу уровня зрелости:

• нулевой (отсутствует);
• начальный;
• системный;
• контролируемый;
• верифицируемый.

Оценка уровня зрелости будет включать в себя следующие ключевые этапы:

• Определение оцениваемых направлений деятельности и целевого уровня зрелости

В рамках оценки рассматривается 21 базовое направление деятельности. Для каждого из них целевой уровень зрелости определяется с учетом результатов текущей оценки.

• Сбор и анализ исходных данных

В ходе этапа осуществляется сбор и изучение внутренних документов и материалов организации, проводятся интервью с ответственными специалистами, а также выполняется детальный технический анализ функционирования программных и программно-аппаратных средств ИС.

• Определение текущего и итогового (общего) уровня зрелости

В ходе оценки проводится проверка соответствия установленным критериям. Для каждого типа требований рассчитывается процент выполнения по утвержденной математической формуле.

• Документирование

По итогам работ формируется подробный отчет, включающий визуализацию результатов оценки (в том числе сравнительные диаграммы текущего и целевого уровней зрелости), рекомендации и поэтапный план мероприятий по повышению уровня защиты информации, а также иные сопутствующие материалы.

Изменения в перечне типовых отраслевых объектов КИИ РФ

29 мая официально опубликовано распоряжение Правительства РФ от 27.05.2026 № 1237-р.
Распоряжением вносятся изменения в перечень типовых отраслевых объектов КИИ РФ, утвержденный распоряжением Правительства РФ от 26.02.2026 № 360-р.
Изменения затронули типовые объекты КИИ в сфере энергетики.

Уточнены следующие признаки значимости для ИС, АСУ, информационно-телекоммуникационных сетей (далее – ИТКС), предназначенных для контроля и управления технологическим оборудованием и электротехническими процессами тепловых электростанций (электроцентралей) (за исключением атомных электростанций):

• в типовые процессы (функции), выполняемые типовыми объектами КИИ РФ, добавлены:

o управление теплогенерирующими энергоустановками тепловой электростанции;
o контроль параметров теплогенерирующих энергоустановок тепловой электростанции.

• исключен вид деятельности субъекта КИИ РФ 35.3 (производство, передача и распределение пара и горячей воды; кондиционирование воздуха);
• дополнен вид деятельности субъекта КИИ РФ 35.30.11 (производство пара и горячей воды (тепловой энергии) тепловыми электростанциями)

Из перечня типовых отраслевых объектов КИИ РФ исключены ИС, АСУ, ИТКС, предназначенные для управления технологическими процессами котельной (за исключением атомных электростанций).