Обзор изменений в законодательстве за октябрь 2025 года

Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) опубликовала информационное сообщение от 22.10.2025 № 240/84/3451 «О порядке представления субъектами критической информационной инфраструктуры (далее – КИИ) сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Уточняется порядок заполнения и актуализации сведений о результатах категорирования объектов КИИ. Уточнения связаны с внесением изменений в статью 8 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» и конкретизируются приказом ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – форма), утвержденную приказом ФСТЭК России от 22.12.2017 № 236».

Требования к заполнению формы:

• в пункте 1.7 формы ставится прочерк до утверждения перечней типовых отраслевых объектов КИИ. После их утверждения субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения об объектах КИИ;
• в пункте 1.8 формы необходимо указать доменное имя и внешний (публичный) IP-адрес объекта КИИ. При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не подключен к сети «Интернет» заполнение этого поля не требуется.

Процедура актуализации сведений о результатах категорирования в соответствии с пунктом 19¹ постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования):

• без изменения категории значимости: сведения направляются электронным документом, записанным на машинном носителе информации, с сопроводительным письмом, содержащим размер электронных документов;
• с изменением категории значимости: сведения направляются в печатном и электронном виде (в формате .ods или .odt) по форме, установленной пунктом 18 Правил категорирования.

Технический комитет по стандартизации «Искусственный интеллект (далее – ИИ)» опубликовал окончательную версию проекта национального стандарта ГОСТ Р «ИИ в КИИ. Общие положения».

Стандарт будет обязателен для применения субъектами КИИ при проектировании, разработке, внедрении, эксплуатации, сопровождении и выводе из эксплуатации систем ИИ, которые являются частью программно-аппаратных комплексов (далее – ПАК) объектов КИИ.
Стандарт не будет распространяться на исследовательские и экспериментальные системы ИИ, не используемые в КИИ.
Стандартом предложена следующая классификация систем ИИ для КИИ:

• по уровню автономности принятия решений:

     o низкая (рекомендательные системы и иные);
     o средняя (частичная автоматизация с возможностью контроля человеком);
     o высокая (автономные решения с прямым воздействием на критические процессы принятия решений);

• по функциональному назначению (системы обеспечения информационной безопасности (далее – ИБ), анализа физической инфраструктуры, автоматизированного управления процессами, физической безопасности (включая ИИ-дроны), анализа данных и иные);
• по области применения в отрасли (здравоохранение, транспорта и иные);
• по источнику данных (работающие на внутренних, доверенных внешних или публичных данных).

Будет введена система критичности:

• уровень 1 (критический): системы ИИ, играющие ключевую роль в обеспечении ИБ и непрерывности функционирования объектов КИИ;
• уровень 2 (высокий): системы ИИ, автоматически принимающие решения, непосредственно влияющие на функционирование объектов КИИ;
• уровень 3 (средний): системы ИИ, участвующие в управлении процессами, но с обязательным контролем человеком перед исполнением критически важных решений;
• уровень 4 (низкий): системы ИИ, используемые для аналитики и поддержки принятия решений без прямого воздействия на процессы.

Для систем ИИ, применяемых в КИИ, должна будет проводиться комплексная оценка рисков на всех этапах жизненного цикла, включая проектирование, внедрение, эксплуатацию и вывод из эксплуатации.

Организации, применяющие системы ИИ в КИИ, должны будут разработать и внедрить следующие политики и процедуры:

• политику ИБ систем ИИ;
• процедуры управления жизненным циклом систем ИИ, включая учет внедренных решений ИИ;
• процедуры управления доступом к системам ИИ;
• процедуры тестирования и валидации систем ИИ;
• процедуры реагирования на инциденты ИБ;
• процедуры резервного копирования и восстановления;
• процедуры управления изменениями;
• процедуры обучения персонала, работающего с системами ИИ, мониторингу и реагированию на специфические риски ИИ.

Для систем ИИ, применяемых в КИИ, должны будут проводиться проверки, включающие в себя:

• внутренний аудит ИБ;
• функциональное тестирование;
• тестирование на проникновение;
• проверку соответствия требованиям нормативных документов;
• проверку процедур резервного копирования и восстановления;
• проверку защищенности от компьютерных атак на обучающие выборки и манипуляции данными для искажения работы моделей ИИ;
• проверку защищенности от постоянных серьезных угроз с помощью эвристического анализа или иных методов.

Для систем ИИ, применяемых в КИИ, должна будет формироваться следующая отчетность:

• оперативные отчеты о состоянии систем ИИ (для систем с уровнями критичности 1 и 2 при наличии критических инцидентов ИБ – в режиме реального времени, без инцидентов ИБ и для систем с уровнями критичности 3 и 4 – ежедневно);
• отчеты об инцидентах ИБ (немедленно после инцидента и по завершении расследования);
• отчеты о результатах мониторинга показателей эффективности (еженедельно);
• отчеты по результатам проверок (после каждой проверки);
• периодические отчеты о функционировании систем ИИ (в соответствии с периодичностью, установленной для конкретного субъекта КИИ).