Обзор изменений в законодательстве ИТ и ИБ за февраль 2026 года

В обзоре изменений за февраль 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим отраслевые особенности категорирования объектов КИИ в сфере недвижимости, а также банковской и иных сферах финансового рынка.

Разберем официально опубликованный перечень типовых отраслевых объектов КИИ.

2. Иное

Изучим правила регистрации доменных имен и порядок формирования и ведения перечней регистраторов доменных имен.

Разберем изменения порядка реализации этапов жизненного цикла ГИС, а также надзорного взаимодействия в области связи.

Рассмотрим положение о ФГИС «Управления государственной единой облачной платформой».

3. ФСТЭК России

Разберем новый методический документ по мероприятиям и мерам защиты информации в ИС.

Рассмотрим справки-доклады о ходе работ по плану ТК 362 по состоянию на 21 января и 26 февраля 2026 года.

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ в сфере недвижимости

3 февраля опубликована новая версия проекта постановления Правительства Российской Федерации (далее – РФ) «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ) в сфере государственной регистрации прав и сделок с ним».

Текущие изменения носят технический характер и не меняют концепцию документа. Показатели критериев значимости остались прежними.

Подробнее с проектом можно ознакомиться в обзоре за май 2025 года Аналитического центра УЦСБ.

Общественное обсуждение проекта завершилось 17 февраля 2026 года.

Отраслевые особенности категорирования объектов КИИ в банковской сфере и иных сферах финансового рынка

7 февраля официально опубликовано постановление Правительства РФ № 92 от 06.02.2026 «Об утверждении отраслевых особенностей категорирования объектов КИИ РФ в банковской сфере и иных сферах финансового рынка».

Субъектами КИИ в банковской сфере и иных сферах финансового рынка признаются следующие владельцы информационных систем (далее – ИС), информационно-телекоммуникационных сетей (далее – ИТКС), автоматизированных систем управления (далее – АСУ), обеспечивающих выполнение функций субъекта КИИ:

• государственные органы и юридические лица, выполняющие функции (полномочия) в банковской сфере и иных сферах финансового рынка, или подведомственные им организации,

• кредитные финансовые организации,

• некредитные финансовые организации, осуществляющие виды деятельности, указанные в части 1 статьи 76.1 Федерального закона «О Центральном банке РФ (далее – Банк России)»;

• субъекты национальной платежной системы,

• лица, оказывающие профессиональные услуги на финансовом рынке.

Субъекты КИИ, начиная с 2027 года, обязаны ежегодно, не позднее 10-го рабочего дня года, направлять:

• информацию об актуальном перечне значимых объектов КИИ;

• подход о пересмотре (либо об отсутствии необходимости пересмотра) присвоенных категорий значимости по результатам оценки за предшествующий календарный год.

Документация направляются:

• в Банк России – кредитными и некредитными финансовыми организациями;

• в Министерство финансов РФ – остальными субъектами КИИ финансового сектора.

Оценка показателей критериев значимости объектов КИИ, утверждённых постановлением Правительства № 127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а равным образом перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее – перечень критериев значимости), проводится для каждой ИС, являющейся типовым объектом КИИ, но с учётом отраслевой специфики:

В документе определен порядок расчета значений для каждого отраслевого показателя критериев значимости.

Перечень типовых отраслевых объектов КИИ

26 февраля официально опубликовано распоряжение Правительства РФ от 26.02.2026 № 360-р, утверждающее перечень типовых отраслевых объектов КИИ РФ (далее – Перечень объектов КИИ).

Перечень объектов КИИ представляет собой систематизированный свод ИС, АСУ и ИТКС, которые могут быть отнесены к объектам КИИ в различных отраслях.

Для каждого типового объекта КИИ определены признаки значимости:

• типовые процессы (функции), выполняемые объектом;

• виды деятельности субъекта КИИ (коды ОКВЭД организаций, эксплуатирующих такие объекты).

Перечень объектов КИИ включает 14 разделов, охватывающих следующие сферы деятельности:

• здравоохранение;

• наука;

• транспорт (воздушный, автомобильный, городской наземный электрический, железнодорожный, морской и речной, внеуличный, а равным образом метрополитен);

• связь;

• энергетика;

• государственная регистрация прав на недвижимое имущество и сделок с ним;

• банковская сфера и иные сферы финансового рынка;

• топливно-энергетический комплекс;

• атомная энергия;

• оборонная промышленность;

• ракетно-космическая промышленность;

• горнодобывающая промышленность;

• металлургическая промышленность;

• химическая промышленность.

Иное

Правила регистрации доменных имен

5 февраля Министерством цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликован проект постановления Правительства РФ «Об утверждении Правил регистрации доменных имен».

Инициатива определяет требования к доменным именам, сроки их действия, а равным образом регламентирует порядок регистрации и принятия соответствующих решений.

Ключевые положения проекта:

• регистрация, продление, передача прав администрирования, смена регистратора и аннулирование доменного имени будут осуществляться только при условии прохождения пользователем идентификации через единую систему идентификации и аутентификации (далее – ЕСИА);

• регистрация доменного имени будет осуществляться на основании заявки пользователя, оформленной через веб-сайт регистратора, при обязательном заключении с ним договора возмездного оказания услуг;

• срок регистрации доменного имени будет составлять 1 год с неограниченным правом продления;

• регистратор будет обязан направить пользователю зарегистрированного домена уведомление о необходимости продления регистрации по электронной почте за 50–60 дней до истечения срока регистрации.

Установятся требования к символьному составу доменных имен:

• Адрес сайта .RU: латинские буквы, цифры, дефис. Длина – от 2 до 63 символов. Не допускается одновременное наличие дефисов в 3-й и 4-й позициях. Имя должно начинаться и заканчиваться буквой или цифрой.

• Адрес сайта .РФ: буквы, цифры, дефис (перечень допустимых символов утверждает координатор). В кодировке Punycode – не более 63 символов. Должен начинаться и заканчиваться буквой или цифрой.

• Адрес сайта .SU: длина от 2 до 63 символов. Запрещено смешивать символы из разных языковых таблиц. В кодировке Punycode – менее чем 63 символов. Должен начинаться и заканчиваться буквой или цифрой.

Планируемый срок вступления в силу и действия проекта: с 1 сентября 2026 года до 1 сентября 2032 года.

Общественное обсуждение проекта завершилось 27 февраля 2026 года.

Порядок формирования и ведения перечней регистраторов доменных имен

5 февраля опубликован проект постановления Правительства РФ «Об утверждении Порядка формирования и ведения перечней регистраторов доменных имен и требований к российским юридическим лицам, включаемым в указанные перечни».

Проектом установится:

• порядок формирования и ведения перечней регистраторов доменных имен (включение, актуализация сведений, исключение);

• требования к российским юридическим лицам для включения в перечни регистраторов доменных имен;

• типовые формы заявления, анкеты и соглашения для оформления функций регистратора доменных имен.

Формирование и ведение перечней будет осуществляться координаторами по каждому домену верхнего уровня отдельно, в котором регистратор доменных имен оказывает услуги на территории РФ.

Сведения о регистраторах доменных имен будут открытыми для ознакомления.

Требования для включения в перечни регистраторов доменных имен:

• юридическое лицо должно быть зарегистрировано в соответствии с законодательством РФ;

• стоимость чистых активов должна составлять не менее 1 000 000 рублей;

• ИС организации должна соответствовать требованиям, предъявляемым при организации информационно-технологического взаимодействия ИС с использованием ЕСИА.

Общественное обсуждение проекта завершилось 27 февраля 2026 года.

Изменение надзорного взаимодействия в области связи

11 февраля опубликован инициатива постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 29.06.2021 № 1045»

Проектом уточняются вопросы контрольного (надзорного) взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий (далее – ИТ) и массовых коммуникаций с лицами, осуществляющими деятельность в области связи.

Ключевые изменения по проекту:

• решения о проведении профилактического визита, об объявлении предостережения, о проведении контрольного (надзорного) мероприятия, акты и предписания об устранении нарушения будут оформляться в электронном виде с обязательным внесением сведений о них в единый реестр контрольных (надзорных) мероприятий;

• будет установлена привязка момента отнесения объекта государственного контроля (надзора) к категории риска к дате внесения данных о нём в единый реестр видов контроля;

• с помощью единого портала государственных и муниципальных услуг будет возможно:

  • направлять возражения на объявленные предостережения;

  • направлять консультационные обращения;

  • предоставлять документы в процессе документарной проверки.

Общественное обсуждение проекта завершилось 26 февраля 2026 года.

Изменения требований к порядку реализации этапов жизненного цикла ГИС

14 февраля опубликован инициатива постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ по вопросу установления требований к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее – ГИС), в том числе установление полномочий заказчиков таких систем при реализации указанных мероприятий».

Инициатива направлен на приведение требований к порядку реализации жизненного цикла ГИС, дальнейшему хранению содержащейся в их базах данных информации, в соответствие с положениями Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, ИТ и о защите информации» (далее – 149-ФЗ).

Изменения в постановлении Правительства от 30.01.2013 № 62 «О национальном фонде алгоритмов и программ для электронных вычислительных машин (далее – ЭВМ)»

Установится обязанность размещения компонентов ГИС (программ для ЭВМ) в Национальном фонде алгоритмов и программ для лиц, указанных в пункте 1 требований постановления Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС и дальнейшего хранения содержащейся в их базах данных информации» (далее – Постановление от 06.07.2015 № 676).

Изменения в Постановлении от 06.07.2015 № 676

Станет допустимо использование технических средств, программ для ЭВМ и баз данных, доступ к которым предоставляется по модели облачных сервисов. Вводятся четкие определения стадий жизненного цикла ГИС.

Появятся определения стадий жизненного цикла ГИС, такие как:

• ��оздание системы;

• развитие системы;

• модернизация системы;

• ввод системы в эксплуатацию;

• эксплуатация системы.

Основанием для создания системы будет вступивший в законную силу правовой акт, указанный в подпунктах «а» и «б» пункта 1 части 1 будущей редакции статьи 13 149-ФЗ.

Концепция создания системы станет основой для разработки технического задания и принятия решения о создании системы.

Перед разработкой технического задания будет необходимо актуализировать концепцию создания системы.

Мероприятия по оформлению прав на использование компонентов системы, являющихся объектами интеллектуальной собственности, дополнятся процедурами по отказу авторов от исключительных прав, заключению лицензионного договора и иное.

Отсутствие прав на каждый компонент системы будет основанием для отказа ввода системы (очереди системы) в эксплуатацию.

Вводится отдельный раздел, закрепляющий обязанности заказчиков систем, включая:

• выполнение требований к организации и мерам защиты информации, содержащейся в системах;

• соблюдение законодательства о персональных данных и иные обязательства.

Общественное обсуждение проекта завершилось 1 марта 2026 года.

Положение о ФГИС «Управления ГЕОП»

24 февраля Минцифры России опубликовало инициатива приказа «Об утверждении Положения о федеральной государственной информационной системе «Управление государственной единой облачной платформой (далее – ФГИС «Управление ГЕОП», ГЕОП)».

Положение определит цели, задачи, архитектуру, участников системы, а также порядок доступа к ней и требования к защите информации.

К основным задачам ФГИС «Управление ГЕОП» отнесут:

• контроль количественных и качественных показателей услуг ГЕОП;

• мониторинг предоставления облачных услуг;

• информационно-методическое обеспечение потребителей и иные задачи.

Участниками ФГИС «Управление ГЕОП» станут:

• Минцифры России (оператор);

• поставщики (организации, предоставляющие облачные услуги посредством ГЕОП);

• потребители (государственные органы, организации, использующие облачные услуги ГЕОП);

• пользователи, имеющие доступ к функционалу системы.

ФГИС «Управление ГЕОП» включает 11 подсистем, в том числе подсистемы:

• визуализации и совместной работы (доступ участников к мониторингу, отчетности, аналитике, информационно-методическим материалам);

• каталогов (ведение нормативно-справочной информации об облачных услугах, поставщиках и потребителях в иных системах);

• управления предоставлением облачных услуг (автоматизированный контроль предоставления услуг) и иные.

Общественное обсуждение проекта завершится 11 марта 2026 года.

ФСТЭК России

Методический документ по мероприятиям и мерам защиты информации в ИС

6 февраля Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) опубликовала инициатива методического документа «Мероприятия и меры по защите информации, содержащейся в ИС» (далее – методический документ).

Методический документ определит общие подходы, состав и содержание мероприятий и мер по защите информации, содержащейся в ИС, АСУ, ИТКС:

• государственных органов, унитарных предприятий, учреждений;

• организаций, в том числе субъектов КИИ,

• в информационно-телекоммуникационных инфраструктурах, выполняющих общие технологические функции и обеспечивающих основу функционирования ИС, а также по обеспечению безопасности значимых объектов КИИ.

Документ предназначен для:

• обладателей информации:

  • заказчиков, заключивших государственный контракт на создание ИС;

  • операторов ИС;

• подрядных организаций, привлекаемых для создания, эксплуатации и обеспечения защиты ИС.

Методический документ будет применяться в процессе:

• организации деятельности по защите информации;

• создания системы защиты информации и её управления;

• создания, эксплуатации и поддержания необходимого уровня защищенности ИС;

• оценки эффективности деятельности по защите информации и управления системой защиты информации;

• аттестации ИС на соответствие требованиям по защите информации;

• проведения иных форм оценки соответствия ИС требованиям по защите информации и в достаточной степенисти принимаемых мер по обеспечению безопасности.

Методический документ установит 19 мероприятий (процессов), которые должны реализовываться для достижения целей защиты информации:

• выявление и оценка угроз безопасности информации на стадиях создания и эксплуатации с использованием банка данных угроз ФСТЭК России;

• контроль конфигураций ИС для исключения несанкционированных изменений и иное.

Основные отличия новой методики от предыдущей:

• документ регламентирует общий решение к мероприятиям и мерам защиты информации не только в ГИС, но и ИС, АСУ и ИТКС субъектов КИИ;

• классов защищенности только 3: К3, К2, К1 (класс К4 исключён);

• введены 19 мероприятий (процессов) по защите информации;

• введены термины: атрибутный метод управления доступом, микросегментация, поведенческий анализ, тестовая зона (песочница), средства контейнерезации (оркестраторы), программные интерфейсы взаимодействия (программный интерфейс), безопасность устройств (интернета вещей) и иное;

• в ходе проектирования ИС должен проводиться анализ доступных отечественных программных, программно-аппаратных и технических средств, должна быть предусмотрена возможность их применения;

• для каждой меры по защите информации введены требования к документированию;

• мер защиты информации теперь 18 вместо 13;

• идентификация и аутентификация (ИАФ): введены понятия первичной и вторичной идентификации устройств;

• управление доступом (УПД) переработано, введены иные и новые подмеры УПД.1 – УПД.9;

• ограничение программной среды (ОПД) исключено, отдельные её требования вошли в защиту конечных устройств (ЗКУ), защиту мобильных устройств (ЗМУ), защиту среды виртуализации (ЗСВ), антивирусную защиту (АВЗ);

• безопасность машинных носителей (ЗНИ) исключена и интегрирована в мероприятия (процессы) по обеспечению защиты информации при обработке, хранении и обращении с информацией ограниченного доступа и иные;

• регистрация событий безопасности (РСБ) переработана, уточнены требования к усилению и иное;

• АВЗ расширена, выделены подгруппы защиты устройств и серверов, электронной почты, сетевого трафика и иное;

• обнаружение и предотвращение вторжений на сетевом уровне (СОВ) разделена на группы периметра и сегмента, добавлены требования к усилению и иное;

• контроль защищенности (АНЗ) исключен, меры интегрированы в мероприятия (процессы) управления уязвимостями и иное;

• обеспечение целостности (ОЦЛ) исключено, но частично вошло в меры контроля целостности ЗКУ, ЗМУ, ЗСВ, защиту устройств (ЗИВ), защиту устройств беспроводного доступа (ЗБД), защиту контейнерных сред и их оркестрации (ЗКО);

• обеспечение доступности информации (ОДТ) исключено, но интегрировано в меры по резервному копированию и в мероприятия (процессы) обеспечения непрерывности функционирования ИС;

• защита виртуализации и облачных технологий (ЗСВ) расширена, добавлены требования к доверенной загрузке, контролю целостности средств виртуализации и виртуальных машин, резервному копированию;

• защита технических средств (ЗТС) исключена, но частично вошла в мероприятия (процессы) обеспечения физической защиты ИС, а также в меры ЗКУ и ЗМУ;

• защита ИС, её средств и систем связи (ЗИС) исключена, но разделена на новые подгруппы мер: ЗКО, защита сервисов электронной почты (ЗЭП), защита веб-технологий (ЗВТ), безопасность программных интерфейсов и взаимодействия приложений программный интерфейс (ЗПИ); ЗКУ, ЗМУ, ЗИВ, ЗБД, защита от атак, направленных на отказ в обслуживании (ЗОО), безопасность каналов связи и сетевого взаимодействия (ЗКС), безопасность систем искусственного интеллекта (ЗИИ), сегментация и межсетевое экранирование (МСЭ).

Деятельность ТК 362 в январе 2026 года

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 21 января 2026 года.

В интересах выполнения плана были проведены следующие работы:

• председателю ТК 362 представлены:

  • результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в IV квартале 2025 года;

  • отчет о результатах деятельности ТК 362 за 2025 год.

• в Федеральное агентство по техническому регулированию и метрологии направлено мотивированное предложение о внесении поправки в ГОСТ Р 72118-2025 «Безопасность информации. Системы с конструктивной информационной безопасностью. Методология разработки»;

• организациями-членами ТК 362 рассмотрен инициатива предварительного национального стандарта ПНСТ «ИТ. Методы и средства обеспечения безопасности. Основы доверенного взаимодействия устройства и сервисов». Результаты рассмотрения проекта направлены в ТК 22 «ИТ»;

• в центральный аппарат ФСТЭК России представлены результаты рассмотрения поправки в проект предварительного национального стандарта ПНСТ 1008-2025 «Информационная инфраструктура в жилищно-коммунальном хозяйстве. Требования к обеспечению информационной безопасности».

Деятельность ТК 362 в феврале 2026 года

ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану ТК 362 на 2026 год по состоянию на 26 февраля 2026 года.

В интересах выполнения плана были проведены следующие работы:

• на официальном сайте ФСТЭК России размещены:

  • план работы ТК 362 на 2026 год;

  • решение председателя ТК 362 о реорганизации и создании рабочих групп, утверждении состава рабочих групп.

• дорабатываются проекты национальных стандартов:

  • ГОСТ Р «Безопасность информации. Доверенная среда исполнения. Общие положения». Подробнее со стандартом можно ознакомиться в обзоре за октябрь 2025 года Аналитического центра УЦСБ;

  • ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе». Плановый дедлайн представления проекта национального стандарта в ТК 362 – июль 2026 года.

• на рассмотрение в организации-члены ТК 362 направлены доработанные проекты предварительных национальных стандартов:

  • ПНСТ «ИТ. Приватность данных. Оценка рисков при применении технологий повышения приватности»;

  • ПНСТ «ИТ. Приватность данных. Риски обезличивания данных».

• в международный технический комитет по стандартизации «Искусственный интеллект» (МТК 566) направлены результаты согласования тем по разработке межгосударственных стандартов для включения в программу межгосударственной стандартизации.

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

• реестр лицензий на деятельность по технической защите конфиденциальной информации;

• реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации;

• государственный реестр сертифицированных средств защиты информации;

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;

• реестр аккредитованных ФСТЭК России органов по сертификации;

• реестр аккредитованных ФСТЭК России испытательных лабораторий;

• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

• перечень сертификатов соответствия процессов безопасной разработки ПО.

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

• деятельность по разработке и (или) производству средств защиты конфиденциальной информации (№Л050-00107-00/00579687 от 08 октября 2007 года);

• деятельность по технической защите конфиденциальной информации (№Л024-00107-00/00580547 от 08 октября 2007 года).

Автор: Виктор Бармак, аналитик УЦСБ