Регуляторы обновили нормативную базу в сфере ИБ: итоги I квартала 2026 года

2 часа назад

© Сгенерировано ИИ

В первом квартале 2026 года основные усилия регуляторов в сфере информационной безопасности были направлены на ужесточение контроля за КИИ, контроль технологий искусственного интеллекта (ИИ) и импортозамещение в критических узлах инфраструктуры. Согласно материалам портала УЦСБ, ключевые изменения затронули как законодательный уровень, так и методическую базу ведомств.

Критическая информационная инфраструктура и финансовый сектор

Правительство РФ утвердило перечень типовых отраслевых объектов КИИ (распоряжение № 360-р от 26.02.2026). Документ систематизирует классификацию систем, подлежащих обязательной защите. Кроме того, постановлением № 92 от 06.02.2026 будут введены отраслевые особенности категорирования объектов КИИ для банковской сферы и финансовых рынков, что позволит точнее учитывать специфику финтеха при оценке значимости систем.

Законодательные инициативы по борьбе с ИИ-угрозами

В Государственную Думу внесен ряд законопроектов, направленных на регулирование технологий синтеза речи и изображений:

• Идентификация голоса (№ 1129912–8): Требования к автоматизированным телефонным системам обяжут компании делать синтезированный голос явно отличимым от человеческого. Это должно исключить введение пользователей в заблуждение при массовых обзвонах.
• Уголовная ответственность за дипфейки (№ 1133088–8): Законопроект предлагает дополнить статью 272.1 УК РФ. Преступлением будет признан сам факт незаконной автоматизированной обработки персональных данных, полученных неправомерным путем. Речь идет о дипфейках — технологии создания реалистичной имитации внешности или голоса человека с помощью нейросетей. Ответственность наступит за процесс генерации такого контента, независимо от целей его дальнейшего использования.

Государственный надзор в сфере электронной подписи (ЭП)

Минцифры России обновило требования к государственному надзору. Приказами № 45 и № 49 от 02.02.2026 утверждены перечни актов, содержащих обязательные требования в сферах:

• Использования электронной подписи (ЭП);

• Процессов идентификации и аутентификации.

Теперь деятельность аккредитованных удостоверяющих центров и операторов идентификации будет оцениваться на базе строгого перечня технологических требований. Несоответствие регламентам — от процедур проверки личности до условий хранения ключей — станет прямым основанием для административного наказания или отзыва лицензии.

Предписания ФСТЭК России по защите сетевого контура

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выпустила пакет рекомендаций по защите инфраструктуры:

• Эксплуатация SAP без поддержки: Разработаны меры по защите систем планирования (SAP NetWeaver, S/4HANA, Solution Manager) и баз данных (HANA, Oracle, MS SQL). Регулятор предписал настроить роли, сервисы и учетные записи, которые остались без обновлений вендора.
• Безопасность ПО Samba: Опубликованы инструкции по настройке ПО для обеспечения безопасности в госорганах и на объектах КИИ.
• Устранение типовых ошибок: На основе анализа инцидентов 2024–2025 годов ФСТЭК выявила критические ошибки конфигурации прикладного ПО, способствующие целевым атакам.
• Защита сетевого периметра: Даны указания по администрированию пограничных устройств, защите от DDoS-атак, сегментированию сети и управлению уязвимостями на внешнем контуре.

Регулирование платежных систем и биометрии

Центральный Банк актуализировал требования к криптографической защите в значимых платежных системах (карточные переводы). Полная техническая документация предоставляется разработчикам через 8-й Центр ФСБ России и АО «НСПК». Также ЦБ представил отчет об основных типах атак на кредитно-финансовую сферу за 2025 год.

В сфере биометрической идентификации принят пакет ГОСТов:

• ГОСТ Р 58624.5.2–2026: Классификация атак на биометрию лица.
• ГОСТ Р 72502.4–2026: Требования к качеству отпечатков пальцев.
• ГОСТ Р 72510–2026: Применение биометрии в мобильных устройствах.
• ГОСТ Р 72511.3/5–2026: Форматы данных для испытательных стендов.

Читайте также: Бюджет на кибербезопасность в крупном банке: три драйвера для оценки затрат и секвестирование как недоверие