1. Главная
  2. Публикации
  3. Обзор изменений в законодательстве за октябрь 2025 года

Обзор изменений в законодательстве за октябрь 2025 года

11 ноября 2025
844

В обзоре изменений в сфере критической информационной инфраструктуры за октябрь 2025 года рассмотрим уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ, окончательную версию стандарта для систем ИИ в КИИ.

Уточнение порядка заполнения и актуализации сведений категорирования объектов КИИ

Федеральная служба по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России, РФ) опубликовала информационное сообщение от 22.10.2025 № 240/84/3451 «О порядке представления субъектами критической информационной инфраструктуры (далее – КИИ) сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

Уточняется порядок заполнения и актуализации сведений о результатах категорирования объектов КИИ. Уточнения связаны с внесением изменений в статью 8 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ» и конкретизируются приказом ФСТЭК России от 11.07.2025 № 247 «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее – форма), утвержденную приказом ФСТЭК России от 22.12.2017 № 236».

Требования к заполнению формы:

  • в пункте 1.7 формы ставится прочерк до утверждения перечней типовых отраслевых объектов КИИ. После их утверждения субъекты КИИ обязаны направить в ФСТЭК России актуализированные сведения об объектах КИИ;
  • в пункте 1.8 формы необходимо указать доменное имя и внешний (публичный) IP-адрес объекта КИИ. При использовании динамического IP-адреса рекомендуется указывать адрес DNS-сервера провайдера. Если объект КИИ не подключен к сети «Интернет» заполнение этого поля не требуется.

Процедура актуализации сведений о результатах категорирования в соответствии с пунктом 191 постановления Правительства РФ от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также показателей критериев значимости объектов КИИ РФ и их значений» (далее — Правила категорирования):

  • без изменения категории значимости: сведения направляются электронным документом, записанным на машинном носителе информации, с сопроводительным письмом, содержащим размер электронных документов;
  • с изменением категории значимости: сведения направляются в печатном и электронном виде (в формате .ods или .odt) по форме, установленной пунктом 18 Правил категорирования.

Стандарт для систем ИИ в КИИ

Технический комитет по стандартизации «Искусственный интеллект (далее – ИИ)» опубликовал окончательную версию проекта национального стандарта ГОСТ Р «ИИ в КИИ. Общие положения».

Стандарт будет обязателен для применения субъектами КИИ при проектировании, разработке, внедрении, эксплуатации, сопровождении и выводе из эксплуатации систем ИИ, которые являются частью программно-аппаратных комплексов (далее – ПАК) объектов КИИ.

Стандарт не будет распространяться на исследовательские и экспериментальные системы ИИ, не используемые в КИИ.

Стандартом предложена следующая классификация систем ИИ для КИИ:

  • по уровню автономности принятия решений:

          o низкая (рекомендательные системы и иные);

          o средняя (частичная автоматизация с возможностью контроля человеком);

          o высокая (автономные решения с прямым воздействием на критические процессы принятия решений);

  • по функциональному назначению (системы обеспечения информационной безопасности (далее – ИБ), анализа физической инфраструктуры, автоматизированного управления процессами, физической безопасности (включая ИИ-дроны), анализа данных и иные);
  • по области применения в отрасли (здравоохранение, транспорта и иные);
  • по источнику данных (работающие на внутренних, доверенных внешних или публичных данных).

Будет введена система критичности:

  • уровень 1 (критический): системы ИИ, играющие ключевую роль в обеспечении ИБ и непрерывности функционирования объектов КИИ;
  • уровень 2 (высокий): системы ИИ, автоматически принимающие решения, непосредственно влияющие на функционирование объектов КИИ;
  • уровень 3 (средний): системы ИИ, участвующие в управлении процессами, но с обязательным контролем человеком перед исполнением критически важных решений;
  • уровень 4 (низкий): системы ИИ, используемые для аналитики и поддержки принятия решений без прямого воздействия на процессы.

Для систем ИИ, применяемых в КИИ, должна будет проводиться комплексная оценка рисков на всех этапах жизненного цикла, включая проектирование, внедрение, эксплуатацию и вывод из эксплуатации.

Организации, применяющие системы ИИ в КИИ, должны будут разработать и внедрить следующие политики и процедуры:

  • политику ИБ систем ИИ;
  • процедуры управления жизненным циклом систем ИИ, включая учет внедренных решений ИИ;
  • процедуры управления доступом к системам ИИ;
  • процедуры тестирования и валидации систем ИИ;
  • процедуры реагирования на инциденты ИБ;
  • процедуры резервного копирования и восстановления;
  • процедуры управления изменениями;
  • процедуры обучения персонала, работающего с системами ИИ, мониторингу и реагированию на специфические риски ИИ.

Для систем ИИ, применяемых в КИИ, должны будут проводиться проверки, включающие в себя:

  • внутренний аудит ИБ;
  • функциональное тестирование;
  • тестирование на проникновение;
  • проверку соответствия требованиям нормативных документов;
  • проверку процедур резервного копирования и восстановления;
  • проверку защищенности от компьютерных атак на обучающие выборки и манипуляции данными для искажения работы моделей ИИ;
  • проверку защищенности от постоянных серьезных угроз с помощью эвристического анализа или иных методов.

Для систем ИИ, применяемых в КИИ, должна будет формироваться следующая отчетность:

  • оперативные отчеты о состоянии систем ИИ (для систем с уровнями критичности 1 и 2 при наличии критических инцидентов ИБ – в режиме реального времени, без инцидентов ИБ и для систем с уровнями критичности 3 и 4 – ежедневно);
  • отчеты об инцидентах ИБ (немедленно после инцидента и по завершении расследования);
  • отчеты о результатах мониторинга показателей эффективности (еженедельно);
  • отчеты по результатам проверок (после каждой проверки);
  • периодические отчеты о функционировании систем ИИ (в соответствии с периодичностью, установленной для конкретного субъекта КИИ).

Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.