Минэкономразвития «разгромило» новый закон о защите ИТ-систем

Минэкономразвития «разгромило» новый закон о защите ИТ-систем

Минэкономразвития опубликовало свое заключение на проект закона о внесении изменений в 149-ФЗ «Об информации, информационных технологиях и о защите информации». Последний был принят в 2006 г. и регулирует отношения, возникающие при применении информационных технологий, обеспечении защиты информации, а также при осуществлении права на поиск, передачу, производство и распространение информации.

Разработала проект изменений Федеральная служба по техническому и экспортному контролю (ФСТЭК). Авторы документа указывают, что он направлен на решение проблем, связанных с недостаточным уровнем защиты информации в государственных ИТ-системах и системах критически важных объектов.

ФСТЭК предлагает внести несколько основных изменений в закон о защите информации. Во-первых, ввести в нем такие понятия как «угроза безопасности информации» и «уязвимость информационной системы». Также изменения накладывают обязательства на заказчиков и операторов государственных ИТ-систем принимать конкретные меры по защите информации в ходе их создания, эксплуатации и модернизации. Третьим пунктом является дополнение закона отдельной статьей, в которой прописаны обязанности и требования по обеспечению ИБ критически важных объектов, сообщает safe.cnews.ru.

Что касается «угрозы безопасности информации» и «уязвимости информационной системы», их определения отличаются от определений аналогичных терминов, установленных в пунктах 2.6.1 и 2.6.4 ГОСТ 50922-2006 «Защита информации. Основные термины и определения» и другими нормативными правовыми актами, отмечают чиновники Минэкономразвития. Таким образом, предлагаемая норма способна на практике привести к их неоднозначному толкованию.

Требования по защите государственных ИТ-систем к их заказчикам и операторам в Минэкономразвития сочли недостаточно определенными. Кроме того, согласно 149-ФЗ к государственным относятся и муниципальные ИТ-системы, из-за чего, в случае принятия проекта закона, в сферу его регулирования попадет значительное количество муниципальных ИТ-систем. ФСТЭК не предоставил информации, «обосновывающей целесообразность установления новых требований в отношении всех существующих в России муниципальных информационных систем», говорится в заключении Минэкономразвития.

В пояснительной записке ФСТЭК к проекту говорится, что его принятие не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства. Однако чиновники Минэкономразвития уверены, что новые требования по защите ИТ-систем потребуют выделения дополнительного финансирования из федерального и муниципальных бюджетов.

Во ФСТЭК подсчитали, что ориентировочная стоимость построения системы защиты информации в информационных системах критически важных объектов может составить, в зависимости от отрасли экономики, от 500 тыс. до 7 млн. руб. Аналогичный порядок затрат может потребоваться и для муниципальных ИТ-систем, поясняют в Минэкономразвития.

Что касается ИБ критически важных объектов, в сферу действия предполагаемого регулирования попадает 4,4 тыс. объектов, большая часть из которых находится в ведении субъектов предпринимательской деятельности, подсчитали во ФСТЭК. В Минэкономразвития уверены, что при таком количестве объектов необходимость установления существенных требований к их ИТ-системам требует соответствующего исследования и обоснования.

Кроме того, учитывая затраты на обеспечение защиты ИТ-систем в разных отраслях, приведенные ФСТЭК, принятие закона в отношении всех объектов критической инфраструктуры Минэкономразвития считает нецелесообразным. Например, в химической, металлообрабатывающей промышленности и общем машиностроении ущерб, на предотвращение которого направлены нормы проекта закона, значительно ниже оценочных затрат на выполнение устанавливаемых им требований.

Selectel первым получил аттестат ФСТЭК по новым требованиям приказа №117

Selectel сообщил о получении аттестата соответствия обновленным требованиям приказа ФСТЭК России №117. В компании заявляют, что стали первым облачным провайдером, публично подтвердившим соответствие новым правилам для информационных систем первого класса защищенности — К1.

Приказ №117 вступил в силу в марте 2026 года и заменил прежний приказ №17. Главное изменение — требования теперь касаются не только государственных информационных систем, но и других систем госсектора.

Кроме того, под действие правил могут попадать коммерческие компании, если они работают с защищаемыми системами, государственными заказчиками или участвуют в госконтрактах.

Для бизнеса это означает простую вещь: если компания работает с чувствительными данными или проектами для государства, требования к инфраструктуре становятся жестче. И закрывать их придется не «когда-нибудь потом», а уже в рамках новых правил.

Аттестат Selectel подтверждает, что облачную платформу провайдера можно использовать для размещения систем, подпадающих под требования приказа №117. Клиенты также смогут использовать такую инфраструктуру при прохождении собственной аттестации. Средства защиты информации при этом предоставляются по подписочной модели, без отдельной закупки и внедрения.

Аналогичная возможность аттестации доступна и для выделенных серверов Selectel в рамках аттестованных сегментов ЦОД.

По данным компании, спрос на защищенную инфраструктуру растет. Выручка от аттестованной облачной инфраструктуры по итогам 2025 года увеличилась почти втрое год к году. Быстрее всего потребление облаков росло у клиентов из финансового сектора — в 2,1 раза, в ритейле — в 1,5 раза, в медиа — в 1,4 раза.

В Selectel связывают этот рост с усилением регуляторной нагрузки, дефицитом экспертизы по аттестации и переходом регулируемых отраслей в облака.

Отдельно компания отмечает, что защищенная инфраструктура становится важной не только для выполнения требований ФСТЭК, но и для проектов с искусственным интеллектом, где вопросы безопасности и контроля данных всё чаще выходят на первый план.

RSS: Новости на портале Anti-Malware.ru