info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Обзор приказов ФСБ России за декабрь 2025

Обзор приказов ФСБ России за декабрь 2025

В декабре 2025 года ФСБ России опубликовала изменения в приказах, касающихся взаимодействия с НКЦКИ. Наши эксперты проанализировали эти документы и систематизировали все изменения в одной статье.

 

Список новых приказов:

  1. Приказ ФСБ России № 539 от 23 декабря 2025. Вступает в силу 30 января 2026 года

  2. Приказ ФСБ России № 540 от 24 декабря 2025. Вступает в силу 30 января 2026 года.

  3. Приказ ФСБ России № 546 от 25 декабря 2025. Вступает в силу 30 января 2026 года

  4. Приказ ФСБ России № 547 от 25 декабря 2025. Вступает в силу 30 января 2026 года

  5. Приказ ФСБ России № 548 от 25 декабря 2025. Вступает в силу 30 января 2026 года.

  6. Приказ ФСБ России № 553 от 26 декабря 2025 года. Вступает в силу с даты выхода приказа

  7. Приказ ФСБ России № 554 от 26 декабря 2025 года. Вступает в силу с даты выхода приказа

 

В обзоре используются сокращения:

  • ГосСОПКА – государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

  • КА – компьютерные атаки.

  • КИ – компьютерные инциденты.

  • КИИ – критическая информационная инфраструктура.

  • ППКА – поиск признаков компьютерных атак.

  • НКЦКИ – Национальный координационный центр по компьютерным инцидентам.

  • ТИ НКЦКИ – техническая инфраструктура НКЦКИ.

В тексте фигурирует понятие «Организация». Под Организацией подразумеваются организации, указанные в ч. 4 ст. 9 187-ФЗ (государственные органы, государственные унитарные предприятия и иные организации).

 

1. Приказ ФСБ России № 539 от 23 декабря 2025. Вступает в силу 30 января 2026 года

Приказ ФСБ России от 23.12.2025 № 539 «Об утверждении Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».

Утверждает порядок получения субъектами КИИ информации о средствах и способах проведения КА и о методах их предупреждения и обнаружения:

- Субъекты КИИ обязаны получить информацию о средствах и способах проведения КА и о методах их предупреждения и обнаружения путем:

  • Обращения к официальному сайту НКЦКИ https://cert.gov.ru/.

  • Направления запросов в НКЦКИ с использованием ТИ НКЦКИ, либо посредством почтовой или электронной связи.

  • Получения от НКЦКИ информации о средствах и способах проведения КА и о методах их предупреждения и обнаружения.

- В случае направления запроса ответ предоставляется в срок до 30 рабочих дней со дня получения запроса.

- НКЦКИ направляет информацию в зависимости от особенностей функционирования ОКИИ.

 

2.     Приказ ФСБ России № 540 от 24 декабря 2025. Вступает в силу 30 января 2026 года

Приказ ФСБ России № 540 от 24 декабря 2025 «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366» 

Вносит изменения в Положение об НКЦКИ (приказ ФСБ России от 24 июня 2018 г, № 366):

- Расширение действия задачи НКЦКИ по обеспечению координации деятельности. Помимо субъектов КИИ добавляются аккредитованные центры ГосСОПКА и Организации. Также добавляется отсылка на 250 указ Президента РФ от 1 мая 2022 года.

- Функция, связанная с организацией и осуществлением обмена информацией о КИ, дополняется КА.

- Функции, связанные с методическим обеспечением и своевременным доведением информации о средствах и способах проведения КА и о методах их предупреждения выполняются не только для субъектов КИИ, но и для аккредитованных центров ГосСОПКА и Организаций.

- Расширился список целей выполнения НКЦКИ задач и функций. Добавились цели:

  • Заключать от своего имени соглашения о научно-техническом сотрудничестве.

  • Разрабатывать и заключать от своего имени регламенты взаимодействия НКЦКИ и владельцев информационных ресурсов РФ, а также иные регламенты, необходимые для выполнения задачи и осуществления функций НКЦКИ. Также добавляется сноска на 187-ФЗ.

  • Запрашивать информацию у субъектов КИИ, центров ГосСОПКА и Организаций о результатах проведения мероприятий, направленных на защиту от КА, а также об устранении уязвимостей информационных ресурсов РФ.

 

3.     Приказ ФСБ России № 546 от 25 декабря 2025. Вступает в силу 30 января 2026 года

Приказ ФСБ России от 25.12.2025 № 546 «Об утверждении Порядка обмена информацией о компьютерных атаках и компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты»

Отменяет действие приказа ФСБ России №368 от 24 июля 2018 года.

Утверждает порядок обмена информацией о КА и КИ между субъектами КИИ и уполномоченными органами иностранных государств:

- При проведении мероприятий по реагированию на КИ, связанных с функционированием ОКИИ, субъекты КИИ осуществляют обмен информацией о КА и КИ с другими субъектами КИИ в целях минимизации последствий. Субъекты КИИ самостоятельно определяют круг субъектов КИИ для обмена информацией. При обмене информацией о КА и КИ субъект КИИ одновременно должен передать информацию в НКЦКИ.

- Обмен информацией о КА и КИ осуществляется в срок, достаточный для проведения оперативного мероприятия по обнаружению и ликвидации последствий КА и реагированию на КИ.

- Обмен информацией о КА и КИ осуществляется субъектами КИИ путем взаимного направления уведомлений в соответствии с форматами предоставления информации в ГосСОПКА, определенными НКЦКИ. Уведомления отправляются при помощи почтовой и электронной связи.

- При наличии подключения к ТИ НКЦКИ уведомления и запросы направляются посредством использования ТИ НКЦКИ. При отсутствии подключения к ТИ НКЦКИ информирование осуществляется посредством почтовой и электронной связи по адресам НКЦКИ, указанным на официальном сайте www.cert.gov.ru.

- В случае если информация о КА и КИ содержит гостайну, обмен производится в соответствии с требованиями законодательства о гостайне.

- Обмен информацией о КА и КИ с иностранными организациями осуществляется НКЦКИ за исключением случаев, когда международным договором РФ с иностранной организацией предусматривается прямой обмен информацией. При необходимости взаимодействия с иностранной организацией субъект КИИ должен направить в НКЦКИ обращение, содержащее обоснование и полное наименование места нахождения и адреса иностранной организации и иных сведений.

- НКЦКИ должен немедленно информировать субъекта КИИ о получении обращения. В течение 24 часов после получения обращения НКЦКИ рассматривает информацию о КА и (или) КИ. При принятии решения передачи информации в иностранную организацию НКЦКИ незамедлительно направляет ее, о чем одновременно информирует субъекта КИИ. При принятии НКЦКИ решения об отказе в передаче информации о КИ в иностранную организацию НКЦКИ в течение 24 часов информирует субъекта КИИ с момента принятия решения.

- При получении ответа от иностранной организации НКЦКИ в течение 48 часов информирует субъекта КИИ, отправившего обращение.

- При прямом взаимодействии субъекта КИИ с иностранной организацией субъект КИИ также направляет информацию в НКЦКИ с указанием реквизитов международного договора.

- В случае получения субъектом КИИ информации о КА и (или) КИ инициативно направленной иностранной организацией, субъект КИИ должен направить информацию в НКЦКИ не позднее 24 часов с момента получения информации. При дальнейшем взаимодействии субъект КИИ также информирует НКЦКИ.

- В случае получения субъектом КИИ информации о КА и (или) КИ другого субъекта КИИ, субъект КИИ должен направить информацию в НКЦКИ не позднее 12 часов с момента получения информации.

 

4. Приказ ФСБ России № 547 от 25 декабря 2025. Вступает в силу 30 января 2026 года

Приказ ФСБ России от 25.12.2025 № 547 «Об утверждении Порядка информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Отменяет действие приказов ФСБ России № 282 от 19 июня 2019 года и № 348 от 1 июля 2022 года.

Утверждает порядок информирования ФСБ России о КА и КИ, реагирования на них, принятия мер по ликвидации последствий КА, проведенных в отношении ЗОКИИ и иных информационных ресурсов, принадлежащих Организациям:

- Субъекты КИИ обязаны информировать ФСБ России обо всех КА и КИ, реагировать на них и принимать меры по ликвидации последствий КА, проведенных в отношении ЗО КИИ.

- Руководители Организаций обязаны информировать ФСБ России обо всех КА и КИ, связанных с функционированием принадлежащих им информационных ресурсов РФ.

- Информирование ФСБ России осуществляется путем направления информации в НКЦКИ в соответствии с определенным НКЦКИ форматом с использованием ТИ НКЦКИ. При отсутствии подключения к ТИ НКЦКИ информирование производится при помощи почтовой и электронной связи по адресам НКЦКИ.

- Информация о КИ в ЗОКИИ направляется субъектом КИИ в НКЦКИ в срок не позднее 3 часов с момента обнаружения. Для иных ОКИИ – не позднее 24 часов с момента обнаружения.

Информация о КА, проведенной в отношении ОКИИ или информационного ресурса РФ организации, направляется субъектом КИИ или руководителем организации в НКЦКИ в срок не позднее 24 часов с момента обнаружения.

- В случае если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового сектора, помимо НКЦКИ необходимо информировать Банк России.

- Для подготовки к реагированию на КИ и принятию мер по ликвидации последствий КА субъектом КИИ в течение 90 календарных дней со дня включения ОКИИ в реестр ЗОКИИ разрабатывается план реагирования на КИ и принятию мер по ликвидации последствий КА. План реагирования утверждается руководителем субъекта КИИ. Копия утвержденного плана направляется в НКЦКИ в течение 7 календарных дней.

- Субъект КИИ не реже одного раза в год обязан организовывать и проводить тренировки по отработке плана реагирования.

- Субъект КИИ должен информировать НКЦКИ в течение 48 часов после завершения о результатах мероприятий по реагированию на КИ и принятию мер по ликвидации последствий КА.

- Организациям в ходе реагирования на КИ и принятия мер по ликвидации последствий КА, связанным с функционированием информационных ресурсов РФ, осуществляют анализ инцидентов, устанавливают их связи с КА, а также оценивают необходимость привлечения подразделений ФСБ России. Информация о результатах реагирования и принятии мер по ликвидации направляется в НКЦКИ в течение 24 часов с момента окончания мероприятий. После ликвидации последствий КА и принятия мер по восстановлению и проверке работоспособности необходимо проинформировать НКЦКИ в течение 24 часов с момента завершения мероприятий.

 

5. Приказ ФСБ России № 548 от 25 декабря 2025. Вступает в силу 30 января 2026 года

Приказ ФСБ России от 25.12.2025 № 548 «Об утверждении Порядка осуществления непрерывного взаимодействия субъектов критической информационной инфраструктуры Российской Федерации, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры Российской Федерации, а также руководителей органов и организаций, на которых возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» 

Утверждает порядок осуществления непрерывного взаимодействия субъектов КИИ, которым принадлежат ЗОКИИ, а также руководителям Организаций с ГосСОПКА:

- Непрерывное взаимодействие субъектов КИИ, а также руководителей Организаций с ГосСОПКА осуществляется через НКЦКИ посредством подключения к ТИ НКЦКИ.

- Непрерывное взаимодействие осуществляется в целях направления в НКЦКИ информации о КА и КИ, связанных с нарушением функционирования ЗОКИИ или информационных ресурсов РФ, и реагирования на КИ, а также в целях информирования НКЦКИ субъектов КИИ и руководителей организаций об угрозах безопасности, в том числе о готовящихся КА и признаках КИ, и необходимых мерах по противодействию.

- Взаимодействие производится с использованием личного кабинета ГосСОПКА, зарегистрированного в ТИ НКЦКИ. В случае недоступности личного кабинета, информирование осуществляется с использованием резервных каналов связи (почтовый адрес, адрес электронной почты).

- Подключение к личному кабинету организуется после заключения регламента взаимодействия с НКЦКИ.

- Подтверждение получения НКЦКИ информации о КА и (или) КИ осуществляется путем присвоения идентификатора. Идентификатор присваивается в течение 24 часов с момента получения НКЦКИ информации.

- Субъекты КИИ и руководители организаций в праве обратиться при помощи личного кабинета в НКЦКИ для оказания содействия в реагировании на КИ и привлечения сил ГосСОПКА.

- Субъекты КИИ и руководители организаций в течение 24 часов с момента получения от НКЦКИ информации о готовящейся КА и признаках КИ обязаны направить в НКЦКИ информацию о проводимых мероприятиях по их предупреждению.

- В случае получения запроса от НКЦКИ о представлении дополнительных сведений об угрозах безопасности информации, в том числе признаках КИ, связанных с функционированием ЗОКИИ и информационных ресурсов РФ и вредоносной активности, необходимо в течение 24 часов с момента получения указанного запроса направить запрашиваемые сведения или уведомление о невозможности их представления с указанием причин и срока, в который данные сведения будут предоставлены.

 

6. Приказ ФСБ России № 553 от 26 декабря 2025 года

Приказ ФСБ России от 26.12.2025 № 553 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»

Отменяет действие приказа ФСБ России № 281 от 19 июня 2019 года.

Регламентирует процесс установки и эксплуатации средств ГосСОПКА:

- Определение необходимости установки средств ГосСОПКА требуемых субъекту КИИ и Организаций. Установить, настроить и проверить работоспособность подключенных средств ГосСОПКА к информационным ресурсам субъекта КИИ или организации. Обеспечить непрерывную работу средств ГосСОПКА.

- Самостоятельно определить состав средств ГосСОПКА, необходимых для полноценного выполнения мероприятий в отношении принадлежащих информационных ресурсов.

- Обеспечить установку средств ГосСОПКА.

- Установка, настройка, проверка работоспособности и подключение к информационным ресурсам проводится самостоятельно либо с привлечением аккредитованного центра ГосСОПКА или организации, имеющей соглашение с ФСБ России (НКЦКИ о сотрудничестве в области обнаружения, предупреждения и ликвидации последствий КА и реагирования на КИ). В течение 15 календарных дней необходимо проинформировать об этом НКЦКИ и предоставить перечень используемых средств ГосСОПКА. В случае выявления нарушений НКЦКИ в течение 30 календарных дней со дня получения сведений направляет замечания. Субъект КИИ или организация должна устранить замечания и направить информацию об этом в НКЦКИ не позднее 30 календарных дней со дня получения замечания.

- Необходимо непрерывно (круглосуточно) осуществлять работу средств ГосСОПКА и взаимодействие с ГосСОПКА. Также субъект КИИ или организация должны определять порядок доступа к средствам ГосСОПКА для контроля за их применением.

Также регламентируется процесс установки и эксплуатации средств, предназначенных для ППКА:

- Определение ФСБ России необходимости установки средств поиска признаков КА.

- Установка силами ФСБ России средств поиска признаков компьютерных атак.

- Силами субъекта КИИ или организации осуществляется непрерывное (круглосуточное) функционирование средств в своей инфраструктуре.

- Мониторинг функционирования осуществляется ФСБ России в круглосуточном режиме.

Определяет технические условия установки и эксплуатации средств ГосСОПКА и средств поиска признаков КА.

 

7. Приказ ФСБ России № 554 от 26 декабря 2025 года

Приказ ФСБ России от 26.12.2025 № 554 «Об установлении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе к средствам, предназначенным для поиска признаков компьютерных атак»

Отменяет действие приказа ФСБ России №196 от 6 мая 2019 года.

Устанавливает требования к средствам ГосСОПКА и ППКА:

- Средства ГосСОПКА должны быть произведены, обеспечены гарантийной и технической поддержкой, модернизироваться исключительно российскими юридическими лицами.

- В средствах ГосСОПКА должна быть исключена возможность удаленного управления и несанкционированной передачи обрабатываемой информации, если это не работники субъекта ГосСОПКА, не привлекаемый аккредитованный центр ГосСОПКА или не организация, осуществляющая лицензируемую деятельность в области защиты информации.

- Для средств ГосСОПКА, обладающих функционалом мониторинга пользовательской активности, данная функция должна обладать возможностью принудительного отключения пользователем.


К средствам ГосСОПКА относятся:

  • Средства обнаружения, реализующие функции сбора и первичной обработки событий безопасности от ОС, СЗИ и систем мониторинга (систем обнаружения вторжений (СОВ), межсетевых экранов (МЭ), средств предотвращения утечек данных, средств антивирусной защиты (САЗ), телекоммуникационного оборудования, средств анализа защищенности и другие) и автоматической корреляции инцидентов из событий безопасности.

  • Средства обнаружения должны иметь сертификат соответствия требованиям ФСБ России к средствам обнаружения КА.

  • Средства предупреждения, реализующие функции сбора и обработки сведений об уязвимостях и ошибках конфигураций, поддержка статической и аналитической обработки информации и формирования рекомендаций по минимизации угроз безопасности информации.

  • Средства ликвидации последствий, реализующие функции учета и обработки КИ, управления процессами реагирования на КИ и ликвидации последствий КА, взаимодействия с НКЦКИ путем использования ТИ НКЦКИ, а также информационно-аналитического сопровождения пользователей.

  • Средства поиска признаков КА, реализующие функции обнаружения признаков КА, признаков управления, изменения параметров настроек, а также хранения копий сетевого трафика, их анализ и экспорт, уведомления о фактах обнаружения признаков КА, нарушения режимов функционирования и возможность формирования и получения информации для ГосСОПКА.

  • Средства ППКА должны иметь сертификат соответствия требованиям ФСБ России к средствам обнаружения КА.

  • Средства обмена и средства криптографической защиты информации, реализующие функционал передачи и приема информации и обеспечения целостности передаваемой информации.

  • СКЗИ должны быть сертифицированы ФСБ России.

 

Резюме

В связи с изменениями 187-ФЗ и приказами ФСБ взаимодействие с ГосСОПКА актуально для всех информационных систем государственных органов (а не только для КИИ).

В рамках проведения мероприятий по реагированию на КИ субъекты КИИ должны осуществлять обмен информацией о КА и КИ с другими субъектами КИИ, перечень которых определяется самостоятельно, при этом информация дублируется в НКЦКИ. Взаимодействие осуществляется путем направления взаимного уведомления в ГосСОПКА при помощи ТИ НКЦКИ, в противном случае почтовой и электронной связи. Если передаваемая информация содержит гостайну, то обмен производится в соответствии с требованиями законодательства о гостайне.

Субъектам КИИ необходимо информировать ФСБ России обо всех КА и КИ, реагировать и принимать меры по ликвидации последствий.

Для подготовки к реагированию на инцидент и принятию мер по ликвидации последствий необходимо разработать план реагирования и не реже одного раза в год проводить тренировки по реагированию на инцидент и принятию мер для ликвидации последствий. После завершения мероприятий необходимо проинформировать о результатах НКЦКИ в течение 48 часов.

Организации, связанные с функционированием информационных ресурсов РФ, осуществляют анализ инцидентов и устанавливают связи с КА в ходе реагирования, оценивают необходимость привлечения подразделений ФСБ России. О результатах проведенных мероприятий необходимо оповестить НКЦКИ в течение 24 часов.

Прямой обмен информацией о КА и КИ с иностранными организациями запрещен без согласования. Все запросы теперь проходят через НКЦКИ с четкими временными рамками за исключением случаев, когда международным договором РФ с иностранной организацией предусматривает прямой обмен информацией. В случае необходимости такого взаимодействия в НКЦКИ отправляется обращение со сведениями и обоснованием.

Все субъекты КИИ и госорганизации обязаны обеспечить круглосуточное взаимодействие с ГосСОПКА, в первую очередь через личные кабинеты, если такой возможности нет, то через резервные каналы связи.

 

23 января 2026
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация