Эксперт Жукова: новый приказ ФСБ формализует уже применяемую практику — отчёт об атаках теперь обязателен даже при подозрении на фишинг
Изображение: recraft
Заместитель директора Аналитического центра УЦСБ Диана Жукова прокомментировала для CISOCLUB проект приказа ФСБ, расширяющий обязанность российских организаций информировать о попытках кибервзломов. Она напомнила, что изменения, по сути, закрепляют те нормы, которые и раньше фактически применялись в рамках отраслевого взаимодействия.
«Еще в апреле 2025 года были внесены изменения в 187-ФЗ “О безопасности КИИ РФ”, которые обязали субъекты КИИ информировать НКЦКИ не только о компьютерных инцидентах (то есть реализованных случаях — как преднамеренных, так и нет), но и о компьютерных атаках (попытках таких взломов)» — заявила Диана Жукова.
По её словам, все изменения в федеральных законах влекут за собой обновление ведомственной нормативной базы. ФСБ России, как регулятор в сфере защиты КИИ, готовит соответствующие приказы, которые вступят в силу с 30 января 2026 года при условии их утверждения. В этих документах расширяется список обязанных организаций, обновляется структура отчётности и уточняется, в какой срок и с каким содержанием должен передаваться сигнал о попытке кибератаки.
«Нововведения касаются перечня организаций, обязанных информировать НКЦКИ об инцидентах, содержания сведений, порядка и сроков оповещения регулятора, а также обязательства направлять ему план реагирования» — пояснила она.
Диана Жукова подчеркнула, что теперь субъекты КИИ обязаны будут отчитываться о принятых мерах после получения предупреждения от НКЦКИ — в течение 24 часов. Ранее такого обязательства не было. Кроме того, организации получат право самостоятельно формировать доверенный круг для обмена данными об атаках, но при получении информации от коллег всё равно обязаны уведомить НКЦКИ в течение 12 часов.
«НКЦКИ отправляет субъектам КИИ и руководителям органов и организаций информацию о готовящихся компьютерных атаках или признаках компьютерных инцидентов. Ранее субъект КИИ не обязан был отвечать о том, какие меры он предпринял в связи с полученной информацией. Теперь — обязан отчитаться о предпринятых действиях в течение 24 часов» — добавила она.
Она указала, что новыми правилами дополнительно уточняются сроки уведомлений. Теперь информацию о компьютерной атаке необходимо передавать не позднее чем через 24 часа после её обнаружения. Это дополняет действующие нормы, по которым данные о реализованных инцидентах направлялись в течение 3 часов (для значимых объектов КИИ) или 24 часов (для всех прочих). Также в течение недели с момента утверждения организация обязана направить в НКЦКИ план реагирования на инциденты — даже если участие НКЦКИ в этом плане напрямую не предусмотрено.
«Теперь план реагирования на компьютерные инциденты необходимо обязательно отправлять в НКЦКИ в течение 7 дней после его утверждения. Ранее — такой план отправлялся на согласование в НКЦКИ только в случае, если субъект КИИ предусматривал в плане участие НКЦКИ. Теперь при необходимости такого участия со стороны ФСБ России план нужно согласовать с Центром защиты информации и специальной связи ФСБ России» — уточнила Диана Жукова.
Эксперт обратила внимание, что теперь уведомления должны будут отправляться даже при подозрении на фишинговую рассылку. Раньше сообщения касались только серьёзных инцидентов — например, шифрования данных. Сейчас информировать нужно о любом подозрительном событии, включая попытки вторжений на ранних стадиях.
«Если раньше компании ставили регулятора в известность только о серьезных инцидентах (например, шифрование данных), то с принятием нормативного акта информировать придется о любой попытке взлома (даже если речь про подозрение на фишинг) в течение 24 часов» — подчеркнула она.
Диана Жукова добавила, что хотя формально требования усиливаются, в реальности значительная часть практик уже давно применяется. Новые нормы скорее закрепляют то, что и так было предусмотрено Регламентом взаимодействия с НКЦКИ, в частности пунктом 4.1. То есть речь идёт о правовом оформлении уже действующих механизмов.
Она напомнила, что главная цель сбора информации — не отчётность ради отчётности, а формирование общей базы угроз, обмен сигналами между организациями и обеспечение экспертной помощи от НКЦКИ тем, кто в ней нуждается.
