Hot updates 2025-2026
Свежие регуляторные изменения, влияющие на IDM-проекты
Шесть ключевых регуляторных документов, формирующих compliance-pipeline на 2026 год — мы учитываем их во всех новых внедрениях.
С 20.12.2024 ГОСТ Р 71753-2024
Главный российский стандарт IDM/IGA
Терминологический и функциональный стандарт IDM/IGA. Называет систему «СУУЗиПД» (автоматизированное управление учётными записями и правами доступа). Устанавливает функциональные требования: единый каталог пользователей (п. 6.1.2), ролевая модель (п. 7.2.1), эталонная матрица прав (п. 7.2.8), коннекторы как отдельные модули (п. 8.1), регистрация событий (п. 10.4.2).
Для: Любая организация с IDM/IGA
С 01.03.2026 Приказ ФСТЭК № 117
Заменил № 17 (2013)
Новые требования к защите ГИС, ИС госорганов, ГУП, государственных учреждений (меры — пп. 34–63 приказа). Привилегированный доступ — со строгой аутентификацией (п. 48). Удалённый доступ — со строгой аутентификацией пользователей (п. 46).
Для: ГИС / госсектор / ГУП / госучреждения
с 12.04.2026 Методический документ ФСТЭК
Детализация мер № 117 (17 групп техмер, 96 базовых мер)
Конкретный compliance-чек-лист к Приказу № 117: разделы по идентификации/аутентификации, управлению доступом, привилегированному доступу (включая «инвентаризацию всех привилегированных учётных записей»).
Для: ИБ-инженеры, аудиторы
С 06.04.2025 Приказ ФСБ № 117
Заменил Приказ ФСБ № 524 (2022)
Криптографическая защита для всех ИС государственных органов, ГУП, государственных учреждений (расширение scope vs № 524 — только ГИС). Применение СКЗИ, сертифицированных ФСБ. Класс СКЗИ — в модели угроз.
Для: ГИС / ГУП / госучреждения с крипто-защитой
С 01.10.2025 Положение ЦБ № 851-П
Геолокация identity-сессий
Кредитные организации обязаны регистрировать дату/время сессии, IP+порт устройства клиента, IP+порт АС банка и географическое местоположение устройства. Применяется при идентификации/аутентификации/авторизации клиентов.
Для: Банки + иностранные банки в РФ
С 01.10.2025 ГОСТ Р 70262.2-2025 — УДА
3 уровня + первое покрытие NHI в РФ
Уровни доверия аутентификации: ровно 3 (низкий / средний / высокий) — НЕ 4 как у УДИ. Впервые в RU нормативе аутентификация распространяется на «информационные и вычислительные ресурсы» (п. 4.8) — Non-Human Identities.
Для: CISO, security architects, DevOps