Прямая линия с регулятором

Здесь Вы можете задать свой вопрос по теме реализации мер для обеспечения защиты информации, который примут эксперты BISA и передадут в соответствующее ведомство регулятора, либо помогут найти ответ силами ИБ сообщества.

Вы можете задать вопрос анонимно, а можете указать e-mail для связи. Тогда, при необходимости, эксперт BISA поможет вам сформулировать ваш вопрос точнее и оповестит Вас, когда ответ будет получен.

Выбор редакции
Расскажите про закон об оборотных штрафах
21.11.2023

Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.

Х Ответил Хинштейн А.Е. Депутат Госдумы РФ, 21.09.2023
Х Хинштейн А.Е. Депутат Госдумы РФ
Читать далее
При категорировании субъект КИИ должен выявить критичные процессы. А какие критерии выявления критических процессов в организации? Какие процессы субъект должен относить к критическим? По каким признакам субъект должен их выявлять, по каким критериям делить на критичные и не критичные? Примечание: в приложении 2 к ПП-127 приведены критерии определения значимости объектов КИИ, но не критичности процессов.
17.02.2022

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
Все вопросы и ответы
21.11.2023
Считаете ли вы достаточными те меры защиты информации, которые сейчаc есть в России?

Последний год показал, что разработчики совершенствуют СЗИ, появляются новые классы средств, которые адаптированы с учетом существующих реалий и тех угроз, которые мы видим за последние 1,5 года. Но СЗИ – только один элемент системы безопасности, самый важный элемент – это люди, их квалификация, готовность к противодействию и использованию средств, если я поставил средство защиты, которое требует высокой вовлеченности высококвалифицированных специалистов, и если у меня их нет, то я поставил себе на объект кирпич. Тут нужно рассматривать достаточность уровня средств безопасности тем угрозам, которые у нас сегодня существуют.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России 21.09.2023
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
21.11.2023
Считаете ли вы, что утечки информации обесценились?

О спаде утечек – система безопасности адаптируется, люди становятся более вовлечены в вопросы безопасности. Обесцениваем утечек занимаются операторы персональных данных, которые заявляют о том, что ничего не произошло, они не видят для себя никаких рисков: штрафы малы, в суд никто не подает.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России 21.09.2023
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
21.11.2023
Считаете ли вы, что утечки информации обесценились?

Нельзя относиться к утечке так, что данные утекли и можно их не защищать, более того, у нас в подведомственном предприятии проходит научно-технический совет, мы приглашаем туда различных специалистов, и они рассказывают довольно удивительные вещи, что есть конвергенция биометрических и обычных данных, можно на анализе сопоставления не биометрических данных улучшить качество биометрических шаблонов и степень идентификации, каждая новая утечка для нас – трагедия, и нужно принимать меры, чтобы такого не происходило.

В Ответил Вагнер М.Э. Заместитель руководителя Роскомнадзор, 21.09.2023
В Вагнер М.Э. Заместитель руководителя Роскомнадзор
Читать далее
21.11.2023
Считаете ли вы, что утечки информации обесценились?

Мы категорически не согласны, что утечки информации обесценились. По нашим наблюдениям, утекает информация идентификационная, иногда утекают транзакционные данные, но в любом случае, каждая новая информация обогащает уже имеющуюся базу знаний про человека и имеет ценность.

В Ответил Вагнер М.Э. Заместитель руководителя Роскомнадзор, 21.09.2023
В Вагнер М.Э. Заместитель руководителя Роскомнадзор
Читать далее
15.11.2022
Послание Минпромторг участникам BIS Summit

Сегодня перед промышленностью, да и всеми ключевыми отраслями экономики стоят серьезнейшие вызовы, сформированные с точки зрения рисков и угроз. В сегодняшних условиях предприятия, прежде всего в части критической информационной инфраструктуры, должны особенно чётко подойти к работе по подготовке своей инфраструктуры к реагированию на возможные вызовы, атаки и прочие инциденты, связанные с информационной безопасностью. Мы должны обеспечить полную готовность наших инфраструктур к переходу на отказоустойчивые, суверенные, независимые решения, как аппаратные, так и программные.
Правительством РФ в этой связи принят ряд важнейших решений, основанных на указах президента нашей страны, с точки зрения планомерного и поэтапного отказа от использования иностранных, недоверенных и небезопасных решений. Причем решений по всем уровням, стадиям и этапам жизненного цикла выпуска промышленной продукции, абсолютно по всем вспомогательным, производственным процессам.
Работа, которая сегодня ведётся по подготовке и реализации планов импортозамещения, ПО и ПАК – это работа промышленных предприятий, ИТ- сообщества и консорциумов, сформированных для удовлетворения потребностей наших ключевых заказчиков в современных, качественных решениях.
Работа соответствующих индустриальных центров компетенций ведется с весны этого года и на сегодня мы имеем уже около десятка поддержанных на уровне правительства системных, сквозных, межотраслевых проектов по созданию собственных программных и программно-аппаратных платформ, информационных систем, призванных не только заменить привычные иностранные аналоги, но и позволить нам вывести на новое качество процессы, связанные с разработкой и созданием промышленной продукции. Минпромторг вместе с Минцифры и ФСТЭК России помогает предприятиям как с точки зрения методической базы по разработке необходимых документов, по подготовке стратегий и планов перехода на российские решения, так и с точки зрения мониторинга и контроля этого процесса. Процесса, связанного с реализацией всего комплекса работ по готовности к угрозам, вызовам, и возможным инцидентам информационной безопасности. Мы не только анализируем уровень выполнения этих планов, состояние категорирования объектов КИИ, но и предлагаем предприятиям конкретные меры и действия, шаги, связанные с закрытием рисков и угроз. Эта работа будет продолжена на системной основе, к этой работе приглашаются все представители промышленного и ИТ-сообщества, системные интеграторы и компании, осуществляющие деятельность в сфере информационной безопасности.
Надеемся, что совместными усилиями мы продолжим превентивно и проактивно отвечать на все возможные вызовы, и обеспечим нашу промышленность всей линейкой средств, предназначенной для мобильной и качественной работы.

Д Ответил Дождев В. С. директор департамента цифровых технологий Минпромторг России, 08.11.2022
Д Дождев В. С. директор департамента цифровых технологий Минпромторг России
Читать далее
23.09.2022
Банк России строит свой подход от рисков? То есть вы анализируйте, какой риск может быть там в данном месте, и в зависимости от этого вы уже выдаёте рекомендации?

Да, мы сейчас разработали определённую технологическую карту, которая имеет технологические стеки, есть также бизнес-функции у каждой конкретной организации, которые привязаны к тем либо иным технологическим стекам, и на основании этого хотим сделать некий светофор (это система подхода к рискам где красным является самый острый риск, а зелёным наименее вероятный или невозможный защищать) построение модели каждой организации для того, чтобы в моменте времени определить наиболее значимые риски, которые по нашему вниманию нужно будет первоначально определить, как процесс требующий внимания и замещения.

У Ответил Уваров В. А. директор Департамента информационной безопасности Банка России, 23.09.2022
У Уваров В. А. директор Департамента информационной безопасности Банка России
Читать далее
23.09.2022
С точки зрения банковской сферы насколько у нас ситуация стала лучше или хуже. Вообще, как бы Вы оценили ситуацию в системах защиты информации в банковской сфере.

Тема, которую мы обсуждаем она достаточно актуальна, её сейчас обсуждают на всех площадках, на всех формах. Нужно сказать, что мы давно озаботились проблемой замещения иностранных программных продуктов и мы эту работу начали еще в 2018 году, когда сформулировали требования для средств по защите информации с коллегами из ФСБ и ФСТЭК. Отдельно хочу сказать, что мы в 2019 году проводили определённый анализ тех решений, которые используются организациями в кредитно-финансовой сфере, и на тот период конечно основная масса это были иностранные решения. В настоящее время у нас в банке России создан центр по координации технологического суверенитета в кредитно-финансовой сфере, основная задача этого центра - получить данные кредитно-финансовых организаций по иностранным решениям и вместе с коллегами с Минцифры и Минпромторга, предоставить возможность получить объективную информацию о тех продуктах и решениях российских разработчиков, которые могут быть использованы в будущем. Основной вопрос в том, что не нужно в настоящее время, по-моему, мнению кидаться вот подряд во всё с точки зрения замены тех решений, которые есть. Мы для себя определили такой формат, что у каждой конкретной организации, существующей в кредитно-финансовой сфере, мы хотим составить технологическую карту определённую, чтобы понимать какие есть критичные бизнес-функции, которые могут в моменте времени перестать функционировать в зависимости от тех либо иных используемых иностранных решений программных продуктов. Есть конечно определённые вопросы с оборудованием, я думаю, что эта тема будет второй по важности, который в перспективе будет у нас в обсуждении, но основная задача, это конечно, определить риски. Риски и понять, что в перспективе ближайшего времени нам необходимо будет именно с коллегами с кредитных организаций заменить.

У Ответил Уваров В. А. директор Департамента информационной безопасности Банка России, 23.09.2022
У Уваров В. А. директор Департамента информационной безопасности Банка России
Читать далее
23.09.2022
Что делать с предприятиями, которые закупили и внедрили у себя импортные средства защиты информации?

Что сделать тем, кто покупал зарубежные решение, наверное, встать перед зеркалом признаться, покаяться. Но мы много лет подряд всех предупреждали об огромных рисках использования того или иного импортного ПО, не в целом иностранного как класса, а по конкретным решениям, и безопасники в целом прекрасно понимали. Я знаю, что после 24.02, после того как соответственно большинство ИБ игроков покинуло российский рынок я встречаюсь с организациями и они говорят: «Да мы вот сейчас планируем купить тоже самое решение», но зачем, может быть оно хорошее, ещё что-то, но риски же колоссальные - параллельный импорт, как вы будете его обслуживать, облачные сервисы не работают, не отвечают, но у нас вся инфраструктура уже построена, нам так удобнее, нам не очень удобно перестраивать свою инфраструктуру под какие-то другие решения. Но это конечно неправильно, тут надо сначала признаться для самого себя, что похоже был определенный риск по информационной безопасности, в том числе санкционный риск, что лицензии перестанут работать, облачные сервисы отвалятся, и этот риск был неправильно оценен. Бежать и менять.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России, 23.09.2022
Б Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России
Читать далее
23.09.2022
Что делать с предприятиями, которые закупили и внедрили у себя импортные средства защиты информации, которые были сертифицированы ФСТЭК?

Планировать замену, а что делать. На сегодняшний момент у нас все сертификаты на зарубежные средства защиты, за исключением двух, они все аннулированы. Поддержка по всем средствам защиты с точки зрения безопасности на территории Российской Федерации прекращена. Почти по всем поддержка прекращена. Формально требованиям по безопасности ФСТЭК они не соответствуют, поэтому планировать поэтапный переход на отечественные СЗИ, выставлять требования к разработчикам, которые необходимы заказчику с точки зрения функциональности этих средств. Стандартная работа, которую мы должны были раньше начать. К тому же у нас президент поставил задачу двумя указами и 250-м, и 166 указом перейти на Отечественные программные аппаратные средства в одном случае, а в другом случае конкретизировать средства защиты информации.

Здесь конкретная проблема, во многих импортных средствах защиты начинают появляться уязвимости, они публикуются либо на одной, либо на другой базе данных, и это естественный процесс. Для нас специфика заключается в том, что мы практически по многим классам средств, особенно программно-аппаратным не имеем возможности эти обновления применить, проверить, установить и т.д., вот в чём проблема. И здесь если с практических шагов смотреть, мы конечно понимаем, что если инфраструктура у вас сетевая построена на зарубежном каком-то решении, щелчком пальцев перейти с этого решения на другое невозможно, поэтому мы проводим ряд мероприятий, разрабатываем некие методические документы, как риски использования таких средств минимизировать, например, вот ближайшее время мы выпустим оценки критичности уязвимости, для того чтобы ранжировать в своей инфраструктуре не по метрикам cvss, учитывать как бы наличие средств в инфраструктуре. Мы подготовили проект методики по тестированию обновлений, те, которые можно получить тем или иным способом, я сейчас это немножко за скобками оставлю способ получения обновлений, но по тем обновлениям, которые можно получить и определенные методики тестирования, и подходы к такому тестированию мы тоже в ближайшее время утвердим и предоставим возможность для применения. Ещё раз, это не будет означать, что мы его проверили это ПО на 100% там ничего нет, но минимизировать наиболее такие критичные риски будет возможно.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 23.09.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
23.09.2022
А что в России с элементной базой?

Если смотреть на историю с точки зрения средств защиты информации, после выхода 166 и 250 указов для всех стало вроде бы однозначно понятно, что отсрочки больше не будет и всем надо замещаться.
Кто бы что ни говорил относительно того, что есть аналоги или нет аналогов, но пора бежать в этом направлении и собирать карты по классам решений: где есть аналоги, где нет, где кто уступает или не уступает, где должна быть государственная единая поддержка - большой госзаказ на создание, а где рынок сам решит вопросы по остаточному замещению.
Оказалось, что рынок средств защиты информации крайне высокого импортозамещен, у нас практически по каждому классу есть неплохие достаточно аналоги или, соответственно, игроки говорят, что эти аналоги они заменят и им никакая поддержка не нужна, есть даже ключевые заказчики, которые говорят, что они в течение 1,5 года на это переедут.
Возможно, здесь проблемная история возникла только в межсетевых экранах нового поколения (NGFW), о которых сегодня уже говорили, явно эту проблему подсветили почти все, и она как раз сильно привязана к аппаратной части, по крайней мере, так считает отрасль. И мы провели тут такой умозрительный эксперимент, мы связались со всеми вендорами, которые сейчас делают или планируют делать NGFW, с одним простым вопросом: смогут ли они вот как раз для подтверждения сделать целиком программные решения, могут ли NGFW на общедоступной элементной базе и с какой деградацией по скорости. Грубо говоря, достать там классические процессоры, серверы и так далее где-нибудь из Индии, или от Huawei, ещё откуда-то, у нас какая будет. Ответом было либо однозначно «да», либо почти все сказали, что будет деградация, но вот если мы решим вопросом с пакетным аппаратным разбором сетевого трафика, то есть конкретные решения. Мы можем подойти к этому снаряду и сделать разово госзаказ для всех производителей NGFW. И это не выглядит такой глобальной проблемой и нам не нужно выходить на 2 нанометра, чтобы заместить средства защиты информации, нет такой потребности.


Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России
Б Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России
Читать далее
23.09.2022
Вы – ведомство, которое видит всю картину нашей цифровизации. Как вы видели вот эту картину атак со своей стороны? Пришлось ли вам работать в режиме антикризисного штаба. Как вы спасались? Какие-то может быть рекомендации давали предприятиям, если они к вам обращались?

Да, работа радикально поменялась.
Если до 24. 02 больше занимались регуляторикой, контролем исполнения поручений, скажем так, нивелированием рисков, которые могут возникнуть, давали различные поручения, смотрели как кто отслеживает, потому что вдруг что. И 24.02 это что произошло.
Одно дело давать поручения и говорить о том, что средство, если вы его используете, там? где сервисы для граждан, то у вас должна быть явно защита на уровне отказа в обслуживании, должен быть Firewall. Такими вещами занимались, говорили, что вам нужно и смотрели кто как исполняет. Например, банковская сфера, в которой всё очень строго, много требований, Центробанк давно их контролировал и уровень зрелости банков очень высок, а другое дело, соответственно, вся оставшаяся страна, огромное количество, включая РАИВы, местные порталы и так далее, хорошо если у них есть это требование, но они звонят и говорят: «Всё лежит, мы не знаем, что делать», и, конечно, пришлось собирать антикризисные штабы, пришлось очень большую часть работы проводить именно по координации, потому что нужно объяснить, как нужно, помочь связаться.
Очень много кто смог защититься, переехав частично под ГИОВ, соответственно сейчас так активно развивается история с ГОСТЕХом. Мы понимаем, что при централизации многие вопросы уходят как раз в центр, их можно централизовано решить и, конечно, когда мы там с ближайшими сотрудниками посчитали 35 дней без выходных, мы поняли, что каждый день новые угрозы, тоже надо понимать, что наши заклятые партнеры каждый день придумывали что-то интересненькое. Вот сломают всё, что касается open source, и мы понимаем, что теперь этому нельзя доверять, то начинают ломать web-порталы через различные погружаемые компоненты, и приходилось собирать длиннющий перечень всех используемых там зарубежных библиотек, модулей и так далее, вот проверяйте чек-лист из 70 компонентов, если он есть - идите в аналоги, потому что огромен огромный риск того, что вас компрометирует через те или иные компоненты.
Работа перешла из-за регуляторики такой контрольно-надзорной деятельности в помощь и координацию, такая специфика. И, конечно, огромное количество атак на тех, кто к атакам был не готов. Даже модель нарушителя не предполагала, что какой-то там ресурс небольшой, где-то там в РАИ или ещё что-то вдруг будет интересен с точки зрения нарушителя, который может закладки в ПО вставлять, поэтому многие были не готовы.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России
Б Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России
Читать далее
23.09.2022
Модель угроз была удачно выстроена? Корректируете ли вы её сейчас?

Если в целом говорить об атаках, то мы все стали свидетелями того, что в марте месяце этого года большинство атак на кредитно-финансовую сферу преследовало своей целью приостановить сервисы, которые кредитно-финансовая сфера обеспечивает, для того, чтобы наши граждане не могли пользоваться теми возможностями, которые она сейчас представляет.
У меня сразу здесь произошла ассоциация с вопросами операционной надёжности, которым мы уделяем достаточно много внимания. В 2020 году Банк России получил право устанавливать требования к операционной надёжности, и у нас 1 октября этого года вступают в силу 2 нормативных акта для кредитных и некредитных финансовых организаций, и вот те процессы, которые сейчас происходят - атаки, деградация сервисов, приостановление оказания услуг - очень сильно перекликаются с вопросами операционной надёжности.
Если в целом смотреть на инфраструктуру, то здесь, конечно, нужно понимать значимость той инфраструктуры, которая оказывает определенные услуги нашим гражданам. Второй момент - это ИТ составляющие, без них никуда. Третий момент - это, конечно, вопросы, касающиеся информационной безопасности. И, наверное, четвёртое, дополняющее все эти факторы, как раз те условия, в которых мы сейчас пребываем, то есть это всё-таки санкционные риски, или всё-таки технологический суверенитет России и возможность использовать свои решения по всем фронтам.
Если говорить про операционную надёжность, то Банк России использует такую форму как киберучения. Используем не первый год, в этом году мы тоже планируем с нашими коллегами из кредитных организаций провести ряд таких учений для того, чтобы и для себя понимать, и дать возможность коллегам из организаций найти те слабые точки, все слабые моменты, на которые необходимо сосредоточить внимание в будущем. Это как раз есть тот вектор по поддержанию операционной надёжности в нынешних условиях.

У Ответил Уваров В. А. директор Департамента информационной безопасности Банка России, 23.09.2022
У Уваров В. А. директор Департамента информационной безопасности Банка России
Читать далее
23.09.2022
Те модели защиты от угроз, которые ФСТЭК строил до наступления этих событий они оправдали себя вообще, как повели себя объекты критической инфраструктуры в условиях резко изменившейся ситуации с киберугрозами.

Моё мнение такое, что да, оправдали.
За исключением, наверное, одного нюанса, который мы сегодня обсуждаем - это мы ведь привыкли и мы такую методологию с вами вместе как с экспертами ввели, что модель угроз строится оператором или владельцем системы, чтобы нагрузку минимизировать с точки зрения принимаемых мер и средств
Мы придерживались методологии, что модель угроз строится операторам, дальше проходит определённое согласование и по модели угроз принимаются меры, и такие угрозы как использование НДВ, куда мы относим в том числе задействование механизма влияния на средства через обновление.
Мы такие угрозы, конечно, учитывали, они у нас были в методике и моделях, но мы всегда относили их к действию государственной структуры, и многие операторы по понятным причинам всячески нам пытались доказать, что эти угрозы не актуальны, они не реализуемые и так далее, и это всё было у нас до февраля месяца.
Февраль месяц показал, что первое - это угроза может происходить как от государства, но и от разработчика - вендора зарубежного. (Наши компетенции — это средства защиты, я сейчас в общесистемные средства даже не лезу.) Это привело к тому, что у нас многие зарубежные средства защиты потеряли функциональность либо частично, либо полностью
Поэтому с точки зрения общих подходов скажу, что тогда мы всё это учитывали и мы об этом говорили, но нам всем надо было эти риски просчитывать более взвешенно, нам надо было, наверное, больше настаивать на включение таких угроз операторам. Наверное, надо было прорабатывать вопросы как их нейтрализовать, как с ними бороться.
Вот этот момент я бы назвал наиболее ключевым с точки зрения общей модели угроз.
Потому что все остальные действия, насколько вот у нас есть информация, которые хакеры применяли (атаки, тактики, техники) для взлома систем и получения несанкционированного доступа для утечек, но они ничем таким уникальным сверх там каких-то там особенностями не отличаются. Но, честно говоря, тут есть более компетентные люди, в НКЦКИ, допустим, которые более детально разбираются с технической стороной этих вопросов.
Может быть они (уникальные атаки, тактики, техники) и есть, но нам они неизвестны, поэтому отвечая на вопрос в целом, то подход «Да». Но вот с точки зрения технологических особенностей, с точки зрения поведения вендора в наших инфраструктурах, мы никогда и подумать не могли, что вендор так поступит, он же работает тут у нас на территории России, все представительства есть.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 23.09.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
01.08.2022
Какие разработки средств защиты информации были поддержаны Министерством за последние два года? Соответствует ли потребность в них сегодняшней ситуации? На поддержку каких средств защиты информации и средств обработки информации в защищенном исполнении планируете сделать акцент в 2022-23 годах?

Участниками рабочей группы "Средства обеспечения кибербезопасности", образованной в рамках проведенной Стратегической сессии по вопросу развития электронной промышленности Российской Федерации до 2030 года, предложены многочисленные инициативы в области разработки средств защиты информации, которые были поддержаны и включены в разрабатываемые федеральные проекты, направленные на развитие электронной промышленности до 2030 года.

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
01.08.2022
В ноябре прошлого года был завершен электронный аукцион на оказание услуг по предоставлению информации об утечках персональных данных в сети Интернет, выбран победитель. Два из трёх этапов должны были быть завершены к 31 марта этого года.
Какие получены результаты? Как они используются? Результаты и сделанные на их основе выводы оказали влияние на проведение мероприятий, связанных с повышением безопасности информационных систем персональных данных, государственных информационных систем?

По вопросу мониторинга сети «Даркнет» Минцифры России с января 2022 г. на регулярной основе получало в рамках государственного контракта информацию об актуальных утечках в «Даркнет». Еженедельно мониторингу подвергается более 2000 сообщений с ресурсов «Даркнет». Абсолютное большинство обнаруженных утечек носит исторический (устаревший) характер. Актуальные подозрения на утечки Минцифры России оперативно направляло в целях принятия мер владельцам государственных информационных систем. Результаты мероприятий учитываются Минцифры России при проведении мероприятий по повышению защищенности государственных информационных систем, в том числе в рамках эксперимента, проводимого в соответствии с постановлением Правительства Российской Федерации от 13.05.2022 № 860.

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
01.08.2022
В части 5 статьи 49 ГК РФ отсутствует такой предмет как «информационная безопасность». В 384-ФЗ/2009 «Технический регламент о безопасности зданий и сооружений» так же не содержится требований в части информационной безопасности. В связи с чем средства обеспечения информационной безопасности (защиты информации) часто рассматриваются как избыточные решения, возникают трудности с обоснованием их закупок, особенно в соответствии с 44-ФЗ. Как рекомендуется обосновывать федеральное финансирование на закупки решений для обеспечения безопасности объектов КИИ?

Финансирование закупки решений для обеспечения безопасности объектов КИИ обосновывается необходимостью соответствия объектов КИИ требованиям нормативной документации ФСТЭК России, ФСБ России в области обеспечения информационной безопасности (Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», приказ ФСТЭК России от 25.12.2017 № 239 «Требования по обеспечению безопасности значимых объектов КИИ Российской Федерации», приказ ФСТЭК России от 21.12.2017 № 235 «Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» и т.д.).

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
01.08.2022
Какие планируются меры помощи субъектам КИИ, ранее массово закупавшим и внедрившим иностранные СЗИ?

По вопросу мер поддержки субъектов КИИ, ранее массово закупавшими и внедрившими иностранные средства защиты информации, отмечаем, что процедура перехода на отечественные аналоги планируется за счет собственных средств организаций. На данный момент сформирована система мер поддержки субъектов КИИ. В целях расширения использования российских программ для ЭВМ и баз данных, подтверждения их происхождения из Российской Федерации, а также в целях оказания правообладателям программного обеспечения мер государственной поддержки создан единый реестр российских программ для ЭВМ и баз данных (далее – реестр). Программное обеспечение, сведения о котором включены в реестр, признается российским и в соответствии с постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 предоставляет правообладателям программного обеспечения преференции в случае участия в государственных и муниципальных закупках в связи с установленным запретом на закупки иностранного программного обеспечения. Кроме того, в соответствии с подпунктом 26 пункта 2 статьи 149 части второй Налогового кодекса Российской Федерации включение сведений о программном обеспечении в реестр дает возможность получать налоговые льготы по уплате НДС. Также сообщаем, что действующей системой мер государственной поддержки, реализуемой в рамках федерального проекта «Цифровые технологии» национальной программы «Цифровая экономика Российской Федерации», осуществляется грантовая поддержка разработчиков отечественных цифровых продуктов и заказчиков, внедряющих ИТ-решения в целях цифровой трансформации производственных и бизнес-процессов. Государственная поддержка проектов в форме грантов предоставляется по результатам конкурсных отборов, проводимых Российским фондом развития информационных технологий, Фондом содействия инновациям, Фондом «Сколково» (далее – операторы мер поддержки), в соответствии с постановлениями Правительства Российской Федерации от 3 мая 2019 г. №№ 550, 554, 555. Информацию о получении грантов на разработку и внедрение российских цифровых решений можно получить на официальных сайтах операторов мер поддержки https://рфрит.рф/, https://dtech.sk.ru/cifrovye-tehnologii/, https://fasie.ru/, а также на сайте https://итгранты.рф/.

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
01.08.2022
В указе 166 выделен вопрос подготовки и переподготовки кадров. Чем не устраивает существующая система?

Вопрос подготовки и переподготовки кадров поднят в контексте обеспечения преимущественного применения субъектами критической информационной инфраструктуры отечественной радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им значимых объектах КИИ. Для обеспечения данного мероприятия предлагается проведение дополнительной подготовки/переподготовки кадров. Данные мероприятия никак не влияют на текущую систему подготовки/переподготовки кадров.

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
01.08.2022
1 вопрос: 30 марта 2022 года был опубликован указ Президента России о переходе органов госвласти и заказчиков, определенных ФЗ-223/2011, для использования на значимых объектах КИИ РФ на российское ПО.
Относится ли этот запрет к ПАК, в составе которых установлено ПО российского производства, а оборудование (аппаратная часть) – иностранного?
Как быть с ПО, аналогов которого пока нет?
Планируется ли создание перечня рекомендованных российских СЗИ и СКЗИ, а также мер по сокращению сроков и процедур их закупки для замены СЗИ иностранного производства? (Как по 223-ФЗ, так и по 44-ФЗ).
За счёт каких средств планируется провести переход, в том числе исследования по определению аналогов, проведение оценки соответствия, установки и пусконаладки, подготовки специалистов?
Какие меры поддержки таких организаций планируются? Например, освобождение от налогообложения или т.п.

2 вопрос: НПО, создаваемое согласно указа 166, будет монополистом в указанной сфере? Или у других российских производителей будет шанс производить, сертифицировать и поставлять доверенные ПАК для объектов КИИ?

8 вопрос: Какие планируются меры в части замены импортных средств телекоммуникаций и обеспечения их безопасности на объектах КИИ и в сетях электросвязи? Если планируются, то только в отношении средства производства недружественных государств или всех иностранных?

В части вопросов 1, 2 и 8 согласно подпункту «б» пункта 2 Указа Президента Российской Федерации от 30 марта 2022 г. № 166 (далее – Указа № 166) в 6-месячный срок после выхода Указа № 166 планируется реализация комплекса мероприятий, направленных на обеспечение преимущественного применения субъектами критической информационной инфраструктуры отечественной радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им значимых объектах критической информационной инфраструктуры, в том числе: детализация правил использования и замены ПАК, а также телекоммуникационного оборудования на значимых объектах КИИ Российской Федерации, при этом разработана система мониторинга и контроля в данной сфере;
создание и организация деятельности научно-производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных
комплексов для критической информационной инфраструктуры.

Ш Ответил Шойтов А. М. заместитель министра Минцифры России, 01.08.2022
Ш Шойтов А. М. заместитель министра Минцифры России
Читать далее
20.07.2022
Один из ключевых элементов импортозамещения – наличие собственной элементной базы. Но с вводом новых санкций против России правительство Тайваня остановило изготовление российских процессоров «Эльбрус» и «Байкал». Есть ли в России свои мощности для их выпуска? Если нет, то, когда появятся? Мы понимаем, что изготовление процессоров за рубежом рассматривалось лишь как временная мера. Или были (есть) другие планы? Международная кооперация, например. Насколько наша промышленность на данный момент независима от поставок импортной элементной базы?
Какие виды или какой процент средств вычислительной техники и средств защиты информации на данный момент может выпускать Россия на собственной элементной базе?
Насколько выполнимы в условиях санкций существующие требования о поэтапном переходе на российскую элементную базу средств вычислительной техники и защиты информации?

В части вопросов наличия на территории Российской Федерации собственной элементной базы и независимости от поставок импортной элементной базы сообщаем, что у ряда отечественных производителей имеются необходимые производственные мощности и кадровое обеспечение для осуществления производства электронной компонентной базы и модулей.
Последние несколько лет Правительством Российской Федерации уделяется особое внимание развитию отечественной электроники, при этом санкционное давление и разрыв глобальных кооперационных цепочек требуют сейчас намного более интенсивных действий и расширения программных документов.
Также сейчас остро определяется необходимость наличия собственных средств автоматизированного проектирования (САПР), ЭКБ, оборудования и материалов. В части ЭКБ отдельной первостепенной целью можно выделить освоение базовых процессов (чипы на монокристаллах) и инновационных решений, которые сейчас внедряются за рубежом.
Под обозначенные цели реализуется финансовая мера государственной поддержки в виде субсидии в рамках постановления Правительства Российской Федерации от 24 июля 2021 г. № 1252 «Об утверждении Правил предоставления из федерального бюджета субсидий российским организациям на финансовое обеспечение части затрат на создание электронной компонентной базы и модулей». В период с 17 июня по 1 августа 2022 г. Минпромторгом России проводится конкурсный отбор.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
В части 5 статьи 49 ГК РФ отсутствует такой предмет как «информационная безопасность». В 384-ФЗ/2009 «Технический регламент о безопасности зданий и сооружений» так же не содержится требований в части информационной безопасности. В связи с чем средства обеспечения информационной безопасности (защиты информации) часто рассматриваются как избыточные решения, возникают трудности с обоснованием их закупок, особенно в соответствии с 44-ФЗ.
Как рекомендуется обосновывать федеральное финансирование на закупки решений для обеспечения безопасности объектов КИИ?

По вопросу об обосновании закупок решений для обеспечения информационной безопасности, осуществляемых в соответствии с Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», сообщаем, что его решение в соответствии с положением о Министерстве промышленности и торговли Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 05.06.2008 № 438 «О Министерстве промышленности и торговли Российской Федерации» не относится к компетенции Минпромторга России.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
Какие планируются меры помощи субъектам КИИ, ранее массово закупавшим и внедрившим иностранные СЗИ?

Что касается вопроса о мерах помощи субъектам КИИ, ранее массово закупавшим и внедрившим иностранные СЗИ, сообщаем, что что данный вопрос находится на стадии межведомственного обсуждения.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
В указе 166 выделен вопрос подготовки и переподготовки кадров. Чем не устраивает существующая система?

В части вопроса о подготовке и переподготовке кадров в сфере разработки, производства, технической поддержки и сервисного обслуживания радиоэлектронной продукции и телекоммуникационного оборудования сообщаем, что с учетом динамично развивающегося рынка таких товаров и услуг формируется кадровый недостаток в таких специалистах. Поэтому данному вопросу уделяется особое внимание высшим руководством страны. Установление необходимости проработки данного вопроса в рамках Указа № 166 позволяет в том числе обосновать необходимые объемы дополнительного бюджетного финансирования на увеличение объема подготовки по соответствующим образовательным программам.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
НПО, создаваемое согласно указа 166, будет монополистом в указанной сфере? Или у других российских производителей будет шанс производить, сертифицировать и поставлять доверенные ПАК для объектов КИИ?

В части вопроса о деятельности научно-производственного объединения, специализирующегося на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ сообщаем, что данный вопрос находится на стадии межведомственного обсуждения. При этом необходимо отметить, что Указом № 166 не предусмотрено определение данной организации в качестве единственного разработчика и производителя доверенных ПО и программно-аппаратных комплексов.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
Планируется ли создание перечня рекомендованных российских СЗИ и СКЗИ, а также мер по сокращению сроков и процедур их закупки для замены СЗИ иностранного производства? (Как по 223-ФЗ, так и по 44-ФЗ).

В части вопроса о создании перечня рекомендованных российских СЗИ и СКЗИ, а также мер по сокращению сроков и процедур их закупки для замены СЗИ иностранного производства рекомендуем обратиться в ФСТЭК России.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
20.07.2022
30 марта 2022 года был опубликован указ Президента России о переходе органов госвласти и заказчиков, определенных ФЗ-223/2011, для использования на значимых объектах КИИ РФ на российское ПО.
Относится ли этот запрет к ПАК, в составе которых установлено ПО российского производства, а оборудование (аппаратная часть) – иностранного? Как быть с ПО, аналогов которого пока нет? За счёт каких средств планируется провести переход, в том числе исследования по определению аналогов, проведение оценки соответствия, установки и пусконаладки, подготовки специалистов?
Какие меры поддержки таких организаций планируются? Например, освобождение от налогообложения или т.п.

В части вопроса о запрете использования программно-аппаратных комплексов иностранного производства с программным обеспечением российского производства сообщаем, что в соответствии подпунктом «а» пункта Указа Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ № 166) с 31 марта 2022 года заказчики (за исключением организаций с муниципальным участием), осуществляющие закупки в соответствии с Федеральным законом от 18.06.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – заказчики, Федеральный закон № 223-ФЗ), не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов (далее - программное обеспечение), в целях его использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - КИИ), а также закупки услуг, необходимых для использования этого программного обеспечения на таких объектах, без согласования возможности осуществления закупок с федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации.
Подпунктом «б» пункта 1 Указа № 166 с 1 января 2025 года устанавливается запрет заказчикам использовать иностранное программное обеспечение на значимых объектах КИИ. При этом для организаций, не осуществляющих закупки в соответствии с Федеральным законом № 223-ФЗ, запрета на соответствующую закупку иностранного программного обеспечения не устанавливается.
Таким образом, Указом № 166 предусмотрен переходный период с 31 марта 2022 года до 1 января 2025 года, в пределах которого заказчики могут осуществить переход на использование отечественного программного обеспечения.
Необходимо отметить, что в случае необходимости закупки иностранного программного обеспечения в данный переходный период заказчики согласовывают осуществление такой закупки с Минцифры России. Необходимо отметить, что пунктом 3 постановления Правительства Российской Федерации от 10 июля 2019 г. № 878 «О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16 сентября 2016 г. № 925 и признании утратившими силу некоторых актов Правительства Российской Федерации» установлено, что при осуществлении закупок радиоэлектронной продукции, включенной в соответствующий перечень радиоэлектронной продукции, происходящей из иностранных государств, в отношении которой устанавливаются ограничения для целей осуществления закупок для обеспечения государственных и муниципальных нужд, заказчик отклоняет все заявки, содержащие предложения о поставке радиоэлектронной продукции, происходящей из иностранных государств (за исключением государств - членов Евразийского экономического союза), при условии, что на участие в закупке подана 1 (или более) удовлетворяющая требованиям извещения об осуществлении закупки, заявка, содержащая предложение о поставке радиоэлектронной продукции, страной происхождения которой являются только государства - члены Евразийского экономического союза.
В рамках исполнения ряда поручений Правительства Российской Федерации в настоящее время определяется потребность организаций в отечественном ПО и оборудовании на объектах КИИ.
Для обеспечения выполнения поручений Минпромторг России создается отраслевой центр компетенций по импортозамещению ПО на базе АНО «Агентство по технологическому развитию». Деятельность центра будет направлена на методологическое обеспечение процессов импортозамещения в отраслях промышленности.
В настоящее время ведется разработка отраслевых планов мероприятий по обеспечению готовности субъектов КИИ к переходу на отечественное ПО и аппаратно-программные комплексы на объектах КИИ с учетом применяемого в настоящее время иностранного ПО, а также актуализированы приоритетные направления поддержки конкурентоспособных российских ИТ-разработок.

Д Ответил Дождёв С.В. директор департамента цифровых технологий Минпромторг России, 20.07.2022
Д Дождёв С.В. директор департамента цифровых технологий Минпромторг России
Читать далее
17.02.2022
Компании, индивидуальные предприниматели составляют перечни объектов КИИ, подлежащих категорированию (статьи 2 и 3 ПП-127, часть 4 статьи 7 187-ФЗ), и далее выбирают те объекты, которые обеспечивают критические процессы (ст.5 ПП-127, пункты б,в). Соответственно, включают их в список объектов КИИ, подлежащих категорированию, присваивают им категорию значимости или обосновывают неприсвоение такой категории. Но остаются ИС, ИТКС, АСУ, которые согласно статье 2 187-ФЗ относятся к объектам КИИ, но процессы, которыми они управляют и т.п. (статья 3, пункты б,в статьи 5 ПП-127), не являются критическими.
Правильно ли понимать, что если объекты КИИ не «обрабатывают информацию, необходимую для обеспечения критических процессов» и (или) не «осуществляют управление, контроль или мониторинг критических процессов», то они не попадают в перечень объектов КИИ, подлежащих категорированию?
Правильно ли понимать, что параллельно может получиться перечень объектов КИИ, не подлежащих категорированию (или обоснованию неприсвоения категории), но в отношении которых у субъекта КИИ есть обязанности по выявлению и учёту инцидентов, информировании о них и т.п. (часть 2 статьи 9 187-ФЗ)?
[Отметим, что пункт г) статьи 5 ПП-127 формально не следует из предыдущих пунктов этой же статьи (а,б,в)].

Обратимся к федеральному закону, который определяет информационные системы и сети, которые обеспечивают функционирование субъекта КИИ в определенной сфере. То есть, если у вас транспортная сфера, то надо искать (выявлять) информационные системы и процессы, которые обеспечивают его транспортную деятельность. Если он в сфере здравоохранения, то надо искать (выявлять) информационные системы и процессы в сфере здравоохранения. Но если у него помимо здравоохранения есть другие системы, к примеру, бухгалтерские, кадровые и т.д., то это де-факто согласно закону к объектам КИИ не относится.
Согласно закону, субъекты КИИ - это те, кому принадлежат объекты КИИ, а объекты КИИ - это системы, функционирующие в сфере здравоохранения, транспорта, науки и т.д., таким образом, информационная система должна быть связана с процессом в сфере транспорта, науки и т.д.. Поэтому я и говорю, что не может быть ситуации, при которой нет критических процессов.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
Ситуация: субъект КИИ не выявил у себя ни одного критического процесса. Необходимо ли составлять перечень объектов КИИ, подлежащих категорированию? Информировать об этом ФСТЭК России?

Я полагаю, что такое маловероятно. Нет процессов или не хотят видеть эти процессы - это разные категории. Поэтому мы готовы поработать вместе с такими специалистами над выявлениями у них критичного процесса.
Как правило, критический процесс всегда можно сопоставить вероятным последствиям. У нас не было таких случаев ни разу, чтобы мы не сопоставили какой-то процесс с возможными негативными последствиями по тем субъектам, которые попадают под соответствующие сферы, определенные Федеральным законном «О безопасности критической информационной инфраструктуры Российской Федерации».
Это необходимо для конкретизации того, какие системы подлежат категорированию.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
ФСТЭК России выступил с инициативой штрафовать не только за непредставление, но также за представление неактуальных или недостоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий, а также за повторное совершение вышеназванного административного правонарушения.
Можно ли это понимать так, что применённые меры административного воздействия не оказали должного воздействия на субъекты КИИ (не только совершивших правонарушения, но и в целом на отрасли)?
Или, если протоколы об административных правонарушениях ранее не составлялись, то почему вы считаете, что стоит ужесточать наказания, не применив сначала имеющихся рычагов воздействия по КоАП?

Наши предложения по внесению изменений в законодательство об административных правонарушениях связано с исполнением поручения, данного Президентом Российской Федерации и Правительством Российской Федерации, о чем указано в пояснительной записке к этому законопроекту. Актуальность, по нашему мнению, понятна: в реестре должны содержаться актуальные и достоверные сведения о значимых объектах КИИ, потому что на основе этого принимается решение о категории и о необходимых мерах обеспечения безопасности этих объектов. Поэтому данное предложение направлено на то, чтобы повысить ответственность за актуализацию сведений в реестре значимых объектов. При этом обязанность актуализации сведений установлена Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 (пункт 19.1).

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
С 6 июня 2021 года вступил в силу закон о внесении поправок в КоАП, в результате чего у ФСТЭК России появилась возможность привлекать субъекты КИИ к административной ответственности (часть 1 статьи 13.12.01 – с 1 сентября).
В отношении какого количества субъектов были выявлены подобные правонарушения? В отношении скольких составлены протоколы? Чем завершились дела по их рассмотрению? Какие наказания были вынесены?

Вступили в силу поправки в КоАП, в соответствии с которыми не предоставление или нарушение сроков предоставления в ФСТЭК России сведений о результатах категорирования объектов КИИ является правонарушением. Согласно процедуре, предусмотренной КоАП, и в соответствии с 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации" тем субъектам КИИ, которые, по нашему мнению, ещё не представили сведения, направляются требования о выполнении данного федерального закона. От даты указанной в требовании мы начинаем считать срок непредставления сведений. Если субъект не предоставляет данные, мы в праве составить протокол о правонарушении. Но на сегодняшний момент все требования о выполнении законодательства, которые мы направляем, субъектами выполняются в установленные сроки. Единственное, что у нас есть - возвраты по результатам проверки правильности категорирования субъектам КИИ, но нарушение сроков по возврату, по оценкам юристов, не попадает под эту статью, так как это уже нарушение порядка категорирования, а не нарушение сроков предоставления сведений.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
Президент России В.В. Путин подписал Федеральный закон от 30 декабря 2021 г. N 441-ФЗ "О внесении изменений в статью 15 Федерального закона "Об информации, информационных технологиях и о защите информации" и статьи 3 и 5 Федерального закона от 05.04.2021 N 79-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", согласно которому Единая биометрическая система, содержащая данные россиян, получила статус государственной информационной системы (ГИС).
Верно ли, что теперь она должна пройти аттестационные испытания на соответствие требованиям защиты информации в соответствии с приказом от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»?

В соответствии с принятым решением, единая биометрическая система должна защищаться Требованиями о защите информации, не составляющей государственную тайну, содержащуюся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17. Значительная часть мероприятий уже реализована в соответствии с 17-м приказом.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
Можете ли вы привести примеры российских СЗИ, сделанных на российской элементной базе? Что именно там российское?
Возможно ли считать российскими процессоры, пусть спроектированные в России, но произведённые за рубежом? Существуют ли методики выявления скрытых каналов передачи информации или воздействия на процессоры?

Вопрос отнесения СЗИ, ПО, ПАК к отечественным или не отечественным - не относится к компетенции ФСТЭК России. Этот вопрос регулируется актами Правительства Российской Федерации, а регуляторы в данной области - это Минцифры России в части программного обеспечения и Минпромторг России в части аппаратных средств, процессоров и т.д. Разъяснять данные положения мы не вправе.
В отношении средств защиты информации установлены поэтапные требования о необходимости применения аппаратных средств и электронной компонентной базы, включенные в реестр Минпромторга России, мы об этом неоднократно говорили на конференциях.
По срокам вступления в силу Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. № 76:
с 1 января 2022 года в программно-аппаратных средствах защиты аппаратная платформа должна быть включена в реестр отечественной радиоэлектронной продукции, которую ведет Минпромторг России;
с января 2024 года в программно-аппаратных средствах защиты информации должны применяться процессоры и микросхемы, выполняющие функции процессоров, являющиеся средой функционирования для СЗИ, тоже должны быть включены в реестр;
с 1 января 2028 года сведения о процессорах и микросхемах, элементах памяти, сетевых картах, графических адаптеров аппаратной платформы должны быть включены в реестр российской радиоэлектронной продукции.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
17.02.2022
На BIS Summit-2020 прозвучало, что «…более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование», то есть, как мы понимаем, данные относятся к составу и объектов в целом (ПАК, ППО, СПО, СЗИ). А есть ли у вас данные о применяемых СЗИ для обеспечения безопасности значимых объектов КИИ? Какой процент из них российские? Сколько импортных, но сертифицированных? Как вы считаете такие СЗИ – от общего числа инсталляций всех видов СЗИ на всех объектах? Или по каждому виду (типу) СЗИ? Или использовалась другая методика?

Согласно сведениям, представляемым субъектами критической информационной инфраструктуры по результатам категорирования принадлежащих им объектов критической информационной инфраструктуры, на сегодняшний день программные и программно-аппаратные средства защиты применяются более чем на 50% объектов. Это связано с тем, что процесс категорирования - это только начальный этап обеспечения безопасности объектов критической информационной инфраструктуры. То есть то, что программно-аппаратных средств защиты 50 % - это не критично, а наоборот, хорошо, и означает, что созданы условия для обеспечения безопасности значимых объектов. Потому что после определения категории и попадания в реестр значимых объектов, субъект приступает к реализации мероприятий, предусмотренных законодательством о безопасности критической информационной инфраструктуры Российской Федерации, в том числе осуществляет закупку и установку средств защиты информации. Поэтому цифра 50 % не является ни плохо, ни хорошей. Из всех средств защиты информации уже установленных на объектах критической информационной инфраструктуры, около 80% - это сертифицированные средства защиты.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021
Недавно в институте системного программирования РАН был создан центр верификации операционной системы Linux. Какие результаты вы хотите получить? Планируется ли создание подобных центров по импортозамещению именно по КИИ.

Он не создан, он в процессе, эта работа ещё только началась в этом году. Благодаря поддержке Министерства цифрового развития […] мы получили средства на работу […]. Не секрет, что большинство дистрибутивов операционных систем, которые у нас используются и считаются отечественными, внутри в своём составе имеют в качестве основы ядро Linux. Собственно говоря, там есть разные вариации, кто-то берет из ветки Linux Foundation, кто-то берет из различных репозиториев, но в основе всё равно ядро Linux. […] И у наших разработчиков дистрибутивов операционных систем, по понятным причинам, […] нет такого количества средств, специалистов и технологий необходимого уровня для того, чтобы обеспечивать в рамках процесса в первую очередь сертификационные испытания, обеспечить все виды тестирования безопасности и так далее. Возникла идея, которую мы прорабатываем, она отрабатывается ещё, мы надеемся на положительный результат, чтобы эту работу сосредоточить именно на исследовании безопасности ядра, её централизовать, сосредоточить в одном месте, обязательно вовлечь в эту работу разработчиков дистрибутивов и проводить тестирование ядра безопасности профильными научными специалистами, кто имеет знания, технологий и соответствующий уровень подготовки, с участием разработчиков дистрибутивов. И это будет только ядро, то есть мы не претендуем и не покушаемся на дистрибутивы полностью. То есть всё это потом находится в ведении соответствующего разработчика. Наша задача – провести тестирование, выдать результаты, где-то выдать рекомендации по устранению проблем, которые есть. Эта работа должна быть синхронизирована с международным сообществом, мы не видим, чтобы это замыкалось только в рамках нашей стороны.
Что мы получаем: мы разгружаем […] разработчиков дистрибутивов (по этапу) предоставления и проведения испытаний ядра и в ходе сертификационных испытаний принимаем результаты, которые этот центр реализовал. Это с точки зрения практического конкретного приложения. То есть мы не будем требовать с разработчиков дистрибутивов испытания в части ядра. Мы считаем, что это высвободит очень большой ресурс для разработчика дистрибутива. Кроме этого мы получаем специалистов по тестированию ядра, по разработке патчей, которые будут консолидированы в рамках определенной единой площадки, и развитие наших собственных технологий и методов тестирования. Вокруг этого мы планируем выстроить процессы обучения студентов и специалистов. Поэтому есть частные цели, есть более глобальные, которые я сейчас анонсировать не буду в целом, но мы ожидаем, что это будет способствовать достижению всех результатов. По поводу направлений у нас была инициатива, которая ещё не нашла своего подтверждения по включению в этот же контур некоторых базовых системных библиотек, в первую очередь – это интерпретаторов, если мы говорим о более прикладной части. Но в последующем мы будем на этом настаивать, если получится и если нас поддержат. А что касается более системного подхода, я бы предложил попробовать работать по этой схеме, и в течение полугода мы поймём, рабочая ли это схема. […] Очень сложная задача, мы все эти риски осознаем, но не решать её мы тоже не можем, потому что картина, когда разработчик дистрибутива операционной системы на базе Linux ничего не может сделать с российской операционной системой с точки зрения безопасности и функционирования, – эту проблему надо решать. Ни в коем случае не против проприетарных продуктов, их развития, создания. Они тоже должны развиваться и иметь право на существование. Но сегодня объективная картинка та, которую я сказал, и мы должны принять в этом участие с точки зрения безопасности.


Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021
Как Вы думаете, есть ли какой-то план у нашего государства на случай, если США введут жесткие санкции по поставке технологий в нашу страну?

Я не возьмусь широко отвечать на вопрос за отрасль, за оборудование, я отвечу за средства безопасности. Если такое событие наступит в отношении средств безопасности, то я полагаю, что задача будет решена. Все классы средств имеются, можно говорить об удобстве, эффективности со стороны пользователя, и это, безусловно, обсуждаемая, серьёзная тема, но с точки зрения средств защиты, я думаю, что серьёзной проблемы это не принесёт, именно с точки зрения средств защиты. Есть определенные нюансы. Я сделаю исключение в части аппаратных средств, по понятной причине, потому что эта проблема носит более широкий характер. Но с точки зрение программных средств, все классы средств информационной безопасности сегодня представлены на рынке. И я думаю, что это ещё больше подстегнёт наших разработчиков, это приведёт к их развитию, совершенствованию и применению на объектах.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021
Как проходит защита КИИ?

Я бы состояние безопасности КИИ разделил на две составляющие: первая – промышленные системы, вторая – ИТ-системы. Если с ИТ-системами нетрадиционный подход, вне зависимости от того, это КИИ, госсектор, средства есть, технологии есть. Что касается промышленных систем, здесь проблема связана с тем оборудованием и промышленным ПО, которое на этих объектах применяется. Несмотря на меры, которые сейчас реализуются государством с точки зрения импортозамещения, это не секрет, многие говорили о том, что зарубежного оборудования и ПО пока ещё много в промышленных системах, а у нас часть механизмов в безопасности именно встроено в промышленных системах (в контроллерах, в операционных системах), поэтому мы видим первым шагом – обустроить защиту периметра, мониторинг, анализ и управление угрозами, уязвимостями, а для этого у нас имеются средства безопасности. Поэтому мы видим перед собой самую первую задачу – это закрыть промышленные системы от внешнего нарушителя, средства и технологии у нас есть. А что касается владельцев этих объектов, от которых многое зависит, так как в большинстве случаев - это частный сектор, и, несмотря на наличие ФЗ и нормативно-правовых актов, он всё равно мыслит в масштабах стоимости и эффективности своей деятельности, и здесь в первую очередь возникает вопрос к специалистам по ИБ […], насколько они умеют разговаривать на этом языке и представлять эффективность информационной безопасности промышленных систем для руководителя на уровне недопущения ущербов и последствий. Эта ситуация сейчас изменилась, появляются и люди, и руководители, которые осознают эти риски не только в разрезе 187 закона, потому что он всё-таки касается вопросов безопасности государства, граждан в первую очередь, и вопросов собственной экономической выгоды и собственной деятельности хозяйствующих субъектов. Такие специалисты, безусловно, появляются, но нам надо в рамках обучения, в рамках нашей с вами работы уметь объяснить руководителю, в чем эффективность информационной безопасности. Если руководителю объяснять, что основная эффективность - это реализация 187 ФЗ, то успех такого предприятия будет минимальный, а если объяснить, какие конкретные риски и угрозы закрывают вопросы информационной безопасности, а ещё лучше, если специалист может их продемонстрировать для своего руководителя на базе моделей или стендов, то это меняет сознание руководителя. Он начинает вкладываться в вопросы информационной безопасности, следовательно, начинают развиваться и применяться соответствующие средства, в первую очередь те, о которых я говорил, – это средства мониторинга, средства защиты периметра и всё, что с этим связано. Поэтому движение есть, где-то лучше, где-то хуже, но направления нам понятны, и мы в этих направлениях со своей стороны тоже будем работать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021
Требование сертификации безопасной разработки появилось недавно и для многих компаний — это существенное удорожание затрат и удлинение срока разработки внутри, то есть это не касается сертификации. Понятно, что это правильный путь, но тем не менее, Вы эко

[…] Что касается безопасной разработки: во-первых, это требование появилось недавно. Мы в 2016 году разработали стандарт, мы начали проводить активную политику, анонсировать и призывать все компании-разработчики к внедрению механизма безопасной разработки. И тогда этот процесс не был обязательным. […] В 2018 году в требовании доверия появилась обязательность проверки ряда процедур, которые внедряются при безопасной разработке. Мы выдержали паузу в 2 года для того, чтобы компании-разработчики средств безопасности могли приступить к внедрению этих механизмов. Давайте теперь по поводу эффективности и целесообразности всех процедур, их влияния на конечный результат – на безопасность продукта, а главное – на поддержку его безопасности в процессе применения его пользователями. Основное – моделирование угроз, управление требованиями и документацией, проведение различных видов тестирования, с точки зрения функционального анализа уязвимости и недекларируемых возможностей, поддержка безопасности, управление изменениями и так далее. Я сейчас говорю об уровнях доверия, они дифференцированы. Мы считаем, что выходить на высокий уровень доверия для применения средств защиты в федеральных системах без внедренных процедур – это ущерб безопасности, потому что у нас много примеров, особенно по программному обеспечению, построенному на основе открытого исходного кода или заимствованных компонентах, когда в процессе эксплуатации выявляются множественные уязвимости, и в результате компания-разработчик не имеет компетенции и не имеет возможности устранить эти уязвимости в сертифицированном средстве из-за отсутствия специалистов, которые хотя бы могут протестировать изменения из доступных репозиториев. Эту ситуацию для определенного уровня доверия необходимо менять. […] Их надо совершенствовать, развивать, я согласен полностью, их надо адаптировать к существующим подходам разработки – мы этим занимаемся в рамках технического комитета по стандартизации 362. Благодаря поддержке Минцифры и Росстандарта в ближайшее время предполагается разработать ещё ряд стандартов по безопасной разработке. Это направление актуально, его надо внедрять и заниматься.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2021
Количество технологий растёт лавинообразно, как ФСТЭК будет справляться с их увеличением? Будут ли придуманы упрощённые правила?

По поводу сроков сокращения: да, мы над этим работаем. По поводу лавинообразности технологий: мы оцениваем количество заявок, поступающих на сертификацию, у нас нет лавинообразного увеличения количества заявок. Казалось бы, несмотря на принимаемые меры должно быть, но де-факто увеличения заявок нет […]. По поводу сроков: мы знаем, что у нас есть неравномерность загруженности лабораторий с точки зрения проводимых работ […], у нас больше 35-40 лабораторий, но распределения работ по сертификационным испытаниям у них неравномерные, и в результате получается перегруз первых лабораторий, но здесь это регулируется заявителями. Заявитель выбирает лабораторию для испытаний. Мы заинтересованы в увеличении количества лабораторий и у нас есть такие тенденции, их количество растет, но не сильно. Следующая проблема, которая тоже влияет на сроки, – я всё время о ней говорю – это готовность заявителя при выходе на сертификацию. Ещё раз хочу сказать, что для того, чтобы обеспечить успешное проведение испытаний на соответствие требованиям доверия, необходимо, чтобы у заявителя был, в первую очередь, наиболее широко применяемый уровень доверия. Для того, чтобы обеспечить, необходимо, чтобы у заявителя были внедрены процедуры безопасной разработки […]. У нас есть расчёты по поводу того, во сколько раз по времени и по материальным издержкам сокращаются испытания, если внедрены базовые механизмы безопасной разработки – в разы, и это понятно, потому что, (вместо того) чтобы провести те виды испытаний и те виды исследований – всё переносится на лабораторию, а лаборатория просто так работать не будет. Для того, чтобы сократить это время, надо посмотреть стандарты по безопасной разработке, внедрить эти механизмы. […] Самое главное, как потом можно обеспечить поддержку безопасности этого продукта в процессе его эксплуатации. Если мы не хотим иметь проблем на этапах эксплуатации, то у разработчика должно быть всё предусмотрено изначально. Что касается бюрократических процедур, мы также эту работу проводим, мы подготовили ряд изменений в положение по сертификации, […] долго […] оценку регулирующего воздействия проходили. Сейчас мы регистрируем в Минюст этот документ. Мы полагаем, что на 30-40% сокращаем время проведения испытаний путем исключения отдельных процедур […]. Мы прорабатываем вопрос, как снизить издержки разработчиков с точки зрения затрат на сертификацию и изменения продукта. Продукты меняются, тем более с внедрением современных методов разработки, поэтому мы сейчас прорабатываем вопрос: как снизить затраты разработчика на сертификационные испытания вносимых изменений. У нас есть мысли, они связаны со снижением издержек тех компаний, которые внедрили безопасную разработку. Если мы видим, что компания внедрила безопасную разработку, соответствующую стандартам, то от ряда процедур при внесении изменений, наверное, сможет отказаться. Пока (этот документ) у нас в проработке, официальное изменение нормативно-правовых актов мы пока ещё не представляли, но я думаю, в ближайшее время, по крайней мере, до конца этого года, мы какое-то предложение внесём и корректировку нормативных документов постараемся сделать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020
Насколько велика по вашим оценкам зависимость субъектов КИИ от иностранных ИТ и ИБ вендоров?

Вопросы импортозамещения к компетенциям нашего ведомства не относятся, но мы имеем некий срез по объектам КИИ, по которым соответствующие субъекты нам представили сведения. Поэтому, я скажу так: опираясь на те сведения, которые мы имеем – это, безусловно, не характеризует все отрасли и полностью картинку не дает, но по тем объектам, которые сегодня есть – это порядка 16 тысяч систем и сетей, более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование. Это только на основе тех данных, которые поступают к нам в Службу.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020
Планируется ли в ближайший год выпуск нормативных документов, связанных с требованиями к софтверным продуктам в контексте сертификации?

Дело в том, что мы давно обещаем выпустить требования к СУБД, к средствам управления информационными потоками и так далее. Хочу сказать, что все эти требования разработаны и мы надеемся, что закроем вопрос с требованиями к СУБД в этом году, потом с коммутаторами и телекоммуникационным оборудованием, то есть с межсетевыми экранами, так как они стоят в приоритете.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020

15 октября 2020 г. было опубликовано информационное сообщение ФСТЭК России «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» N 240/24/4268.
25 декабря 2020 года ФСТЭК России утвердил методический документ «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении».

Ответил Экспертная группа BISA 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России и Экспертная группа BISA
Читать далее
24.09.2020
Планируется ли разработка готового типового пакета документов для объектов КИИ?

То, над чем мы сейчас будем работать – это методики или рекомендации по оценке показателей критериев значимости. Это основной и очень непростой вопрос, поэтому мы работаем в этом направлении. Что касается вопроса по поводу банка данных и методик по созданию моделей угроз – он очень популярен. Я еще раз подчеркну, что мы разработали проект новой методики, и разместили его у себя на сайте. Во время пандемии, мы собрали и учли все предложения и замечания по проекту. Проект обновленного документа сейчас готов. Мы его обсудим с экспертами, а потом примем решение: если там существенные замечания, я посмотрю еще раз сам, либо мы размесим как проект для применения, либо мы его представим на утверждение. Речи об изменении каких-то концепций, подходов, решений об изменении концепций по моделированию угроз нет. То есть мы придерживаемся той концепции, которую выложили в проекте документа. Да, с определенными корректировками и добавлениями.
И второй системный вопрос, которым я заканчиваю, над которым мы работаем – это по банку данных угроз. Это должны быть две совмещенные вещи, взаимосвязанные друг с другом. Эту работу мы тоже начали. То есть в части корректировки подсистемы по угрозам безопасности банка данных – этот процесс более длительный, чем методика, но мы тоже к нему подойдем, и мы решаем эту задачу.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020

МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ. Утвержден ФСТЭК России 5 февраля 2021 г. Опубликован 05.02.2021 г.

Ответил Экспертная группа BISA 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России и Экспертная группа BISA
Читать далее
24.09.2020
Отечественное ПО нередко строится на основе opensoure-проектов мирового сообщества. Правильно ли его считать отечественным?

Я считаю, что по внедрению продуктов мы все время догоняем западных разработчиков. За исключением отдельных, исключительных вещей, где у нас очень высокая школа, допустим, это криптография. А в остальном, мы все время догоняем. А догоняем мы большие фирмы-гиганты, которые очень много денег вложили в разработку того, что они сегодня реализуют на рынке. Мы и наши разработчики – это, как правило, компании не с такими капитализациями, не с такими финансовыми средствами для того, чтобы делать сопоставимые средства и внедрения. Поэтому, я считаю, что на данном этапе, одним из возможных выходов из этой ситуации, является использование опенсорсных вещей в основе наших продуктов.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020
Сколько субъектов КИИ уже закончил категорирование? Какие это сферы? Есть лидеры и аутсайдеры?

Что касается категорирования, я здесь дам общие процентные соотношения, без какой-то конкретики. Первое, что касается категорирования: из тех, кто начал эту процедуру, то есть приступили реализовывать закон в том или ином виде - это 50% из всех объектов. Проценты еженедельно растут хорошими темпами.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
24.09.2020
Насколько правомочны запрашивать сведения о мероприятиях по обеспечению безопасности значимых объектов КИИ (в частности, копии сведений о категорировании) органы местного самоуправления?

Подведомственные организации – это, допустим, федеральное казенное или автономное учреждение, которое подчиняется соответствующему органу местного самоуправления или органам государственной власти. У ФСТЭК есть подведомственные институты. У министерств, органов местного самоуправления есть муниципальные предприятия. И здесь не предоставлять информацию вышестоящим организациям они просто не могут по своему положению. По положению об этом подведомственном органе они их руководители. Это тоже самое, что не дать информацию начальнику.
Поэтому, в данном случае, не предоставлять информацию, я считаю, нельзя и более того, вышестоящие органы местного самоуправления или государственные организации, должны руководить этим процессом, контролировать. И здесь нет ничего плохого.
Различные органы государственной власти субъектового уровня, как правило, начинают запрашивать в различных частных компаниях информацию по категорированию: предоставить им данные по системам безопасности. Приведу пример: министерство финансов какого-то региона пытается запросить у банков результаты категорирования. В данном случае, у данного государственного органа права запросить информацию есть, но у субъекта есть основания не предоставлять такую информацию. Потому что законом и положением о ведении реестра значимых объектов КИИ определено, кому предоставляется информация. Информация предоставляется либо, как я сказал, органу, который является руководящим, по отношению этого субъекта, либо ФСТЭК России, так как мы уполномочены на ведение такой деятельности. Поэтому, я еще раз говорю, право у них запрашивать есть, а обязанности отвечать во втором случае – нет.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России 24.09.2020
Л Лютиков В.С. заместитель директора ФСТЭК России
Читать далее
Как работает этот проект
1
Вы отправляете свой вопрос
2
Поступающие вопросы анализирует рабочая группа экспертов BISA
3
Актуальные вопросы отправляем в нужное ведомство регулятора
4
Публикуем ответ на сайте, при необходимости дополняем его комментариями экспертов
Кто модерирует проект?
Смирнов Михаил
Главный редактор BISA
Рабочая группа экспертов BISA
Присоединиться к рабочей группе
Об истории проекта

Проект «Прямая линия с регулятором» стал результатом работы участников круглого стола «Требования регуляторов 2020-2021» на BIS Summit 2020. Именно там прозвучало предложение сформировать удобную информационную площадку с единой базой знаний, где специалисты ИБ смогут задавать вопросы и получать разъяснения от регуляторов и экспертов ИБ-сообщества по темам защиты объектов КИИ, лицензированию, сертификации, стандартизации в сфере ЗИ, созданию и применению защищённого отечественного ПО и мн. др.

Все ответы доступны на сайте и сформированы в базу знаний, которая растет и актуализируется в соответствии изменениями, происходящими в отрасли ИБ.

Смотреть, как это было: