Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.

Х Ответил Хинштейн А.Е. Депутат Госдумы РФ, 21.09.2023

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022

Если смотреть на историю с точки зрения средств защиты информации, после выхода 166 и 250 указов для всех стало вроде бы однозначно понятно, что отсрочки больше не будет и всем надо замещаться.
Кто бы что ни говорил относительно того, что есть аналоги или нет аналогов, но пора бежать в этом направлении и собирать карты по классам решений: где есть аналоги, где нет, где кто уступает или не уступает, где должна быть государственная единая поддержка - большой госзаказ на создание, а где рынок сам решит вопросы по остаточному замещению.
Оказалось, что рынок средств защиты информации крайне высокого импортозамещен, у нас практически по каждому классу есть неплохие достаточно аналоги или, соответственно, игроки говорят, что эти аналоги они заменят и им никакая поддержка не нужна, есть даже ключевые заказчики, которые говорят, что они в течение 1,5 года на это переедут.
Возможно, здесь проблемная история возникла только в межсетевых экранах нового поколения (NGFW), о которых сегодня уже говорили, явно эту проблему подсветили почти все, и она как раз сильно привязана к аппаратной части, по крайней мере, так считает отрасль. И мы провели тут такой умозрительный эксперимент, мы связались со всеми вендорами, которые сейчас делают или планируют делать NGFW, с одним простым вопросом: смогут ли они вот как раз для подтверждения сделать целиком программные решения, могут ли NGFW на общедоступной элементной базе и с какой деградацией по скорости. Грубо говоря, достать там классические процессоры, серверы и так далее где-нибудь из Индии, или от Huawei, ещё откуда-то, у нас какая будет. Ответом было либо однозначно «да», либо почти все сказали, что будет деградация, но вот если мы решим вопросом с пакетным аппаратным разбором сетевого трафика, то есть конкретные решения. Мы можем подойти к этому снаряду и сделать разово госзаказ для всех производителей NGFW. И это не выглядит такой глобальной проблемой и нам не нужно выходить на 2 нанометра, чтобы заместить средства защиты информации, нет такой потребности.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России

Да, работа радикально поменялась.
Если до 24. 02 больше занимались регуляторикой, контролем исполнения поручений, скажем так, нивелированием рисков, которые могут возникнуть, давали различные поручения, смотрели как кто отслеживает, потому что вдруг что. И 24.02 это что произошло.
Одно дело давать поручения и говорить о том, что средство, если вы его используете, там? где сервисы для граждан, то у вас должна быть явно защита на уровне отказа в обслуживании, должен быть Firewall. Такими вещами занимались, говорили, что вам нужно и смотрели кто как исполняет. Например, банковская сфера, в которой всё очень строго, много требований, Центробанк давно их контролировал и уровень зрелости банков очень высок, а другое дело, соответственно, вся оставшаяся страна, огромное количество, включая РАИВы, местные порталы и так далее, хорошо если у них есть это требование, но они звонят и говорят: «Всё лежит, мы не знаем, что делать», и, конечно, пришлось собирать антикризисные штабы, пришлось очень большую часть работы проводить именно по координации, потому что нужно объяснить, как нужно, помочь связаться.
Очень много кто смог защититься, переехав частично под ГИОВ, соответственно сейчас так активно развивается история с ГОСТЕХом. Мы понимаем, что при централизации многие вопросы уходят как раз в центр, их можно централизовано решить и, конечно, когда мы там с ближайшими сотрудниками посчитали 35 дней без выходных, мы поняли, что каждый день новые угрозы, тоже надо понимать, что наши заклятые партнеры каждый день придумывали что-то интересненькое. Вот сломают всё, что касается open source, и мы понимаем, что теперь этому нельзя доверять, то начинают ломать web-порталы через различные погружаемые компоненты, и приходилось собирать длиннющий перечень всех используемых там зарубежных библиотек, модулей и так далее, вот проверяйте чек-лист из 70 компонентов, если он есть - идите в аналоги, потому что огромен огромный риск того, что вас компрометирует через те или иные компоненты.
Работа перешла из-за регуляторики такой контрольно-надзорной деятельности в помощь и координацию, такая специфика. И, конечно, огромное количество атак на тех, кто к атакам был не готов. Даже модель нарушителя не предполагала, что какой-то там ресурс небольшой, где-то там в РАИ или ещё что-то вдруг будет интересен с точки зрения нарушителя, который может закладки в ПО вставлять, поэтому многие были не готовы.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России