Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.

Х Ответил Хинштейн А.Е. Депутат Госдумы РФ, 21.09.2023

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022

Если смотреть на историю с точки зрения средств защиты информации, после выхода 166 и 250 указов для всех стало вроде бы однозначно понятно, что отсрочки больше не будет и всем надо замещаться.
Кто бы что ни говорил относительно того, что есть аналоги или нет аналогов, но пора бежать в этом направлении и собирать карты по классам решений: где есть аналоги, где нет, где кто уступает или не уступает, где должна быть государственная единая поддержка - большой госзаказ на создание, а где рынок сам решит вопросы по остаточному замещению.
Оказалось, что рынок средств защиты информации крайне высокого импортозамещен, у нас практически по каждому классу есть неплохие достаточно аналоги или, соответственно, игроки говорят, что эти аналоги они заменят и им никакая поддержка не нужна, есть даже ключевые заказчики, которые говорят, что они в течение 1,5 года на это переедут.
Возможно, здесь проблемная история возникла только в межсетевых экранах нового поколения (NGFW), о которых сегодня уже говорили, явно эту проблему подсветили почти все, и она как раз сильно привязана к аппаратной части, по крайней мере, так считает отрасль. И мы провели тут такой умозрительный эксперимент, мы связались со всеми вендорами, которые сейчас делают или планируют делать NGFW, с одним простым вопросом: смогут ли они вот как раз для подтверждения сделать целиком программные решения, могут ли NGFW на общедоступной элементной базе и с какой деградацией по скорости. Грубо говоря, достать там классические процессоры, серверы и так далее где-нибудь из Индии, или от Huawei, ещё откуда-то, у нас какая будет. Ответом было либо однозначно «да», либо почти все сказали, что будет деградация, но вот если мы решим вопросом с пакетным аппаратным разбором сетевого трафика, то есть конкретные решения. Мы можем подойти к этому снаряду и сделать разово госзаказ для всех производителей NGFW. И это не выглядит такой глобальной проблемой и нам не нужно выходить на 2 нанометра, чтобы заместить средства защиты информации, нет такой потребности.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России

Да, работа радикально поменялась.
Если до 24. 02 больше занимались регуляторикой, контролем исполнения поручений, скажем так, нивелированием рисков, которые могут возникнуть, давали различные поручения, смотрели как кто отслеживает, потому что вдруг что. И 24.02 это что произошло.
Одно дело давать поручения и говорить о том, что средство, если вы его используете, там? где сервисы для граждан, то у вас должна быть явно защита на уровне отказа в обслуживании, должен быть Firewall. Такими вещами занимались, говорили, что вам нужно и смотрели кто как исполняет. Например, банковская сфера, в которой всё очень строго, много требований, Центробанк давно их контролировал и уровень зрелости банков очень высок, а другое дело, соответственно, вся оставшаяся страна, огромное количество, включая РАИВы, местные порталы и так далее, хорошо если у них есть это требование, но они звонят и говорят: «Всё лежит, мы не знаем, что делать», и, конечно, пришлось собирать антикризисные штабы, пришлось очень большую часть работы проводить именно по координации, потому что нужно объяснить, как нужно, помочь связаться.
Очень много кто смог защититься, переехав частично под ГИОВ, соответственно сейчас так активно развивается история с ГОСТЕХом. Мы понимаем, что при централизации многие вопросы уходят как раз в центр, их можно централизовано решить и, конечно, когда мы там с ближайшими сотрудниками посчитали 35 дней без выходных, мы поняли, что каждый день новые угрозы, тоже надо понимать, что наши заклятые партнеры каждый день придумывали что-то интересненькое. Вот сломают всё, что касается open source, и мы понимаем, что теперь этому нельзя доверять, то начинают ломать web-порталы через различные погружаемые компоненты, и приходилось собирать длиннющий перечень всех используемых там зарубежных библиотек, модулей и так далее, вот проверяйте чек-лист из 70 компонентов, если он есть - идите в аналоги, потому что огромен огромный риск того, что вас компрометирует через те или иные компоненты.
Работа перешла из-за регуляторики такой контрольно-надзорной деятельности в помощь и координацию, такая специфика. И, конечно, огромное количество атак на тех, кто к атакам был не готов. Даже модель нарушителя не предполагала, что какой-то там ресурс небольшой, где-то там в РАИ или ещё что-то вдруг будет интересен с точки зрения нарушителя, который может закладки в ПО вставлять, поэтому многие были не готовы.

Б Ответил Бенгин В. Н. директор Департамента обеспечения кибербезопасности Минцифры России

[…] Что касается безопасной разработки: во-первых, это требование появилось недавно. Мы в 2016 году разработали стандарт, мы начали проводить активную политику, анонсировать и призывать все компании-разработчики к внедрению механизма безопасной разработки. И тогда этот процесс не был обязательным. […] В 2018 году в требовании доверия появилась обязательность проверки ряда процедур, которые внедряются при безопасной разработке. Мы выдержали паузу в 2 года для того, чтобы компании-разработчики средств безопасности могли приступить к внедрению этих механизмов. Давайте теперь по поводу эффективности и целесообразности всех процедур, их влияния на конечный результат – на безопасность продукта, а главное – на поддержку его безопасности в процессе применения его пользователями. Основное – моделирование угроз, управление требованиями и документацией, проведение различных видов тестирования, с точки зрения функционального анализа уязвимости и недекларируемых возможностей, поддержка безопасности, управление изменениями и так далее. Я сейчас говорю об уровнях доверия, они дифференцированы. Мы считаем, что выходить на высокий уровень доверия для применения средств защиты в федеральных системах без внедренных процедур – это ущерб безопасности, потому что у нас много примеров, особенно по программному обеспечению, построенному на основе открытого исходного кода или заимствованных компонентах, когда в процессе эксплуатации выявляются множественные уязвимости, и в результате компания-разработчик не имеет компетенции и не имеет возможности устранить эти уязвимости в сертифицированном средстве из-за отсутствия специалистов, которые хотя бы могут протестировать изменения из доступных репозиториев. Эту ситуацию для определенного уровня доверия необходимо менять. […] Их надо совершенствовать, развивать, я согласен полностью, их надо адаптировать к существующим подходам разработки – мы этим занимаемся в рамках технического комитета по стандартизации 362. Благодаря поддержке Минцифры и Росстандарта в ближайшее время предполагается разработать ещё ряд стандартов по безопасной разработке. Это направление актуально, его надо внедрять и заниматься.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021