Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.

Х Ответил Хинштейн А.Е. Депутат Госдумы РФ, 21.09.2023

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022

Я бы состояние безопасности КИИ разделил на две составляющие: первая – промышленные системы, вторая – ИТ-системы. Если с ИТ-системами нетрадиционный подход, вне зависимости от того, это КИИ, госсектор, средства есть, технологии есть. Что касается промышленных систем, здесь проблема связана с тем оборудованием и промышленным ПО, которое на этих объектах применяется. Несмотря на меры, которые сейчас реализуются государством с точки зрения импортозамещения, это не секрет, многие говорили о том, что зарубежного оборудования и ПО пока ещё много в промышленных системах, а у нас часть механизмов в безопасности именно встроено в промышленных системах (в контроллерах, в операционных системах), поэтому мы видим первым шагом – обустроить защиту периметра, мониторинг, анализ и управление угрозами, уязвимостями, а для этого у нас имеются средства безопасности. Поэтому мы видим перед собой самую первую задачу – это закрыть промышленные системы от внешнего нарушителя, средства и технологии у нас есть. А что касается владельцев этих объектов, от которых многое зависит, так как в большинстве случаев - это частный сектор, и, несмотря на наличие ФЗ и нормативно-правовых актов, он всё равно мыслит в масштабах стоимости и эффективности своей деятельности, и здесь в первую очередь возникает вопрос к специалистам по ИБ […], насколько они умеют разговаривать на этом языке и представлять эффективность информационной безопасности промышленных систем для руководителя на уровне недопущения ущербов и последствий. Эта ситуация сейчас изменилась, появляются и люди, и руководители, которые осознают эти риски не только в разрезе 187 закона, потому что он всё-таки касается вопросов безопасности государства, граждан в первую очередь, и вопросов собственной экономической выгоды и собственной деятельности хозяйствующих субъектов. Такие специалисты, безусловно, появляются, но нам надо в рамках обучения, в рамках нашей с вами работы уметь объяснить руководителю, в чем эффективность информационной безопасности. Если руководителю объяснять, что основная эффективность - это реализация 187 ФЗ, то успех такого предприятия будет минимальный, а если объяснить, какие конкретные риски и угрозы закрывают вопросы информационной безопасности, а ещё лучше, если специалист может их продемонстрировать для своего руководителя на базе моделей или стендов, то это меняет сознание руководителя. Он начинает вкладываться в вопросы информационной безопасности, следовательно, начинают развиваться и применяться соответствующие средства, в первую очередь те, о которых я говорил, – это средства мониторинга, средства защиты периметра и всё, что с этим связано. Поэтому движение есть, где-то лучше, где-то хуже, но направления нам понятны, и мы в этих направлениях со своей стороны тоже будем работать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021

[…] Что касается безопасной разработки: во-первых, это требование появилось недавно. Мы в 2016 году разработали стандарт, мы начали проводить активную политику, анонсировать и призывать все компании-разработчики к внедрению механизма безопасной разработки. И тогда этот процесс не был обязательным. […] В 2018 году в требовании доверия появилась обязательность проверки ряда процедур, которые внедряются при безопасной разработке. Мы выдержали паузу в 2 года для того, чтобы компании-разработчики средств безопасности могли приступить к внедрению этих механизмов. Давайте теперь по поводу эффективности и целесообразности всех процедур, их влияния на конечный результат – на безопасность продукта, а главное – на поддержку его безопасности в процессе применения его пользователями. Основное – моделирование угроз, управление требованиями и документацией, проведение различных видов тестирования, с точки зрения функционального анализа уязвимости и недекларируемых возможностей, поддержка безопасности, управление изменениями и так далее. Я сейчас говорю об уровнях доверия, они дифференцированы. Мы считаем, что выходить на высокий уровень доверия для применения средств защиты в федеральных системах без внедренных процедур – это ущерб безопасности, потому что у нас много примеров, особенно по программному обеспечению, построенному на основе открытого исходного кода или заимствованных компонентах, когда в процессе эксплуатации выявляются множественные уязвимости, и в результате компания-разработчик не имеет компетенции и не имеет возможности устранить эти уязвимости в сертифицированном средстве из-за отсутствия специалистов, которые хотя бы могут протестировать изменения из доступных репозиториев. Эту ситуацию для определенного уровня доверия необходимо менять. […] Их надо совершенствовать, развивать, я согласен полностью, их надо адаптировать к существующим подходам разработки – мы этим занимаемся в рамках технического комитета по стандартизации 362. Благодаря поддержке Минцифры и Росстандарта в ближайшее время предполагается разработать ещё ряд стандартов по безопасной разработке. Это направление актуально, его надо внедрять и заниматься.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2021