Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.

Х Ответил Хинштейн А.Е. Депутат Госдумы РФ, 21.09.2023

Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022

Планировать замену, а что делать. На сегодняшний момент у нас все сертификаты на зарубежные средства защиты, за исключением двух, они все аннулированы. Поддержка по всем средствам защиты с точки зрения безопасности на территории Российской Федерации прекращена. Почти по всем поддержка прекращена. Формально требованиям по безопасности ФСТЭК они не соответствуют, поэтому планировать поэтапный переход на отечественные СЗИ, выставлять требования к разработчикам, которые необходимы заказчику с точки зрения функциональности этих средств. Стандартная работа, которую мы должны были раньше начать. К тому же у нас президент поставил задачу двумя указами и 250-м, и 166 указом перейти на Отечественные программные аппаратные средства в одном случае, а в другом случае конкретизировать средства защиты информации.

Здесь конкретная проблема, во многих импортных средствах защиты начинают появляться уязвимости, они публикуются либо на одной, либо на другой базе данных, и это естественный процесс. Для нас специфика заключается в том, что мы практически по многим классам средств, особенно программно-аппаратным не имеем возможности эти обновления применить, проверить, установить и т.д., вот в чём проблема. И здесь если с практических шагов смотреть, мы конечно понимаем, что если инфраструктура у вас сетевая построена на зарубежном каком-то решении, щелчком пальцев перейти с этого решения на другое невозможно, поэтому мы проводим ряд мероприятий, разрабатываем некие методические документы, как риски использования таких средств минимизировать, например, вот ближайшее время мы выпустим оценки критичности уязвимости, для того чтобы ранжировать в своей инфраструктуре не по метрикам cvss, учитывать как бы наличие средств в инфраструктуре. Мы подготовили проект методики по тестированию обновлений, те, которые можно получить тем или иным способом, я сейчас это немножко за скобками оставлю способ получения обновлений, но по тем обновлениям, которые можно получить и определенные методики тестирования, и подходы к такому тестированию мы тоже в ближайшее время утвердим и предоставим возможность для применения. Ещё раз, это не будет означать, что мы его проверили это ПО на 100% там ничего нет, но минимизировать наиболее такие критичные риски будет возможно.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 23.09.2022

По поводу сроков сокращения: да, мы над этим работаем. По поводу лавинообразности технологий: мы оцениваем количество заявок, поступающих на сертификацию, у нас нет лавинообразного увеличения количества заявок. Казалось бы, несмотря на принимаемые меры должно быть, но де-факто увеличения заявок нет […]. По поводу сроков: мы знаем, что у нас есть неравномерность загруженности лабораторий с точки зрения проводимых работ […], у нас больше 35-40 лабораторий, но распределения работ по сертификационным испытаниям у них неравномерные, и в результате получается перегруз первых лабораторий, но здесь это регулируется заявителями. Заявитель выбирает лабораторию для испытаний. Мы заинтересованы в увеличении количества лабораторий и у нас есть такие тенденции, их количество растет, но не сильно. Следующая проблема, которая тоже влияет на сроки, – я всё время о ней говорю – это готовность заявителя при выходе на сертификацию. Ещё раз хочу сказать, что для того, чтобы обеспечить успешное проведение испытаний на соответствие требованиям доверия, необходимо, чтобы у заявителя был, в первую очередь, наиболее широко применяемый уровень доверия. Для того, чтобы обеспечить, необходимо, чтобы у заявителя были внедрены процедуры безопасной разработки […]. У нас есть расчёты по поводу того, во сколько раз по времени и по материальным издержкам сокращаются испытания, если внедрены базовые механизмы безопасной разработки – в разы, и это понятно, потому что, (вместо того) чтобы провести те виды испытаний и те виды исследований – всё переносится на лабораторию, а лаборатория просто так работать не будет. Для того, чтобы сократить это время, надо посмотреть стандарты по безопасной разработке, внедрить эти механизмы. […] Самое главное, как потом можно обеспечить поддержку безопасности этого продукта в процессе его эксплуатации. Если мы не хотим иметь проблем на этапах эксплуатации, то у разработчика должно быть всё предусмотрено изначально. Что касается бюрократических процедур, мы также эту работу проводим, мы подготовили ряд изменений в положение по сертификации, […] долго […] оценку регулирующего воздействия проходили. Сейчас мы регистрируем в Минюст этот документ. Мы полагаем, что на 30-40% сокращаем время проведения испытаний путем исключения отдельных процедур […]. Мы прорабатываем вопрос, как снизить издержки разработчиков с точки зрения затрат на сертификацию и изменения продукта. Продукты меняются, тем более с внедрением современных методов разработки, поэтому мы сейчас прорабатываем вопрос: как снизить затраты разработчика на сертификационные испытания вносимых изменений. У нас есть мысли, они связаны со снижением издержек тех компаний, которые внедрили безопасную разработку. Если мы видим, что компания внедрила безопасную разработку, соответствующую стандартам, то от ряда процедур при внесении изменений, наверное, сможет отказаться. Пока (этот документ) у нас в проработке, официальное изменение нормативно-правовых актов мы пока ещё не представляли, но я думаю, в ближайшее время, по крайней мере, до конца этого года, мы какое-то предложение внесём и корректировку нормативных документов постараемся сделать.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020