Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 17.02.2022

Вопросы импортозамещения к компетенциям нашего ведомства не относятся, но мы имеем некий срез по объектам КИИ, по которым соответствующие субъекты нам представили сведения. Поэтому, я скажу так: опираясь на те сведения, которые мы имеем – это, безусловно, не характеризует все отрасли и полностью картинку не дает, но по тем объектам, которые сегодня есть – это порядка 16 тысяч систем и сетей, более 80% объектов построено исключительно на зарубежном ПО и оборудовании. Около 20% объектов КИИ, так или иначе, использует отечественное ПО и оборудование. Это только на основе тех данных, которые поступают к нам в Службу.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 24.09.2020

Планировать замену, а что делать. На сегодняшний момент у нас все сертификаты на зарубежные средства защиты, за исключением двух, они все аннулированы. Поддержка по всем средствам защиты с точки зрения безопасности на территории Российской Федерации прекращена. Почти по всем поддержка прекращена. Формально требованиям по безопасности ФСТЭК они не соответствуют, поэтому планировать поэтапный переход на отечественные СЗИ, выставлять требования к разработчикам, которые необходимы заказчику с точки зрения функциональности этих средств. Стандартная работа, которую мы должны были раньше начать. К тому же у нас президент поставил задачу двумя указами и 250-м, и 166 указом перейти на Отечественные программные аппаратные средства в одном случае, а в другом случае конкретизировать средства защиты информации.

Здесь конкретная проблема, во многих импортных средствах защиты начинают появляться уязвимости, они публикуются либо на одной, либо на другой базе данных, и это естественный процесс. Для нас специфика заключается в том, что мы практически по многим классам средств, особенно программно-аппаратным не имеем возможности эти обновления применить, проверить, установить и т.д., вот в чём проблема. И здесь если с практических шагов смотреть, мы конечно понимаем, что если инфраструктура у вас сетевая построена на зарубежном каком-то решении, щелчком пальцев перейти с этого решения на другое невозможно, поэтому мы проводим ряд мероприятий, разрабатываем некие методические документы, как риски использования таких средств минимизировать, например, вот ближайшее время мы выпустим оценки критичности уязвимости, для того чтобы ранжировать в своей инфраструктуре не по метрикам cvss, учитывать как бы наличие средств в инфраструктуре. Мы подготовили проект методики по тестированию обновлений, те, которые можно получить тем или иным способом, я сейчас это немножко за скобками оставлю способ получения обновлений, но по тем обновлениям, которые можно получить и определенные методики тестирования, и подходы к такому тестированию мы тоже в ближайшее время утвердим и предоставим возможность для применения. Ещё раз, это не будет означать, что мы его проверили это ПО на 100% там ничего нет, но минимизировать наиболее такие критичные риски будет возможно.

Л Ответил Лютиков В.С. заместитель директора ФСТЭК России, 23.09.2022