На «ТБ Форуме 2025» важным событием стало выступление представителей ФСТЭК России, которые рассказали о деятельности регулятора в 2024 году с целью обеспечить безопасную цифровую трансформацию. Докладчики подробно рассказали о своих проектах, выделили проблемные вопросы и подчеркнули важность совместной работы с участниками рынка.
- Введение
- Деятельность ФСТЭК России в 2024 году
- Планы ФСТЭК России на 2025 год
- Актуальные требования по защите информации в ГИС
- Совершенствование сертификации во ФСТЭК России
- Выводы
Введение
С 11 по 13 февраля в Москве прошёл 30-й Международный форум «Технологии безопасности» («ТБ Форум 2025»). Мероприятия деловой программы посвящены обсуждению актуальных вопросов защиты информации, их пересечению с интересами крупнейших российских игроков рынка ИБ (заказчиков, проектных офисов, интеграторов, разработчиков и поставщиков).
Представители ФСТЭК России старались ответить на главный вопрос: какие подходы помогут создать условия для безопасного развития в области цифровой трансформации? Cвоей главной целью регулятор считает построение прочного фундамента для промышленного и технологического суверенитета страны.
Деятельность ФСТЭК России в 2024 году
Говоря о деятельности ФСТЭК в 2024 году, Виталий Лютиков, первый замдиректора ФСТЭК России, отметил принятие мер для повышения безопасности. Государственный орган провёл аттестацию объектов информатизации. В общей сложности проверено более 2700 организаций, где работает не менее 12 тыс. информационных систем (в среднем по 4–5 систем на компанию). В результате 20 % аттестационных материалов отправлены на доработку, приостановлено действие лицензий пяти компаний.
Главной проблемой Виталий Лютиков назвал то, что по-прежнему нет:
- многофакторной аутентификации для учётных записей привилегированных пользователей;
- плана реагирования на компьютерные инциденты;
- централизованного сбора данных из журналов ИБ-систем.
Выявленные принципиально важные уязвимости на периметре пока не устранены. Кроме того, во многих компаниях нет заместителя руководителя организации, на которого возложены полномочия по части ИБ.
Разнообразие выявленных недостатков указывает на то, что в ходе проверок сотрудники ФСТЭК внимательно искали любые уязвимости и были готовы дать отрицательный отзыв о состоянии защищённости, даже если проблемы касались только конкретногоучастка.
На «ТБ Форуме 2025» ФСТЭК России представила итоги эксперимента по повышению уровня защищённости ГИС федеральных органов исполнительной власти и подведомственных им учреждений. Эти проверки проводились в течение 2,5 лет, с мая 2022 года до конца 2024 года, в соответствии с постановлением Правительства от 13.05.2022 № 860. Главный вывод после эксперимента: большинство выявленных недостатков не касались не работы с самими ГИС, они оказались следствием применения вспомогательного прикладного ПО.
Рисунок 1. Результаты повышения защищённости ГИС (ФСТЭК России)
В 2024 году ФСТЭК России курировала работу своих внешних подрядчиков. Много внимания уделено работе Центра исследования безопасности системного ПО, который действует на базе ИСП РАН. Доработаны методические документы. Создан проект методики выявления уязвимостей и недокументированных возможностей ПО, подготовлены и усовершенствованы национальные стандарты в области разработки безопасного ПО (технический комитет № 362), продолжается развитие банка данных по угрозам ИБ.
Планы ФСТЭК России на 2025 год
Виталий Лютиков, первый замдиректора ФСТЭК России, выделил новые направления, на которые ФСТЭК России будет обращать внимание в 2025 году. Прежде всего, речь идёт о вступлении в действие поправок к Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации», основная часть изменений вступит в силу с 1 марта 2026 года.
Важным сопутствующим фактором станут изменения в Кодексе РФ об административных правонарушениях (КоАП). Значительно (в 4–10 раз) повышаются штрафы для физических, должностных, юридических лиц за нарушение требований по защите информации и использование несертифицированных программных средств при работе с государственными программными системами.
Рисунок 2. Изменения в КоАП (источник: ФСТЭК России)
Актуальные требования по защите информации в ГИС
Развитие программных систем, использующих объектную и сервисную модели построения, появление на рынке ИИ-систем и больших языковых моделей (LLM), где аккумулируются огромные массивы неструктурированных данных, ставят задачу организовать защиту информации на современном уровне. Фактически же многие службы ИБ подготовлены для работы в прежних условиях. Они учились по другим методическим указаниям, которые на сегодняшний день устарели. Работу служб ИБ целесообразно выстраивать с учётом многообразия встречающихся инцидентов. Прежде всего, это касается государственных предприятий и ведомств.
Как напомнила Ирина Гефнер, замначальника 2-го управления ФСТЭК России, порядок соблюдения требований законодательства к государственным информационным системам опирается на постановление Правительства РФ от 01.11.2012 № 1119, Федеральный закон от 26.07.2017 № 187-ФЗ и свод требований по технической защите гостайны. Указанные нормативные правовые акты нужно применять в течение всего жизненного цикла информационных систем.
Рисунок 3. Контроль безопасности и жизненный цикл ГИС (ФСТЭК России)
Сами организации должны разработать план мер по обеспечению безопасности. Им предстоит подготовить единую политику по реализации мер защиты информации. За соблюдение последних отвечают непосредственные исполнители, их руководители, а также подрядные организации. Проверкам подлежат все структурные подразделения, которые отвечают за ИБ. В их составе должно быть не менее 30 % специалистов с профильным образованием в сфере ИБ.
Рисунок 4. Требования ФСТЭК России к принятию мер по защите информации
В 2024 году ФСТЭК России уделила большое внимание совершенствованию регламента по управлению уязвимостями в организациях. Согласно методическому документу, наиболее значимые уязвимости следует устранять в срок до 24 ч, уязвимости высокого уровня — максимум в течение 7 календарных дней, остальные (среднего и низкого уровней) — согласно корпоративному регламенту.
При выявлении неизвестных уязвимостей оператор информационной системы должен передать данные в БДУ ФСТЭК России в срок не более 5 рабочих дней.
Совершенствование сертификации во ФСТЭК России
Управляемость рынка ИБ в России обеспечивается благодаря системе сертификации. О развитии этого направления рассказал Дмитрий Шевцов, начальник управления ФСТЭК России.
В настоящее время действуют:
- 9 органов по сертификации;
- 43 испытательные лаборатории;
- 205 изготовителей средств защиты информации;
- 1789 органов по аттестации объектов информатизации.
За год выпускается более 2,5 млн сертифицированных СЗИ.
Развитие отраслевого рынка требует постоянного совершенствования системы сертификации. Непрерывно дорабатывается порядок её проведения, подготавливаются новые требования и методики сертификационных испытаний, внедряются новые процессы безопасной разработки, специалисты испытательных лабораторий проходят программы повышения квалификации.
Дмитрий Шевцов обратил внимание на проблемы, которые ещё ждут своего решения. Прежде всего, актуальны сертификация процессов безопасной разработки и учёт особенностей сертификации для средств защиты. Регулятор упростил отдельные процедуры. Например, до 1 января 2026 года допускается не предоставлять некоторые документы (результаты идентификации и анализа скрытых каналов, модель безопасности) в сертификационный орган, самостоятельное проведение испытаний по части изменения сертифицированного СЗИ продлено до 1 июля 2025 года.
Рисунок 5. Новые требования по сертификации СЗИ в ФСТЭК России
Наиболее проблемным направлением остаётся сертификация СЗИ, в составе которых есть заимствованные компоненты с открытым исходным кодом. Как показывает практика, 96 % поданных перечней программных компонентов (SBOM) имеют различные недостатки.
По ряду направлений ФСТЭК только что выпустила новые документы или сформировала проекты таковых. Среди них Дмитрий Шевцов выделил:
- правила безопасности для средств контейнеризации;
- повышение защищённости СЗИ с интерпретаторами, веб-серверами и серверами приложений в составе;
- выявление уязвимостей и незадокументированных возможностей;
- повышение защищённости инфраструктуры разработки ПО.
Говоря о сертификации NGFW, Дмитрий Шевцов отметил, что сертификат соответствия выдан только для NGFW компании Positive Technologies. ФСТЭК России получила ещё три заявки на сертификацию. Пять российских производителей ведут работы по оценке соответствия NGFW сформулированным требованиям.
Рисунок 6. Состояние дел в сфере сертификации NGFW (ФСТЭК России, февраль 2025 года)
В целом Дмитрий Шевцов поддержал консолидацию игроков российского рынка ИБ для эффективного решения проблем, связанных с сертификацией средств сетевой безопасности.
Рисунок 7. Российские компании, которых регулятор привлёк к решению проблемных вопросов
ФСТЭК России уделяет много внимания поддержке высокого уровня экспертизы у работников, проводящих сертификацию, и сотрудников испытательных лабораторий. Их аттестация проводится на базе МГТУ им. Н. Э. Баумана.
Выводы
ФСТЭК России подтвердила свою активную позицию в том, что касается регулирования российского рынка ИБ. Как и раньше, предстоит выполнять задачи по трём основным направлениям: совершенствование законодательной базы, разработка и улучшение методических документов, развитие и оптимизация сертификационных процедур. ФСТЭК России стремится выстроить прозрачное и конструктивное сотрудничество между регулятором и всеми участниками рынка.
