Федеральная служба
по техническому и экспортному контролю
ФСТЭК России

Компания

Государственные и социальные структуры
С 2004 года
Россия
Центральный ФО РФ
Москва
105175, ул. Старая Басманная, д. 17

(499) 261-16-34
(495) 696-49-04 (факс)

Федеральная службапо техническому и экспортному контролюФСТЭК России

Персоны (8)     работают сейчас - 4    работали ранее - 4

Сотрудники компании, известные TAdviser. Добавить персону можно здесь.

ФИОГородДолжность
Лютиков Виталий СергеевичМоскваЗаместитель директора
Мартинец Николай МихайловичМоскваНачальник управления
Селин Владимир ВикторовичДиректор
Шевцов Дмитрий С.МоскваЗаместитель начальника управления

Цифровой паспорт (6 проектов)

Список известных внедрений ИТ-систем в организации. Добавить проект.

ПроектИнтеграторПродуктТехнологияГод
Описание проектаReksoft (Рексофт)2014
Описание проектаАСТ - Автоматизированные Системы и Технологии - AST - Advanced System TechnologiesКомплексные проекты по информационной безопасностиИБ - Антивирусы, ИБ - Антиспам, ИБ - Аутентификация, ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации2010
Описание проектаИмпульс-ИВЦПроекты СКС и беспроводной сетевой инфраструктурыСКС2010
Описание проектаБез привлечения консультанта или нет данных---
Описание проектаИнститут системного программирования (ИСП РАН)---
Описание проектаБез привлечения консультанта или нет данных---

СМ. ТАКЖЕ (488)

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

История

2023

ФСТЭК планирует разработать требования к защите от DDoS и дефейсов, а также обновить лицензионную политику

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) опубликовала выдержку[1] из плана своей нормотворческой деятельности в 2024 году. В нем, в частности, предусмотрена разработка двух проектов постановления правительства – обновления постановления №79 от 3 февраля 2012 г. «О лицензировании деятельности по ТЗКИ»[2] и №171 от 3 марта 2012 г. «О лицензировании деятельности по разработке и производству СЗКИ»[3]. Эта работа запланирована на третий квартал 2024 года.

Полный план ФСТЭК по разработке проектов правительственных актов

Собственно, требования к лицензиатам как на разработку средств защиты конфиденциальной информации (СКЗИ), так и на предоставление услуг по технической защите конфиденциальной информации (ТЗКИ) существуют с 2012 года и регулярно обновляются. Последнее значимое обновление было принято в ноябре 2021 года, хотя уже в феврале этого года в оба постановления были внесены незначительные изменения. Не совсем понятно, в каком направлении будут эти требования меняться, однако уже ясно, что условия по защите информации сильно изменились в прошлом году, что должно найти свое отражение и в нормативных актах.

Кроме того, к выпуску планируются восемь приказа, из которых для ИБ-отрасли наиболее интересны два. Они должны утвердить требования по защите от DoS-атак и к защите государственных ИС, обладателями которых является РФ, субъект РФ или муниципальное образование. Они должны быть разработаны в 4 квартале следующего года.

Полный перечень приказов, которые ФСТЭК планирует разработать в следующем году

Запланированный приказ, который будет утверждать требования по обеспечению защищенности государственных информационных систем и значимых объектов КИИ РФ от несанкционированного воздействия типа «отказ в обслуживании», скорее всего будет посвящен правильной организации защиты как от атак на выведение из строя государственный ИС или КИИ, так и от распределенных DoS-атак (DDoS). От последних самостоятельно защититься достаточно сложно, поскольку требуется как минимум взаимодействие с оператором связи и получение от него услуг по фильтрации паразитного трафика, а лучше – со специализированной компанией, которая может отсеивать трафик максимально близко к его источнику.

Приказ об утверждении требований о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых является Российская Федерация, субъект Российской Федерации, муниципальное образование предназначен, скорее всего, для стимулирования защиты веб-ресурсов органов власти. Дело в том, что с прошлого года веб-ресурсы и приложения государственных структур активно атакуют хакеры и меняют их главную страницу (дефейс), однако требований по их защите нет – они редко признаются критической информационной инфраструктурой. Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

Да, есть требования по предоставлению правдивой и актуальной информации на государственных веб-ресурсах, но требований по защите опубликованных данных и систем, где они хранятся, нет. Это не позволяет органам власти закупать услуги и оборудование для защиты своих ресурсов, поскольку для подобных трат из бюджета должно быть обоснование и требования для организации тендера. Готовящийся приказ, возможно, эту проблему решит.

ФСТЭК займется созданием централизованной базы данных для контроля объектов КИИ - указ Путина

Президент России Владимир Путин подписал указ, которым расширил полномочия Федеральной службы по техническому и экспортному контролю (ФСТЭК). Соответствующий документ опубликован в ноябре 2023 года.

Путин расширил полномочия ФСТЭК

Согласно указу, ФСТЭК займется созданием централизованной базы данных, с помощью которой будет легче контролировать субъекты и объекты критической информационной инфраструктуры (КИИ). В соответствии с документом, у службы будут следующие полномочия:

  • осуществление в пределах своей компетенции централизованный учет информационных систем (ИС) и иных объектов КИИ по отраслям экономики, а также мониторинг текущего состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ;
  • оперативное информирование в пределах своей компетенции аппараты федеральных органов государственной власти (ФОИВ) и органов государственной власти субъектов РФ, ФОИВ, органы исполнительной власти регионов, органы местного самоуправления и организации об угрозах безопасности информации и уязвимостях ИС и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей;
  • разработка пределах своей компетенции совместно с аппаратами ФОИВ и органов государственной власти субъектов РФ, ФОИВ, органами исполнительной власти регионов, органами местного самоуправления и организациями процессы управления технической защитой информации и обеспечением безопасности значимых объектов КИИ, учитывающие отраслевую специфику данных объектов (за исключением процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ), и организует внедрение этих процессов;
  • организация в пределах своей компетенции взаимодействие аппаратов ФОИВ и органов государственной власти субъектов РФ, ФОИВ, органов исполнительной власти регионов, органов местного самоуправления и организаций при реализации ими мер по повышению уровня технической защищённости информации и обеспечения безопасности значимых объектов КИИ;
  • оценка эффективности деятельности аппаратов ФОИВ и органов государственной власти субъектов РФ, ФОИВ, органов исполнительной власти регионов, органов местного самоуправления и организаций по технической защите информации и обеспечению безопасности значимых объектов КИИ.

Указ Президента Российской Федерации О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085

Путин расширил полномочия ФСТЭК на случай военного времени

22 мая 2023 года президент Владимир Путин подписал указ №366 о внесении изменений в положение о Федеральной службе по техническому и экспортному контролю. Документ появился на портале официального опубликования правовых актов[4] и вступил в силу в день подписания.

Согласно президентскому указу, пункт 8 положения о ФСТЭК, в котором перечисляются полномочия этой организации, дополняется новым подпунктом – 65(1) – следующего содержания:

«формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности Российской Федерации и прекращение работы которых в военное время создаст предпосылки для нарушения устойчивого функционирования информационной инфраструктуры Российской Федерации».

По данным базы правовых данных «КонсультантПлюс», всего положение о ФСТЭК в текущей действующей редакции содержит более 70 различных полномочий ведомства[5]. Других подпунктов, кроме нового, в которых упоминалось бы военное время, на данный момент среди них нет.

2022: Остановка действия сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Как стало известно в конце марта 2022 года, Федеральная служба по техническому и экспортному контролю (ФСТЭК) приостановила действие сертификатов на программное обеспечение IBM, Microsoft, Oracle, SAP, VMware и ряда других зарубежных производителей. Всего к 25 марта заморожено 56 сертификатов.

Как пишет «Коммерсантъ», ФСТЭК начала временно останавливать действие сертификатов на программные продукты тех иностранных компаний, которые объявили об уходе с российского рынка. Если ушедшие из РФ зарубежные компании не возобновят техподдержку своих продуктов в течение 90 дней со дня приостановки сертификатов, их действие будет прекращено, пояснил «Коммерсанту» руководитель отдела консалтинга и аудита информационной безопасности Step Logic Денис Пащенко.

ФСТЭК остановила действие сертификатов на ПО IBM, Microsoft, Oracle, SAP и VMware

Источник издания пояснил, что ФСТЭК запросила у зарубежных компаний пояснения относительно техподдержки уже работающих решений. По его мнению, клиентам, использующим подобное иностранное ПО, уже лучше начать поиск сертифицированных альтернатив и задумываться о необходимости перехода на них, включая переаттестацию своих систем информационной безопасности.

Несмотря на требования по использованию сертифицированного ПО, многие компании и банки пока продолжают работу на зарубежных продуктах, которым ФСТЭК приостановила лицензии, говорит руководитель направления информационной безопасности Itglobal.com Александр Зубриков.

По словам источника газеты на ИТ-рынке, к концу марта 2022 года регулятор не называет точные сроки, когда заказчики должны будут заменить несертифицированные продукты в своих ИТ-системах. Более того, в силу вступивших в силу послаблений в части проверок выявить факт использования несертифицированного решения регулятор может не скоро, допустил собеседник.[6]

2020: ФСТЭК порекомендовал госорганам перевести свои системы с Windows 7 на более новые версии

22 января 2020 года TAdviser стало известно, что ФСТЭК опубликовал специальное информационное сообщение по поводу прекращения поддержки операционной системы Windows 7; государственным органам и другим организациям, которые на январь 2020 года продолжают использовать эту систему, рекомендовано перейти на более последние версии Windows до первого июня 2020 года. Подробнее здесь.

2019

Публикация действующего варианта требований к защите информации в государственных информсистемах

17 сентября 2019 года стало известно, что Федеральная служба по техническому и экспортному контролю опубликовала изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Подробнее здесь.

Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость

Федеральная служба по техническому и экономическому контролю (ФСТЭК) выдвинула новые требования к разработчикам программного обеспечения. По ним средства защиты информации должны быть испытаны на выявление уязвимостей и недекларированных возможностей («закладок», «бэкдоров») в соответствии с методикой, разработанной и утвержденной ФСТЭК в феврале 2019 г.

ФСТЭК ужесточила требования к разработчикам ИБ-продуктов

Вендоры к инициативе отнеслись прохладно[7]. Соответствие новым требованиям потребует от них дополнительных инвестиций и существенно снизит присутствие импортных ИБ-продуктов в госсекторе.

Однако эти аргументы несостоятельны, считает руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. По его словам, требования вступают в силу с 1 июня 2019 года, но многие серьезные вендоры изначально их выполняют при разработке ПО.

Какова исходная ситуация? Сертификация ФСТЭК – долгое и ресурсоемкое мероприятие. Но главная системная проблема была в том, что на экспертизу отправляется конкретная версия – состояние продукта на день получения заветного документа.

«
Завтра ты внес изменение, улучшил ПО, добавил функцию – и должен, по идее, проходить всю процедуру заново. Если ты хочешь всегда продавать сертифицированную версию, ты должен либо бесконечно крутиться в этой карусели, либо не выпускать обновления во время действия сертификата. В ИТ, все понимают, такое вообще не работает. В реальном мире нельзя использовать версию софта 3 года. Никто так и не делает. Получается, что подтверждение соответствия от ФСТЭК оказывается номинальным документом и не всегда является гарантией качества ПО, - поясняет Парфентьев.
»

После изменений сертификат ФСТЭК будет реально гарантировать безопасность продукта, т.к. ужесточаются требования именно к процессу разработки. Это значит, что продукт должен быть безопасным не только в моменте. Он требует, чтобы весь процесс был организован безопасно.

С сотрудниками должны быть подписаны все регламенты о порядке действий в случае обнаружения проблем, о порядке действий в случае обнаружения потенциальных уязвимостей, о порядке работы с заказчиками и в случае обнаружения уязвимостей ими. Должен проводиться статический, динамический анализ кода, использоваться софт для контроля версий, единые замкнутые среды компиляции и т.д. Новые требования предполагают, что вредоносный код будет невозможно внести на уровне процесса даже умышленно.

«
В общем, это логичные и понятные требования, - считает представитель «СёрчИнформ». - Другими словами, серьезные вендоры именно так и работают. Требования адекватны и выполнимы. Более того, странно слышать критику от разработчиков средств для защиты информации о том, что потребуются инвестиции. Какие могут быть дополнительные инвестиции, когда все изначально должно быть реализовано именно так?!
»

По мнению Алексея Парфентьева, вендоры выступают против, потому что им усложнили процедуру. Реализация требований – серьезная работа. Услуги по сертификации не бесплатные, напоминают они, и компании могут потратить деньги впустую, оказаться без сертификатов. С другой стороны – сертификат без причины отзывать никто не будет, это тоже нужно учитывать.

Многие компании, считает он, станут придерживаться более стандартизованного процесса разработки, перестанут необдуманно использовать сомнительные сторонние библиотеки, будут тщательней следить за безопасностью собственного кода. Новые требования дают ФСТЭКу как органу гораздо больше уважения со стороны сообщества. Сертификат ФСТЭК помимо номинальной необходимости приобретает реальную значимость, уверен Парфентьев.

«
Изменения по большей части касаются разработчиков ИБ-средств, создающих СЗИ. В остальном требования ФСТЭК проходят и другие продукты, например, базы данных, операционные системы, среды виртуализации и т.д. Просто к ним применяются более мягкие условия, т.к. непосредственно защитой они не занимаются, - пояснил TAdviser представитель «СёрчИнформ».
»

Примечания