Леонид Н. Кессаринский ЕСТЬ ХОРОШАЯ ТРАДИЦИЯ: КАЖДЫЙ ФЕВРАЛЬ МЫ ХОДИМ НА «АКТУАЛЬНЫЕ ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ» В РАМКАХ ТБ ФОРУМА

12 февраля на Форуме «Технологии и Безопасность» ФСТЭК России провела XV Юбилейную конференцию «Актуальные вопросы защиты информации», посвященную вопросам новых требований ФСТЭК по защите данных в государственных информационных системах, сертификации средств защиты информации и требованиям к испытательным лабораториям и органам по сертификации.

Официальная программа и презентации докладчиков конференции доступны на: https://www.tbforum.ru/2025/program/information-security.

Предлагаю читателям впечатления и оценочные суждения автора – участника конференции.

Традиционно, наибольший интерес на конференции вызывают доклады представителей ФСТЭК России, поскольку они анонсируют планы регулятора на ближайший год. Были затронуты такие темы как перспективы развития Центра исследований безопасности системного ПО, актуальные угрозы информационной безопасности и их эволюция, ключевые вопросы регулирования и новые требования ФСТЭК, тенденции развития средств защиты информации и совершенствования системы сертификации. Особое внимание было уделено обновлению методики выявления уязвимостей и недекларированных возможностей в программном обеспечении, что напрямую влияет на надежность критически важных ИТ-решений в России.

  • Со вступительным словом и докладом выступил Виталий Лютиков, первый заместитель директора ФСТЭК России.

Здесь обозначу наиболее запомнившиеся тезисы (с презентацией можно ознакомиться на официальном сайте).

Произошло обновление требований по защите информации государственных информационных систем, а также иных системах государственных органов (важно это отметить), государственных унитарных предприятий, государственных учреждений – проект требований уже доступен, планируемый срок вступления в силу 01.03.2026. Подготовлены проекты методических документов по аттестации на соответствие требованиям по защите информации в информационных системах. Происходит ужесточение административных штрафов за нарушения, связанные с защитой информации.

На основе оценки качества проведения работ по аттестации объектов информатизации приведена статистика аттестационных материалов и наиболее частые нарушения. Интересно, что общее число аттестованных объектов для обработки конфиденциальной информации и сведений, составляющих государственную тайну,
в 2024 г. примерно одинаковое: около 11 тыс. и 12 тыс. соответственно.

Приведены первые итоги оценки показателей состояния защиты информации и обеспечения безопасности объектов КИИ по методике, утвержденной 02.05.2024: лишь 13% объектов соответствуют минимальному базовому уровню, а 47% имеют критические для безопасности нарушения.

Также можно было услышать про обновленную методику выявления недекларированных возможностей (НДВ) в ПО, опирающуюся на выполнение разработчиком требований безопасности разработки (ГОСТ Р 56939-2024) и ряд других новинок.

Анонсирована аттестация работников органов по сертификации и испытательных лабораторий (на технической базе МГТУ им. Н.Э. Баумана).

  • Настоящее и будущее Центра исследований безопасности системного программного обеспечения представил Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН.

Доклад посвящен значимой работе коллективного центра исследования статического и динамического анализа ядра Linux, используемого в отечественных защищенных ОС, а также других критичных пакетах.

  • Трендами развития угроз безопасности информации поделился Алексей Сердечный, заместитель начальника отдела ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Был представлен аналитический доклад по источникам пополнения базы данных и типам уязвимостей.

  • Требования по защите информации, содержащейся в государственных информационных системах, иных системах государственных органов, государственных унитарных предприятий, государственных учреждений озвучила Ирина Гефнер, заместитель начальника управления ФСТЭК России.

Представлен доклад по новым требованиям защиты информации в государственных информационных системах на всех стадиях жизненного цикла ПО: формирования требований к системе, разработка и проектирование, внедрение, аттестация и эксплуатация.

  • Тему реализации требований к средствам сетевой безопасности затронул Алексей Сидак, генеральный директор ООО «ЦБИ».

Представлены сведения о практической проверке требований к доверенным сетевым картам и межсетевым экранам, в том числе к защите контура управления.

  • О совершенствовании системы сертификации средств защиты информации рассказал Дмитрий Шевцов, начальник управления ФСТЭК России.

В этом году исполняется 30 лет системе сертификации средств защиты информации ФСТЭК России, в докладе приведены некоторые статистические данные: выдано 4911 сертификатов на СЗИ, в системе задействовано более 30000 специалистов, в настоящее время производится 508 типов сертифицированных СЗИ общим тиражом 2,5 млн экземпляров в год. Также рассмотрены вопросы сертификации специалистов, испытательных лабораторий, разработчиков. Перечислены основные недостатки при сертификации. Озвучены планы по разработке и утверждению новых нормативных документов.

  • Новую редакцию Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении представил Дмитрий Пономарев, заместитель генерального директора ООО НТЦ «Фобос-НТ».

В технологической повестке:

  • Тренды развития сертифицированных средств защиты информации в современных реалиях охарактеризовал Егор Кожемяка, директор Центра защиты информации ГК «Конфидент».

Познавательный доклад, представляющий результаты опроса по типам применяемых СЗИ, планам по корпоративной защите, проблемах в отрасли. Опубликована статистика по распространению отечественных операционных систем: Astra Linux 75%, Ред ОС 32%, ALT Linux 20% (их сумма не должна быть 100%).

  • Современные подходы для разметки данных в области информационной безопасности озвучил Алексей Самойленко, Machine Learning инженер, ООО «Код Безопасности».
  • Методологией построения и защиты API поделился Лев Палей, директор по информационной безопасности Вебмониторэкс.
  • Как соблюсти баланс между защитой, доступностью и надежностью межсетевых экранов для промышленных сетей рассказал Сергей Воробьев, менеджер по продукту, RTT.
  • Проблему доверия и потерь при сокрытии утечек озвучила Дарья Пырина, главный аналитик-эксперт, ГК ИнфоВотч.
  • Разработка безопасного ПО высокого уровня зрелости: подходы и практики разработки ОС SberLinux и системного ПО рассмотрели Андрей Баженов, директор управления системного ПО, и Алексей Щербаков, начальник центра кибербезопасности платформы, Сбертех.
  • Вызовы и возможности автоматизации управления учетными записями для крупных организаций обсуждал Дмитрий Бондарь, директор группы развития продуктов управления доступом ГК «Солар».
  • Исследование компилятора clang в составе NGFW – заглядывая за грань требований представил Марк Коренберг, технический директор ООО «Айдеко».

 

Подводя итог, можно сказать, что ТБ Форум традиционно пользуется большим интересом профильных специалистов в области защиты информации разных ролей: регуляторов, производителей, потребителей, госструктур.

 

Безусловно рекомендую к посещению следующие ТБ Форумы!  :)

 

 

Леонид Н. Кессаринский, к.т.н.,

заместитель директора аттестационно-испытательного центра информационной безопасности и систем защиты информации НИЯУ МИФИ,

Каширское ш., 31, Москва, 115409, Россия

e-mail: LNKessarinskiy@mephi.ru, https://orcid.org/0000-0001-7756-6166