Отрасль строится вокруг трех типов акторов: производители (АСУ ТП, SCADA, риск нарушения дозировок и утечки клинических исследований), дистрибьюторы (сложные WMS и B2B-платформы, критическая уязвимость API к точке входа злоумышленника) и аптечные сети (ритейл с кассовым ПО, где главные риски — падение доступности сервисов и утечка ПД клиентов).

Безопасная разработка становится обязательной. Если ваша система входит в контур КИИ (а к нему относится крупное производство, поставка и реализация лекарств), то требования по ГОСТ 56939 (SAST, DAST, компонентный анализ) должны применяться и к собственному ПО, и к решениям внешних вендоров.

Главные проблемы после запуска инструментов: лавина уязвимостей и падение скорости. Решение — не исправлять всё сразу. Фокусируйтесь на Critical и High, остальное — в бэклог. Для борьбы с ложными срабатываниями настраивайте правила сканеров под конкретный проект. Ключевой совет — не плодите разрозненные сканеры, а централизуйте их через ASOC (единое окно для всех уязвимостей и дедупликации).

16 апреля: практика по 152-ФЗ с Максимом Лагутиным
17 апреля: аттестация и расчет КЗИ от действующего начальника отдела ФСТЭК
21 апреля: КИИ и проверки ФСТЭК + два живых кейса «как мы прошли проверку»
22 апреля: план подготовки к проверке и третий кейс

*️⃣ Валерий Комаров, независимый эксперт по ИБ и автор блога "Рупор бумажной безопасности"
*️⃣ Полина Звягинцева, начальник отдела УФСТЭК России по СФО
*️⃣ Алексей Березин, независимый эксперт, начальник отдела ИБ субъекта КИИ
*️⃣ Максим Лагутин, основатель Б-152

Чтобы иметь возможность взыскать ущерб, необходимо прописать в договоре три условия. Во-первых, включить статью 406.1 Гражданского кодекса. Во-вторых, четко описать события и инциденты, наступающие по вине подрядчика. В-третьих, обеспечить возможность доказать, что инцидент произошел именно по вине третьей стороны. Право на аудит и обязательство уведомлять об инцидентах (в течение 3 часов) работают как «DLP»: даже неиспользуемое право отсеивает недобросовестных исполнителей на этапе выбора.

Заказчикам не следует требовать от подрядчика аттестации по высокому классу, если это небольшой локальный проект. Такой подход резко удорожает контракт и сужает круг потенциальных исполнителей. Лучше сконцентрироваться на конкретных мерах: регламентировать удаленный доступ (через сертифицированные СЗИ), контролируемую зону доступа и мониторинг действий, а не требовать от подрядчика полной аттестации всей его инфраструктуры.

При сборе коммерческих предложений стоит обращать внимание на поведение. Первый маркер — навязывание своих инструментов удаленного доступа. Второй и самый критичный — просьба использовать одну учетную запись на всю команду. Это лишает возможности идентифицировать конкретного виновного. Третий маркер — отказ предоставлять логи и артефакты о проделанной работе или отсутствии инцидентов.

Для соответствия требованиям заказчиков подрядчикам необходимо внедрить базовые процессы. Это назначение ответственного за ИБ, обеспечение прозрачности и готовности предоставлять информацию по запросу, а также использование технологической защиты (минимум — антивирусы и EDR-агенты). Критическим риском для подрядчика является попадание в реестр недобросовестных поставщиков по 44-ФЗ или 223-ФЗ, что для лицензируемой деятельности фактически означает закрытие бизнеса.