В цифровую эпоху информация стала ключевым активом и одновременно главной уязвимостью. Предприятия, чья деятельность затрагивает интересы государства и граждан, обязаны соответствовать строгим требованиям Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности объектов критической информационной инфраструктуры Российской Федерации» (ФЗ-187). Сердцем всей системы обеспечения безопасности является процедура категорирования КИИ.
Это не просто формальность, а стратегический процесс оценки потенциального ущерба, который может возникнуть при нарушении работы вашей инфраструктуры. Неправильное или несвоевременное категорирование объектов КИИ может привести к серьезным финансовым потерям и репутационным рискам.
Данный материал предназначен для топ-менеджмента, ИТ-руководителей и специалистов по защите информации, стремящихся не просто формально выполнить требования, но выстроить эффективную и экономически обоснованную систему защиты своей критической информационной инфраструктуры (КИИ).
1. Фундамент защиты: идентификация и правовое поле объектов критической информационной инфраструктуры
Прежде чем приступить к присвоению статусов, необходимо понять, что именно попадает под юрисдикцию ФЗ-187 и кто контролирует этот процесс.
1.1. Идентификация: что такое объекты КИИ?
Объекты критической информационной инфраструктуры — это гораздо более широкий спектр систем, чем многие предполагают. Это любые информационные системы, сетевые комплексы или АСУ, нарушение функционирования которых приводит к негативным последствиям в сферах жизнеобеспечения, энергетике, транспорте, банковской сфере, оборонно-промышленном комплексе (ОПК) или госуправлении.
Ключевая сложность заключается в том, что идентификация должна быть проведена по признаку критичности функционирования, а не только по факту обработки государственных данных.
1.2. Законодательный архитектурный комплекс
Регулирование этой сферы многоуровневое. Необходимо понимать взаимосвязь между различными нормативными документами:
- ФЗ № 187: устанавливает общую матрицу ответственности и предписывает необходимость обеспечения безопасности.
- Постановление Правительства РФ от 8 февраля 2018 г. N 127: этот документ подробно описывает, как должна быть сформирована внутренняя комиссия по категорированию объектов КИИ и как она должна работать.
- Приказ ФСТЭК России № 239 от 25 декабря 2017 г.: этот акт является практическим руководством, детально описывающим методику оценки последствий и выбора категории КИИ.
Именно на основании этих актов осуществляется процедура категорирования объектов информационной инфраструктуры.
2. Методология категорирования объектов КИИ: от инвентаризации к присвоению значимости
Категорирование КИИ — это структурированный процесс оценки, который переводит потенциальные риски в измеримые статусы.
2.1. Формирование и полномочия комиссии
Успех всего процесса зависит от правильно организованной внутренней структуры. Организация обязана сформировать постоянно действующий орган — комиссию по категорированию объектов КИИ, утвержденную приказом руководителя.
- Ключевая роль: комиссия несет ответственность за юридически значимое решение о том, является ли та или иная система объектом КИИ, и какая категория КИИ ей присваивается. В ее состав должны входить лица, обладающие достаточной компетенцией в ИТ, производственных процессах и вопросах информационной безопасности.
2.2. Этап 1: полная инвентаризация и идентификация
Необходимо провести аудит всей ИТ-инфраструктуры, включая промышленные сети (АСУ ТП), системы SCADA, системы биллинга и ERP.
- Процесс идентификации: на этом шаге определяется, какие именно информационные ресурсы обеспечивают функционирование тех секторов, которые подпадают под действие закона. Если нарушение работы системы приведет к сбою в работе, влияющему на жизнь людей или экономику страны, система должна быть признана объектом КИИ.
2.3. Этап 2: применение критериев значимости (оценка ущерба)
Это ядро категорирования объектов КИИ. Согласно приказу ФСТЭК № 239, оценка ведется по потенциальным масштабам ущерба, который может возникнуть в случае компрометации, отказа или уничтожения информации. Выделяется 5 таких критериев:
- Социальная сфера: оценка числа людей, чье жизнеобеспечение (вода, тепло, электроэнергия) может быть нарушено.
- Политическая сфера: возможность возникновения политических рисков, в том числе на международном уровне.
- Экономическая сфера: оценка прямого финансового ущерба, включая упущенную выгоду от срыва государственного оборонного заказа (ГОЗ) или нарушения платежных систем.
- Экологическая сфера: риски возникновения техногенных катастроф или загрязнения окружающей среды.
- Оборона и безопасность государства: наиболее строгие критерии, применимые к предприятиям ОПК.
На основании этой оценки системам присваиваются соответствующие категории значимости объектов КИИ: первая (самая высокая), вторая и третья (самая низкая).
2.4. Документальное закрепление решений
Итогом работы комиссии является оформленный акт категорирования объекта. Этот документ фиксирует, почему системе присвоена та или иная категория КИИ, и служит основанием для дальнейших действий по защите. Эти акты должны храниться в организации и быть готовы к предъявлению регулятору при проверке.
3. Жизненный цикл защиты: как категории объектов КИИ определяют меры безопасности
Присвоенный статус категории объектов КИИ является определяющим фактором для разработки и внедрения мер защиты, регулируемых приказом ФСТЭК от 21 декабря 2017 г. N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
3.1. От модели угроз до реализации защиты
После того как комиссия определила соответствующие категории значимости объектов КИИ, следующим неотложным шагом является разработка модели угроз безопасности информации. Этот документ служит фундаментом для выбора конкретных технических мер защиты. Содержание модели угроз должно быть исчерпывающим и сфокусированным на практическом применении. В нее обязательно включаются следующие ключевые компоненты.
Во-первых, необходимо представить обзор архитектурных решений, используемых на защищаемом значимом объекте. Этот структурный элемент позволяет понять границы защиты и взаимосвязи компонентов системы.
Во-вторых, критически важным является определение и характеристика вероятностных факторов воздействия и детальный портрет нарушителя (или модель нарушителя), что позволяет точно настроить механизмы обнаружения.
Во-третьих, модель угроз должна содержать агрегированный список угроз, которые признаны актуальными и требующими мер противодействия в отношении данного актива, исходя из его категории КИИ и выявленных уязвимостей. Только при наличии такой детальной и уникально проработанной модели можно эффективно планировать план мероприятий по обеспечению безопасности.
3.2. Взаимосвязь с другими системами регулирования
Грамотное категорирование информационной инфраструктуры позволяет избежать дублирования работ:
- СМК и ГОСТ РВ: если деятельность вашей организации подпадает под ГОЗ, то наличие сертификата ГОСТ РВ 0015-002-2020 значительно упрощает выполнение требований по защите информации, поскольку система менеджмента качества (СМК) уже содержит необходимые элементы управления рисками.
- Экспортный контроль (КЭК): если ваши системы обрабатывают информацию, связанную с экспортными операциями, например с товарами двойного назначения, процедура категорирования объектов КИИ должна быть синхронизирована с получением разрешения комиссии по экспортному контролю (КЭК), чтобы обеспечить безопасность передаваемых данных.
3.3. Проблемы и пересмотр категорий
Категорирование объектов КИИ — это не статичный процесс. Любое изменение в инфраструктуре, внедрение новой критически важной системы или изменение функций, которые она обеспечивает, требует проведения повторной оценки и, возможно, изменения присвоенной категории.
4. Инвестиции в экспертизу: почему самостоятельное категорирование объектов КИИ рискованно
Привлечение сторонних экспертов для проведения категорирования объектов информационной инфраструктуры — это не дополнительная статья расходов, а страховка от многомиллионных штрафов и срыва контрактов.
4.1. Юридическая прозрачность решения
Специалисты Компании «Дорожный регистр» не просто определяют категории значимости объектов КИИ. Мы проводим глубокий анализ последствий сбоя, основываясь на нашей практике взаимодействия с ФСТЭК и отраслевыми регуляторами. Мы выполняем всю необходимую работу, чтобы присвоенные категории объектов КИИ были юридически обоснованы и выдерживали любую внешнюю проверку.
4.2. Оптимизация защиты
Неверно присвоенная высокая категория объекта КИИ может вынудить вас тратить бюджет на избыточные средства защиты. Мы обеспечиваем, чтобы уровень защиты соответствовал минимально необходимому, но достаточному для присвоенной категории, тем самым оптимизируя ваши ИТ-затраты.
Не рискуйте будущим вашей компании из-за неверно присвоенной категории!
Свяжитесь с нами сегодня, чтобы инициировать грамотный, юридически выверенный процесс категорирования объектов КИИ. Мы готовы провести аудит вашей системы и сформировать полный пакет документов, гарантирующих соответствие ФЗ-187 и приказам ФСТЭК.
📞 Телефон: +7 (495) 369-56-79
✉️ Email: info@roadreg.ru
Переведите обеспечение безопасности вашей КИИ из режима реагирования в режим стратегического управления.
