«КИИ – это не категория почётности и не абстрактная важность. Это операционный статус, который жёстко диктует правила игры для всего технического стека компании. Определив его неправильно, ты либо потратишь миллионы на избыточную защиту, либо оставишь критический актив без надлежащего прикрытия и получишь претензии от ФСТЭК при первом же инциденте. В основе лежит не желание соответствовать, а холодный расчёт последствий сбоя.»
🛡️ Объекты критической информационной инфраструктуры
Разбираем 187-ФЗ, категории значимости и реальные требования к защите.
Что такое КИИ?
Критическая информационная инфраструктура (КИИ) – это формальный статус, присваиваемый информационным системам, сетям и средствам обработки данных. Основа – Федеральный закон № 187-ФЗ. Статус КИИ присваивается не организации в целом, а конкретным её информационным активам, если их выход из строя повлечёт тяжёлые социальные, экономические, экологические или политические последствия.
Ключевой признак – связь с технологическими процессами в жизненно важных отраслях: энергетике, связи, транспорте, финансах, здравоохранении. Система, просто хранящая данные, – не всегда КИИ. Система, которая в реальном времени управляет распределением электроэнергии в городе или диспетчеризацией скорой помощи региона, – с высокой вероятностью попадает под действие закона.
Неправильное определение статуса – распространённая ошибка. Она приводит либо к избыточным затратам на защиту незначительных систем, либо, что критичнее, к уязвимости действительно важных активов, что вскрывается при первой же проверке ФСТЭК или кибератаке.
🏭 Кто попадает под действие закона
Сферы, подпадающие под регулирование 187-ФЗ, чётко определены. Речь идёт об информационных системах, используемых в следующих областях:
| Сфера | Примеры систем | Признак КИИ |
|---|---|---|
| Здравоохранение | Медицинские информационные системы (МИС), системы экстренного оповещения и диспетчеризации, электронные реестры вакцинации или пациентов с критическими диагнозами. | Обеспечение управления медицинской помощью на уровне субъекта федерации или крупного города. Сбой угрожает жизни и здоровью граждан. |
| Транспорт | Системы управления движением на ж/д, авиа- или автотранспорте, навигационно-диспетчерские комплексы в аэропортах и портах. | Координация крупных пассажирских или грузовых потоков. Обеспечение безопасности перевозок. Остановка ведёт к коллапсу. |
| Связь | Платформы связи общего пользования, узлы коммутации, центры обработки данных (ЦОД), обрабатывающие трафик операторов связи. | Обеспечение устойчивости телекоммуникационных сетей, в том числе для передачи данных государственных органов. |
| Финансы | Платёжные шлюзы и процессинговые центры, системы клиринга и расчётов, АБС системообразующих банков. | Обеспечение стабильности национальной платёжной системы, защита от масштабного мошенничества. |
| Энергетика | Автоматизированные системы управления технологическими процессами (АСУ ТП, SCADA), системы коммерческого учёта энергии. | Непосредственное управление объектами генерации и распределения. Сбой может привести к техногенной аварии или дестабилизации энергосистемы. |
🎯 Три категории значимости
После идентификации объекта КИИ следует его категорирование – определение степени значимости. Категория напрямую влияет на строгость и объём требований по защите. Она устанавливается на основе оценки масштаба возможных негативных последствий.
Категория 1 (К1)
Наиболее критичный уровень. К нему относят объекты, нарушение безопасности которых может привести к катастрофическим последствиям: массовой гибели людей, подрыву обороноспособности страны, длительному нарушению стабильности экономики в масштабах нескольких субъектов федерации или страны в целом.
Пример: система управления энергосетью федерального уровня, ядерный объект, центральный узел национальной платёжной системы.
Категория 2 (К2)
Объекты, сбой в работе которых вызовет существенные негативные последствия в пределах одного субъекта федерации или отдельной отрасли экономики. Восстановление функционирования требует значительного времени и ресурсов.
Пример: система диспетчеризации скорой медицинской помощи крупного города, АСУ ТП на крупном нефтеперерабатывающем заводе, ЦОД крупного оператора связи региона.
Категория 3 (К3)
Наименее критичный уровень. Последствия сбоя носят локальный характер, устраняются в относительно короткие сроки и не приводят к массовому ущербу для населения или экономики.
Пример: информационная система учёта пациентов в отдельно взятом многопрофильном стационаре, система управления внутренней корпоративной связью предприятия.
⚖️ Требования по категориям (Приказ ФСТЭК №231)
Объём обязанностей субъекта КИИ детализирован в Приказе ФСТЭК России №231. Требования имеют градированную шкалу в зависимости от присвоенной категории.
| Требование | Категория 1 | Категория 2 | Категория 3 |
|---|---|---|---|
| Разработка модели угроз | Обязательна. Актуализация – не реже одного раза в год. Согласование с ФСТЭК. | Обязательна. Актуализация – не реже одного раза в три года. Утверждается внутри организации. | Рекомендована. Может быть основана на типовой модели. |
| Подключение к ГосСОПКА | Обязательно. Время подключения после уведомления – не более 24 часов. | Обязательно. Время подключения – не более 72 часов. | Добровольный порядок. |
| Сертификация СЗИ | Обязательна для средств защиты информации, применяемых на критичных узлах. | Рекомендована. Допускается использование несертифицированных СЗИ с обоснованием. | На усмотрение субъекта КИИ. |
| Оценка соответствия (аудит) | Обязательная оценка соответствия требованиям силами аккредитованной организации – ежегодно. | Проведение внутреннего контроля (аудита) – не реже одного раза в три года. | Проведение по внутреннему графику. |
⚙️ Алгоритм определения статуса
Процесс отнесения информационной системы к КИИ и определения её категории – методичная работа, а не экспертная оценка. Вот ключевые шаги:
1. Функциональная карта
Необходимо составить детальное описание всех функций системы: какие технологические процессы она управляет, какие данные обрабатывает, с какими внешними системами взаимодействует. Важно отделить автоматизированные функции от тех, где решение принимает человек. Карта должна показывать, что происходит при отказе каждого компонента.
2. Анализ последствий
На основе функциональной карты моделируются сценарии нарушения конфиденциальности, целостности и доступности информации и систем. Оценивается влияние на три ключевые группы: жизнь и здоровье людей (социальные последствия), стабильность экономики (финансовые потери, остановка производства), безопасность государства. Оценка должна быть максимально количественной: время простоя, количество затронутых граждан, финансовый ущерб.
3. Сверка с критериями
Полученные количественные и качественные оценки последствий сопоставляются с критериями, изложенными в Постановлении Правительства РФ №127. Это формальная процедура, которая приводит к однозначному выводу: является ли объект КИИ и к какой категории (1, 2 или 3) он относится. Все выводы и обоснования фиксируются в итоговом документе – акте категорирования.
Итог
Статус объекта КИИ – это не ярлык, а инженерно-правовой вывод, основанный на анализе функций системы и потенциального ущерба от её сбоя. Категорирование формирует фундамент всей архитектуры безопасности: от него прямо зависят бюджет на защиту, номенклатура применяемых средств, периодичность аудитов и характер взаимодействия с регуляторами. Попытка игнорировать требования 187-ФЗ или формально подойти к категорированию создаёт двойной риск: технологический (незащищённый критический актив) и правовой (санкции по итогам проверки ФСТЭК), ликвидировать которые постфактум будет на порядок дороже.