«Если бы безопасность можно было свести к следованию чек-листу, работа была бы рутиной, а не профессией. Формальные метрики регуляторов создают иллюзию контроля над хаосом, но на деле превращают управление рисками в игру с непредсказуемыми ставками.»
Несовпадение логик: чего хочет регулятор и что есть в реальности
Цель регулирования критической информационной инфраструктуры — формализовать неформализуемое. Регулятор действует в логике инженерных систем: чёткая спецификация, входные и выходные данные, предсказуемые состояния. Реальная информационная система в организации, это динамическая среда. Сетевая топология может меняться еженедельно из-за развёртывания новых сервисов, сотрудники устанавливают непроверенный софт для решения оперативных задач, а обновления безопасности внедряются выборочно из-за опасений нарушить работу унаследованных компонентов. Регулятор ищет детерминированность в хаотичном процессе.
Методики категорирования опираются на количественные критерии: число пользователей, объём обрабатываемых персональных данных, возможный материальный ущерб. Эти критерии измеряют не глубину уязвимостей системы, а масштаб потенциального инцидента. Риск компрометации небольшой, но криво настроенной CRM с паролями по умолчанию может быть выше, чем у крупного отказоустойчивого биллинга с сегментированной сетью. Однако формально первая система может не набрать баллов для категории, а вторая — попадёт в перечень. Таким образом, категорирование оценивает не безопасность, а размер потенциального «пролива».
Разрыв также лежит в определении «критичности». Для бизнеса критична система, остановка которой парализует выручку здесь и сейчас. Для регулятора критична система, отказ которой теоретически может нанести ущерб государственным интересам или большому числу граждан в будущем. Эти наборы пересекаются, но не совпадают. В итог в категорию может попасть архивный модуль, который никто не трогал пять лет, но формально хранящий старые данные. В то же время актуальный CI/CD-конвейер, от которого зависит ежедневный релиз и обновление ключевых сервисов, останется вне поля зрения как «инструмент разработки».
Это создаёт искажённую картину защищённости. Организация сосредотачивает ресурсы на защите объектов, выделенных регулятором, в ущерб реально уязвимым звеньям. Бюджет на соответствие требованиям тратится на сертификацию средств защиты информации для систем «категории», в то время как фишинговая атака происходит через незащищённый почтовый сервис, не попавший в перечень из-за формальных критериев.
Инструменты измерения: почему опросники и чек-листы дают случайный результат
Основной метод сбора данных для категорирования — опрос представителей организации. Вопросы вроде «Определите количество субъектов персональных данных, информация о которых обрабатывается в системе» или «Оцените возможный ущерб от нарушения конфиденциальности» переводят техническую экспертизу в область субъективных суждений.
Ответ зависит от того, кто именно даёт показания. Системный архитектор, знающий технические границы, назовёт одно число. Руководитель департамента, видящий бизнес-процесс в целом, — другое. Юрист, опирающийся на трактовки договоров, — третье. Ни один из ответов не будет заведомо ложным, но они будут радикально расходиться. Итоговая категория определяется не свойствами объекта, а случайным фактором — тем, кто оказался доступен для заполнения анкеты и как интерпретировал вопросы.
Чек-листы как генератор неопределённости
Структурированные чек-листы ситуацию не спасают. Пункт «Система использует средства защиты информации, прошедшие оценку соответствия» на практике трактуется двояко. Одна команда понимает его как наличие любого сертифицированного межсетевого экрана где-то в инфраструктуре. Другая — как обязательное наличие именно СЗИ из актуального перечня, внедрённого на каждый узел категорируемой системы. Разница в трудозатратах и бюджете — на порядок.
Ещё сложнее с оценкой «возможного ущерба». Методики предлагают шкалы, но не дают ясных финансовых или репутационных ориентиров. Что считается «существенным» ущербом деловой репутации? Как перевести часовой сбой в работе интернет-магазина в рублёвый эквивалент, учитывая не только потерянные транзакции, но и долгосрочное доверие? Ответ формируется на основе личного опыта и уровня осторожности респондента, что делает результат непредсказуемым.
Неявные факторы: как человеческий элемент и унаследованные системы ломают модель
Формальные методики не учитывают главный источник неопределённости — человеческий фактор. Уровень осведомлённости сотрудников о политиках безопасности, дисциплина следования инструкциям, качество реагирования на инциденты — эти параметры невозможно измерить через количество учётных записей или объём хранилищ. Однако именно они чаще всего становятся причиной успешных атак, сводя на нет инвестиции в «правильные» средства защиты.
Унаследованные системы — ещё один камень преткновения. Старая платформа на базе устаревшей ОС может формально подпадать под критерии из-за хранимых данных. Но применить к ней современные требования по защите, например, внедрить агенты специализированного СЗИ или провести полноценную аттестацию, часто невозможно физически. Система либо не поддерживает нужные агенты, либо её сбой при внедрении парализует бизнес-процесс. Регуляторная модель не содержит внятных процедур для таких исключений, заставляя организацию либо рисковать остановкой, либо искать серые схемы обхода, увеличивая риски.
Современные практики разработки также не вписываются в статичную модель. В среде микросервисов и контейнеризации границы системы размыты. Сервис может масштабироваться с одного экземпляра до сотни за час, а затем быть полностью удалённым. Критерий «количество пользователей» становится плавающим значением. Попытка «поймать» такую систему в конкретную категорию напоминает стрельбу по движущейся мишени вслепую, что приводит либо к чрезмерно консервативным оценкам, либо к их постоянному устареванию.
Практические последствия: комплаенс как лотерейный билет
Из-за описанной неопределённости процесс категорирования превращается для организации в лотерею с двумя основными исходами.
Исход первый: «перекатегорирование». Система получает более высокую категорию, чем объективно необходимо. Это влечёт каскад дорогостоящих обязательств: обязательное применение определённых типов СЗИ, проведение аттестации, ужесточение политик учёта и контроля. Бюджет на безопасность расходуется не на закрытие реальных уязвимостей, а на выполнение формальных предписаний для этой конкретной системы.
Исход второй: «недокатегорирование». Система не попадает в перечень КИИ или получает низкую категорию. В краткосрочной перспективе это выглядит как победа — меньше регуляторной нагрузки. Но в случае инцидента, особенно с утечкой данных, это станет отягчающим обстоятельством. Проверка покажет, что организация «не выявила» критичность системы, и санкции или предписания будут серьёзнее. Это скрытый риск, который материализуется неожиданно и часто болезненно.
организация не может достоверно спрогнозировать ни объём регуляторной нагрузки, ни возможные санкции. Всё зависит от интерпретации ответов проверяющими, от того, какая именно система попадёт в выборку при контроле, и даже от текущих фокусов самого регулятора.
Что делать: стратегии работы в условиях регуляторной неопределённости
Поскольку систему категорирования не изменить, нужно адаптировать внутренние процессы к её особенностям.
Документируйте процесс принятия решений. Не ограничивайтесь итоговой таблицей с категориями. По каждой оцениваемой системе создавайте справку-обоснование. Фиксируйте, на основании каких исходных данных (запросы к БД, выгрузки из CMDB, протоколы интервью) был дан тот или иной ответ по каждому критерию. Если оценка ущерба субъективна, запишите, кто её дал, его должность и использованные аргументы. Эта документация не гарантирует согласия проверяющих, но демонстрирует добросовестность и системный подход, что может смягчить последствия в спорной ситуации.
Применяйте превентивное ужесточение для «серых зон». Для систем, находящихся на границе критериев, может быть рациональным добровольно применить меры защиты, рекомендованные для более высокой категории. Это требует инвестиций, но создаёт запас прочности на случай, если при проверке мнение регулятора окажется строже вашего. Побочный эффект — реальное повышение уровня безопасности этих систем.
Стройте карту зависимостей, а не просто перечень КИИ. Вместо изолированного рассмотрения систем моделируйте их взаимодействие. Визуализируйте, как отказ «некритичной» промежуточной системы, например, сервиса аутентификации или очереди сообщений, влияет на работу формально «критичного» объекта. Такая карта — веский аргумент в диалоге с регулятором для обоснования своих оценок или для выявления скрыто важных узлов, упущенных формальной методикой.
Наладьте непрерывный мониторинг критериев. Категорирование — не разовое мероприятие. Количество пользователей, объём данных и значимость бизнес-процессов меняются. Настройте автоматические оповещения в системах мониторинга при приближении ключевых метрик (например, числа уникальных записей в базе данных) к пороговым значениям критериев категорирования. Это позволяет управлять категорией проактивно, а не экстренно пересматривать её по факту проверки или инцидента.
Вместо вывода: зачем нужна эта лотерея
Парадокс в том, что сама непредсказуемость результата категорирования отчасти выполняет регуляторную функцию. Она заставляет организации быть осторожными и закладывать дополнительный запас прочности в свои оценки. Если бы алгоритм был абсолютно детерминированным и прозрачным, компании минимизировали бы свои формальные показатели ровно до границы, чтобы избежать категории. Неопределённость, как в лотерее, поддерживает уровень регуляторного «страха» и в конечном итоге подталкивает к более серьёзным вложениям в безопасность, чем того требуют чёткие правила на бумаге.
Задача ответственной команды — не жаловаться на эту лотерею, а изучать её негласные правила, документировать свои ходы и, что важнее, строить защиту, ориентируясь на реальные риски бизнеса, а не только на формальные категории. Категорирование, это не точная наука, а сложный переговорный процесс, исход которого в значительной степени зависит от качества и глубины вашей подготовки.