«Термин ‘защита критической инфраструктуры’ (Critical Infrastructure Protection, CIP) в российском ИТ-контексте слышан многими, но редко воспринимается за пределами требований регулятора. На деле это не просто формальность, это выстроенная система взглядов, где безопасность ИС начинает формироваться не с кода приложения, а с понимания физической и цифровой среды, в которой этот код выполняется.»
Критическая информационная инфраструктура: объект регулирования, а не ИТ-решение
В России фокус смещён с абстрактной «критической инфраструктуры» на конкретную «критическую информационную инфраструктуру» (КИИ). Это юридически определённые объекты, процессы и системы, выход из строя которых приведёт к тяжелым последствиям для обороны, безопасности, государственного управления, экономики или жизнеобеспечения. Речь не о конкретном софте, а о значимых функциях: энергоснабжение города, работа аэропортов, управление транспортными потоками, функционирование систем экстренных служб.
Ключевой документ — 187-ФЗ «О безопасности критической информационной инфраструктуры». Именно он вводит понятие значимых объектов КИИ (ЗО КИИ) и значимости объектов. Важно понимать: значимость присваивается не автоматически всем серверам компании, а конкретным информационным системам, информационно-телекоммуникационным сетям и автоматизированным системам управления, выполняющим критически важные функции. Уровень значимости (первый, второй или третий) напрямую влияет на строгость требований по защите.
Защита КИИ: практика за рамками чек-листа
Защита КИИ, это комплекс мер, выходящий далеко за пределы базовых требований ФСТЭК для ГИС. Если подход к защите ГИС можно в упрощении свести к выполнению технических требований (СЗИ, антивирусы, разграничение), то защита КИИ требует системного взгляда на жизненный цикл объекта.
- Системный подход. Анализируются не только технические компоненты, но и их взаимосвязи, процессы управления, цепочки поставок, действия персонала, включая аварийные сценарии.
- Упреждение. Вместо реагирования на инциденты упор делается на их предотвращение. Это включает регулярные углублённые моделирование угроз и оценку рисков, аудит защищённости отраслевого уровня.
- Сегрегация и целостность. Ключевой принцип — максимальное отделение сетей и систем КИИ от интернета и корпоративных сетей общего пользования. Используются механизмы air-gap, специализированные шлюзы контроля данных. Целостность данных и систем обеспечивается не столько резервным копированием, сколько внедрением технологий неизменяемого журналирования событий безопасности для юридически значимого расследования.
Требования ФСТЭК для объектов КИИ, формализованные в приказах, становятся основой, но не исчерпывающим руководством. Для объекта КИИ 1-й категории значимости недостаточно просто установить указанное в требованиях средство защиты информации. Нужен план его интеграции с системами мониторинга и реагирования, подтверждение его эффективности в конкретной среде, план его обновления и замены.
Неочевидные части головоломки
На практике успешная защита КИИ упирается в аспекты, о которых редко говорят в обучающих курсах.
Управление уязвимостями не в общедоступных базах
Типичный процесс сводится к сканированию сканером вроде OpenVAS и поиску CVE. Для КИИ этого категорически недостаточно. Многие компоненты — промышленные контроллеры (ПЛК), системы диспетчерского управления (SCADA), специализированное ПО — используют закрытые протоколы и имеют уязвимости, которые не публикуются в открытых источниках. Их поиск требует reverse engineering, анализа трафика, работы с поставщиком. Устаревшие, но критически важные системы могут не иметь патчей в принципе, и защита строится на их полной изоляции и мониторинге аномального поведения.
Человеческий фактор и цепочка поставок
Технические меры могут быть сведены на нет действиями персонала или скрытыми угрозами в цепочке поставок. Защита КИИ требует жёсткого контроля за физическим доступом, двухфакторной аутентификацией не как опции, а как обязательного условия, и постоянного мониторинга действий привилегированных пользователей. Кроме того, приобретая сервер или промышленный контроллер, невозможно быть уверенным, что его прошивка или микрокод не содержат закладок. В российской практике это привело к ужесточению требований к сертификации СЗИ и появлению требований к отечественному происхождению ключевых компонентов для объектов высшей значимости.
Латентные инциденты и аномальный трафик
Классический антивирус или система предотвращения вторжений (IPS) ориентированы на известные сигнатуры. Атаки на КИИ часто используют легитимные протоколы (например, Modbus, OPC UA) в нестандартной, аномальной последовательности для нарушения технологического процесса. Обнаружение требует не анализа сигнатур, а построения поведенческой модели системы. Если ПЛК в промышленной сети начинает отправлять команды на отключение насосов в неположенное время, это инцидент, даже если команды технически корректны. Для этого внедряются системы класса Industrial IDS/IPS и платформы для анализа сетевого трафика в реальном времени.
Реализация в российских реалиях: ключевые технологии
Внедрение защиты КИИ в России опирается на конкретные технологические решения.
- ГосСОПКА и отраслевые СОПКИ. Это не просто система сбора логов. Это централизованная инфраструктура для оперативного обмена информацией об угрозах между субъектами КИИ и государством. Подключение к СОПКИ для объектов 1-й и 2-й категорий обязательно и является каналом получения актуальных индикаторов компрометации.
- Средства защиты информации (СЗИ) ФСТЭК. Не просто сертифицированные межсетевые экраны, а комплексные системы, включающие средства обнаружения вторжений для протоколов АСУ ТП, анализаторы защищённости для промышленных систем, средства контроля съёмных носителей.
- Системы мониторинга и управления информационной безопасностью (SIEM/SOC). Для КИИ требуется не просто логирование, а корреляция событий из технологических (например, SCADA) и ИТ-систем (сетевые устройства, серверы). Цель — выявление сложных межсистемных атак.
Заключение
Защита критической информационной инфраструктуры — не набор формальных действий «для галочки». Это специфическая, глубоко техническая и организационная дисциплина, требующая перехода от реактивной модели к проактивной. Её суть в понимании, что защищать нужно не сеть из IP-адресов, а конкретный технологический процесс или государственную функцию. В России этот подход обрёл конкретные законодательные и технические очертания, где роль оперативного взаимодействия через СОПКИ и комплексного применения отечественных СЗИ стала ключевой. Сложность заключается в интеграции устаревшего промышленного оборудования, борьбе с неизвестными уязвимостями и построении системы, где человеческий фактор минимизирован, а целостность критических процессов доказана и постоянно контролируется.