Открыть сервис

Критическая информационная инфраструктура

Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в ключевых сферах жизнедеятельности государства, общества и экономики, нарушение или прекращение работы которых может привести к значительным негативным последствиям (катастрофам, угрозе обороноспособности, серьёзному экономическому ущербу). Правовой режим КИИ в Российской Федерации устанавливается Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (принят в 2017 году).

Определение и правовой статус

Понятие КИИ тесно связано с обеспечением национальной безопасности в информационной сфере. Объектами КИИ признаются информационные системы, сети и автоматизированные системы управления, принадлежащие субъектам КИИ. Субъектами КИИ, в свою очередь, являются государственные органы, российские юридические лица и индивидуальные предприниматели, которые владеют объектами КИИ или управляют ими, и чья деятельность затрагивает одну из установленных сфер.

Законодательство Российской Федерации (ФЗ № 187-ФЗ) выделяет следующие ключевые признаки отнесения объекта к КИИ:

Сферы критической информационной инфраструктуры

Федеральный закон № 187-ФЗ определяет перечень сфер, в которых организации и предприятия обязаны обеспечивать безопасность КИИ. К ним относятся:

Категории значимости объектов КИИ

В зависимости от степени потенциального ущерба в результате компьютерной атаки или сбоя, объектам КИИ присваивается одна из трёх категорий значимости:

  1. Первая категория (высокая): Объект, нарушение работы которого может привести к возникновению чрезвычайной ситуации федерального или межрегионального характера, либо к существенному снижению обороноспособности.
  2. Вторая категория (средняя): Объект, сбой на котором способен вызвать ЧС регионального или межмуниципального характера, либо нанести значительный экономический ущерб.
  3. Третья категория (низкая): Объект, нарушение работы которого может привести к ЧС муниципального или локального характера, либо к ограниченному экономическому ущербу.

Категорирование объектов КИИ осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и отраслевыми ведомствами. Субъекты КИИ обязаны направлять сведения о своих объектах для категорирования. Объекты, не подлежащие категорированию, тем не менее, должны соответствовать базовым требованиям безопасности.

Система безопасности КИИ

Обеспечение безопасности КИИ представляет собой комплекс организационных и технических мер, направленных на защиту объектов от компьютерных атак. Основные требования включают:

Организационные меры

Технические меры

Взаимодействие с государством

Субъекты КИИ обязаны:

Угрозы и основные инциденты

Основными угрозами для КИИ являются:

Крупным инцидентом в России стало отключение систем управления движением поездов на некоторых участках РЖД в 2018 году, вызванное, по официальным данным, сбоем в работе программного обеспечения, а не целенаправленной атакой. В 2022 году, на фоне геополитической напряжённости, была зафиксирована серия DDoS-атак на сайты государственных органов и банков, а также попытки проникновения в сети энергетических компаний.

Международный опыт

Развитые страны мира также имеют законодательство о защите КИИ. В США действует Закон о кибербезопасности (Cybersecurity Act) и указания президента по защите критической инфраструктуры. В Европейском союзе принята Директива NIS (Network and Information Security), обязывающая государства-члены обеспечить высокий уровень безопасности сетей и информационных систем в ключевых секторах (энергетика, транспорт, банки, здравоохранение). В 2022 году вступила в силу обновлённая Директива NIS 2, расширяющая перечень регулируемых секторов и ужесточающая требования.

Критика и сложности

Реализация требований по защите КИИ сопряжена с рядом проблем:

Источники

  1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Приказы ФСТЭК России, касающиеся требований к системам безопасности объектов КИИ (№ 235, № 236, № 239 и др.).
  3. Указ Президента РФ от 22.12.2017 № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
  4. Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 05.12.2016 № 646).
  5. Материалы Национального координационного центра по компьютерным инцидентам (НКЦКИ).
  6. Аналитические отчёты ведущих компаний в области кибербезопасности (Positive Technologies, Group-IB, Kaspersky Lab) по угрозам для КИИ.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →