Критическая информационная инфраструктура
Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, функционирующих в ключевых сферах жизнедеятельности государства, общества и экономики, нарушение или прекращение работы которых может привести к значительным негативным последствиям (катастрофам, угрозе обороноспособности, серьёзному экономическому ущербу). Правовой режим КИИ в Российской Федерации устанавливается Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (принят в 2017 году).
Определение и правовой статус
Понятие КИИ тесно связано с обеспечением национальной безопасности в информационной сфере. Объектами КИИ признаются информационные системы, сети и автоматизированные системы управления, принадлежащие субъектам КИИ. Субъектами КИИ, в свою очередь, являются государственные органы, российские юридические лица и индивидуальные предприниматели, которые владеют объектами КИИ или управляют ими, и чья деятельность затрагивает одну из установленных сфер.
Законодательство Российской Федерации (ФЗ № 187-ФЗ) выделяет следующие ключевые признаки отнесения объекта к КИИ:
- Социальная значимость: нарушение функционирования объекта может привести к нарушению работы систем жизнеобеспечения населения.
- Экономическая значимость: сбой способен вызвать серьёзные финансовые потери для государства или крупного бизнеса.
- Оборонная значимость: объект задействован в обеспечении обороноспособности и безопасности государства.
- Экологическая значимость: авария на объекте может спровоцировать техногенную или экологическую катастрофу.
Сферы критической информационной инфраструктуры
Федеральный закон № 187-ФЗ определяет перечень сфер, в которых организации и предприятия обязаны обеспечивать безопасность КИИ. К ним относятся:
- Здравоохранение: системы управления больницами, электронные медицинские карты, системы жизнеобеспечения медицинского оборудования.
- Транспортный комплекс: системы управления движением (авиационным, железнодорожным, водным, автомобильным), диспетчерские центры, системы продажи билетов.
- Связь: сети операторов связи, центры обработки данных, системы управления телекоммуникациями.
- Энергетика: автоматизированные системы управления электростанциями, диспетчерские пункты энергосистем, системы учёта электроэнергии.
- Банковская сфера и финансы: системы межбанковских расчётов (например, SWIFT, СПФС), платёжные системы, системы дистанционного банковского обслуживания, депозитарные системы.
- Топливно-энергетический комплекс: системы управления добычей, переработкой и транспортировкой нефти, газа, угля.
- Оборонная промышленность: системы управления предприятиями ОПК, разработки вооружений.
- Наука и образование: системы управления научными установками (коллайдеры, телескопы), сети передачи данных научных центров.
- Государственное управление: системы электронного правительства, порталы государственных услуг, системы межведомственного электронного взаимодействия (СМЭВ).
- Атомная энергетика: системы управления атомными станциями и предприятиями ядерного цикла.
Категории значимости объектов КИИ
В зависимости от степени потенциального ущерба в результате компьютерной атаки или сбоя, объектам КИИ присваивается одна из трёх категорий значимости:
- Первая категория (высокая): Объект, нарушение работы которого может привести к возникновению чрезвычайной ситуации федерального или межрегионального характера, либо к существенному снижению обороноспособности.
- Вторая категория (средняя): Объект, сбой на котором способен вызвать ЧС регионального или межмуниципального характера, либо нанести значительный экономический ущерб.
- Третья категория (низкая): Объект, нарушение работы которого может привести к ЧС муниципального или локального характера, либо к ограниченному экономическому ущербу.
Категорирование объектов КИИ осуществляется Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и отраслевыми ведомствами. Субъекты КИИ обязаны направлять сведения о своих объектах для категорирования. Объекты, не подлежащие категорированию, тем не менее, должны соответствовать базовым требованиям безопасности.
Система безопасности КИИ
Обеспечение безопасности КИИ представляет собой комплекс организационных и технических мер, направленных на защиту объектов от компьютерных атак. Основные требования включают:
Организационные меры
- Создание подразделения по защите КИИ: Назначение ответственного лица или создание структурного подразделения, отвечающего за информационную безопасность.
- Разработка и внедрение политики безопасности: Документ, регламентирующий правила доступа, обработки и защиты информации.
- Проведение аудита и оценки уязвимостей: Регулярные проверки на проникновение (пентесты) и анализ защищённости систем.
- План реагирования на инциденты: Порядок действий при обнаружении компьютерной атаки, включая уведомление уполномоченных органов (ФСТЭК, ФСБ).
Технические меры
- Использование сертифицированных средств защиты информации (СЗИ): Применение межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусного ПО, средств криптографической защиты.
- Сегментация сети: Разделение корпоративной сети на изолированные сегменты для ограничения распространения атак.
- Резервирование и отказоустойчивость: Создание дублирующих каналов связи, резервных центров обработки данных (ЦОД).
- Контроль доступа: Строгая аутентификация пользователей, использование многофакторной аутентификации, управление привилегиями.
Взаимодействие с государством
Субъекты КИИ обязаны:
- Уведомлять ФСТЭК России о компьютерных инцидентах, затрагивающих объекты КИИ.
- Взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), созданным при ФСБ России.
- Обеспечивать возможность проведения государственными органами проверок состояния безопасности.
Угрозы и основные инциденты
Основными угрозами для КИИ являются:
- Целенаправленные атаки (APT): Сложные, многоэтапные атаки, проводимые хакерскими группами, часто спонсируемыми государствами. Цель — длительное скрытое присутствие в сети для сбора данных или саботажа.
- Программы-вымогатели (Ransomware): Шифрование данных с требованием выкупа. Пример — атака вируса WannaCry в 2017 году, затронувшая системы здравоохранения и транспорта в десятках стран.
- DDoS-атаки: Массовые запросы к серверам, приводящие к отказу в обслуживании. Используются для паралича сайтов госорганов, банков, платёжных систем.
- Атаки на цепочки поставок: Внедрение вредоносного кода в обновления программного обеспечения, используемого субъектами КИИ (например, атака на SolarWinds в 2020 году).
- Инсайдерские угрозы: Действия сотрудников, имеющих легальный доступ к системам, — как умышленные (шпионаж, саботаж), так и неумышленные (ошибки, нарушение регламентов).
Крупным инцидентом в России стало отключение систем управления движением поездов на некоторых участках РЖД в 2018 году, вызванное, по официальным данным, сбоем в работе программного обеспечения, а не целенаправленной атакой. В 2022 году, на фоне геополитической напряжённости, была зафиксирована серия DDoS-атак на сайты государственных органов и банков, а также попытки проникновения в сети энергетических компаний.
Международный опыт
Развитые страны мира также имеют законодательство о защите КИИ. В США действует Закон о кибербезопасности (Cybersecurity Act) и указания президента по защите критической инфраструктуры. В Европейском союзе принята Директива NIS (Network and Information Security), обязывающая государства-члены обеспечить высокий уровень безопасности сетей и информационных систем в ключевых секторах (энергетика, транспорт, банки, здравоохранение). В 2022 году вступила в силу обновлённая Директива NIS 2, расширяющая перечень регулируемых секторов и ужесточающая требования.
Критика и сложности
Реализация требований по защите КИИ сопряжена с рядом проблем:
- Высокая стоимость: Внедрение сертифицированных средств защиты, создание резервных центров и обучение персонала требуют значительных финансовых затрат, особенно для среднего и малого бизнеса.
- Дефицит кадров: Острый недостаток квалифицированных специалистов по информационной безопасности, способных проектировать и обслуживать сложные системы защиты.
- Сложность категорирования: Процедура отнесения объекта к КИИ и присвоения категории значимости может быть бюрократизированной и длительной.
- Несовместимость систем: Необходимость интеграции новых средств защиты с устаревшим оборудованием и программным обеспечением, которое часто не имеет современных интерфейсов безопасности.
- Баланс между безопасностью и доступностью: Чрезмерно жёсткие меры защиты могут замедлить работу систем и снизить их удобство для пользователей.
Источники
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Приказы ФСТЭК России, касающиеся требований к системам безопасности объектов КИИ (№ 235, № 236, № 239 и др.).
- Указ Президента РФ от 22.12.2017 № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
- Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 05.12.2016 № 646).
- Материалы Национального координационного центра по компьютерным инцидентам (НКЦКИ).
- Аналитические отчёты ведущих компаний в области кибербезопасности (Positive Technologies, Group-IB, Kaspersky Lab) по угрозам для КИИ.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →