Открыть сервис

Объект критической информационной инфраструктуры

Объект критической информационной инфраструктуры (ОКИИ) — это информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, функционирующая в сфере, имеющей ключевое значение для обеспечения обороны страны, безопасности государства и жизнедеятельности населения, и принадлежащая государственному органу, государственному учреждению, юридическому лицу или индивидуальному предпринимателю, на которые распространяется действие законодательства Российской Федерации в области защиты информации.

Понятие введено Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон № 187-ФЗ). Объекты КИИ являются частью критической информационной инфраструктуры (КИИ) — совокупности объектов, обеспечивающих непрерывность и безопасность процессов в стратегических отраслях экономики и государственного управления.

История и правовая основа

Необходимость выделения объектов КИИ в отдельную категорию возникла в связи с ростом числа кибератак на инфраструктуру государств, включая Россию. К 2017 году участились инциденты, связанные с нарушением работы энергосистем, транспорта, связи и финансового сектора. Принятие Закона № 187-ФЗ стало ответом на эти угрозы и установило правовые, организационные и технические меры по защите КИИ.

Ключевые нормативные акты, регулирующие сферу:

  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017);
  • Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
  • Приказы ФСТЭК России, устанавливающие требования к системам защиты информации для объектов КИИ различных категорий значимости.

Классификация и сферы деятельности

Объекты КИИ классифицируются по сферам, в которых они функционируют. Закон № 187-ФЗ устанавливает перечень отраслей, владение объектами КИИ в которых влечёт обязательное выполнение требований по защите:

  • Здравоохранение — медицинские информационные системы, системы управления больницами, телемедицина.
  • Наука — вычислительные центры, базы данных научных организаций, системы управления научными исследованиями.
  • Транспортавтоматизированные системы управления движением (железнодорожный, воздушный, морской, автомобильный транспорт), системы диспетчеризации.
  • Связь — сети связи общего пользования, системы управления сетями, центры обработки данных операторов связи.
  • Энергетика — системы управления электростанциями, подстанциями, распределительными сетями, автоматизированные системы коммерческого учёта электроэнергии.
  • Банковская сфера и иные сферы финансового рынка — банковские информационные системы, системы платежей, расчётные центры, системы управления рисками.
  • Топливно-энергетический комплекс — системы управления добычей, переработкой и транспортировкой нефти, газа, угля.
  • Оборонная промышленность — системы управления предприятиями оборонно-промышленного комплекса, системы проектирования вооружений.
  • Ракетно-космическая промышленность — системы управления космическими аппаратами, наземные комплексы управления.
  • Горнодобывающая промышленность — системы управления горными работами, вентиляцией, безопасностью на шахтах.
  • Металлургическая промышленность — системы управления плавкой, прокаткой, химическими процессами.
  • Химическая промышленность — системы управления химическими реакторами, хранением опасных веществ.

Категорирование объектов КИИ

Категорирование — это процесс присвоения объекту КИИ одной из трёх категорий значимости (первая, вторая или третья) в зависимости от масштаба возможных последствий нарушения его функционирования. Процедура проводится собственником объекта в соответствии с Правилами, утверждёнными Постановлением Правительства РФ № 127.

Критерии категорирования включают:

  • Социальная значимость — количество людей, чья жизнь и здоровье могут пострадать (например, нарушение работы больницы, системы водоснабжения).
  • Политическая значимость — влияние на обороноспособность, государственное управление, международные отношения.
  • Экономическая значимость — прямой ущерб для экономики (стоимость восстановления, потеря прибыли, нарушение цепочек поставок).
  • Экологическая значимость — риск техногенных катастроф, загрязнения окружающей среды.
  • Влияние на обороноспособность — способность обеспечить выполнение задач обороны и безопасности.

Результатом категорирования является акт, который направляется в уполномоченный орган (ФСТЭК России). Объекты, не подлежащие категорированию (например, если нарушение их работы не приведёт к значимым последствиям), не включаются в реестр объектов КИИ, но на них всё равно распространяются общие требования по защите информации.

Требования к защите

Собственники объектов КИИ обязаны выполнять комплекс мер по обеспечению безопасности. Основные требования установлены приказами ФСТЭК России и включают:

  • Создание системы защиты информации — разработка и внедрение организационных и технических мер, направленных на предотвращение несанкционированного доступа, утечки, модификации или уничтожения информации.
  • Оценка угроз безопасности — анализ возможных кибератак, уязвимостей, действий злоумышленников (включая государственные хакерские группы). Используются базы данных угроз ФСТЭК России.
  • Использование сертифицированных средств защиты — применение программных и аппаратных средств, прошедших обязательную сертификацию в системе сертификации ФСТЭК России.
  • Обеспечение непрерывности функционирования — резервирование каналов связи, создание резервных копий данных, планы восстановления после сбоев.
  • Обучение персонала — повышение осведомлённости сотрудников о киберугрозах, правилах работы с информацией.
  • Взаимодействие с государственными органами — уведомление ФСТЭК России о компьютерных инцидентах, предоставление отчётов о состоянии защиты.

Особые требования предъявляются к объектам первой и второй категорий значимости. Для них обязательна установка государственных систем обнаружения вторжений (например, «ГосСОПКА» — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

Ответственность за нарушение требований

Нарушение законодательства о безопасности КИИ влечёт административную и уголовную ответственность. Кодекс об административных правонарушениях РФ (ст. 13.12, 13.13, 13.14) предусматривает штрафы для должностных и юридических лиц за нарушение правил защиты информации, в том числе на объектах КИИ. Уголовный кодекс РФ (ст. 274.1) устанавливает ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за создание, использование и распространение вредоносных программ, нарушение правил эксплуатации средств защиты, а также за нарушение требований к обеспечению безопасности объектов КИИ, повлёкшее тяжкие последствия. Максимальное наказаниелишение свободы на срок до десяти лет.

Инциденты и примеры

В истории России известны случаи атак на объекты КИИ. Например, в 2016 году была зафиксирована атака на автоматизированную систему управления технологическим процессом одной из российских электростанций, приведшая к временной остановке оборудования. В 2022 году, после начала специальной военной операции на Украине, резко возросло количество кибератак на российские объекты КИИ, особенно в сферах энергетики, транспорта и связи. По данным ФСТЭК России, в 2022–2023 годах количество инцидентов на объектах КИИ выросло в несколько раз по сравнению с предыдущими периодами.

Критика и проблемы

Специалисты отмечают ряд проблем в сфере защиты объектов КИИ:

  • Высокая стоимость внедрения — сертифицированные средства защиты и системы мониторинга требуют значительных финансовых затрат, особенно для малых и средних предприятий.
  • Сложность категорирования — критерии оценки последствий часто субъективны, что приводит к ошибкам при присвоении категории.
  • Недостаток квалифицированных кадровдефицит специалистов по кибербезопасности, знакомых со спецификой промышленных систем управления (SCADA, PLC).
  • Устаревание нормативной базы — технологии развиваются быстрее, чем обновляются требования ФСТЭК России, что создаёт разрыв между реальными угрозами и мерами защиты.
  • Бюрократизация процесса — избыточная отчётность и согласования с государственными органами замедляют реагирование на инциденты.

Перспективы развития

В ближайшие годы ожидается дальнейшее совершенствование законодательства в области КИИ. Планируется внедрение автоматизированных систем управления безопасностью, использование технологий искусственного интеллекта для обнаружения аномалий, а также расширение перечня сфер, подлежащих обязательному категорированию. Важным направлением является интеграция российских систем защиты с международными стандартами (например, NIST, ISO 27001) при сохранении национальных требований.

Источники

  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
  • Приказы ФСТЭК России, устанавливающие требования к защите информации на объектах КИИ (№ 31, № 239, № 240 и др.).
  • Доклады и отчёты ФСТЭК России о состоянии защиты КИИ (2022–2024 гг.).
  • Материалы научно-практических конференций по кибербезопасности (например, «КИИ-Форум»).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →