Объект критической информационной инфраструктуры
Объект критической информационной инфраструктуры (ОКИИ) — это информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, функционирующая в сфере, имеющей ключевое значение для обеспечения обороны страны, безопасности государства и жизнедеятельности населения, и принадлежащая государственному органу, государственному учреждению, юридическому лицу или индивидуальному предпринимателю, на которые распространяется действие законодательства Российской Федерации в области защиты информации.
Понятие введено Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон № 187-ФЗ). Объекты КИИ являются частью критической информационной инфраструктуры (КИИ) — совокупности объектов, обеспечивающих непрерывность и безопасность процессов в стратегических отраслях экономики и государственного управления.
История и правовая основа
Необходимость выделения объектов КИИ в отдельную категорию возникла в связи с ростом числа кибератак на инфраструктуру государств, включая Россию. К 2017 году участились инциденты, связанные с нарушением работы энергосистем, транспорта, связи и финансового сектора. Принятие Закона № 187-ФЗ стало ответом на эти угрозы и установило правовые, организационные и технические меры по защите КИИ.
Ключевые нормативные акты, регулирующие сферу:
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (2017);
- Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
- Приказы ФСТЭК России, устанавливающие требования к системам защиты информации для объектов КИИ различных категорий значимости.
Классификация и сферы деятельности
Объекты КИИ классифицируются по сферам, в которых они функционируют. Закон № 187-ФЗ устанавливает перечень отраслей, владение объектами КИИ в которых влечёт обязательное выполнение требований по защите:
- Здравоохранение — медицинские информационные системы, системы управления больницами, телемедицина.
- Наука — вычислительные центры, базы данных научных организаций, системы управления научными исследованиями.
- Транспорт — автоматизированные системы управления движением (железнодорожный, воздушный, морской, автомобильный транспорт), системы диспетчеризации.
- Связь — сети связи общего пользования, системы управления сетями, центры обработки данных операторов связи.
- Энергетика — системы управления электростанциями, подстанциями, распределительными сетями, автоматизированные системы коммерческого учёта электроэнергии.
- Банковская сфера и иные сферы финансового рынка — банковские информационные системы, системы платежей, расчётные центры, системы управления рисками.
- Топливно-энергетический комплекс — системы управления добычей, переработкой и транспортировкой нефти, газа, угля.
- Оборонная промышленность — системы управления предприятиями оборонно-промышленного комплекса, системы проектирования вооружений.
- Ракетно-космическая промышленность — системы управления космическими аппаратами, наземные комплексы управления.
- Горнодобывающая промышленность — системы управления горными работами, вентиляцией, безопасностью на шахтах.
- Металлургическая промышленность — системы управления плавкой, прокаткой, химическими процессами.
- Химическая промышленность — системы управления химическими реакторами, хранением опасных веществ.
Категорирование объектов КИИ
Категорирование — это процесс присвоения объекту КИИ одной из трёх категорий значимости (первая, вторая или третья) в зависимости от масштаба возможных последствий нарушения его функционирования. Процедура проводится собственником объекта в соответствии с Правилами, утверждёнными Постановлением Правительства РФ № 127.
Критерии категорирования включают:
- Социальная значимость — количество людей, чья жизнь и здоровье могут пострадать (например, нарушение работы больницы, системы водоснабжения).
- Политическая значимость — влияние на обороноспособность, государственное управление, международные отношения.
- Экономическая значимость — прямой ущерб для экономики (стоимость восстановления, потеря прибыли, нарушение цепочек поставок).
- Экологическая значимость — риск техногенных катастроф, загрязнения окружающей среды.
- Влияние на обороноспособность — способность обеспечить выполнение задач обороны и безопасности.
Результатом категорирования является акт, который направляется в уполномоченный орган (ФСТЭК России). Объекты, не подлежащие категорированию (например, если нарушение их работы не приведёт к значимым последствиям), не включаются в реестр объектов КИИ, но на них всё равно распространяются общие требования по защите информации.
Требования к защите
Собственники объектов КИИ обязаны выполнять комплекс мер по обеспечению безопасности. Основные требования установлены приказами ФСТЭК России и включают:
- Создание системы защиты информации — разработка и внедрение организационных и технических мер, направленных на предотвращение несанкционированного доступа, утечки, модификации или уничтожения информации.
- Оценка угроз безопасности — анализ возможных кибератак, уязвимостей, действий злоумышленников (включая государственные хакерские группы). Используются базы данных угроз ФСТЭК России.
- Использование сертифицированных средств защиты — применение программных и аппаратных средств, прошедших обязательную сертификацию в системе сертификации ФСТЭК России.
- Обеспечение непрерывности функционирования — резервирование каналов связи, создание резервных копий данных, планы восстановления после сбоев.
- Обучение персонала — повышение осведомлённости сотрудников о киберугрозах, правилах работы с информацией.
- Взаимодействие с государственными органами — уведомление ФСТЭК России о компьютерных инцидентах, предоставление отчётов о состоянии защиты.
Особые требования предъявляются к объектам первой и второй категорий значимости. Для них обязательна установка государственных систем обнаружения вторжений (например, «ГосСОПКА» — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Ответственность за нарушение требований
Нарушение законодательства о безопасности КИИ влечёт административную и уголовную ответственность. Кодекс об административных правонарушениях РФ (ст. 13.12, 13.13, 13.14) предусматривает штрафы для должностных и юридических лиц за нарушение правил защиты информации, в том числе на объектах КИИ. Уголовный кодекс РФ (ст. 274.1) устанавливает ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за создание, использование и распространение вредоносных программ, нарушение правил эксплуатации средств защиты, а также за нарушение требований к обеспечению безопасности объектов КИИ, повлёкшее тяжкие последствия. Максимальное наказание — лишение свободы на срок до десяти лет.
Инциденты и примеры
В истории России известны случаи атак на объекты КИИ. Например, в 2016 году была зафиксирована атака на автоматизированную систему управления технологическим процессом одной из российских электростанций, приведшая к временной остановке оборудования. В 2022 году, после начала специальной военной операции на Украине, резко возросло количество кибератак на российские объекты КИИ, особенно в сферах энергетики, транспорта и связи. По данным ФСТЭК России, в 2022–2023 годах количество инцидентов на объектах КИИ выросло в несколько раз по сравнению с предыдущими периодами.
Критика и проблемы
Специалисты отмечают ряд проблем в сфере защиты объектов КИИ:
- Высокая стоимость внедрения — сертифицированные средства защиты и системы мониторинга требуют значительных финансовых затрат, особенно для малых и средних предприятий.
- Сложность категорирования — критерии оценки последствий часто субъективны, что приводит к ошибкам при присвоении категории.
- Недостаток квалифицированных кадров — дефицит специалистов по кибербезопасности, знакомых со спецификой промышленных систем управления (SCADA, PLC).
- Устаревание нормативной базы — технологии развиваются быстрее, чем обновляются требования ФСТЭК России, что создаёт разрыв между реальными угрозами и мерами защиты.
- Бюрократизация процесса — избыточная отчётность и согласования с государственными органами замедляют реагирование на инциденты.
Перспективы развития
В ближайшие годы ожидается дальнейшее совершенствование законодательства в области КИИ. Планируется внедрение автоматизированных систем управления безопасностью, использование технологий искусственного интеллекта для обнаружения аномалий, а также расширение перечня сфер, подлежащих обязательному категорированию. Важным направлением является интеграция российских систем защиты с международными стандартами (например, NIST, ISO 27001) при сохранении национальных требований.
Источники
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
- Приказы ФСТЭК России, устанавливающие требования к защите информации на объектах КИИ (№ 31, № 239, № 240 и др.).
- Доклады и отчёты ФСТЭК России о состоянии защиты КИИ (2022–2024 гг.).
- Материалы научно-практических конференций по кибербезопасности (например, «КИИ-Форум»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →