Критическая информационная инфраструктура — одна из самых уязвимых сфер: ошибка в защите здесь может обернуться не просто убытками, а угрозой безопасности людей. В статье разбираемся, кто обязан применять сертифицированные средства защиты информации, как определить, относится ли компания к субъектам КИИ, какие риски несут организации, которые пренебрегают требованиями, и какие сложности могут возникнуть на практике.
В этой статье:
- Кто относится к КИИ и зачем это определять
- Регуляторы и нормативная база
- Чем рискует бизнес, если игнорирует требования к защите КИИ
- Что такое сертифицированные СЗИ и зачем они нужны
- Когда применение сертифицированных СЗИ обязательно
- С какими трудностями сталкиваются компании
- Как выбрать и внедрить СЗИ
- Главное
Кто относится к КИИ и зачем это определять
Является ли компания субъектом критической информационной инфраструктуры (КИИ), определяет закон 187-ФЗ «О безопасности КИИ». Главный критерий — деятельность компании в одной из сфер, перечисленных в законе. Специальная комиссия внутри организации определяет, есть ли в ее структуре объекты, соответствующие признакам КИИ. В комиссию входят руководители подразделений, которые знают особенности своих систем и могут оценить, соответствуют ли они установленным критериям.
Среди сфер, относящихся к КИИ, — энергетика, транспорт, связь, наука, здравоохранение, банковская и финансовая сферы, предприятия топливно-энергетического комплекса, металлургической, химической, горнодобывающей, ракетно-космической и атомной промышленности.
При категорировании организации необходимо использовать типовые перечни объектов КИИ, утверждённые уполномоченным органом в соответствующей сфере деятельности. Это помогает определить, какие именно системы предприятия относятся к объектам КИИ и требуют дальнейшей оценки значимости.
Если в организации есть объекты КИИ, которым присвоена категория значимости, на них распространяются требования приказа № 239 ФСТЭК, а значит — необходимо выделять дополнительные ресурсы на обеспечение мер защиты. Для объектов без категории эти требования не применяются, поэтому дополнительных расходов не возникает.
Регуляторы и нормативная база
Основным регулятором в сфере КИИ является ФСТЭК России. Проверки могут также проводить ФСБ, прокуратура и профильные министерства — например, Минтранс или Минпромторг, если предприятие относится к их сфере ответственности. Государственные органы вправе запрашивать у компании сведения о том, проводилось ли категорирование и какие меры защиты уже реализованы, если компания относится к КИИ.
К нормативной базе по вопросам защиты КИИ относятся:
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры»;
- постановление правительства №127 о категорировании объектов КИИ;
- приказы ФСТЭК №236, №239 и №31;
- указ Президента №250;
- приказы ФСБ, регулирующие реагирование на инциденты.
Эти документы определяют, какие меры безопасности обязательны и в каких случаях нужно использовать сертифицированные средства защиты информации.
Чем рискует бизнес, если игнорирует требования к защите КИИ
Опасность для объектов КИИ — не абстракция. В производственных системах сбой может повлечь аварии, ущерб для экологии и угрозу жизни людей. Атаки на информационные системы чреваты утечками данных, остановкой бизнес-процессов и репутационными потерями.
Риски подтверждают инциденты, случившиеся в последние годы. Например, атака хактивистов на три иранских сталелитейных завода нарушила технологические процессы: один из ковшей с жидким чугуном обрушился, начался пожар. По некоторым данным, злоумышленники использовали ПО, удаляющее данные.
Последствия подобных инцидентов для субъектов КИИ включают и технологические, и финансовые аспекты: простои, аварии, восстановление инфраструктуры и репутационные потери способны нанести серьёзный ущерб бизнесу. При этом ответственность несут не только компании, но и конкретные сотрудники, из-за которых произошел инцидент.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Что такое сертифицированные СЗИ и зачем они нужны
Сертифицированные средства защиты информации (СЗИ) — это решения, прошедшие специальные испытания по методикам, утвержденным ФСТЭК или ФСБ России. Сертификат подтверждает, что средство обеспечивает требуемый уровень защиты и соответствует нормативным требованиям.
Использование несертифицированных решений — риск. Помимо возможных штрафов за несоблюдение закона, остаются и технологические уязвимости, вот почему СЗИ — не просто «галочка» для регулятора, а ваша страховка:
Снимает с вас ответственность за сбои ПО на стороне вендора. Представьте: вы построили защиту на несертифицированном продукте, произошел сбой, в результате — инцидент. Регулятор спросит: «Почему вы решили, что эта программа защищает? Вы сами провели полный аудит ее кода и функций?». Ответить на этот вопрос будет непросто.
Сертификат подтверждает, что средство защиты прошло испытания в аккредитованной лаборатории и признано соответствующим требованиям безопасности. Это гарантирует, что производитель отвечает за корректную работу своего решения и заявленные функции защиты. Вы выполняете требование закона, используя проверенный инструмент.
Экономит ваши время и деньги. Самостоятельно проверить эффективность средства защиты — дорого и почти нереально. Вам потребуется своя лаборатория, эксперты и месяцы тестирования. Сертификат решает эту проблему — вы покупаете уже проверенное решение.
Узнайте, как правильно потратить бюджет на информационную безопасность
Пришлем ссылку на гайд о стоимости ИБ-решений ответным письмом на почту, которую вы указали.
Когда применение сертифицированных СЗИ обязательно
В определенных контурах использование сертифицированного СЗИ — это обязательное условие, а не рекомендация. Применение несертифицированного аналога приравнивается к его отсутствию.
Для значимых объектов КИИ средства защиты информации должны пройти оценку на соответствие требованиям безопасности. Это может быть обязательная сертификация, испытания или приёмка — в зависимости от формы, предусмотренной пунктом 28 приказа № 239 ФСТЭК.
В зависимости от категории объекта КИИ предъявляются разные требования к классу защиты:
| Категория значимости объекта | Примеры объектов | Минимальный класс защиты СЗИ |
|---|---|---|
|
I категория (наиболее значимая) |
АЭС, объекты единой энергосистемы, центральный банк |
не ниже 4-го |
|
II категория |
Крупные транспортные узлы (например, аэропорты), система водоснабжения мегаполиса |
не ниже 5-го |
|
III категория |
Региональная больница, отделение крупного банка |
не ниже 6-го |
|
Без категории |
использование сертифицированных СЗИ не обязательно |
Чем выше категория значимости, тем строже требования к защите. Если же объект КИИ не имеет категории значимости, требования приказа № 239 ФСТЭК к использованию сертифицированных средств защиты на него не распространяются, и организация может использовать любые подходящие решения.
С какими трудностями сталкиваются компании
Даже при соблюдении всех требований сертифицированные СЗИ могут создавать сложности в эксплуатации. Средства защиты — такое же программное обеспечение, как и любое другое, и на разных компьютерах они могут вести себя по-разному: где-то установиться без проблем, а где-то вызвать сбой или конфликт с другими программами. Иногда после внедрения СЗИ часть других рабочих инструментов перестает функционировать, например из-за несовместимости, что приводит к простоям и потере ресурсов на восстановление работоспособности системы.
Еще одна проблема — ограниченный выбор сертифицированных решений. Универсальных систем нет, а отдельные СЗИ могут быть несовместимы между собой. Из-за этого сложно построить комплексную защиту без конфликтов и потерь производительности.
Кроме того, не каждое оборудование готово к установке современных средств защиты. Например, на старых промышленных системах попытка интеграции может привести к сбою работы оборудования, особенно если оно изначально разрабатывалось иностранными производителями — или просто больше не поддерживается.
Чтобы минимизировать риски, новые решения нужно тестировать на стендах и внедрять в периоды, когда простои менее критичны — например, в нерабочие дни.
Как выбрать и внедрить СЗИ
Выбор средств защиты информации зависит от того, что именно защищается: автоматизированная система управления, информационная система или телекоммуникационная сеть. Для каждого типа объектов применяются разные классы и виды СЗИ — это прямо предусмотрено приказами ФСТЭК № 235 и № 239.
Процесс обычно включает несколько этапов:
Анализ и моделирование угроз — помогает определить, какие угрозы актуальны для конкретной инфраструктуры.
Перед выбором конкретных решений важно понять, какие угрозы актуальны для вашей инфраструктуры и какие меры требуются, чтобы выполнить требования законодательства.
Проверка имеющихся решений — возможно, часть из них уже сертифицирована и удовлетворяет всем требованиям к защите.
Иногда нужные средства уже установлены — например, антивирус или система защиты от несанкционированного доступа (СЗИ от НСД). В этом случае важно проверить, сертифицированы ли они и соответствуют ли установленным требованиям.
Проектирование системы защиты, оценка совместимости всех компонентов и подбор подходящих СЗИ. Важно помнить, что средства защиты работают только в системе: антивирус не заменит межсетевой экран, а криптографическая защита — средства от несанкционированного доступа. Поэтому комплексный подход — ключевой фактор эффективности.
Тестирование — сначала на стендах, потом в реальной среде.
Для сложных объектов КИИ стоит привлекать специалистов, которые смогут не только подобрать сертифицированные решения под конкретный тип системы, но и учесть, чтобы новое средство не мешало работе оборудования — особенно на старых промышленных установках, где любое вмешательство может привести к сбоям.
Главное
- Присвоение статуса субъекта КИИ — обязанность, а не выбор компании, если она подпадает под критерии КИИ, установленные законом.
- Для значимых объектов обязательны сертифицированные СЗИ.
- Использование несертифицированных решений допустимо только на объектах без категории значимости.
- Несоблюдение требований грозит штрафами, сбоями и репутационными потерями.
- Перед внедрением средств защиты их нужно тестировать и проверять их совместимость с уже имеющимся ПО.
Защита объектов КИИ — это не вопрос формального соответствия, а элемент устойчивости бизнеса. Сертифицированные СЗИ помогают не просто выполнить требования закона, но и предотвратить реальные угрозы, от которых зависит работа компании и безопасность людей.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.