Критическая информационная инфраструктура (КИИ): нормативные правовые акты и обеспечение бесперебойной работы стратегических объектов

Критическая информационная инфраструктура (КИИ) — это «нервная система» ключевых отраслей государства: энергетики, связи, транспорта, финансов и других важных направлений. Любой сбой в работе КИИ может привести к серьёзным последствиям, вплоть до остановки целых производств или сбоев в поставке жизненно важных услуг. Именно поэтому в России появился Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и дополнительные документы, разъясняющие, как владельцам и операторам КИИ следует организовать деятельность.

В первую очередь, это социальная значимость. Если в энергетическом комплексе или медицине возникнет крупный сбой, пострадают не только инфраструктура компании, но и люди, зависящие от непрерывного снабжения ресурсами или услугами. Кроме того, неспособность обеспечить работоспособность критических объектов может повлечь репутационные потери и отразиться на уровне доверия со стороны клиентов и партнеров.

Также важны правовые риски. Несоблюдение требований государства может обернуться значительными штрафами и даже уголовной ответственностью, если нарушение было грубым или повлекло за собой серьезные последствия. Поскольку злоумышленники все чаще атакуют крупные IT-системы, в том числе и в сферах, относящихся к КИИ, профилактические меры и соответствие законам — гарантия того, что деятельность компании не будет парализована из-за внешнего воздействия.

Согласно законодательству, под КИИ понимают информационные системы и сети связи, которые обеспечивают непрерывную работу стратегически важных отраслей. Федеральный закон № 187-ФЗ и сопутствующие акты указывают перечень направлений:

Чтобы установить, подпадают ли объекты под КИИ, в нормативных актах прописаны критерии значимости. Чем серьёзнее возможный ущерб (материальный, социальный, экологический), тем выше вероятность, что система будет признана критической.

Для понимания того, какие требования действуют в сфере КИИ, важно изучить основные правовые документы:

1. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Текст закона регламентирует общие правила по выявлению, защите и мониторингу объектов КИИ, а также вводит понятие «категории значимости».

2. Постановление Правительства Р Ф от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации»
Документ содержит методику по присвоению объектам КИИ одной из трёх категорий: чем выше категория, тем серьезнее требования к безопасности.

3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Приказ регламентирует конкретные меры по защите, начиная с организации пропускного режима и заканчивая правилами шифрования и сбора логов.

3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Приказ регламентирует конкретные меры по защите, начиная с организации пропускного режима и заканчивая правилами шифрования и сбора логов.

Эти три акта тесно взаимосвязаны между собой. В случае несоблюдения требований, прописанных в них, владельцы систем могут столкнуться с проверками регуляторов (ФСТЭК, ФСБ, Роскомнадзор), вынесением предписаний и серьезными санкциями.

По результатам категорирования объекты КИИ могут быть отнесены к одной из трёх категорий значимости:

Присваивается наиболее критичным системам. Любой инцидент здесь способен вызвать широкий общественный резонанс, повлиять на регион или отрасль. Требования к защите самые жёсткие: необходим круглосуточный мониторинг, сертифицированные средства защиты, подробные планы действий при ЧС.

Это объекты, сбой в которых влечет серьезный ущерб, но обычно ограниченный региональным масштабом. Здесь тоже требуется тщательный контроль, но объём мер немного меньше, чем в первой категории.

Является «минимальной» по сравнению с двумя первыми, но всё же предполагает целый комплекс мер: резервирование, документированное реагирование на инциденты, базовые средства защиты.

Когда компания не учитывает требования 187-ФЗ и подзаконных актов, она ставит под удар не только себя, но и стабильность отрасли или региона. Последствия могут быть как юридические, так и репутационные.

Бизнес рискует получить серьезные штрафы за несоответствие требованиям, а при наличии отягчающих обстоятельств (например, массовая утечка данных) — административную или уголовную ответственность руководителей.

Хакерская атака может парализовать деятельность на часы или дни, повлечь финансовые потери, отток клиентов и большой резонанс в СМИ.

Партнеры, узнав о несоответствии законам, могут отказаться от сотрудничества. Репутация в стратегических отраслях играет ключевую роль, и случай сбоев или киберинцидентов зачастую приводит к потере доверия.

Для обеспечения непрерывности работы критической информационной инфраструктуры и соответствия нормативам необходимо комплексно подходить к организации работы систем. В частности, важно:

Несмотря на то, что компания Logrocon не оказывает услуги в области кибербезопасности (внедрение систем обнаружения вторжений, криптографии и т. д.), мы помогаем владельцам КИИ с другими аспектами организации и сопровождения критических IT-процессов. Наша деятельность включает:

За счёт такого подхода вы получаете комплексное решение: с одной стороны, соблюдаете законодательство, а с другой — внедряете современные IT-практики, которые повышают надежность и прозрачность инфраструктуры.

А для тех, кто не знает с чего начать цифровую трансформацию, или не готов выстраивать подобную систему с нуля мы предлагаем ознакомится с продуктом компании Logrocon «Платформа обработки телеметрической информации и поддержки принятия решений».

Критическая информационная инфраструктура — это не просто набор узлов, обеспечивающих работу отрасли, а фундамент системной стабильности, в том числе, в масштабах государства. Федеральный закон № 187-ФЗ и подзаконные акты задают правовую основу, однако многое зависит от того, насколько грамотно руководство компаний подходит к интеграции и управлению своими IT-активами.

Игнорирование норм сулит санкции, репутационный урон и высокие риски остановки бизнеса. Но при правильной организации работы, своевременном категорировании и регулярном обновлении инфраструктуры компания не только избегает проблем с надзорными органами, но и укрепляет свою конкурентоспособность.

Если вам важно выстроить надежную и одновременно эффективную схему функционирования КИИ без углубления в аспекты кибербезопасности, Logrocon готов помочь с оптимизацией, интеграцией и сопровождением цифровых систем, ориентируясь на требования закона и специфику вашего бизнеса.

Продолжение здесь: «Критическая информационная инфраструктура (КИИ): как обеспечить устойчивую работу стратегических объектов».

Свяжитесь с нами, и мы расскажем о возможностях нашей платформы и поможем внедрить интегрированные решения, обеспечивающие непрерывность и прозрачность процессов.

Статьи по теме: