Есть предприятия, без которых страна не может функционировать. Это, например, касается таких сфер как медицина, наука, транспорт, крупные промышленные предприятия. Их защиту считают важной задачей для государства, поэтому к этому нужно подходить серьезно.
В 2017 году приняли Федеральный закон № 187, который ввел понятие критической информационной инфраструктуры (раньше это были ключевые системы информационной инфраструктуры, КСИИ). С тех пор вышло 15 правовых документов о том, как защищать эти объекты и регулировать взаимодействие с ними.
Самая сложная часть работы с такими объектами — это их классификация, то есть категорирование критической информационной инфраструктуры. Именно об этом мы поговорим дальше.

Что такое КИИ
Критическая информационная инфраструктура (КИИ) — это важные информационные системы и телекоммуникационные сети, от которых зависит работа основных областей жизни страны.
Объекты КИИ
Информационные системы (ИС) — это набор данных в базах и технологии, которые помогают их обрабатывать.
Информационно-технологические системы (ИТС) — это системы, через которые информация передается по сетям с помощью вычислительной техники.
Автоматизированная система управления технологическими процессами (АСУ ТП) — это программы и оборудование, которые контролируют работу производственных машин и управляют этими машинами и процессами.
Субъекты КИИ
Субъекты КИИ — это организации или компании, которые могут быть владельцами информационных систем (ИС), информационно-технологических систем (ИТС) или автоматизированных систем управления технологическими процессами (АСУ ТП). Также сюда входят компании, которые взаимодействуют с такими объектами в следующих сферах:
- Здравоохранение: больницы, клиники, медицинские центры и другие учреждения, работающие с медицинскими данными пациентов и системами управления медицинским оборудованием.
- Банковская и другие финансовые сферы: банки, страховые компании, инвестиционные фонды и другие институты, использующие информационные системы для обработки транзакций и хранения финансовой информации.
- Наука: институты, исследовательские лаборатории и университеты, которые используют информационные системы для проведения научных исследований и анализа данных.
- Транспорт: транспортные компании, аэропорты, железнодорожные станции и морские порты, управляющие логистикой и перевозками с помощью информационных систем.
- Телекоммуникации: операторы мобильной связи, интернет-провайдеры и другие компании, предоставляющие услуги связи и доступа к интернету.
- Энергетика: энергетические компании, электростанции, распределительные сети, которые используют автоматизированные системы для управления производством и передачей электроэнергии.
- Ракетно-космическая промышленность: предприятия, которые занимаются разработкой и эксплуатацией ракетной и космической техники, включая управление запусками спутников и других космических аппаратов.
- Атомная промышленность: атомные электростанции, научно-исследовательские институты и предприятия, работающие с ядерными материалами и технологиями.
- Химическая промышленность: заводы, производственные комплексы с автоматизированными системами для управления химическими процессами и безопасностью производства.
- Топливно-энергетический комплекс: нефтяные и газовые компании, нефтеперерабатывающие заводы, трубопроводные системы, которые используют информационные системы для управления добычей, переработкой и транспортировкой нефти и газа.
- Оборонная промышленность: предприятия, которые разрабатывают и производят вооружение и военную технику, используют автоматизированные системы для проектирования и тестирования продукции.
- Горнодобывающая промышленность: горнорудные компании, шахты и карьеры, использующие автоматизированные системы для управления процессом добычи полезных ископаемых и обеспечения безопасности работников.
Эти субъекты играют ключевую роль в обеспечении бесперебойного функционирования важнейших отраслей экономики и инфраструктуры страны, поэтому они обязаны соблюдать строгие требования по защите своих информационных систем и сетей.
Как понять, выступает ли организация субъектом КИИ
Чтобы понять, относится ли организация к субъектам критической информационной инфраструктуры (КИИ), нужно сделать следующее:
- Определить важные для бизнеса процессы и выяснить, используют ли в них информационные системы (ИС), автоматизированные системы управления технологическими процессами (АСУ ТП) и другие подобные системы.
- Если таких систем в организации нет, то она точно не будет субъектом КИИ.
- Затем проверить, работает ли компания в одной из сфер, относящихся к КИИ. Если нет, значит, она не может быть субъектом КИИ, если только ее системы не поддерживают работу других организаций в этих сферах.
- Если ответ положительный, нужно изучить используемые системы и понять, работают ли они в рамках этих сфер. Если да, то организация считается субъектом КИИ и обязана соблюдать требования регуляторов.
Важно помнить, что определение статуса субъекта КИИ зависит от самой организации, а не от государственных органов. ФСТЭК и другие только контролируют соблюдение требований законодательства в этой сфере.
Категорирование объектов КИИ: что такое категория значимости и зачем она нужна
Категория значимости объекта КИИ показывает, насколько важен этот объект для безопасности страны. От этой категории зависит, какие защитные меры должны применяться к объекту. Они описаны в приказе ФСТЭК №239, который соответствует закону ФЗ-187.
Категорирование помогает определить, какие именно угрозы могут повлиять на работу объекта, и правильно выбрать меры защиты. Организация сама отвечает за выполнение этих мер, и они могут различаться в зависимости от того, с какими угрозами рискует столкнуться компания, как устроены ее процессы и инфраструктура.
Есть три уровня значимости: первый, второй и третий (от самого важного до менее важного). Если объект не относится к КИИ, то категорию не присваивают. Важно задокументировать результаты оценки, отправив их регулятору. Оценку необходимо проводить каждые пять лет, чтобы проверить актуальность присвоенной категории.
Если у компании вообще нет объектов КИИ, ей необязательно сообщать об этом в контролирующие органы. Но для подстраховки можно подготовить специальный акт, подтверждающий отсутствие ОКИИ.
По каким критериям проводится категорирование
Когда происходит присвоение категории значимости объекту критической информационной инфраструктуры, учитывают несколько факторов:
- Социальная значимость. Оценка включает анализ количества людей, которые могут пострадать в результате инцидента. Например, если нарушение работы объекта КИИ приведет к массовой эвакуации населения или нарушению связи между людьми, это будет считаться высоким уровнем социальной значимости.
- Политическая значимость. Здесь рассматривают влияние на функционирование государственных органов и международные договоры. Например, если объект КИИ обеспечивает связь между государственными структурами или участвует в выполнении международных обязательств, он имеет высокую политическую значимость.
- Экономическая значимость. Этот критерий оценивает возможные экономические последствия инцидентов на объекте КИИ. Сюда входят ущерб государственным субъектам КИИ, потери бюджета Российской Федерации, нарушение работы системно значимых платежных систем. Например, если сбой в работе объекта КИИ вызовет остановку важных финансовых операций или потерю значительных средств, это считается высокой экономической значимостью.
- Экологическая значимость. В данном критерии учитывается ущерб, который может быть нанесен окружающей среде в результате инцидента. Это включает количество пострадавших (людей, животных), площадь территории. Например, если авария на объекте КИИ приводит к загрязнению больших территорий или массовым экологическим катастрофам, такая ситуация классифицируется как высокая экологическая значимость.
- Значимость для обеспечения безопасности государства и правопорядка. Этот фактор охватывает такие аспекты: работа органов управления Российской Федерации, информационные системы в сфере безопасности, выполнение оборонных заказов. Например, если объект КИИ играет ключевую роль в обеспечении обороны страны или поддерживает работу правоохранительных органов, он обладает высокой значимостью для безопасности государства.
Что подлежит категорированию
Все важные системы и технологии, которые используют для управления, производства, финансов и других процессов в организациях, должны проходить оценку (категорирование). Это нужно для того, чтобы понять, насколько они важны и уязвимы. Категорированию подлежать объекты, а не субъекты КИИ, то есть ИС, ИТС, АСУ.
Как проходит процедура категорирования
Процедура оценки важности систем (категорирование) проводится так:
- Руководитель компании создает специальную комиссию для этой работы.
- Комиссия определяет список важных объектов (систем), которые нужно оценить. На это дается 5 дней.
- Далее начинается сама оценка. На нее отводится 1 год.
- После завершения составляется акт категорирования ОКИИ.
- В течение 10 дней результаты отправляют в ФСТЭК (Федеральную службу по техническому и экспортному контролю).
ФСТЭК, ФСБ вместе с другими организациями дает советы, как проводить такую оценку в разных сферах, например, в медицине или энергетике. Оценка может измениться, если ФСТЭК найдет ошибки в работе или если произойдут изменения в самой компании, ее системах или процессах. Также оценку могут пересмотреть, если изменится законодательство.
Специалисты «МК Компани» готовы предоставить консультации по вопросам информационной безопасности, предложить подходящее программное обеспечение для защиты ваших данных, а также помочь с интеграцией и пилотированием выбранных решений. Мы стремимся создать для вас надежную и эффективную систему защиты, соответствующую всем современным требованиям.