Критически важные системы под особой защитой: что такое значимые объекты информационной инфраструктуры

Российская экономика и социальная сфера зависят от бесперебойной работы тысяч информационных систем, управляющих энергетическими сетями, транспортом, финансовыми операциями, медицинским оборудованием и государственными услугами. Среди этого многообразия цифровых объектов существует особая категория систем, компрометация которых способна привести к катастрофическим последствиям для безопасности страны и жизни граждан. Такие системы получили официальное обозначение ЗОКИИ — значимые объекты критической информационной инфраструктуры, требующие максимального уровня защиты от киберугроз и подлежащие строгому государственному контролю.
Статус значимого объекта присваивается информационным системам, автоматизированным системам управления технологическими процессами и телекоммуникационным сетям после процедуры категорирования, когда специальная комиссия организации оценивает потенциальный ущерб от компьютерных инцидентов. Федеральный закон о безопасности критической информационной инфраструктуры устанавливает четырнадцать отраслей, где могут находиться такие объекты — здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая промышленность, металлургия, химическая промышленность. Организации, работающие в этих сферах и владеющие соответствующими информационными системами, становятся субъектами критической инфраструктуры с обязанностью провести категорирование своих объектов.
Процесс категорирования начинается с анализа всех бизнес-процессов организации и выявления критических операций, без которых компания не сможет выполнять свои функции. Энергетическая компания определяет процессы диспетчерского управления электрическими сетями, банк выделяет системы проведения платежей и расчетов, транспортное предприятие фокусируется на управлении движением и обеспечении безопасности перевозок. После идентификации критических процессов комиссия составляет перечень информационных систем, которые автоматизируют эти процессы, управляют ими или осуществляют мониторинг их выполнения. Каждая такая система становится объектом критической инфраструктуры, требующим дальнейшей оценки значимости.
Определение категории значимости основывается на расчете масштаба возможных последствий при возникновении компьютерного инцидента. Постановление правительства устанавливает конкретные пороговые значения для различных типов ущерба. Социальная значимость оценивается через количество людей, которые могут пострадать при остановке работы объекта — нарушение теплоснабжения миллионного города зимой создает угрозу жизни населения и автоматически повышает категорию системы управления теплосетями. Экономическая значимость измеряется в финансовых потерях для бюджета страны или снижении доходов предприятия — банковская система, обрабатывающая триллионы рублей ежедневных транзакций, получает первую категорию по экономическому критерию. Политическая значимость связана с возможностью срыва международных переговоров или нарушением выполнения государственных функций.
Три категории значимости определяют уровень требований к защите объекта, где первая категория предполагает максимально строгие меры безопасности для систем, остановка которых приведет к катастрофическим последствиям национального масштаба. Вторая категория применяется к объектам, инциденты на которых вызовут серьезные, но не критические нарушения в работе отрасли или региона. Третья категория присваивается системам с наименьшим, но все равно существенным влиянием на функционирование организации и обслуживаемой ею сферы. Объекты критической инфраструктуры, которые не соответствуют ни одному пороговому значению из перечня показателей, не получают категорию значимости, однако владельцы таких систем все равно обязаны информировать регулятора о компьютерных инцидентах.
После присвоения категории значимости сведения об объекте передаются в Федеральную службу по техническому и экспортному контролю, которая ведет реестр всех значимых объектов критической информационной инфраструктуры страны. Включение в реестр налагает на владельца объекта обязанность создать систему безопасности, соответствующую требованиям специальных приказов регулятора. Требования охватывают организационные меры — создание структурного подразделения по защите информации, разработку политик и регламентов безопасности, обучение персонала противодействию киберугрозам. Технические меры включают внедрение средств защиты информации, прошедших государственную сертификацию — межсетевых экранов, систем обнаружения вторжений, криптографических шлюзов, антивирусного программного обеспечения, средств контроля доступа.
Система безопасности значимого объекта строится на основе модели угроз, разработанной с учетом специфики защищаемой инфраструктуры. Специалисты анализируют возможные векторы атак на конкретную систему, определяют категории потенциальных нарушителей от внешних хакерских группировок до инсайдеров среди персонала, оценивают актуальность различных типов компьютерных инцидентов. На основании модели угроз формируется перечень организационных и технических мер защиты, необходимых для нейтрализации выявленных рисков. Объем требуемых мер напрямую зависит от присвоенной категории значимости — для первой категории список содержит максимальное количество обязательных к реализации защитных механизмов, для третьей категории набор мер минимальный, но все равно существенный.
Владельцы значимых объектов обязаны обеспечить подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак для оперативного обмена информацией об инцидентах с национальным координационным центром. Такая интеграция позволяет получать предупреждения о новых угрозах, актуальных для конкретной отрасли, передавать данные о произошедших инцидентах для анализа общих паттернов атак, координировать действия по реагированию при масштабных кибератаках, затрагивающих множество организаций одновременно. Автоматизированная система обработки инцидентов обеспечивает защищенный канал связи между корпоративным центром мониторинга безопасности и регуляторами.
Контроль соблюдения требований к защите значимых объектов осуществляется через систему государственных проверок, когда специалисты регулятора оценивают полноту реализованных мер безопасности, корректность категорирования объектов, функционирование созданной системы защиты. Выявление нарушений влечет предписания об их устранении с установленными сроками и административные штрафы для должностных лиц организации. Серьезные нарушения требований безопасности, создающие угрозу функционированию критической инфраструктуры, могут привести к приостановке деятельности объекта до устранения недостатков защиты.
Светлов
Журналист
Поделиться новостью
