Добавить в корзинуПозвонить
Найти в Дзене
RedSec.BY | Кибербезопасность в Беларуси
7 подписчиков

КВОИ: Что это, как понять, что вы — в списке, и что теперь делать. Полное руководство.

4
5 мин
В мире информационной безопасности Беларуси есть аббревиатуры, которые должен знать каждый специалист. Но есть одна, которая стоит особняком — КВОИ. Если ваша информационная система управляет турбинами ГЭС, обрабатывает межбанковские платежи на миллиарды рублей, координирует работу скорой помощи по всей области или контролирует опасное химическое производство, скорее всего, она относится к критически важным объектам информатизации. И это не просто очередной термин. Отнесение к КВОИ — это переход на совершенно другой уровень ответственности. К таким системам предъявляются на порядок более строгие требования по защите, а цена ошибки измеряется не только финансовыми потерями, но и угрозой национальной безопасности, экономическим коллапсом или даже техногенной катастрофой. Проблема: Многие руководители и владельцы сложных информационных систем даже не подозревают, что их объект может подпадать под критерии КВОИ. В результате одни несут избыточные затраты, защищая обычную IT-инфраструктуру
Оглавление
КВОИ: Что это, как понять, что вы — в списке, и что теперь делать. Полное руководство.
КВОИ: Что это, как понять, что вы — в списке, и что теперь делать. Полное руководство.

В мире информационной безопасности Беларуси есть аббревиатуры, которые должен знать каждый специалист. Но есть одна, которая стоит особняком — КВОИ. Если ваша информационная система управляет турбинами ГЭС, обрабатывает межбанковские платежи на миллиарды рублей, координирует работу скорой помощи по всей области или контролирует опасное химическое производство, скорее всего, она относится к критически важным объектам информатизации.

И это не просто очередной термин. Отнесение к КВОИ — это переход на совершенно другой уровень ответственности. К таким системам предъявляются на порядок более строгие требования по защите, а цена ошибки измеряется не только финансовыми потерями, но и угрозой национальной безопасности, экономическим коллапсом или даже техногенной катастрофой.

Проблема: Многие руководители и владельцы сложных информационных систем даже не подозревают, что их объект может подпадать под критерии КВОИ. В результате одни несут избыточные затраты, защищая обычную IT-инфраструктуру «на всякий случай» по завышенным стандартам. Другие, что гораздо опаснее, недостаточно защищают реальные КВОИ, подвергая себя риску не только санкций со стороны регулятора, но и катастрофических инцидентов.

В этой статье мы разложим по полочкам сложную тему КВОИ. Мы ответим на главные вопросы:

  • Что такое КВОИ с точки зрения закона и здравого смысла?
  • По каким четким критериям определить, относится ли ваша система к КВОИ?
  • Какие дополнительные, более жесткие требования предъявляются к их защите?
  • Какой пошаговый план действий необходимо реализовать, если ваш объект все-таки признан критически важным?

Что такое критически важный объект информатизации (КВОИ)?

Официальное определение и реальный смысл

Законодательство (в частности, Указ Президента РБ № 486) дает сложное, но исчерпывающее определение. Если упростить, КВОИ — это информационная система, сбой или взлом которой может привести к масштабным негативным последствиям для государства и общества.

Ключевой принцип, который нужно понять: КВОИ — это объекты, нарушение функционирования которых недопустимо с точки зрения безопасности страны в целом.

Это системы, которые лежат в основе функционирования ключевых отраслей:

  • Энергетика: Системы управления АЭС и ГЭС, диспетчерские центры энергосистем.
  • Транспорт: Системы управления железнодорожным и воздушным движением.
  • Финансы: Системы межбанковских расчетов, процессинговые центры, обслуживающие миллионы транзакций.
  • Промышленность: Автоматизированные системы управления технологическими процессами (АСУ ТП) на химических заводах, нефте- и газопроводах.
  • Социальная сфера: Национальные и региональные системы здравоохранения, системы назначения социальных выплат.
  • Связь: Системы управления сетями крупных операторов связи, обеспечивающие коммуникацию для миллионов граждан.

Четыре критерия отнесения к КВОИ: Проверьте себя

Как понять, имеет ли ваша система отношение к этому списку? Указ Президента РБ №196 устанавливает четыре четких критерия. Ваш объект относится к КВОИ, если он соответствует хотя бы одному из них и при этом уровень вероятного ущерба от инцидента признается значительным для национальных интересов.

1. Критерий социальной значимости

  • Применяется к: Объектам, обеспечивающим жизнедеятельность населения.
  • Сферы: ЖКХ, здравоохранение, образование, социальная защита.
  • Примеры: Автоматизированная система управления теплоснабжением города, региональная медицинская инфосистема, система начисления пенсий.
  • Критический вопрос, который нужно себе задать: Приведет ли отказ нашей системы к тому, что люди не смогут получить жизненно важные услуги (тепло в домах, медицинскую помощь, социальные выплаты)?

2. Критерий экономической значимости

  • Применяется к: Объектам, обеспечивающим работу ключевых отраслей экономики.
  • Особое внимание: Системы межбанковских расчетов и процессинговые центры.
  • Примеры: Система управления транспортировкой нефти, АСУ ТП на крупном металлургическом комбинате, система управления национальной энергосистемой.
  • Критический вопрос: Приведет ли остановка нашей системы к параличу финансовой системы, остановке стратегически важных предприятий или нарушению работы целых секторов экономики?

3. Критерий экологической значимости

  • Применяется к: Объектам, сбой которых может нанести прямой ущерб окружающей среде.
  • Примеры: Системы контроля радиационного фона на АЭС, АСУ ТП на химическом заводе, системы мониторинга вредных выбросов.
  • Критический вопрос: Может ли сбой в нашей системе привести к неконтролируемому выбросу вредных веществ, радиационному заражению или другой экологической катастрофе?

4. Критерий информационной значимости

  • Применяется к: Объектам в сфере связи и средств массовой информации.
  • Примеры: Системы управления сетями национального оператора связи, информационные системы крупных государственных СМИ.
  • Критический вопрос: Приведет ли отказ нашей системы к потере связи или невозможности информирования населения на значительной территории (область, страна)?

КритерийВопрос для оценкиПримеры катастрофических последствийСоциальная значимостьПострадает ли население?Отключение отопления в городе зимой, невозможность вызова скорой помощи.Экономическая значимостьОстановится ли экономика?Блокировка всех безналичных платежей в стране, блэкаут энергосистемы.Экологическая значимостьВозникнет ли угроза природе?Выброс хлора на химзаводе, утечка радиоактивных материалов.Информационная значимостьНарушится ли связь/информирование?Отключение мобильной связи и интернета в регионе.

Алгоритм самопроверки: Относится ли ваша система к КВОИ?

Не ждите указаний сверху. Проведите внутренний анализ по этому 5-шаговому алгоритму.

  • Шаг 1: Идентифицируйте ваш объект информатизации. Это АСУ ТП? Это информационная система, управляющая критичным бизнес-процессом?
  • Шаг 2: Проверьте соответствие критериям. Пройдитесь по четырем вопросам из таблицы выше. Если хотя бы на один ответ «Да», переходите к следующему шагу.
  • Шаг 3: Оцените масштаб ущерба. Будут ли последствия сбоя локальными (один цех, один район) или затронут целый регион или страну? Пострадают десятки людей или десятки тысяч?
  • Шаг 4: Изучите отраслевые критерии. Обратитесь в ваше профильное министерство или ведомство. Для многих отраслей (энергетика, финансы) существуют дополнительные, более детальные критерии.
  • Шаг 5: Сделайте предварительное заключение. Если ваша система соответствует критериям, а потенциальный ущерб носит общенациональный или региональный характер, с вероятностью 99% она должна быть отнесена к КВОИ.

Если вывод положительный, следующим шагом будет подготовка документов для официального включения в Государственный реестр КВОИ, который ведет ОАЦ.

Больше на сайте redsec.by >>>