Что такое объекты критической информационной инфраструктуры
«КИИ – это не категория почётности и не абстрактная важность. Это операционный статус, который жёстко диктует правила игры для всего технического стека компании. Определив его неправильно, ты либо потратишь миллионы на избыточную защиту, либо оставишь критический актив без надлежащего прикрытия и получишь претензии от ФСТЭК при первом же инциденте. В основе лежит не желание соответствовать, а холодный расчёт последствий сбоя.»
🛡️ Объекты критической информационной инфраструктуры
Разбираем 187-ФЗ, категории значимости и реальные требования к защите.
Что такое КИИ?
Критическая информационная инфраструктура (КИИ) – это формальный статус, присваиваемый информационным системам, сетям и средствам обработки данных. Основа – Федеральный закон № 187-ФЗ. Статус КИИ присваивается не организации в целом, а конкретным её информационным активам, если их выход из строя повлечёт тяжёлые социальные, экономические, экологические или политические последствия.
Ключевой признак – связь с технологическими процессами в жизненно важных отраслях: энергетике, связи, транспорте, финансах, здравоохранении. Система, просто хранящая данные, – не всегда КИИ. Система, которая в реальном времени управляет распределением электроэнергии в городе или диспетчеризацией скорой помощи региона, – с высокой вероятностью попадает под действие закона.
Неправильное определение статуса – распространённая ошибка. Она приводит либо к избыточным затратам на защиту незначительных систем, либо, что критичнее, к уязвимости действительно важных активов, что вскрывается при первой же проверке ФСТЭК или кибератаке.
🏭 Кто попадает под действие закона
Сферы, подпадающие под регулирование 187-ФЗ, чётко определены. Речь идёт об информационных системах, используемых в следующих областях:
🎯 Три категории значимости
После идентификации объекта КИИ следует его категорирование – определение степени значимости. Категория напрямую влияет на строгость и объём требований по защите. Она устанавливается на основе оценки масштаба возможных негативных последствий.
Категория 1 (К1)
Наиболее критичный уровень. К нему относят объекты, нарушение безопасности которых может привести к катастрофическим последствиям: массовой гибели людей, подрыву обороноспособности страны, длительному нарушению стабильности экономики в масштабах нескольких субъектов федерации или страны в целом.
Пример: система управления энергосетью федерального уровня, ядерный объект, центральный узел национальной платёжной системы.
Категория 2 (К2)
Объекты, сбой в работе которых вызовет существенные негативные последствия в пределах одного субъекта федерации или отдельной отрасли экономики. Восстановление функционирования требует значительного времени и ресурсов.
Пример: система диспетчеризации скорой медицинской помощи крупного города, АСУ ТП на крупном нефтеперерабатывающем заводе, ЦОД крупного оператора связи региона.
Категория 3 (К3)
Наименее критичный уровень. Последствия сбоя носят локальный характер, устраняются в относительно короткие сроки и не приводят к массовому ущербу для населения или экономики.
Пример: информационная система учёта пациентов в отдельно взятом многопрофильном стационаре, система управления внутренней корпоративной связью предприятия.
⚖️ Требования по категориям (Приказ ФСТЭК №231)
Объём обязанностей субъекта КИИ детализирован в Приказе ФСТЭК России №231. Требования имеют градированную шкалу в зависимости от присвоенной категории.
⚙️ Алгоритм определения статуса
Процесс отнесения информационной системы к КИИ и определения её категории – методичная работа, а не экспертная оценка. Вот ключевые шаги:
1. Функциональная карта
Необходимо составить детальное описание всех функций системы: какие технологические процессы она управляет, какие данные обрабатывает, с какими внешними системами взаимодействует. Важно отделить автоматизированные функции от тех, где решение принимает человек. Карта должна показывать, что происходит при отказе каждого компонента.
2. Анализ последствий
На основе функциональной карты моделируются сценарии нарушения конфиденциальности, целостности и доступности информации и систем. Оценивается влияние на три ключевые группы: жизнь и здоровье людей (социальные последствия), стабильность экономики (финансовые потери, остановка производства), безопасность государства. Оценка должна быть максимально количественной: время простоя, количество затронутых граждан, финансовый ущерб.
3. Сверка с критериями
Полученные количественные и качественные оценки последствий сопоставляются с критериями, изложенными в Постановлении Правительства РФ №127. Это формальная процедура, которая приводит к однозначному выводу: является ли объект КИИ и к какой категории (1, 2 или 3) он относится. Все выводы и обоснования фиксируются в итоговом документе – акте категорирования.
Итог
Статус объекта КИИ – это не ярлык, а инженерно-правовой вывод, основанный на анализе функций системы и потенциального ущерба от её сбоя. Категорирование формирует фундамент всей архитектуры безопасности: от него прямо зависят бюджет на защиту, номенклатура применяемых средств, периодичность аудитов и характер взаимодействия с регуляторами. Попытка игнорировать требования 187-ФЗ или формально подойти к категорированию создаёт двойной риск: технологический (незащищённый критический актив) и правовой (санкции по итогам проверки ФСТЭК), ликвидировать которые постфактум будет на порядок дороже.