Критическая информационная инфраструктура: что это и как защитить
1 декабря, 2025
Критическая информационная инфраструктура (КИИ) — основа стабильной работы ключевых отраслей экономики и государственных служб. Каждый субъект КИИ обязан обеспечить защиту инфраструктуры в соответствии с категорией. Разберемся, что относится к объектам КИИ и как их защищать.
Что относится к объектам КИИ
Под КИИ следует понимать совокупность сетей, информационных систем и ресурсов, от которых зависит функционирование важных для государства и общества объектов. Это напрямую влияет на безопасность и стабильность всей страны.
Ст.2 ФЗ от 26.07.2017 №187-ФЗ устанавливает, что объекты КИИ включают в себя:
- информационные системы и сети, которые обеспечивают работу объектов критической инфраструктуры;
- средства и комплексы, предназначенные для обработки, хранения и передачи данных;
- системы управления и контроля, от которых зависит функционирование жизненно важных объектов.
Например, объектами КИИ являются банковские серверы для обработки платежей, центры обработки данных операторов связи, порталы для получения государственных и муниципальных услуг, системы управления энергоснабжением, информационные системы, АСУ и другое ПО, используемое в сфере науки, ТЭК, здравоохранения, энергетики, ТЭК, транспорта и иных отраслях, перечисленных в п.8 ст.2 ФЗ №187-ФЗ.
Объекты КИИ подлежат обязательной защите и в соответствии с ФЗ от 27.07.2006 № 152-ФЗ. В частности, владельцы должны обеспечить комплекс мер безопасности объектов КИИ, чтобы предотвратить несанкционированный доступ, утечку и нарушение работы систем. Если объект в аренде, эти обязанности возлагаются на арендатора.
Если ваша организация работает с такими системами, важно четко понимать статус и ответственность. Например, владелец дата-центра, где хранятся сведения клиентов, обязан регулярно проводить аудит информационной безопасности и применять технические средства защиты. Это снижает риски хакерских атак и экономических убытков.
Понимание, что объекты КИИ — это не только сложные технологические комплексы, но и информационные системы, которыми вы управляете, — позволит своевременно внедрять защитные меры и поддерживать непрерывность работы компании.
Что такое категорирование
Категорирование объектов критической информационной инфраструктуры — это обязательная процедура, предусмотренная ФЗ №187-ФЗ. Она заключается в определении значимости объектов КИИ и присвоении им одной из категорий. Это важно для всех организаций, которые являются субъектами КИИ и работают в ключевых отраслях экономики.
Категорирование позволяет:
- Оценить степень значимости объектов КИИ для государства и населения.
- Определить необходимые меры по обеспечению их безопасности.
- Соблюсти требования законодательства и избежать административных санкций.
Объектам КИИ присваивается одна из трех категорий значимости. Первая — объекты, сбой или прекращение функционирования которых может привести к тяжким последствиям. Вторая — объекты, сбой или прекращение функционирования которых может повлечь за собой значительные последствия. Третья — объекты, сбой или прекращение функционирования которых может привести к незначительным последствиям.
Категорирование производится по правилам, утвержденным Постановлением Правительства РФ от 8 февраля 2018 г. №127, и включает несколько этапов:
- Инвентаризация объектов КИИ: составление перечня всех объектов, которые могут быть отнесены к КИИ.
- Оценка значимости: анализ каждого объекта по установленным критериям.
- Присвоение категории: на основе оценки присваивается одна из категорий значимости.
- Подготовка акта категорирования: документальное оформление результатов категорирования.
- Уведомление ФСТЭК России: направление акта категорирования в Федеральную службу по техническому и экспортному контролю.
После присвоения категории значимости объект включается в реестр значимых объектов КИИ, который ведется ФСТЭК России.
Как защитить информацию
Первый шаг по обеспечению безопасности значимых объектов критической информационной инфраструктуры— разработка комплексного плана мероприятий по защите. Он должен учитывать технические, организационные и правовые меры. Например, на техническом уровне нужны современные средства мониторинга и защиты от кибератак — межсетевые экраны, системы обнаружения вторжений, антивирусы.
Организационные меры включают распределение ответственности среди сотрудников, обучение персонала и регламенты реагирования на инциденты. Правовые — соответствие требованиям законодательства, включая ФЗ № 187-ФЗ и ФЗ № 152-ФЗ.
Далее меры защиты зависят от присвоенной категории значимости объекта КИИ. Для объектов с высокой категорией требуется усиленный контроль — круглосуточный мониторинг, автоматическое оповещение о сбоях, строгий регламент доступа к данным. Для объектов с низкой категорией — базовые меры защиты и регулярные аудиты.
Все субъекты КИИ, независимо от категории, обязаны своевременно сообщать в государственную систему оповещения ГосСОПКА о выявленных компьютерных инцидентах. Информация должна содержать дату, время и место инцидента, причины и последствия, а также технические детали и связь с другими событиями. Для объектов без категории значимости срок подачи уведомления — 24 часа с момента обнаружения. Значимые объекты обязаны сделать это в течение 3 часов.
Если пренебречь этими требованиями, вы рискуете не только утечкой данных, но и штрафами. Кроме того, отсутствие системы реагирования увеличивает риск масштабных сбоев и утраты доверия клиентов.
Заключение
Соблюдение требований к критической информационной инфраструктуре и эффективная защита — обязательство каждой компании-субъекта КИИ. Соблюдение законов и грамотное категорирование помогают защитить инфраструктуру от угроз, минимизировать риски и сохранить доверие клиентов и партнеров в быстро меняющемся цифровом мире.
