Процесс построения системы безопасности критической информационной инфраструктуры (КИИ) часто напоминает движение по лабиринту: нормативная база постоянно развивается (вспомним недавнее Постановление № 1912), а требования регуляторов требуют буквального толкования.
На курсах слушатели задают одни и те же сценарии, которые вызывают споры даже у опытных специалистов.
Собрали «больную» семерку вопросов и подготовили на них развернутые ответы, чтобы разложить по полочкам, как действовать в неоднозначных ситуациях.
1. Приоритеты безопасности: Импортозамещение или защита?
Вопрос: Согласно Постановление Правительства РФ от 14 ноября 2023 г. № 1912 называется «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации», что первично после категорирования: закупка отечественного «железа» или построение системы защиты (СЗКИ)?
Ответ: Иерархия здесь жесткая, но логичная. Сначала — доверенные ПАК, потом — защита.
Постановление № 1912 требует преимущественного применения доверенных программно-аппаратных комплексов (ПАК) на значимых объектах КИИ. Это значит, что вы не имеете права строить защиту периметра (ставить firewall или DLP) на зарубежном оборудовании, если есть отечественный аналог. Регулятор (ФСТЭК России) при проверке в первую очередь посмотрит на состав оборудования.
Следовательно, последовательность действий такова:
1. Категорирование объекта.
2. Замена (или изначальное оснащение) технических средств на доверенные ПАК из реестра Минпромторга.
3. Проектирование и внедрение СЗКИ на базе этого оборудования.
2. Агрегирование активов: можно ли объединить объекты?
Вопрос: Есть несколько мелких объектов КИИ. Допустимо ли объединить их в один укрупненный для упрощения отчетности?
Ответ: Объединять выявленные объекты задним числом нельзя — это нарушение учета. Однако закон (187-ФЗ) позволяет на этапе выявления консолидировать активы.
Если несколько информационных систем или АСУ ТП физически находятся на одной территории, обслуживаются одними сетями и выполняют единую производственную функцию, их можно заявить в ФСТЭК как один объект. Но если объекты уже внесены в реестр как самостоятельные единицы, «слить» их уже не получится.
3. Сроки создания СЗКИ
Вопрос: Сколько времени в среднем занимает создание системы безопасности одного объекта (СЗКИ)?
Ответ: Здесь нет «средней температуры по больнице», но ориентиры есть. Закон дает 1 год на создание СЗКИ с момента включения объекта в реестр значимых объектов КИИ.
По трудозатратам:
● Для объекта 3 категории (базовый уровень) — от 2 до 4 месяцев при условии готовой ИТ-инфраструктуры.
● Для 1 категории (высшая степень влияния) — от 6 месяцев до года (включая разработку моделей угроз, специальные проверки и аттестацию).
4. Станок с ЧПУ: Работал в изоляции, подключаем к MES
Вопрос: У нас станок работал автономно (флешки, ручной ввод). Мы подключаем его к MES-системе для мониторинга. Нужно ли перекатегорировать объект?
Ответ: Да, это изменение объекта, но не всегда перекатегорирование.
Подключение к сети — ключевое событие. Если станок был изолированным объектом, а стал сетевым узлом, он либо войдет в состав существующего объекта (АСУ ТП), либо образует новый объект. Сама категория может не измениться, но систему безопасности нужно будет пересмотреть кардинально:
● Появятся угрозы удаленного доступа (раньше их не было).
● Потребуется сегментация сети (МЭ между станком и MES).
Повторное категорирование проводится, если изменились показатели социально-экономической значимости (вред здоровью, ущерб экономике). Просто смена архитектуры сети — это повод для уведомления регулятора об изменении параметров, а не для смены категории.
5. Корпоративная сеть и VLAN: Сегментировать или считать единым?
Вопрос: Объекты КИИ разбросаны по VLAN и сегментированы МЭ. Как категорировать — всю сеть как один объект или каждый сегмент отдельно?
Ответ: Критерий здесь — наличие независимого технологического процесса.
Сама по себе VLAN и даже МЭ не делает сегмент отдельным объектом КИИ. Если у вас единая корпоративная сеть, где серверы КИИ обмениваются данными с бухгалтерией или общим доменом AD, регулятор может признать всю сеть объектом КИИ. Это создает огромную зону ответственности.
Рекомендация: Если вы хотите категорировать сегменты по отдельности, необходимы физические (или программно-аппаратные) средства межсетевого экранирования в режиме отсечения трафика по принципу «безопасного шлюза». Просто теги 802.1q для этого недостаточно — нужно обеспечить гарантированное разграничение.
6. Статус АРМ: рабочие места пользователей
Вопрос: Нужно ли считать АРМы (рабочие места) объектами КИИ?
Ответ: Нет, обычно не нужно, но защищать их придется.
Объектами КИИ являются Информационные системы (ИС) и АСУ ТП. АРМ — это лишь элемент (техническое средство) системы. Однако не стоит радоваться раньше времени. Если на АРМ установлено ПО, которое управляет производством или обрабатывает критическую информацию, то само АРМ подпадает под требования по защите информации (регламенты доступа, антивирусы, контроль съемных носителей). Более того, для работы на таких АРМ может потребоваться аттестация (проверка защищенности) и сертифицированное ПО.
7. Специфика ГОЗ: 13-й перечень и автоматом 1-я категория?
Вопрос: Если организация попала в перечень (например, п. 13.1), она автоматически получает 1-ю категорию?
Ответ: Нет, автоматизма нет, но судьба предрешена.
Попадание в перечень объектов КИИ (утв. ПП РФ № 127) — это основание для обязательного категорирования. Назначение 1 категории происходит через расчет показателей (вред жизни, ущерб экономике). Но для головных исполнителей ГОЗ значения критичности традиционно максимальны.
С высокой вероятностью объекты получат 1 или 2 категорию. Процедура будет стандартной: создание комиссии, расчет, отправка уведомления в ФСТЭК.
8. Понятие «Сеть»: почему станок внезапно стал сетевым?
Вопрос: Оборудование стоит в цеху, кабеля к нему не тянули. При чем тут «подключение к сети»?
Ответ: Трактовка здесь расширительная.
Согласно 187-ФЗ, сеть — это не только Ethernet с розеткой. Это любая возможность взаимодействия.
Если станок получает управляющие программы через Bluetooth, Wi-Fi, с флешки через USB-модем или даже через COM-порт от ноутбука, который затем подключается к офисной сети — он считается подключенным. С точки зрения КИИ, «сетью» является любая среда, обеспечивающая взаимодействие с внешними системами, включая технологические шины (Profibus, CAN и др.).
Если у вас информация передается только на флеш-накопителе или оптическом диске — тогда объект изолирован. В остальных случаях защищаем по полной.
Данная статья носит аналитический характер и основана на типовых кейсах. Для конкретного объекта КИИ всегда требуется сверка с актуальными приказами ФСТЭК России.
