Защищенная и стабильная работа IT-систем является гарантом развития и укрепления целых отраслей. Ввиду многочисленных и целенаправленных кибератак на объекты инфраструктуры, неизбежно поднимается вопрос о создании надежной системы защиты критической информационной инфраструктуры (КИИ). Основополагающим законодательным актом в данной области выступает ФЗ-187 от 26.07.2017. В нем приводятся базовые понятия, принципы обеспечения безопасности, которые помогут предотвратить кибератаки на российские информационные ресурсы.

Закон 187-ФЗ о безопасности КИИ: базовые понятия

Данный законодательный акт содержит ряд важных понятий, которые необходимы для понимания ситуации и соответствия обозначенным в нем требованиям. Ключевыми понятиями закона являются:

  • Система управления автоматизированного типа. Представляет собой совокупность программно-аппаратных средств, которые нужны, чтобы контролировать разные виды оборудования, управленческие процессы, связанные с ними.

  • КИИ. Входящие в инфраструктуру разнообразные объекты, сети, обеспечивающие совместную работу компонентов в рамках целого комплекса.

  • Объекты КИИ. Разнообразные системы, сети, предназначенные для осуществления управленческих действий субъектами КИИ.

  • Субъекты КИИ. Различные организации, ИП, которые законно владеют и используют в своей деятельности информационные системы, сети.

  • Безопасность КИИ. Свойство, характеризующее степень сохранности КИИ, которое дает возможность функционировать даже в условиях кибератаки.

  • Объект КИИ значимого вида. Обладающий одной из трех категорий значимости объект, занесенный в отдельный список.

  • Компьютерная атака. Ситуация, в ходе которой отмечается нацеленное воздействие на объекты КИИ, чтобы прекратить или нарушить работу системы.

  • Компьютерный инцидент. Событие, связанное с кибератакой или аварийной ситуацией, когда отмечается нарушение\прекращение деятельности объекта КИИ.

Принципы обеспечения безопасности КИИ

Основополагающие моменты по данному вопросу обозначены в четвертой статье ФЗ-187. Они гласят, что при проведении защитных мер нужно руководствоваться следующими принципами:

  1. Законность. Подразумевает, что все защитные действия опираются на такие понятия как целесообразность, единство, равенство. Не может быть никаких исключений, манипуляций ситуацией.

  2. Непрерывность. Любые защитные меры выполняются на постоянной основе, опираются на взаимодействие субъектов КИИ и органов власти.

  3. Приоритетность. Подразумевает, что любой инцидент и атаку лучше предотвратить, чем устранять ущерб.

Категоризация объектов КИИ

Закон о безопасности критической информационной инфраструктуры устанавливает необходимость разделения объектов КИИ на категории. Это нужно для простоты понимания, к каким объектам КИИ организации предъявлены обязательные к исполнению требования по обеспечению защиты. В ходе категоризации учитываются различные параметры, но ключевым остается понятие потенциального ущерба и степени его значимости для людей, которым он будет причинен, т.е. измеряются количественные показатели. Например, в отношении объектов КИИ, обеспечивающих население теплом, устанавливается следующая градация:

  1. Первая категория – свыше 5 000 000 человек

  2. Вторая категория – 1 000 000 - 5 000 000 человек

  3. Третья категория – 2 000 - 1 000 000 человек

Категория объекта КИИ присваивает ему определенную значимость, отражает зависимость от количественных и качественных показателей. На практике это сильно помогает оценить потенциальный ущерб и принять соответствующие защитные меры.

Перечень мер для обеспечения безопасности объектов КИИ

  • Внедрение мер аутентификации, идентификации в компании

  • Организация управления доступом пользователей

  • Ограничения в использовании ПО

  • Регулярный аудит безопасности

  • Обеспечение безопасности носителей информации

  • Сохранение целостности, неприкосновенности, конфиденциальности сведений

  • Обучение персонала основам кибербезопасности

  • Организация защитных мероприятий, касающихся технических средств, систем

  • Настройка, управление конфигурацией информационных систем

  • Использование стандартных СЗИ: антивирусы, межсетевые экраны

  • Использование специализированных инструментов, систем безопасности: SIEM, IAM, DLP.

ФЗ-187 затрагивает важные аспекты безопасности КИИ. Понимание этих аспектов и исполнение указаний со стороны субъектов КИИ на практике поможет сохранить целостность и функциональность IT-систем в критически важных отраслях, сократит риски развития неблагоприятных ситуаций.