Что такое объекты критической информационной инфраструктуры и почему «большой брат» следит за ними

Все компании делятся на три типа: тех, кто думает об информационной безопасности, тех, кто не думает, и тех, кто пытается продать эскимосам снег зимой.

Время, когда информационная безопасность была уделом только крупных ИТ-компаний и высокотехнологичного бизнеса, прошло. Сейчас у любой компании десятки информационных систем, которые используются каждый день: бухгалтерия, учет кадров, реклама, маркетинг, рассылки, базы данных клиентов и подрядчиков, отраслевые и узкопрофильные системы — и это только начало списка.

Последние 3-4 года — одна большая череда скандалов об утечке данных пользователей. На 2023 год пришлась серия взломов вещания радио и телеканалов. Поэтому сегодня мы поговорим о достаточно сложной для широкой публики теме: объектах критической информационной структуры (КИИ) и о том, почему и как за ними следит государство.

Объектами критической информационной инфраструктуры закон считает информационные системы управления, работающие в следующих сферах:

К субъектам КИИ относят две большие группы:

Субъекты КИИ делятся на две большие группы в зависимости от своего масштаба и степени влияния на жизнь общества — обычные (скажем, районная поликлиника) и значимые (например, атомная электростанция). Значимые, в свою очередь, делятся на 3 категории.

От «величины» категории значимого объекта КИИ зависит набор организационных и технических мер, которые должен предпринять бизнес или госучреждение.

Компаниям из сфер КИИ необходимо провести мероприятия, направленные на определение критичности используемых информационных систем, и обеспечить информационную безопасность критических систем. Простыми словами, обеспечить полную информационную безопасность.

Кроме того, о каждом инциденте информационной безопасности, будь то фишинговое письмо или вирус на флешке сотрудника, предприятия из этих сфер обязаны информировать Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Среди того, что требуется от бизнеса, — как организационные, так и технические меры защиты информации: от проектирования систем защиты информации до их внедрения и обеспечения эксплуатации.

Зачастую в промышленных организациях используются специализированные отраслевые решения, построенные на базе инфраструктурных продуктов иностранных вендоров, что создает дополнительные трудности при обеспечении их защиты и соответствия установленным требованиям.

Всем российским госорганам и госкомпаниям до 1 января 2025 года необходимо импортозаместить используемое программное обеспечение и средства защиты информации. По приказу Правительства РФ уже с августа 2022 года госкомпаниям запрещено закупать иностранное программное обеспечение, даже если у него нет отечественных аналогов (исключения в персональном порядке согласует Минпромторг).

18 июля 2022 года на совещании Правительства было поддержано решение запрета на использование иностранного программного обеспечения на негосударственных объектах критической информационной инфраструктуры в стране. Когда и в каком порядке частному бизнесу из сферы КИИ нужно будет перейти с зарубежного на российское ПО еще предстоит определить Кабинету министров.

Один из главных принципов как в жизни, так и в бизнесе — минимизация рисков. Поэтому первое, что мы предлагаем нашим клиентам в Цифроматике — экспресс-аудит безопасности ИТ-инфраструктуры. То есть как минимум нужно понять, какие у компании есть слабые стороны, на каком софте все работает.

При тестировании ИБ компании сотрудники Цифроматики выступают в роли белых хакеров, которые пытаются найти лазейки в системе защиты и продемонстрировать возможности получения доступа к информации, информационным системам и компонентам ИТ-инфраструктуры. По статистике почти все подобные тесты на проникновение заканчиваются успехом и при этом проходят незаметно для рядовых ИТ-специалистов.

Нет сомнений, что не только государственные компании, но и частный бизнес из сферы КИИ обяжут перейти на российское ПО. И пока есть время, правильным будет действовать, а не ждать.