Категорирование КИИ. Проходим проверку, не теряя здравый смысл

Категорирование объектов критической информационной инфраструктуры (КИИ) — вещь, о которой многие компании вспоминают, когда уже пришло письмо из ФСТЭК. А ведь, по сути, это не просто «обязаловка ради галочки», а инструмент, который помогает самому бизнесу понять: какие системы держат компанию «на плаву», а где можно позволить себе пару часов простоя без последствий.

В 2022 году внимание к КИИ выросло в разы. Выросло количество проверок, в части требований — добавилось импортозамещение, в связи с чем еще больше выросла ответственность. Особенно это почувствовали банки, энергетика, транспорт и связь — у этих сфер теперь нет права на «бумажную безопасность».

Закон — это основа, но не инструкция по выживанию

Формально всё держится на трех документах:

• 187-ФЗ «О безопасности критической информационной инфраструктуры»;
• Постановлении № 127-ПП, где описаны правила категорирования объектов.

Дополняет их методический документ ФСТЭК — «Методика оценки угроз безопасности информации», утверждённая 5 февраля 2021 года.

В нём описаны сведения, которые помогают компаниям составить модель нарушителя и определить актуальные угрозы безопасности информации для системы, что в будущем поможет при выборе компенсирующих мер для объекта КИИ.

Эти документы определяют, кто попадает под закон, как выглядит процедура и что делать с результатом. Но в реальности сухие формулировки мало помогают. Чтобы пройти проверку спокойно, нужно понимать не только «что написано», но и «зачем это написано».

Закон охватывает 14 сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, ОПК, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Если компания работает хотя бы в одной из них — формально она уже потенциальный субъект КИИ.

Зачем всё это нужно

Цель категорирования проста — понять, где слабое место, и оценить, какой ущерб принесёт его отказ. Речь не только про деньги. Например:

• вирус Stuxnet когда-то вывел из строя промышленные системы — урок, который до сих пор изучают во всех службах ИБ;
• сбои в банковских сетях оставляли клиентов без доступа к счетам;
• атаки на ИТ-инфраструктуру энергетиков приводили к массовым отключениям.

Каждый такой случай показывает: угрозы реальны, и ФСТЭК смотрит на компании не как на формалистов, а как на потенциальные источники рисков.

Кто считается субъектом КИИ

Тут без сюрпризов. Субъектами КИИ признаются организации, которые:

• работают в одной из 14 сфер из 187-ФЗ;
• предоставляют услуги населению или государству;
• могут причинить значительный вред при сбое — будь то экология, экономика или безопасность.

Если ваши системы реально влияют на жизнь людей — категория вас, рано или поздно, догонит.

Как это проходит на практике

1. Создаётся комиссия. Руководитель утверждает приказ и включает туда специалистов по ИТ и ИБ.
2. Определяются объекты. Всё, что критично — серверы, системы управления, каналы связи, SCADA-узлы.
3. Собираются данные по форме 236. Архитектура, угрозы, ПО, владельцы, связи — целый список.
4. Оценивается ущерб и присваивается категория: 1 категория — критична для государства; 2 категория — критична для региона или отрасли; 3 категория — влияет на компанию и муниципальное образование, в котором она находится; «без категории» — объект незначим, но подлежит защите.
5. Составляется акт и в течение 10 рабочих дней со дня его утверждения отправляется во ФСТЭК.

Дальше инспекция либо подтверждает категорию, либо отправляет сведения на доработку.

Если объект признан значимым — он включается в реестр ЗОКИИ, и на него распространяются приказы № 227, 235 и 239.

Ошибки, которые встречаются чаще всего

• Комиссию собирают «для галочки» — без технарей, которые реально понимают архитектуру.
• Не рассматриваются все системы, которые всплывают во время проверки.
• Форма, утвержденная приказом №236, заполняется бездумно — в итоге сведения отправляются либо неполными, либо недостоверными.
• При расчете ущерба указывают на неактуальность критериев значимости.

ФСТЭК это видит мгновенно — и акт возвращается «на доработку».

Из реальной практики

У одной энергетической компании под управлением была диспетчерская система. Отказ этой системы — это не просто сбой: на несколько часов встаёт целый регион. Такой объект получил 1 категорию.

А внутренний сервис для техподдержки — хоть и важен для работы персонала, но для внешних пользователей незаметен.

Он остался «без категории».

Вроде очевидно, но на проверках именно с такими вещами спорят чаще всего.

Что делать после утверждения категории

Категорию подтвердили — теперь вы официально в реестре.

Дальше начинается рутинная, но важная часть:

• разработка модели угроз;
• внедрение мер из 239 приказа ФСТЭК;
• настройка мониторинга событий;
• аттестация систем защиты.

Это не лишняя бюрократия, а страховка: если случится инцидент, именно эти документы покажут, что компания всё сделала по правилам.

Также не реже одного раза в 5 лет (или в случае изменения показателей критериев значимости объектов или их значений) необходимо проводить процедуру актуализации сведений. А по прошествии 5 лет необходимо перекатегорироваться.

Как пройти проверку без стресса

• Собирайте документы заранее, а не «к требованию».
• Делайте нормальные описания регламентов защиты, а не копируйте шаблон из интернета.
• Не пытайтесь спорить с ФСТЭК — лучше обоснуйте свои решения фактами по букве закона.
• Привлекайте специалистов — их опыт реально экономит месяцы.

Категорирование — не враг бизнеса, а инструмент, который помогает держать инфраструктуру под контролем. Если подойти к этому осознанно, проверка превращается не в стресс, а в чек-ап системы безопасности.

А компании, которые проходят категорирование вдумчиво, потом меньше страдают от аудитов и гораздо спокойнее спят.

Автор: Марк Баранов, ведущий специалист по технической защите информации в АБП2Б.