Критическая информационная инфраструктура (КИИ) — это системы и сети, от которых зависит безопасность страны, экономика и жизнь людей. Их повреждение или выход из строя могут привести к масштабным последствиям. В России защита таких объектов регулируется федеральным законодательством.
К объектам КИИ относят сферы, которые признаны стратегически значимыми, поэтому требования к их защите строже, чем к обычным информационным системам. Государство контролирует работу субъектов КИИ — организаций, которые владеют или управляют такими объектами.
Субъекты КИИ обязаны обеспечивать защиту своих систем, проходить категорирование и отчитываться перед регуляторами, а категорирование определяет уровень угроз и меры безопасности для каждого объекта. Сегодня мы рассмотрим основы КИИ: из чего она состоит, как управляется и что входит в обязанности субъектов, использующих такую инфраструктуру.
Объекты КИИ
Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем, сетей и автоматизированных систем управления, выход из строя которых создает угрозу для безопасности страны, экономики или общества. К объектам КИИ относят системы, обеспечивающие работу ключевых отраслей: энергетики, транспорта, здравоохранения, связи и финансового сектора. Их отказ может привести к масштабным последствиям, включая остановку жизненно важных услуг или экономический коллапс.
Законодательно понятие КИИ закреплено в ФЗ №187 «О безопасности критической информационной инфраструктуры». Этот закон определяет критерии отнесения систем к КИИ и требования к их защите. Объекты КИИ отличаются от обычных IT-систем степенью значимости — их защита регулируется строже из-за потенциального ущерба.
В перечень объектов критической информационной инфраструктуры включают только те системы, которые соответствуют установленным критериям. Решение принимается на основе анализа возможных последствий их отказа. Например, для банка объектом КИИ может стать система электронных платежей, а для энергетической компании — система управления энергосетями.
Критическая информационная инфраструктура РФ строится по принципу приоритетности. Чем выше потенциальный ущерб от сбоя, тем строже требования к обеспечению безопасности. Категории КИИ (I, II, III) помогают ранжировать объекты по уровню значимости. Это позволяет субъектам КИИ распределять ресурсы на защиту систем рационально.
Понимание, что такое КИИ, необходимо для соблюдения законодательных норм. Организации должны четко определять, попадают ли их системы под это определение. От этого зависит необходимость выполнения дополнительных требований по безопасности и отчетности перед государством.
Какие сферы попадают под КИИ
К объектам критической информационной инфраструктуры РФ относятся системы, обеспечивающие работу ключевых отраслей экономики и государственного управления. Согласно ФЗ №187, к ним причисляют:
- Энергетику (системы управления энергосетями, АСУ ТП электростанций)
- Транспорт (диспетчерские системы аэропортов, железных дорог, метрополитенов)
- Здравоохранение (медицинские информационные системы, оборудование жизнеобеспечения)
- Финансовый сектор (платежные системы, банковские транзакционные платформы)
- Связь (сети операторов связи, системы передачи данных)
Эти направления признаны стратегически значимыми из-за потенциальных последствий сбоев. Например, остановка платежных систем может парализовать экономику, а выход из строя медицинских ИС — угрожать жизни пациентов.
Федеральный закон конкретизирует перечень объектов критической информационной инфраструктуры через отраслевые критерии. Для банков это могут быть процессинговые центры, для транспортных компаний — системы управления движением. Решение о включении в реестр принимается на основе оценки возможного ущерба.
Особое внимание уделяется объектам, связанным с обороной, космической отраслью и атомной энергетикой. Их защита регулируется дополнительными нормативными актами. В 2025 году список может расшириться за счет включения образовательных и социальных учреждений.
Субъекты КИИ
Субъектами критической информационной инфраструктуры РФ являются организации, которые владеют или управляют объектами КИИ. К ним относятся:
- Государственные структуры (федеральные и региональные органы власти)
- Госкомпании (предприятия с госучастием в стратегических отраслях)
- Крупный бизнес (частные компании в сфере энергетики, транспорта, финансов и связи)
Эти организации подпадают под действие ФЗ №187 и обязаны соблюдать требования по защите КИИ. Субъекты КИИ определяются не только по форме собственности, но и по сфере деятельности. Например, системно значимые банки и операторы связи тоже попадают в этот перечень.
Организация признается субъектом КИИ, если:
- Эксплуатирует информационные системы в ключевых отраслях (энергетика, транспорт, здравоохранение и др.)
- Обеспечивает взаимодействие между объектами КИИ
- Входит в перечень стратегических предприятий
Решение о включении в реестр субъектов КИИ принимают ФСТЭК России и отраслевые регуляторы. Например, для банков это Центробанк РФ, для энергетических компаний — Минэнерго.
Обязанности субъектов КИИ
Субъекты критической информационной инфраструктуры несут конкретные обязанности, установленные ФЗ №187. Эти требования направлены на обеспечение устойчивой работы объектов КИИ и минимизацию рисков кибератак. Ниже мы перечислим основные обязанности.
Категорирование объектов
Субъекты обязаны провести оценку своих систем и присвоить им категории значимости. Процесс включает анализ потенциальных последствий сбоев и подачу актов категорирования в ФСТЭК. Пересмотр категорий проводится не реже чем раз в 5 лет.
Обеспечение защиты информации
Субъекты должны внедрить меры безопасности, соответствующие категории объекта. Для I категории обязательны:
- Сертифицированные средства защиты
- Резервные каналы связи
- Круглосуточный мониторинг угроз
Взаимодействие с регуляторами
Субъекты должны:
- Предоставлять отчеты в ФСТЭК и ФСБ
- Сообщать о киберинцидентах (в течение 3 часов для I категории)
- Участвовать в проверках соблюдения требований
Обучение персонала
Работники, имеющие доступ к объектам КИИ, обязаны проходить регулярное обучение по кибербезопасности. Программы согласовываются с регуляторами.
Импортозамещение
Для значимых объектов действует требование использовать российское ПО и оборудование. Сроки перехода устанавливаются отдельно для каждой отрасли.
Несоблюдение обязанностей влечет ответственность по КоАП и УК РФ. Штрафы для юрлиц достигают 500 тыс. рублей, а за грубые нарушения предусмотрена уголовная ответственность.
Заключение
Критическая информационная инфраструктура (КИИ) — это основа устойчивости ключевых отраслей экономики и государственного управления. Ее защита регулируется ФЗ №187, который определяет требования к объектам КИИ, категорирует их по уровню значимости и закрепляет обязанности для субъектов — государственных структур, госкомпаний и крупного бизнеса.
Соблюдение этих норм не просто формальность, а необходимость для обеспечения национальной безопасности. Организации, работающие с КИИ, должны своевременно проводить категорирование, внедрять меры защиты и взаимодействовать с регуляторами. В условиях роста киберугроз это единственный способ минимизировать риски и избежать серьезных последствий для экономики и общества.
В следующей статье мы подробно рассмотрим категорирование в сфере КИИ, включая значимость, процесс и последствия принятия соответствующей категории.
ИТ-интегратор Notamedia занимается автоматизацией и защитой объектов КИИ. У нас есть опыт работы с высоконагруженными проектами государственного уровня со строгими требованиями к защите информации (включая работу с гостайной), а также к устойчивости и надёжности таких систем. Свяжитесь с нами, чтобы обсудить работы по защите объектов КИИ и интеграцию с такими системами.
