Контакты
Подписка 2025
Статьи по информационной безопасности

Актуальные вопросы построения защиты объектов КИИ

Константин Саматов, 12/08/22

С момента вступления в силу Федерального закона “О безопасности критической информационной инфраструктуры” прошло уже более четырех лет, и все субъекты критической информационной инфраструктуры уже создали или, как минимум, должны были создать системы безопасности своих значимых объектов КИИ. Однако жизнь не стоит на месте, появляются новые объекты КИИ и новые вопросы, связанные с построением и совершенствованием системы их защиты. Кроме того, весной 2022 г. появились новые нормативно-правовые акты, так или иначе оказывающие влияние на защиту объектов КИИ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Категорирование вновь создаваемых объектов КИИ

Несмотря на то что предусмотрены отдельные нормы, посвященные категорированию вновь создаваемых объектов, в Правилах категорирования объектов КИИ, утвержденных постановлением Правительства РФ No 127 от 08.02.2018 г., тем не менее не все так однозначно.

Перед специалистами субъекта КИИ на практике встают следующие вопросы:

  1. Как быть с объектами КИИ, создаваемыми длительное время, технические требования к которым утверждены до апреля 2019 г.?
  2. Что делать в случае, если уже существующий объект начал участвовать в автоматизации критического процесса?
  3. При каких условиях осуществлять пересмотр категории значимости? И т.п.

Подробнее ответы на эти вопросы были рассмотрены автором в одной из статей журнала "Information Security/ Информационная безопасность", No 2, 2021 г.

Масштабирование системы безопасности значимых объектов КИИ

На практике проблема обычно заключается в том, что не всегда возможно обеспечить защиту вновь создаваемого объекта КИИ или модернизируемого объекта, в случае изменения его архитектуры, аппаратно-программными средствами ранее созданной СБ ЗОКИИ. Часть этих средств будет несовместима с новыми архитектурными и/или программно-аппаратными решениями. В целом решение данной проблемы заключается в том, чтобы на этапе создания грамотно спроектировать необходимые решения и интеграцию с существующей СБ ЗОКИИ, а в случае невозможности интеграции с существующими подсистемами безопасности предусмотреть в рамках вновь создаваемых или модернизируемых ЗОКИИ новые подсистемы безопасности.

Кроме того, совсем недавно появилась и такая проблема: не все средства защиты, входящие в состав созданных СБ ЗОКИИ, можно будет применять в будущем. И здесь мы плавно переходим к следующему вопросу.

Импортозамещение аппаратной части и программного обеспечения

Тема импортозамещения достаточно стара, автор уже касался ее на страницах данного журнала [1], однако весной 2022 г. в данной сфере произошли достаточно серьезные изменения, связанные с ускорением импортозамещения в части объектов КИИ. Так, было издано два указа президента РФ.

  1. Указ Президента РФ No 166 от 30.03.2022 г. "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации".
  2. Указ Президента РФ No 250 от 01.05.2022 г. "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

Что важного для субъекта КИИ содержат данные указы? В соответствии с ними с 1 января 2025 г.:

  1. Органам государственной власти и компаниям с госучастием [2] запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Иными словами, органы и организации, попавшие в указанную категорию, – а это большое количество крупных субъектов КИИ – должны до 1 января 2025 г. полностью импортозаместить программную часть своих значимых объектов КИИ. Причем исключительно российским программным обеспечением, никакое иностранное ПО, в том числе из "дружественных" стран, не допускается.
  2. Субъектам КИИ запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие недружественные действия в отношении Российской Федерации, российских юридических и физических лиц, либо производителями которых являются организации, подконтрольные таким государствам (аффилированные с ними). Таким образом, с 1 января 2025 г. субъектам КИИ нельзя будет использовать средства защиты информации из зарубежных государств, входящих в список недружественных [3], для всех принадлежащих им информационных ресурсов (неважно, относятся они к значимым объектам КИИ или нет). С учетом того что совершение недружественных действий представляет собой переменную величину, зависящую от времени и геополитической ситуации, фактически указанный запрет означает явный приоритет российских средств защиты информации и возможность использования зарубежных только в случаях крайней необходимости.

Однако вопрос применения тех или иных средств защиты информации связан не только с импортозамещением, но и со следующим, четвертым, вопросом – оценкой соответствия средств защиты информации.

Оценка соответствия средств защиты информации

С 1 января 2023 г. вступают в силу требования приказа ФСТЭК России No 35 от 20.02.2020 г., вносящего изменения и дополнительные меры в Требования по обеспечению безопасности значимых объектов КИИ, утвержденные приказом ФСТЭК России No 239 от 25.12.2017 г.

  1. Необходимость соответствия средств защиты информации, не встроенных в общесистемное или прикладное программное обеспечение (наложенных), применяемых на значимых объектах КИИ по шестому или более высокому уровню доверия. Оценка средств защиты информации по уровням доверия осуществляется в форме сертификации, проводимой производителем (разработчиком), либо самостоятельно субъектом КИИ в форме оценки соответствия, процедура которой практически не отличается от сертификации. Ввиду сложности, трудозатратности и длительности по времени проведения оценки соответствия по уровням доверия для субъектов КИИ, не обладающих опытом сертификации (своей продукции или приобретаемых средств защиты) и не имеющих в своем составе испытательных лабораторий, экономически более выгодно приобретать сертифицированные средства защиты информации в случаях:
    - создания нового значимого объекта КИИ;
    - модернизации значимого объекта КИИ в рамках отдельного частного технического задания (технического проекта);
    - замены текущих (внедренных до 01.01.2023 г.) средств защиты информации: замена на аналог, смена версии, покупка новых лицензий.
  2. Для общесистемного программного обеспечения и встроенных в него средств защиты информации, применяемых на значимых объектах КИИ, необходимость соответствия требованиям к уровню доверия не установлена, в связи с чем для обеспечения безопасности (в том числе после 01.01.2023 г.) допускается использование средств защиты информации, встроенных в общесистемное программное обеспечение, при условии их соответствия требованиям к функциям безопасности, установленным в техническом задании на создание значимого объекта КИИ и (или) техническом задании (частном техническом задании) на создание подсистемы безопасности значимого объекта КИИ.
  3. Для прикладного программного обеспечения, планируемого для внедрения в рамках создания, модернизации, реконструкции или ремонта значимого объекта КИИ и обеспечивающего выполнение его функций по назначению, устанавливается необходимость его соответствия требованиям по безопасности (требованиям по безопасной разработке программного обеспечения, требованиям к испытаниям по выявлению уязвимостей в программном обеспечении, требованиям к поддержке безопасности программного обеспечения).

В заключение наряду с проблемными вопросами хотелось бы отметить и положительный момент, влияющий на построение системы защиты объектов КИИ. Уже упоминавшийся автором Указ Президента РФ No 250 от 01.05.2022 г. возложил на руководителя субъекта КИИ персональную ответственность за обеспечение информационной безопасности (п. 2 Указа).

По сути, данная норма означает, что теперь большинство руководителей, уделявших второстепенное внимание вопросам информационной безопасности, станут задумываться о необходимости вникать в вопросы защиты объектов информационной инфраструктуры, а значит, диалог между менеджментом и руководителем службы информационной безопасности теперь будет складываться более конструктивно.

Помимо этого, по мнению автора, следует ожидать:

  • большего внимания к запросам подразделения информационной безопасности;
  • увеличения штатной численности подразделения информационной безопасности, более легкого обоснования руководителю такой необходимости и меньшего сопротивления со стороны смежных подразделений; 
  • увеличения бюджетов на информационную безопасность и менее сложного их обоснования.
  1. Саматов К.М. Проблемы импортозамещения объектов КИИ // Information Security/Информационная безопасность. 2021. No 6. С. 16–17.
  2. Подробнее о критериях отнесения к данной категории см. ст. 1 ч. 2 Федерального закона No 223-ФЗ от 18.07.2011 г. “О закупках товаров, работ, услуг отдельными видами юридических лиц”.
  3. В настоящее время такой перечень утвержден распоряжением Правительства РФ No 430-р от 05.03.2022 г. “Об утверждении перечня иностранных государств и территорий, совершающих недружественные действия в отношении Российской Федерации, российских юридических и физических лиц”.
Темы:ИмпортозамещениеКИИЖурнал "Информационная безопасность" №3, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности