Контакты
Подписка 2026

Комплексная защита КИИ на производственном объекте

Константин Саматов, 13/05/24

Обеспечение информационной безопасности объектов КИИ является одной из приоритетных задач любого современного производственного предприятия. Риски кибератак, утечки данных или сбоев в работе автоматизированных систем могут привести к остановке технологических процессов, нарушению экологической обстановки и прямым финансовым потерям.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Создание надежной комплексной системы защиты критической информационной инфраструктуры крайне важно для бесперебойной деятельности предприятия и минимизации возможного ущерба. КИИ представляет собой совокупность объектов (автоматизированных систем), а также сетей связи, обеспечивающих взаимодействие этих объектов (систем).

Основными объектами КИИ промышленных комплексов являются:

  • автоматизированные системы управления технологическими процессами (АСУТП);
  • вспомогательные информационные системы: системы мониторинга оборудования, MES (Manufacturing Execution System – система управления производственными процессами), ERP (Enterprise Resource Planning – система планирования ресурсов предприятия) и т.п.;
  • информационные системы персональных данных (достаточно редкий вид в рамках производственных объектов, но все же встречается).

Говоря о комплексной защите, или, более правильно, комплексе мероприятий по защите объектов КИИ в рамках производственного предприятия, можно выделить следующие уровни защиты:

  1. Защита от физического проникновения на объект.
  2. Защита компонентов объектов КИИ.
  3. Защита информации, обрабатываемой объектами КИИ и передаваемой между ними.
  4. Регламентация процессов информационной безопасности.
  5. Работа с персоналом.

Безопасность объектов на каждом из указанных уровней обеспечивается путем реализации набора мероприятий (см. таблицу).

ris1-May-13-2024-07-18-21-0269-AM

Приведенный в таблице набор мер является ориентировочным и подлежит адаптации в соответствии с актуальными угрозами информационной безопасности, применяемыми информационными технологиями и особенностями функционирования производственного объекта, с учетом требований следующих нормативных документов:

  • Приказ ФСТЭК России от 21.12.2017 № 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".
  • Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
  • Приказ ФСТЭК России от 14.03.2014 № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды".
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Выше был указан ориентировочный набор мер для обеспечения комплексной защиты объектов КИИ на производственном объекте, теперь давайте рассмотрим алгоритм создания такой системы защиты.

Алгоритм создания системы защиты

Первое, с чего нужно начинать создание системы защиты, – это определение объектов защиты и состава мер, которые необходимо реализовать. Этому и была посвящена предыдущая часть статьи.

Второе – это аудит, то есть оценка текущего состояния информационной безопасности с целью понять, что уже сделано (какие меры реализованы ранее), а что еще необходимо сделать для создания комплексной системы защиты информации [1].

Третье – проектирование системы защиты, то есть разработка описания системы защиты, основанного на результатах аудита (понимании текущего положения дел) и включающего компоненты и функции, которые будут включены в систему, описание того, как они будут работать вместе, какие технологии и инструменты будут использоваться для ее разработки и поддержки.

Четвертое – внедрение: закупка, установка и настройка средств защиты, образующих комплексную систему защиты информации.

Пятое – ввод в эксплуатацию: проведение испытаний, опытной эксплуатации и ввод в промышленную эксплуатацию.

Если необходимо создать комплексную систему безопасности с нуля или осуществить ее модернизацию (внесение существенных изменений), то все указанные пять этапов следует рассматривать как проект и применять для их реализации принципы проектного управления (обычно в таких случаях подходит "классическое" проектное управление, а не гибкие методологии).

Когда система создана и функционирует, необходимо обеспечить ее дальнейшее сопровождение и совершенствование. Напомню знаменитый цикл Шухарта-Деминга: Планирование (Plan) – Выполнение (Do) – Контроль (Check) – Корректировка/Улучшение (Act). В рамках процессов сопровождения рекомендую обеспечить:

  • периодическое проведение анализа эффективности системы защиты информации и внедрение необходимых изменений;
  • учет изменений, трендов и развития технологий как в области автоматизации технологических процессов, так и информационной безопасности;
  • постоянное обновление программного и аппаратного обеспечения с целью закрытия уязвимостей и поддержания устойчивого функционирования;
  • проведение регулярных аудитов безопасности, включая различные виды тестирования на проникновение (внутренний нарушитель, внешний нарушитель).

В заключение следует отметить, что создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию.

Однако работа не заканчивается на этапе создания системы. Важно обеспечить ее постоянное сопровождение и совершенствование, что позволит своевременно реагировать на изменения в ландшафте угроз, закрывать новые уязвимости, следить за развитием технологий защиты и повышать общий уровень безопасности производственного предприятия.


  1. Подробнее о том, что такое аудит и как его проводить, можно посмотреть в статье https://lib.itsec.ru/articles2/focus/osobennosti-provedeniya-auditainformatsionnoy-bezopasnosti-obektov-kii 
Темы:КИИАСУ ТПЖурнал "Информационная безопасность" №1, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • SafeERP – новая архитектура защиты бизнес-приложений
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.
  • Что мы сегодня понимаем под защищенностью АСУ ТП? Круглый стол экспертов
    Разговор о кибербезопасности АСУ ТП уверенно смещается с уровня технологий и мер на уровень интерпретаций и границ. Что считать защищенностью, где проходят зоны ответственности, какие допущения остаются незамеченными – эти вопросы все чаще оказываются важнее конкретных СЗИ. Именно их мы вынесли в фокус обсуждения.
  • Безопасность нельзя добавить постфактум. Практика DevSecOps от УЦСБ
    Евгений Тодышев, руководитель направления “Безопасная разработка” УЦСБ
    Безопасная разработка в промышленности требует постоянного поиска баланса между требованиями регуляторов, скоростью вывода продукта и жесткими ограничениями встраиваемых систем. Руководитель направления “Безопасная разработка” УЦСБ Евгений Тодышев рассказал, какие компромиссы неизбежны, а какие вредны, почему безопасность нельзя добавлять постфактум, как встроить DevSecOps в легаси и в каких случаях сервисная модель выгоднее собственной команды.
  • UDV DATAPK Industrial Kit – реальная безопасность АСУ ТП за разумные деньги
    Владислав Ганжа, руководитель производственного направления лаборатории кибербезопасности UDV Group
    На рынке промышленной кибербезопасности до сих пор действует установка: чем дороже решение для защиты АСУ ТП, тем оно эффективнее. Но сегодня российские предприятия понимают, что переплачивают не столько за реальную защиту, сколько за имя и сложную архитектуру
  • Энергетика уходит от формального подхода к встроенной безопасности
    Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
    Энергетика – одна из самых чувствительных отраслей с точки зрения киберрисков. Как выстраивается реальная киберустойчивость в условиях роста количества компьютерных атак, импортозамещения, цифровизации и динамично развивающейся законодательной базы, – рассказал Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
  • Что вы недооцениваете при внедрении комплексной защиты АСУ ТП
    Ольга Луценко, эксперт UDV Group
    Обсуждая комплексную защиту, ИБ-директора чаще всего фокусируются на средствах, требованиях регуляторов и документации. Формально это выглядит корректно, но в результате на практике защита оказывается внедренной, но не встроенной в архитектуру и процессы предприятия. То есть она превращается в набор разрозненных решений, формально соответствующих требованиям, но не обеспечивающих реальной устойчивости. В этом кроется ключевая ошибка – воспринимать комплексную защиту как набора технологий, а не как изменения процессов и модели управления безопасностью.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...