Контакты
Подписка 2024
Статьи по информационной безопасности

Умный дом и умный город: КИИ или нет?

Константин Саматов, 13/12/21

Умных устройств, автоматизирующих различные процессы в жизнедеятельности человека, с каждым днем становится все больше и больше. Увеличение их количества приводит к возникновению вопросов, связанных с возможными последствиями для людей в случае нарушения их функционирования и, соответственно, их критичностью. В статье попробуем разобраться, насколько критичны системы, объединяющие так называемые умные устройства, и как они соотносятся с понятием КИИ из 187-ФЗ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Что представляют собой умный дом и умный город

Умный дом – это, по сути, набор управляемых устройств, небольших автоматизированных систем управления бытовым технологическим процессом: включение освещения (умная лампа), включение электроприборов (умная розетка), приготовления пищи (чайник, мультиварка), уборка (пылесос), управление климатом (кондиционер, вентилятор, обогреватель) и т.п.

Умный город – это уже заметно более сложный комплекс, где к системам управления могут добавляться информационные системы (в том числе обрабатывающие большие данные, использующие механизмы искусственного интеллекта и машинного обучения). Инфраструктура умного города может интегрировать в себя такие сферы, как:

  • жилищно-коммунальное хозяйство;
  • электроснабжение;
  • транспорт;
  • коммуникации и связь;
  • розничная торговля и услуги;
  • здравоохранение;
  • наука;
  • образование;
  • культура;
  • муниципальное управление;
  • безопасность.

Таким образом, видно, что и умный город, и умный дом представляют собой совокупность автоматизированных систем [1] различного вида (информационные системы и автоматизированные системы управления), объединенных в единую инфраструктуру.

Критическая информационная инфраструктура

В соответствии с терминологией, принятой в действующем законодательстве [2], критическая информационная инфраструктура (КИИ) представляет собой совокупность объектов КИИ и сетей электросвязи, используемых для организации взаимодействия этих объектов.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъекты КИИ – это государственные органы (учреждения), российские юридические лица или индивидуальные предприниматели (далее – организации) функционирующие в определенных сферах жизнедеятельности.

Очевидно, что системы и умного города, и умного дома потенциально могут быть объектами КИИ.

Отсюда возникает следующий вопрос: в каком случае они будут являться объектами КИИ и насколько целесообразно их к таковым относить?

Умный дом и умный город: КИИ или не КИИ с точки зрения законодательства?

Умные дома, принадлежащие физическим лицам (обычным пользователям умных устройств), не относятся к объектам КИИ, так как физическое лицо не входит в понятие субъекта КИИ.

Умные дома (системы управления жизнеобеспечением рабочих помещений), принадлежащие организациям, функционирующим в одной из сфер, перечисленных в законодательстве, попадают в область регулирования законодательства о безопасности КИИ и должны быть оценены с точки зрения применения к ним критериев значимости [3].

В части умного города ситуация выглядит несколько сложнее, так как его экосистему образует множество различных организаций, функционирующих в различных сферах, причем как включенных в КИИ (субъекты КИИ) – электроснабжение, транспорт, коммуникации и связь, здравоохранение, наука, так и не входящих в перечисленные в законодательстве о безопасности КИИ сферы – розничная торговля и услуги, жилищно-коммунальное хозяйство, образование, культура, муниципальное управление, безопасность.

Таким образом, умный город представляет собой экосистему, которую можно рассматривать под разными углами: как совокупность субъектов КИИ и не являющихся таковыми организаций или как единую автоматизированную систему, функционирующую в различных сферах.

Умный дом и умный город: КИИ или не КИИ с практической точки зрения?

По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохозяйства, умный дом хозяйствующего субъекта и умный город.

  1. Умный дом домохозяйства, то есть физического лица, с точки зрения критичности, иными словами, масштаба негативных последствий, вызванных нарушением его функционирования, вряд ли можно отнести к объектам КИИ, ведь нарушение функционирования системы умного дома несет негативные последствия лишь для домохозяйства, а не для крупного хозяйствующего субъекта, отрасли экономики или страны в целом.
  2. Умный дом хозяйствующего субъекта может быть как критическим объектом, в результате нарушения которого могут быть серьезные негативные последствия (например, нарушение функционирования государственного органа или ситуационного центра), так и не критическим (например, если нарушатся системы жизнеобеспечения объекта торговли или услуг, никаких серьезных последствий не произойдет).
  3. Умный город, по сути, есть некая большая автоматизированная система, объединяющая множество систем (сервисов) из разных сфер, часть из которых относится к КИИ, а часть нет. Поэтому если рассматривать умный город как экосистему, то, безусловно, это достаточно критичный объект, поскольку нарушение его функционирования может вести к значительным негативным последствиям.

В то же время, по мнению автора, на практике в целях выполнения требований законодательства о безопасности КИИ будет происходить дробление системы умного города на множество отдельных автоматизированных систем, принадлежащих различным организациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет.

Выводы

Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития, которое будет развиваться в одном из трех направлений.

  1. Расширение распространения законодательства о безопасности КИИ на новые сферы. Например, сфера жилищно-коммунального хозяйства в действующем законодательстве не отнесена к КИИ. В то же время это одна из сфер, которая на сегодняшний день показывает положительную динамику в части применения информационных технологий и значительно влияет на индекс цифровизации IQ городов, рассчитываемый Минстроем России.
  2. Законодательное закрепление понятия "умный город" и его корреляция с термином "объект КИИ".
  3. Создание методики определения границ объектов КИИ с учетом того, что различные элементы объектов КИИ могут принадлежать разным организациям, как субъектам КИИ, так и нет.

 

Комментарий эксперта

Эрик Нуртдинов, начальник отдела по защите информации PROF-IT GROUP

С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляющую. Поэтому для такой инфраструктуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ.

Хорошим тоном считается привлечение на стадии проектирования специалистов по ИБ, желательно с пониманием специфики защиты умного города или хотя бы АСУ. Таким образом можно сразу предусмотреть все нюансы, связанные с информационной безопасностью. Впрочем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построение системы защиты обычно требует увеличения времени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функциональности самой системы умного города.

У ряда вендоров и интеграторов планомерно развиваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты. 

  1. Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003–90).
  2. Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 No 187-ФЗ.
  3. В соответствии с алгоритмом, описанным в постановлении Правительства РФ от 08.02.2018 г. N 127 (ред. от 13.04.2019 г.) "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
Темы:Умный городУмный домКИИКатегорированиеЖурнал "Информационная безопасность" №5, 2021

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"