Умный дом и умный город: КИИ или нет?
Константин Саматов, 13/12/21
Умных устройств, автоматизирующих различные процессы в жизнедеятельности человека, с каждым днем становится все больше и больше. Увеличение их количества приводит к возникновению вопросов, связанных с возможными последствиями для людей в случае нарушения их функционирования и, соответственно, их критичностью. В статье попробуем разобраться, насколько критичны системы, объединяющие так называемые умные устройства, и как они соотносятся с понятием КИИ из 187-ФЗ.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Что представляют собой умный дом и умный город
Умный дом – это, по сути, набор управляемых устройств, небольших автоматизированных систем управления бытовым технологическим процессом: включение освещения (умная лампа), включение электроприборов (умная розетка), приготовления пищи (чайник, мультиварка), уборка (пылесос), управление климатом (кондиционер, вентилятор, обогреватель) и т.п.
Умный город – это уже заметно более сложный комплекс, где к системам управления могут добавляться информационные системы (в том числе обрабатывающие большие данные, использующие механизмы искусственного интеллекта и машинного обучения). Инфраструктура умного города может интегрировать в себя такие сферы, как:
- жилищно-коммунальное хозяйство;
- электроснабжение;
- транспорт;
- коммуникации и связь;
- розничная торговля и услуги;
- здравоохранение;
- наука;
- образование;
- культура;
- муниципальное управление;
- безопасность.
Таким образом, видно, что и умный город, и умный дом представляют собой совокупность автоматизированных систем [1] различного вида (информационные системы и автоматизированные системы управления), объединенных в единую инфраструктуру.
Критическая информационная инфраструктура
В соответствии с терминологией, принятой в действующем законодательстве [2], критическая информационная инфраструктура (КИИ) представляет собой совокупность объектов КИИ и сетей электросвязи, используемых для организации взаимодействия этих объектов.
Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъекты КИИ – это государственные органы (учреждения), российские юридические лица или индивидуальные предприниматели (далее – организации) функционирующие в определенных сферах жизнедеятельности.
Очевидно, что системы и умного города, и умного дома потенциально могут быть объектами КИИ.
Отсюда возникает следующий вопрос: в каком случае они будут являться объектами КИИ и насколько целесообразно их к таковым относить?
Умный дом и умный город: КИИ или не КИИ с точки зрения законодательства?
Умные дома, принадлежащие физическим лицам (обычным пользователям умных устройств), не относятся к объектам КИИ, так как физическое лицо не входит в понятие субъекта КИИ.
Умные дома (системы управления жизнеобеспечением рабочих помещений), принадлежащие организациям, функционирующим в одной из сфер, перечисленных в законодательстве, попадают в область регулирования законодательства о безопасности КИИ и должны быть оценены с точки зрения применения к ним критериев значимости [3].
В части умного города ситуация выглядит несколько сложнее, так как его экосистему образует множество различных организаций, функционирующих в различных сферах, причем как включенных в КИИ (субъекты КИИ) – электроснабжение, транспорт, коммуникации и связь, здравоохранение, наука, так и не входящих в перечисленные в законодательстве о безопасности КИИ сферы – розничная торговля и услуги, жилищно-коммунальное хозяйство, образование, культура, муниципальное управление, безопасность.
Таким образом, умный город представляет собой экосистему, которую можно рассматривать под разными углами: как совокупность субъектов КИИ и не являющихся таковыми организаций или как единую автоматизированную систему, функционирующую в различных сферах.
Умный дом и умный город: КИИ или не КИИ с практической точки зрения?
По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохозяйства, умный дом хозяйствующего субъекта и умный город.
- Умный дом домохозяйства, то есть физического лица, с точки зрения критичности, иными словами, масштаба негативных последствий, вызванных нарушением его функционирования, вряд ли можно отнести к объектам КИИ, ведь нарушение функционирования системы умного дома несет негативные последствия лишь для домохозяйства, а не для крупного хозяйствующего субъекта, отрасли экономики или страны в целом.
- Умный дом хозяйствующего субъекта может быть как критическим объектом, в результате нарушения которого могут быть серьезные негативные последствия (например, нарушение функционирования государственного органа или ситуационного центра), так и не критическим (например, если нарушатся системы жизнеобеспечения объекта торговли или услуг, никаких серьезных последствий не произойдет).
- Умный город, по сути, есть некая большая автоматизированная система, объединяющая множество систем (сервисов) из разных сфер, часть из которых относится к КИИ, а часть нет. Поэтому если рассматривать умный город как экосистему, то, безусловно, это достаточно критичный объект, поскольку нарушение его функционирования может вести к значительным негативным последствиям.
В то же время, по мнению автора, на практике в целях выполнения требований законодательства о безопасности КИИ будет происходить дробление системы умного города на множество отдельных автоматизированных систем, принадлежащих различным организациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет.
Выводы
Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития, которое будет развиваться в одном из трех направлений.
- Расширение распространения законодательства о безопасности КИИ на новые сферы. Например, сфера жилищно-коммунального хозяйства в действующем законодательстве не отнесена к КИИ. В то же время это одна из сфер, которая на сегодняшний день показывает положительную динамику в части применения информационных технологий и значительно влияет на индекс цифровизации IQ городов, рассчитываемый Минстроем России.
- Законодательное закрепление понятия "умный город" и его корреляция с термином "объект КИИ".
- Создание методики определения границ объектов КИИ с учетом того, что различные элементы объектов КИИ могут принадлежать разным организациям, как субъектам КИИ, так и нет.
Комментарий эксперта
Эрик Нуртдинов, начальник отдела по защите информации PROF-IT GROUP
С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляющую. Поэтому для такой инфраструктуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ.
Хорошим тоном считается привлечение на стадии проектирования специалистов по ИБ, желательно с пониманием специфики защиты умного города или хотя бы АСУ. Таким образом можно сразу предусмотреть все нюансы, связанные с информационной безопасностью. Впрочем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построение системы защиты обычно требует увеличения времени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функциональности самой системы умного города.
У ряда вендоров и интеграторов планомерно развиваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты.
- Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003–90).
- Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 No 187-ФЗ.
- В соответствии с алгоритмом, описанным в постановлении Правительства РФ от 08.02.2018 г. N 127 (ред. от 13.04.2019 г.) "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".