Умных устройств, автоматизирующих различные процессы в жизнедеятельности человека, с каждым днем становится все больше и больше. Увеличение их количества приводит к возникновению вопросов, связанных с возможными последствиями для людей в случае нарушения их функционирования и, соответственно, их критичностью. В статье попробуем разобраться, насколько критичны системы, объединяющие так называемые умные устройства, и как они соотносятся с понятием КИИ из 187-ФЗ.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Умный дом – это, по сути, набор управляемых устройств, небольших автоматизированных систем управления бытовым технологическим процессом: включение освещения (умная лампа), включение электроприборов (умная розетка), приготовления пищи (чайник, мультиварка), уборка (пылесос), управление климатом (кондиционер, вентилятор, обогреватель) и т.п.
Умный город – это уже заметно более сложный комплекс, где к системам управления могут добавляться информационные системы (в том числе обрабатывающие большие данные, использующие механизмы искусственного интеллекта и машинного обучения). Инфраструктура умного города может интегрировать в себя такие сферы, как:
Таким образом, видно, что и умный город, и умный дом представляют собой совокупность автоматизированных систем [1] различного вида (информационные системы и автоматизированные системы управления), объединенных в единую инфраструктуру.
В соответствии с терминологией, принятой в действующем законодательстве [2], критическая информационная инфраструктура (КИИ) представляет собой совокупность объектов КИИ и сетей электросвязи, используемых для организации взаимодействия этих объектов.
Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъекты КИИ – это государственные органы (учреждения), российские юридические лица или индивидуальные предприниматели (далее – организации) функционирующие в определенных сферах жизнедеятельности.
Очевидно, что системы и умного города, и умного дома потенциально могут быть объектами КИИ.
Отсюда возникает следующий вопрос: в каком случае они будут являться объектами КИИ и насколько целесообразно их к таковым относить?
Умные дома, принадлежащие физическим лицам (обычным пользователям умных устройств), не относятся к объектам КИИ, так как физическое лицо не входит в понятие субъекта КИИ.
Умные дома (системы управления жизнеобеспечением рабочих помещений), принадлежащие организациям, функционирующим в одной из сфер, перечисленных в законодательстве, попадают в область регулирования законодательства о безопасности КИИ и должны быть оценены с точки зрения применения к ним критериев значимости [3].
В части умного города ситуация выглядит несколько сложнее, так как его экосистему образует множество различных организаций, функционирующих в различных сферах, причем как включенных в КИИ (субъекты КИИ) – электроснабжение, транспорт, коммуникации и связь, здравоохранение, наука, так и не входящих в перечисленные в законодательстве о безопасности КИИ сферы – розничная торговля и услуги, жилищно-коммунальное хозяйство, образование, культура, муниципальное управление, безопасность.
Таким образом, умный город представляет собой экосистему, которую можно рассматривать под разными углами: как совокупность субъектов КИИ и не являющихся таковыми организаций или как единую автоматизированную систему, функционирующую в различных сферах.
По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохозяйства, умный дом хозяйствующего субъекта и умный город.
В то же время, по мнению автора, на практике в целях выполнения требований законодательства о безопасности КИИ будет происходить дробление системы умного города на множество отдельных автоматизированных систем, принадлежащих различным организациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет.
Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития, которое будет развиваться в одном из трех направлений.
Эрик Нуртдинов, начальник отдела по защите информации PROF-IT GROUP
С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляющую. Поэтому для такой инфраструктуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ.
Хорошим тоном считается привлечение на стадии проектирования специалистов по ИБ, желательно с пониманием специфики защиты умного города или хотя бы АСУ. Таким образом можно сразу предусмотреть все нюансы, связанные с информационной безопасностью. Впрочем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построение системы защиты обычно требует увеличения времени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функциональности самой системы умного города.
У ряда вендоров и интеграторов планомерно развиваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты.