Мы живем в эпоху, когда цифровые технологии стали не просто удобным инструментом, а фундаментом существования государства. Электроэнергия, движение поездов, работа больниц, финансовые потоки - всем этим управляют сложные программно-аппаратные комплексы. И если раньше диверсанты пытались проникнуть на объект физически, то сегодня самая опасная атака может быть совершена удаленно, одним пакетом данных. Именно поэтому появился термин КИИ, и именно поэтому я хочу подробно разобрать, что стоит за этими тремя буквами и как выстроить реально работающую систему защиты.
Что такое КИИ: не просто серверы
Часто, когда говорят об информационной безопасности, представляют офисные компьютеры, базы данных с личной информацией или сайты компаний. Но КИИ - это совсем другой уровень. Это нервная система и кровеносные сосуды страны. Речь про объекты кии, вывод из строя которых приведет не к утечке персональных данных клиентов, а к остановке заводов, крушению поездов или блэкауту в целом регионе.
Критическая информационная инфраструктура - это совокупность автоматизированных систем управления (АСУ ТП), сетей связи и информационных систем, которые принадлежат компаниям в стратегических отраслях. Список этих отраслей четко определен: энергетика и ТЭК, транспорт, связь, финансы, здравоохранение, оборонка, атомная и космическая сферы.
Почему защита КИИ выделена в отдельное направление? Потому что мотивы атакующих здесь иные. Хактивисты или мелкие мошенники редко атакуют энергоблоки. Главные угрозы исходят от хакерских группировок, связанных с разведками других государств (APT-групп). Их цель - шпионаж за новейшими разработками или подготовка плацдарма для диверсии, которая может быть сравнима по последствиям с военным ударом. Игнорировать это - значит оставлять страну беззащитной.
187-ФЗ: Как государство взяло кибербезопасность под контроль
До 2017 года многие промышленные гиганты жили по старым стандартам, думая, что их сети изолированы от внешнего мира (air-gapped). Практика показала, что это иллюзия: Stuxnet, BlackEnergy и другие атаки доказали уязвимость любой инфраструктуры. Ответом стал Федеральный закон № 187-ФЗ, который вступил в силу в 2018 году. Он не просто рекомендует, а жестко обязывает «критические» компании защищаться.
Закон ввел ключевую терминологию, которую мы теперь обязаны знать. Субъекты КИИ - это сами компании из вышеупомянутых отраслей. Объекты КИИ - это конкретные информационные системы, сети или АСУ ТП, которые они используют. Закон также дал четкие определения атаке и инциденту: если зафиксировано вредоносное воздействие, приведшее к сбою, - это уже инцидент, о котором нужно сообщать.
Главными действующими лицами в этой системе стали две структуры. ФСТЭК России получила роль главного методиста и контролера: она разрабатывает требования, проверяет, как компании их выполняют, и выдает лицензии. ФСБ России взяла на себя оперативную функцию - создание и руководство системой обнаружения атак (ГосСОПКА) и координацию через НКЦКИ. Это разделение ответственности позволяет разделить стратегию и тактику защиты.
Категорирование: Ранжируем объекты по степени важности
Нельзя защищать всё одинаково хорошо - это требует бесконечных ресурсов. Законодатель это понимал, поэтому ввел процедуру категорирования. Это процесс, в ходе которого субъект КИИ должен оценить каждый свой объект и присвоить ему одну из трех категорий значимости. Первая категория - максимальная, третья - минимальная.
Как это работает на практике? Создается внутренняя комиссия, которая смотрит на показатели. Если сбой в системе может привести к гибели более 500 человек или ущербу окружающей среде, объект автоматом получает первую категорию. Если из-за атаки без связи останутся от 3 тысяч до миллиона абонентов - это третья категория. Критерии прописаны в Постановлении Правительства №127, и они охватывают социальную, политическую, экономическую и оборонную сферы.
Результатом работы комиссии становится Акт категорирования. Это не просто бумажка, а документ, который будет храниться годами. Если объект получил категорию (стал ЗОКИИ - значимым объектом КИИ), к нему применяются самые жесткие требования. Если нет - защита строится по усмотрению компании, но с оглядкой на регуляторов.
Пример критериев категорирования
| Сфера последствий | Показатель | 1 категория | 2 категория | 3 категория |
|---|---|---|---|---|
| Социальная | Пострадавшие (чел.) | > 500 | 50 - 500 | < 50 |
| Экономическая | Ущерб (млрд. руб.) | > 5 | 0.5 - 5 | < 0.5 |
| Политическая | Международные отношения | Существенный ущерб | Локальный ущерб | Нет ущерба |
| Оборонная | Снижение обороноспособности | Прямое влияние | Косвенное влияние | Влияние отсутствует |
| Экологическая | Зона заражения | Федеральный уровень | Региональный уровень | Локальный уровень |
ГосСОПКА: SIEM государственного масштаба
Теперь поговорим о мониторинге. Представьте себе, что все «тревожные кнопки» всех критических объектов страны должны вести в единый центр. Именно так можно описать систему ГосСОПКА - Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Многие путаются в иерархии. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) - это «мозг» и штаб-квартира. А ГосСОПКА - это техническая инфраструктура, каналы связи и регламенты, по которым информация об атаках стекается в этот центр. Субъекты КИИ обязаны подключиться к ГосСОПКА. Сделать это можно по-разному: либо заключить договор с ведомственным или коммерческим центром ГосСОПКА (по сути, с частным SOC, имеющим лицензию), либо создать свой корпоративный центр, что дорого и сложно.
Требования к срокам здесь жесткие, и это тот момент, о котором я часто рассказываю коллегам. Если инцидент произошел на значимом объекте, у вас есть всего 3 часа, чтобы передать информацию в НКЦКИ. Ручное заполнение форм здесь не работает. Необходима интеграция вашей системы IRP или SIEM с API НКЦКИ, чтобы отчеты улетали автоматически в момент подтверждения инцидента.
Моделирование угроз: Встань на место злоумышленника
Приказ ФСТЭК №239 - это, пожалуй, главная «Библия» для тех, кто защищает ЗОКИИ. Он говорит, что начинать строить защиту нужно не с покупки железа, а с головы - с моделирования угроз. Просто выполнить список требований недостаточно, нужно понять, от кого и как мы защищаемся.
Процесс анализа угроз делится на несколько этапов. Сначала мы строим модель нарушителя. Кто может напасть? Обиженный сотрудник с низким потенциалом? Конкуренты со средним? Или спецслужба другого государства с высоким потенциалом, имеющая доступ к zero-day уязвимостям? От ответа на этот вопрос зависит выбор средств защиты.
- Низкий потенциал: Одиночки, использующие публичные эксплойты. Цель - самоутверждение или мелкое хулиганство.
- Средний потенциал: Киберпреступные группы или конкуренты. Цель - финансовая выгода или промышленный шпионаж.
- Высокий потенциал: Спецслужбы, APT-группировки. Цель - дестабилизация, диверсия, кража гостайн.
Далее идет анализ уязвимостей. Здесь на помощь приходят пентесты. Но пентест пентесту рознь. Для КИИ нельзя просто запустить сканер уязвимостей поверх работающей АСУ ТП - это может вызвать отказ оборудования. Нужны максимально осторожные методы, часто с использованием копий резервных конфигураций и в жестко ограниченные окна технологических окон.
Итогом становится модель угроз. Согласно новой методике ФСТЭК, угроза считается актуальной только при наличии четырех компонент: источника, уязвимости, сценария реализации и неприемлемых последствий. Мы должны детально расписать тактики и техники из MITRE ATT&CK, которые может применить злоумышленник, и оценить уровень опасности каждой связки.
Технические меры: От идентификации до реакции
После того как мы поняли, чего боимся, приказ №239 предписывает нам внедрить 17 основных групп мер защиты. Это не просто галочка, а целая вселенная инженерных решений. Список знаком многим специалистам по ИБ, но в контексте КИИ у него есть критическая особенность.
Главный принцип: безопасность не должна нарушать технологический процесс. На обычном сервере Active Directory можно ставить патчи хоть каждый день, перезагружая его. На промышленном контроллере в доменной печи или на атомном реакторе перезагрузка может быть катастрофой. Поэтому меры из приказа (управление доступом, антивирусы, запрет на сменные носители) внедряются с оглядкой на отказоустойчивость и бесперебойность.
Особое внимание стоит уделить нескольким пунктам.
- Управление обновлениями. Если производитель зарубежного ПО ушел с рынка и не дает патчей, что делать? Приказ указывает на необходимость иметь гарантийную поддержку, а значит, в текущих реалиях нужно либо искать отечественные аналоги, либо выстраивать компенсирующие меры защиты на периметре сети.
- Защита от несанкционированного доступа со стороны производителя. Запомните: закон запрещает бесконтрольный удаленный доступ вендорам для настройки оборудования. Вся та «телеметрия», которая раньше уходила «на облако» производителя для диагностики, должна быть либо заблокирована, либо тщательно фильтроваться. И, наконец, для объектов первой категории действует «железное» правило: весь «hardware» и «software», на котором работает ЗОКИИ, должен физически находиться на территории Российской Федерации.
Основные меры защиты согласно Приказу №239
- Идентификация и аутентификация субъектов доступа.
- Управление доступом субъектов к объектам.
- Ограничение программной среды.
- Защита машинных носителей информации.
- Аудит безопасности.
- Антивирусная защита.
- Предотвращение вторжений (компьютерных атак).
- Обеспечение целостности автоматизированной системы и информации.
- Обеспечение доступности информации.
- Защита технических средств и систем.
- Защита информационной (автоматизированной) системы и ее компонентов.
- Планирование мероприятий по обеспечению безопасности.
- Управление конфигурацией.
- Управление обновлениями программного обеспечения.
- Реагирование на инциденты информационной безопасности.
- Обеспечение действий в нештатных ситуациях.
- Информирование и обучение персонала.
Комплексный подход к построению периметра
Защита КИИ - это не проект, который можно сдать и забыть. Это непрерывный цикл: категорирование, моделирование, внедрение мер, мониторинг инцидентов, отчетность в ГосСОПКА и снова анализ уроков. Это требует тесной связки ИТ-специалистов, технологов и безопасников.
Я вижу, как рынок движется к автоматизации. Ручное управление инцидентами уже невозможно, когда счет идет на часы. Поэтому сегодня успешная стратегия защиты КИИ строится на внедрении классов систем, которые интегрируются друг с другом: SIEM собирает события, IRP автоматизирует реагирование и отправку данных в НКЦКИ, а системы класса IDM и DCAP контролируют привилегированных пользователей и изменения конфигураций. Только такой эшелонированный подход позволяет чувствовать себя уверенно под прицелом современных киберугроз.
Распространяется ли закон 187-ФЗ на мою компанию, если у нас есть всего 10 компьютеров в офисе?
Если ваша компания работает в утвержденной отрасли (например, медицинский центр или транспортная компания), то да, вы - субъект КИИ. Однако категорию значимости нужно присваивать только тем системам, которые реально управляют критическими процессами. Офисный документооборот часто не подпадает под категорирование, если он не связан с основным производством.
Что будет, если не выполнить требования по импортозамещению для КИИ?
Требования по переходу на отечественное ПО и оборудование для объектов КИИ закреплены в отдельных указах. Ответственность за их неисполнение может варьироваться от крупных административных штрафов до приостановки деятельности компании, так как это создает угрозу национальной безопасности. Регуляторы проводят проверки, и лучше иметь дорожную карту перехода, чем объяснять её отсутствие.
Чем защита КИИ отличается от стандартной защиты персональных данных?
Кардинально. В 152-ФЗ мы защищаем конфиденциальность данных. В 187-ФЗ главный приоритет - это доступность и целостность технологического процесса. Утечка базы клиентов неприятна, но остановка доменной печи или обесточивание города - это уже чрезвычайная ситуация. Отсюда и другие подходы к приоритетам безопасности.
