Проще говоря, КИИ – это технологический фундамент, на котором держится нормальная работа страны и отдельных организаций. Это не просто «компьютеры» или «программы», а системы, управляющие реальными жизненными процессами. Именно поэтому государство регулирует такие системы отдельно и требует повышенного уровня их защиты.
Что говорит законодательство
В соответствии со статьёй 2 Федерального закона № 187-ФЗ, критическая информационная инфраструктура включает:
- информационные системы,
- информационно-телекоммуникационные сети,
- автоматизированные системы управления,
которые используются в значимых отраслях, таких как здравоохранение, транспорт, связь, энергетика, ТЭК, банковская и финансовая деятельность, государственные органы и ряд отраслей промышленности.
Закон считает объект частью КИИ, если нарушение его работы может привести к серьёзным последствиям:
– угрозе жизни и здоровью людей,
– нарушению устойчивого функционирования отраслей экономики,
– угрозе обороноспособности или безопасности государства.
Такие объекты подлежат особому регулированию, контролю и защите.
Как это работает на практике
На практике КИИ – это конкретные важные системы внутри организации, а не вся её ИТ-инфраструктура.
Обычно это те компоненты, которые управляют критическими процессами или обеспечивают ключевые услуги.
Примеры:
- В энергетике это системы управления подстанциями, сетями и телеметрией. Их сбой может оставить без света целый район или город.
- В медицине – системы диагностики, госпитализации, записи пациентов, рабочие места врачей, от которых зависит оказание помощи.
- В банках – процессинговые платформы, через которые проходят платежи, переводы и операции клиентов.
- В транспорте – диспетчерские системы, системы управления движением, навигационные комплексы.
Важная деталь:
Объектом КИИ является не инфраструктура в целом, а именно те системы, сбой которых меняет работу жизненно важных процессов.
Именно из-за высокой значимости таких систем государство требует:
- определять их состав,
- оценивать последствия потенциальных сбоев,
- присваивать категория значимости (если требуется),
- обеспечивать соблюдение установленных мер защиты.
Выводы и рекомендации
Критическая информационная инфраструктура – это ИТ-системы, без которых невозможна стабильная работа ключевых услуг и отраслей. Закон 187-ФЗ чётко определяет, какие сферы относятся к КИИ и какие системы в них считаются критическими.
Для организаций важно правильно понимать, какие их системы подпадают под КИИ, поскольку от этого зависят обязанности по защите таких объектов и требования регуляторов.
Корректная идентификация КИИ – первый шаг к тому, чтобы избежать рисков, выполнить требования законодательства и обеспечить устойчивую работу компании.
