Проще говоря, объект КИИ – это конкретная система или комплекс систем, сбой которых может затронуть большое количество людей, нарушить устойчивость технологических процессов или создать угрозу безопасности. Это не обязательно огромный завод или госорган – объектом КИИ может быть даже одна важная информационная система внутри частной компании, если она выполняет критические функции.
Что говорит законодательство
Согласно Федеральному закону № 187-ФЗ и нормативным актам ФСТЭК, к объектам критической информационной инфраструктуры относятся:
- Информационные системы, которые обеспечивают:
- обработку данных,
- управление процессами,
- предоставление цифровых сервисов в значимых сферах.
- Информационно-телекоммуникационные сети, включая:
- корпоративные сети организаций,
- сети передачи данных,
- каналы связи, задействованные в критических процессах.
- Автоматизированные системы управления (АСУ), применяемые в сферах:
- энергетики и ТЭК,
- промышленности,
- транспорта,
- связи,
- медицины,
- финансовой сферы,
- государственного управления.
Закон перечисляет сферы деятельности, в которых могут находиться объекты КИИ:
- здравоохранение;
- транспорт;
- связь;
- научная деятельность;
- энергетика и ТЭК;
- банковская и финансовая сфера;
- топливная промышленность;
- оборонная, ракетно-космическая, атомная промышленность;
- металлургия и химическая промышленность;
- органы государственной власти;
- иные технологически значимые отрасли.
Общее правило:
объектом КИИ считается та система, нарушение работы которой способно привести к серьёзным последствиям – социальным, экономическим или связанным с безопасностью государства.
Как это работает на практике
На практике объект КИИ – это не просто «сервер» или «программа», а система, выполняющая критическую функцию. В разных организациях объектами КИИ могут быть совершенно разные системы.
Примеры из разных отраслей:
Энергетика:
- АСУ ТП подстанций и распределительных сетей,
- системы мониторинга энергоблоков,
- телеметрия.
Медицина:
- клинические информационные системы,
- системы хранения и передачи диагностических данных,
- сервисы, обеспечивающие работу лабораторий или приёмных отделений.
Транспорт:
- диспетчерские комплексы,
- системы навигации и управления движением,
- платформы планирования маршрутов.
Финансы:
- процессинговые центры,
- платформы онлайн-банкинга и платежей,
- ключевые сервисы, обеспечивающие расчёты.
Промышленность:
- АСУ ТП производственных линий,
- системы контроля технологических процессов,
- системы обеспечения безопасности.
Госорганы:
- государственные информационные системы, обеспечивающие предоставление услуг,
- системы межведомственного обмена данными.
Важно:
- объект КИИ – это не организация, а конкретная система внутри неё;
- не все ИТ-системы организации являются объектами КИИ;
- принадлежность к объектам КИИ определяется по последствиям возможного сбоя или отключения;
- объект КИИ может быть как одним сервером, так и распределённой системой на десятки площадок.
Выводы и рекомендации
Объектами КИИ считаются информационные системы, сети и автоматизированные комплексы управления, выполняющие критически важные функции в отраслях, указанных в 187-ФЗ. Определяющим фактором является не тип оборудования, а влияние сбоя системы на жизнь людей, устойчивость процессов и безопасность государства.
Рекомендуем организациям:
- внимательно анализировать свои системы с точки зрения влияния на жизненно важные процессы;
- фиксировать перечень потенциальных объектов КИИ;
- при необходимости привлекать экспертов, чтобы исключить ошибки в квалификации систем.
Корректное определение объектов КИИ – основа выполнения требований 187-ФЗ и последующего категорирования.
