Проще всего представить так:
канал связи — это «дорога» (локальная сеть, VPN между площадками, интернет-канал, Wi-Fi, технологическая сеть, канал администрирования и т. д.);
защита — это набор правил и технических решений, которые гарантируют, что по этой дороге всё едет “в целости”, “кому надо”, и не ломает работу объекта.
Для значимых объектов КИИ требования к этой теме напрямую «зашиты» в обязательные меры ФСТЭК — в частности, есть отдельные меры про защиту при передаче по каналам связи и про доверенный канал/маршрут.
Что говорит законодательство
Базово требования к обеспечению безопасности значимых объектов КИИ установлены Приказом ФСТЭК России № 239 (он же определяет, что меры реализуются на стадиях жизненного цикла и результаты документируются).
В составе мер (приложение к требованиям) прямо предусмотрены меры:
1) ЗИС.19 — “Защита информации при ее передаче по каналам связи”;
2) ЗИС.20 — “Обеспечение доверенных канала, маршрута”.
Набор требований/мер привязывается к категории значимости, которая определяется по правилам категорирования (ПП РФ № 127).
Важно: если значимый объект одновременно является, например, ИСПДн или ГИС, то требования по КИИ применяются с учётом профильных требований (например, ПП РФ № 1119 для ИСПДн, приказ ФСТЭК № 17 для ГИС) — это прямо указано в требованиях ФСТЭК № 239.
Как это работает на практике
На практике «выполнить ЗИС.19 и ЗИС.20» — это не про один “волшебный” продукт, а про связку решений под вашу архитектуру. Обычно делается так:
Шаг 1. Описать все каналы связи объекта КИИ
Составляется перечень всех направлений обмена:
- внутри площадки (межсегментные связи серверов/АРМ/техсети);
- между площадками/филиалами;
- выходы во внешние сети/Интернет;
- удалённый доступ администраторов/сотрудников/подрядчиков;
- беспроводные сегменты (если есть);
- обмен с внешними ИС (гос.сервисы, контрагенты, интеграции).
Шаг 2. Разделить каналы на «доверенные» и «недоверенные»
Ключевая идея: где вы контролируете среду и оборудование — требования реализуются одним способом, где нет (Интернет, внешние каналы, чужая инфраструктура) — обязателен усиленный контур.
Шаг 3. Реализовать защиту передачи и доверенность маршрута
Типовые практические решения (выбираются по модели угроз и категории значимости):
- криптографическая защита/шифрование для передачи по недоверенным средам (VPN/защищённые туннели, защищённые протоколы);
- жёсткое ограничение точек обмена (одна/несколько контролируемых точек, DMZ, шлюзы);
- сетевое сегментирование, межсетевые экраны, фильтрация, контроль направлений;
- выделение отдельного контура для администрирования (не “админить” значимый объект через общий офисный интернет);
- контроль подлинности сетевых соединений и управление сетевыми соединениями (в требованиях рядом с ЗИС.19/ЗИС.20 есть смежные меры, которые обычно «закрывают» техническую сторону сетевой безопасности).
Шаг 4. Обязательно всё закрепить документально
В КИИ “сделали настройки” недостаточно — нужно, чтобы это было отражено:
- в модели угроз и проектных решениях;
- в документации подсистемы безопасности и правилах эксплуатации;
- в перечне применяемых мер по приказу № 239 и в организационно-распорядительных документах (обычно в рамках системы безопасности по приказу № 235).
Выводы и рекомендации
Защита каналов связи в КИИ — это про недопущение перехвата/подмены/срыва обмена данными и команд. Для значимых объектов КИИ тема прямо закреплена в мерах ФСТЭК: ЗИС.19 (защита при передаче) и ЗИС.20 (доверенный канал/маршрут).
Техническая реализация почти всегда начинается с инвентаризации всех каналов, выделения границ доверия и построения контролируемых точек обмена.
Самое частое «узкое место» у организаций — удалённый доступ и межплощадочные связи: именно там чаще всего нужен наиболее строгий и формализованный контур.
