То есть речь не только о «больших» государственных системах, но и о технологических, отраслевых, промышленных и корпоративных инфраструктурах, если они выполняют жизненно важные функции.
Проще говоря:
Критической становится та инфраструктура, без которой нельзя обеспечить нормальную работу города, региона, отрасли или государства.
Что говорит законодательство
Федеральный закон 187-ФЗ
Не содержит фиксированного перечня систем, но указывает, что критической может быть инфраструктура, функционирующая в сферах:
- энергетика, ТЭК
- электроэнергетика
- транспорт
- связь
- банковская и финансовая сфера
- здравоохранение
- наука
- оборона
- государственное управление
- промышленность
В этих сферах рассматриваются информационные системы, АСУ ТП и сети связи, обеспечивающие устойчивость и безопасность.
Постановление Правительства № 127 (категорирование КИИ)
Определяет критерии последствий, по которым инфраструктурные системы могут быть признаны критическими, например:
- массовое ухудшение жизнедеятельности населения;
- нарушение транспортного сообщения;
- вывод из строя объектов энергетики;
- сбой в финансовой инфраструктуре;
- невозможность оказания медицинской помощи;
- нарушение работы систем водоснабжения, газа, тепла;
- угрозы аварий и катастроф.
Это означает, что критическая инфраструктурная система — это не конкретный тип объекта, а та система, сбой которой приводит к значимым последствиям.
Приказы ФСТЭК № 235 и № 239
Эти документы рассматривают критические инфраструктурные системы как объекты, для которых необходима:
- система безопасности;
- меры защиты;
- контроль конфигураций;
- сегментация;
- защита каналов связи;
- непрерывность функционирования.
Это ещё раз подтверждает, что критическими могут быть системы любого уровня — от распределительных подстанций до ведомственных ИС.
Какие инфраструктурные системы чаще всего признаются критическими
Вот перечень основных категорий, встречающихся в практике категорирования КИИ.
- Энергетическая инфраструктура
- системы управления электростанциями;
- подстанции и распределительные сети;
- АСУ ТП объектов ТЭК;
- газотранспортные системы;
- нефтеперерабатывающие комплексы.
Почему критично: сбой → масштабные отключения, угрозы безопасности.
- Транспортная инфраструктура
- АСУ движения поездов;
- системы управления аэропортами;
- диспетчеризация метрополитенов;
- навигационные комплексы;
- системы платных дорог, мостов, тоннелей.
Сбой → остановка логистики, угрозы перевозкам.
- Инфраструктура связи
- сети связи общего пользования;
- ключевые дата-центры;
- магистральные каналы связи;
- интернет-эксченджи;
- центры маршрутизации трафика.
Сбой → нарушение связи, отказ критических сервисов.
- Финансовая инфраструктура
- платёжные системы (БЭСП, НСПК, процессинговые центры);
- межбанковские расчёты;
- биржевые инфраструктуры;
- клиринговые центры.
Сбой → финансовая нестабильность.
- Медицинская инфраструктура
- системы экстренной помощи;
- медицинские ИС уровня региона;
- лабораторные и диагностические комплексы;
- АСУ ТП медоборудования (ОКС, реанимация и др.).
Сбой → угроза здоровью и жизни людей.
- Системы жизнеобеспечения
- водоснабжение и водоотведение;
- очистные сооружения;
- теплоснабжение;
- АСУ ЖКХ;
- насосные станции.
Сбой → нарушение жизнедеятельности населённых пунктов.
- Промышленная инфраструктура
- технологические линии, АСУ ТП;
- системы контроля и мониторинга опасных производственных объектов;
- телемеханика предприятий.
Сбой → аварии, экологические риски, остановка производства.
- Государственное управление
- системы органов власти;
- ЕГИССО, ЕПГУ, ГИСы ведомств;
- системы безопасности и оповещения.
Сбой → невозможность управления государством.
Выводы и рекомендации
Критическими могут быть признаны любые инфраструктурные системы, которые:
- при сбое причиняют значительный ущерб;
- влияют на жизнь людей;
- обеспечивают государственные и общественные функции;
- входят в отрасли, перечисленные в 187-ФЗ.
Типовые критические системы — это: энергетика, транспорт, связь, финансы, медицина, ЖКХ, промышленные АСУ ТП, госуправление.
Ключевой критерий — последствия нарушения работы, а не название системы.
