Если сказать проще:
Если промышленная система управляет реальным технологическим процессом, нарушение которого может повлиять на людей, производство, экономику или безопасность — это объект КИИ.
АСУ ТП входят в КИИ по умолчанию во всех базовых отраслях: энергетика, транспорт, водоснабжение, ТЭК, связь, медицина, оборонка и т.д.
Что говорит законодательство
187-ФЗ «О безопасности критической информационной инфраструктуры»
Объектами КИИ являются информационные системы, АСУ ТП и сети связи, функционирующие в критически важных сферах:
- Топливно-энергетический комплекс
- Электроэнергетика
- Транспорт
- Промышленность
- Здравоохранение
- Наука
- Связь
- Финансы
- Государственные органы
и др.
Промышленная автоматизация как раз подпадает под категорию АСУ ТП, которую закон прямо называет одним из видов объектов КИИ.
Постановление Правительства № 127 (категорирование КИИ)
В методике категорирования прямо указано, что:
- АСУ ТП, SCADA, технологические контроллеры, системы мониторинга и управления оборудованием должны рассматриваться как потенциальные объекты КИИ.
- Под категорирование попадают не только “большие” SCADA, но и локальные автоматизированные узлы, если они влияют на критичный процесс.
Приказы ФСТЭК № 235 и № 239
Эти нормативы рассматривают АСУ ТП как основной класс систем, требующих:
- разработки модели угроз;
- проектирования и внедрения системы безопасности;
- мер по контролю доступа, целостности, сегментации;
- защиты каналов обмена контроллеров и исполнительных механизмов.
Значит, промышленная автоматизация — это не просто ИТ-система, это критический элемент инфраструктуры, подлежащий защите.
Как это работает на практике
- Почти все АСУ ТП — объекты КИИ
Примеры:
- SCADA электростанции
- система управления газораспределением
- АСУ водозабора и водоочистки
- технологические контроллеры производственных линий
- управление светофорами или дорожными объектами
- диспетчеризация зданий (если влияет на критические процессы)
- телемеханика в ТЭК
- системы защиты и автоматики подстанций
- управление насосными, компрессорными, котельными и т.п.
При нарушении работы таких систем последствия могут быть значительными — значит, они попадают под требования КИИ.
- Не вся промышленная автоматизация — КИИ
Исключения бывают:
- внутризаводские системы, не влияющие на общественную безопасность;
- автоматизация вспомогательных процессов (например, производство мебели или игрушек);
- АСУ ТП, сбой которых не приводит к значимым последствиям (ПП № 127).
Однако такие случаи встречаются редко, и организацию всегда просят доказать, что нарушение работы АСУ ТП не повлечёт значимых последствий.
- Частая ошибка — считать, что “АСУ ТП не ИС → не КИИ”
По 187-ФЗ АСУ ТП — такой же объект КИИ, как ИС или сеть связи.
Материал регуляторов прямо подчёркивает:
АСУ ТП — ядро критической информационной инфраструктуры.
Выводы и рекомендации
Промышленная автоматизация является частью объектов КИИ, если:
- система управляет технологическим процессом, влияющим на безопасность или экономику;
- сбой приводит к риску аварии, остановке производства или нарушению жизненно важных функций;
- система относится к одной из отраслей 187-ФЗ.
Такие АСУ ТП подлежат:
- выявлению как объект КИИ;
- категорированию (ПП № 127);
- применению мер безопасности ФСТЭК (№ 235, № 239);
- взаимодействию с ГосСОПКА;
- учёту в реестре КИИ организации.
Исключения редки
Если промышленная система “некритична”, организация должна документально обосновать отсутствие значимости.
