Что означает аббревиатура КИИ в информационной безопасности?

В сфере информационной безопасности (ИБ) аббревиатура КИИ расшифровывается как «Критическая информационная инфраструктура». Это не просто технический термин, а фундаментальное правовое и организационное понятие, которое определяет объекты, чья устойчивая и безопасная работа жизненно важна для государства, общества и экономики.

Простыми словами, КИИ — это информационные системы, сети и ресурсы, атака на которые или выход из строя которых может привести к катастрофическим последствиям: человеческим жертвам, значительному экономическому ущербу, нарушению общественного порядка, подрыву обороноспособности или безопасности государства.

КИИ — это цифровой «скелет» современного общества, повреждение которого парализует ключевые функции жизнедеятельности.

Правовая основа и определение

Понятие КИИ в России закреплено на законодательном уровне Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно этому закону, объекты КИИ — это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, принадлежащие субъектам критической информационной инфраструктуры.

Самими субъектами КИИ являются юридические лица и индивидуальные предприниматели, которые владеют такими объектами на праве собственности, аренды или ином законном основании и осуществляют деятельность в значимых для государства сферах.

Какие объекты и сферы относятся к КИИ?

Закон чётко определяет перечень значимых объектов, которые могут быть отнесены к КИИ. К ним относятся организации, работающие в следующих областях:

  • Здравоохранение: системы диспетчеризации скорой помощи, информационные системы крупных медицинских центров, обеспечивающие жизнеподдерживающие функции.
  • Наука: уникальные научные установки, исследовательские реакторы.
  • Транспорт: системы управления движением на воздушном, железнодорожном, водном и автомобильном транспорте (диспетчерские службы, системы светофорного регулирования на магистралях).
  • Связь: узлы связи, центры обработки данных, магистральные каналы, обеспечивающие функционирование сетей общего пользования.
  • Финансовый рынок: платёжные системы, биржи, системы расчётов, инфраструктура Банка России.
  • Энергетика: системы диспетчерского управления электроэнергетикой (АСДУ), АСУ ТП на электростанциях и подстанциях, системы управления нефте- и газопроводами.
  • Топливно-энергетический комплекс: автоматизированные системы управления добычей, переработкой и транспортировкой топлива.
  • Атомная энергетика: системы управления ядерными установками, радиационными источниками.
  • Оборонная промышленность: информационные системы предприятий оборонно-промышленного комплекса.
  • Банковская сфера и иные области финансового рынка.
  • Промышленность: АСУ ТП на опасных производственных объектах (химические, металлургические комбинаты).

Кто и как определяет, что является объектом КИИ?

Отнесение конкретного объекта к КИИ — это не волевое решение его владельца, а формальная процедура, регулируемая государством. Специально уполномоченный федеральный орган исполнительной власти (ФСТЭК России) ведёт реестр объектов КИИ. Владелец потенциального объекта обязан подать уведомление, после чего проводится категорирование — оценка значимости объекта и последствий от нарушения его функционирования. По результатам категорирования объекту присваивается одна из трёх категорий значимости.

Зачем нужно выделение КИИ и какие меры защиты применяются?

Выделение КИИ в отдельную категорию обусловлено растущими киберугрозами. Атаки на такие объекты (как, например, атака вируса-шифровальщика на энергосистему или больницу) носят не коммерческий, а часто политический или диверсионный характер. Цель — не украсть деньги, а нанести максимальный ущерб.

Для защиты объектов КИИ законом установлен целый комплекс обязательных мер:

  1. Категорирование объектов КИИ для определения уровня необходимой защиты.
  2. Обеспечение безопасности значимых объектов КИИ с помощью систем защиты информации, предотвращающих компьютерные атаки.
  3. Создание Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (СОПКА) и подключение к ней объектов КИИ. Это позволяет государству в режиме реального времени отслеживать кибератаки на критическую инфраструктуру.
  4. Регулярные проверки (аттестации) выполнения требований безопасности.
  5. Обязательное информирование государственного Центра реагирования на компьютерные инциденты (ГосСОПКА) о всех инцидентах информационной безопасности.

Ответственность за нарушения

Для субъектов КИИ предусмотрена серьёзная административная и уголовная ответственность за невыполнение требований закона. Это подчёркивает высокую степень важности, которую государство придаёт защите этих объектов.

Вывод

Таким образом, КИИ в информационной безопасности — это не абстрактная технология или продукт, а совокупность самых важных информационных активов страны, защита которых регулируется отдельным строгим законодательством. Понимание этого термина необходимо не только специалистам по ИБ, работающим в соответствующих отраслях, но и всем, кто хочет осознавать, как устроена современная система кибербезопасности на государственном уровне. Защита КИИ — это вопрос национальной безопасности в цифровую эпоху.