Идентификация и категорирование
Первое, с чего начинается погружение в мир КИИ для любого оператора — это, простите за казенщину, идентификация и категорирование. Выглядит страшно, но на деле — это просто честный разговор с самим собой: «А что, собственно, у меня в компании является критически важным?». Федеральный закон № 187-ФЗ и подзаконные акты четко говорят: оператор обязан определить, какие из его информационных систем, сетей или автоматизированных систем управления производством относятся к объектам КИИ. И тут начинается самое интересное. Мало кто из иностранных предпринимателей понимает, что под раздачу может попасть даже, скажем, система управления складом, если она связана с логистикой товаров первой необходимости или стратегического сырья. Я помню случай, когда один наш клиент, владелец крупного автокомпонентного завода, долго спорил: «У нас же не АЭС, зачем нам эта графа?». А пришлось — потому что система управления конвейером (SCADA) у него была основой всего производства.
Процедура категорирования — это не разовое событие, а скорее, как диспансеризация. Вы должны не просто присвоить объекту первую, вторую или третью категорию (или, если повезет, вовсе не найти признаков КИИ), но и документально обосновать это решение. Здесь важна экспертная оценка последствий. Если нарушение работы системы приведет к серьезным социальным, экономическим или оборонным последствиям — категория будет выше. И вот тут многие операторы совершают фатальную ошибку: пытаются «занизить» категорию, надеясь избежать лишнего контроля. Коллеги, это путь в никуда. Во-первых, уполномоченный орган (ФСТЭК России) может сам провести проверку и переквалифицировать ваш объект, и тогда штрафы будут уже не за формальное нарушение, а за «сокрытие» — а это совсем другой разговор. Во-вторых, честно признав сложность, вы получаете легальное право на усиление защиты, что, по сути, есть акт добросовестного управления рисками. Я всегда советую: не жалейте времени на этот этап, привлеките грамотного специалиста по информационной безопасности (ИБ) — он поможет составить акт категорирования так, чтобы он выдержал любую проверку.
Не забудьте, что все эти документы — акты категорирования, перечни объектов, сведения о них — должны быть направлены (или предоставлены по запросу) во ФСТЭК. «Ну, отправили и забыли» — это не наш метод. Надо вести реестр, обновлять данные при изменении структуры или используемых технологий. Как-то раз один мой знакомый директор ИТ-департамента с гордостью сказал: «Мы пять лет назад все подали, и тишина». А потом — внеплановая проверка, и выяснилось, что они заменили ядро системы управления базами данных (СУБД) на новую версию, но перекатегоризацию не провели. Итог — предписание и изрядный штраф. Поэтому, ведите эту работу как текущий проект, а не как разовый отчет для галочки.
Создание системы безопасности
Если вы все верно определили и прокатегорировали, следующая обязанность — построить систему безопасности значимого объекта КИИ. Это не просто установка антивируса на сервер, как многие, увы, думают. Речь идет о комплексной системе, которая должна отвечать методическим документам ФСТЭК. Таких документов — вагон и маленькая тележка, и они описывают меры по защите информации от несанкционированного доступа, обеспечению целостности и доступности данных. Тут есть важный момент: требования различаются в зависимости от категории объекта. Для первой категории (самые важные) — это целый арсенал средств, от криптографической защиты до физической изоляции сегментов сети. Для третьей категории — требования мягче, но они все равно есть.
Многие иностранные компании, привыкшие к западным стандартам ISO 27001, испытывают культурный шок: наша нормативная база по КИИ более императивна и детализирована. Там, где стандарт ISO говорит «рекомендуется», у нас часто стоит «обязательно». И это различие нужно просто принять. Например, обязательное требование об импортозамещении средств защиты информации (сейчас это касается в первую очередь объектов первой и второй категорий). Вы не можете просто взять и поставить западный SIEM или NGFW, каким бы хорошим он ни был. Нужно использовать сертифицированные ФСТЭК российские решения. Я помню случай, когда холдинг с западным софтом, работавший в энергетике, попал в сложную ситуацию — им пришлось в течение года экстренно перепроектировать всю архитектуру ИБ, чтобы заменить вендора. Это стоило огромных денег, нервов и задержек. Мой совет: готовясь к КИИ, сразу закладывайте в бюджет отечественные сертифицированные средства.
Однако, «галочка» с покупкой софта — это только часть дела. Сама система должна быть документирована. У вас должны быть: политика безопасности, частные политики, организационно-распорядительные документы, регламенты реагирования на инциденты, планы восстановления. Это огромный пласт бумажной работы, который стоит нанимать для выполнения либо штатным специалистам по ИБ, либо аутсорсерам. И, повторюсь, система должна быть живой: если вы поменяли технологический процесс или структуру сети, документы должны быть актуализированы. Однажды на проверке выяснилось, что в регламенте прописан бумажный журнал событий, а на деле все работает в SIEM с автоматическим логированием. Вроде мелочь, а формальное несоответствие есть — значит, требование не выполнено. В «Цзясуй Цайшуй» мы всегда советуем клиентам один раз в год проводить внутренний «аудит документов», чтобы такого не было.
Своевременное реагирование
Обязанность оператора — не просто пассивно обороняться, но и активно реагировать на компьютерные инциденты. Закон четко предписывает: как только вы обнаружили событие, которое может привести к нарушению работы КИИ, вы обязаны уведомить об этом ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). Уведомление должно быть направлено в установленный срок — обычно в течение нескольких часов с момента обнаружения. Для западных бизнесменов, привыкших сначала все расследовать и «не выносить сор из избы», это требование часто кажется диким. Но логика тут простая: государство должно знать об атаке в реальном времени, чтобы предупредить других.
Как это выглядит на практике? В техническом центре у вас должна быть настроена система мониторинга, которая может выявлять подозрительную активность (например, попытку эксплуатации уязвимости, необычный сетевой трафик, признаки ВПО). При выявлении — формируется отчет (карточка инцидента) и отправляется в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который и является оператором ГосСОПКА. Это не значит, что вы ждете, пока приедет спецназ. Вы обязаны сами принимать меры по локализации и ликвидации угрозы, ограничению доступа, сохранению доказательств. ГосСОПКА оказывает только методическую и, при необходимости, практическую помощь, но основная работа — на вас.
Ключевая проблема здесь — это человеческий фактор и уровень зрелости команды ИБ. Нередко инцидент просто не замечают или, что еще хуже, замечают, но пытаются "замолчать", чтобы избежать внимания регулятора. Я был свидетелем ситуации, когда на заводе случился сбой в производственной линии из-за шифровальщика, но руководство приказало ИТ-отделу «все починить тихо», никому не сообщая. В итоге, когда через полгода все вскрылось (а шифровальщики обычно оставляют «следы»), штраф и ущерб репутации были в разы больше, чем если бы сразу подключили ГосСОПКА и получили бы помощь с расшифровкой. Поэтому я настаиваю: внедрите процедуру, при которой любое подозрение на инцидент — это сразу триггер для направления уведомления. Лучше 10 ложных срабатываний, чем одно утаивание.
Обеспечение непрерывности работы
Положение о безопасности КИИ требует от оператора не только защититься от атаки, но и обеспечить, что если атака произошла, бизнес не встал. Речь идет о планировании непрерывности бизнеса (BCP) и аварийном восстановлении (DRP). Это обязанность, про которую многие вспоминают только когда уже «пожар». А зря. Регулятор хочет видеть: есть ли у вас резервные центры обработки данных (ЦОД), как часто вы делаете бэкапы, протестированы ли планы восстановления. И не просто «у нас есть ленточная библиотека», а проверка: «Сможете ли вы запустить критическую систему на резервном оборудовании за 4 часа? Или за сутки?». Это жесткие временные рамки.
Разработать такой план — это, на самом деле, очень полезная работа для бизнеса в целом. Вы начинаете понимать, какие процессы действительно «критичны», а какие могут подождать. Например, на недавнем проекте мы для нашего клиента — логистической компании — выявили, что их система управления заказами (WMS) является ключевой, а система бухгалтерского учета может временно работать в «упрощенном» режиме офлайн. Это позволило сэкономить на резервировании: не покупать второй полный клон ЦОДа, а сделать облегченный DR-сайт для WMS с ограниченным функционалом. План должен быть регулярно тестируемым — раз в квартал или хотя бы раз в полгода. Если вы его ни разу не тестировали, он мертв.
Без тестирования это просто стопка бумаги. Тестирование — это имитация аварии: «сбой сервера», «отключение питания». Сотрудники должны на практике знать, куда бежать, какие команды давать. У меня был сомнительный опыт, когда клиент показывал регулятору красивый план на 70 страниц, а на вопрос «когда была последняя тренировка» честно ответил — два года назад, да и то «документальная». Это вызывает огромное недоверие. Помните: непрерывность — это не про бумагу, а про то, что вы сможете отгрузить продукт клиенту, даже если случилась катастрофа.
Взаимодействие с госорганами
Последняя важная, на мой взгляд, грань обязанностей — это выстраивание отношений с государственными структурами. Речь не только об уведомлении об инцидентах. Вы обязаны: предоставлять по запросу информацию о состоянии защищенности, пропускать проверки (правда, с уведомлением за 24 часа при плановой, внеплановая может случиться и без него), согласовывать некоторые решения (например, о подключении к сетям международного информационного обмена). Для многих западных компаний это выглядит как излишняя «спуганность» и потеря контроля. Но давайте посмотрим с другой стороны: это нормальная практика в любой стране, где государство считает цифровую инфраструктуру стратегическим ресурсом.
Самое сложное здесь — это бюрократическая переписка. Вы должны уметь формулировать ответы на запросы регулятора. Ошибки в индексах, неправильные реквизиты — и письмо может уйти в никуда, а потом будет считаться, что вы не ответили. Я вспоминаю случай, когда наш клиент получил запрос от Управления ФСТЭК по региону. Испуганный региональный IT-директор написал ответ на английском, просто переведя его через Google Translate. Естественно, из-за путаницы в терминах (например, «incident handling» стало «вмешательство в обработку») документ сочли неверным и запросили повторно. Пришлось подключать нашу службу и на русском объяснять, что такое «реагирование на инциденты». Мораль: любой официальный документ должен готовить либо русифицированный юрист, либо грамотный переводчик с пониманием ИБ.
И помните, что взаимодействие с госорганами — это не односторонний поток требований. Вы можете и должны задавать уточняющие вопросы, запрашивать разъяснения, особенно если требования кажутся двусмысленными. ФСТЭК и НКЦКИ иногда выпускают методические рекомендации и разъяснения. Если вы будете добросовестным оператором, который своевременно подает сведения и следует законодательству, ваши проверки пройдут гораздо легче. Никто не хочет «кошмарить» добросовестный бизнес — это понимают даже самые строгие контролеры.
---
**Подводя итог**, хочу подчеркнуть: обязанности оператора по КИИ — это не набор карательных мер, а, по сути, хорошая практика управления рисками. Да, это дорого, да, это бюрократично, да, это требует привлечения квалифицированных кадров (порой временных). Но если отбросить эмоции, это всего лишь план того, как вы обеспечиваете свою цифровую устойчивость. Риски есть везде — от атаки хакеров до банальной ошибки электрика. Подумайте о КИИ как о дорогой страховке: вы платите премию сейчас, чтобы не потерять все завтра.
Я вижу, что через 5-10 лет требования будут только ужесточаться, но и инструменты «перьят»а станут проще — появятся готовые платформы для соответствия, облачные сервисы. Главное, что сам тренд на защиту КИИ необратим. И иностранным инвесторам стоит это принять. Какую бы отрасль мы ни взяли — энергетику, финансы, транспорт, связь — все это уже плотно в контуре безопасности. Моя рекомендация: не пытайтесь срезать углы, пройдите этот путь честно, и тогда у вашего бизнеса будет прочный цифровой фундамент. А мы, в «Цзясуй Цайшуй», всегда подскажем, как проще и быстрее это оформить.
***Взгляд компании «Цзясуй Цайшуй»
В «Цзясуй Цайшуй» мы ежедневно сталкиваемся с тем, что иностранные компании воспринимают требования КИИ как еще один «налог на непонимание». Однако наш опыт показывает: четкое следование нормам — это не просто соблюдение закона, а залог доверия со стороны партнеров и государства. Мы помогаем нашим клиентам не только в идентификации объектов, но и в отстройке прозрачных бизнес-процессов, отвечающих требованиям безопасности. Считаем, что будущее за автоматизацией документооборота по КИИ и внедрением систем комплаенс-контроля в реальном времени. Инвестиции в эту сферу сегодня — это вклад в стабильность и «цифровое здоровье» вашего бизнеса завтра. Не пытайтесь обойти закон, научитесь с ним работать — и он станет не препятствием, а вашим конкурентным преимуществом.
