Как классифицируются значимые объекты КИИ согласно приказу ФСТЭК России 239

Работа с критической инфраструктурой начинается не с выбора средств защиты, а с понимания, какие именно системы относятся к значимым объектам. В этой части 239 приказ фстэк россии задает процедуру категорирования. Цель - оценить последствия нарушений работы и на основе этого определить требования по обеспечению безопасности значимых объектов. Без грамотной классификации можно либо недооценить риски, либо, наоборот, перегрузить не самые важные системы избыточными мерами.

Под кии фстэк понимает совокупность информационных систем, АСУ, сетей и иных технологических комплексов, от которых зависит функционирование значимых отраслей и процессов. Приказ фстэк россии 239 обязывает субъектов КИИ провести анализ своих активов, выделить те, которые потенциально могут быть отнесены к значимым, и оценить их по установленным критериям. Среди таких критериев - влияние на безопасность людей, устойчивость отрасли, региональную или национальную безопасность.

Результатом процедуры становится присвоение категории значимости. От нее зависят требования к кии: набор организационных и технических мер, глубина мониторинга, состав документации, периодичность проверок. Чем выше категория, тем жестче требования по обеспечению безопасности значимых объектов. При этом фокус не только на самих системах, но и на их взаимодействиях с внешними сервисами, партнерскими площадками, смежными технологическими цепочками.

На практике категорирование строится поэтапно. Сначала формируют перечень систем, которые задействованы в технологических и бизнес-процессах, важных для организации и отрасли. Далее оценивают сценарии нарушений: к чему приведет отказ, искажение данных, несанкционированное управление. Затем рассматривают возможный масштаб последствий и вероятность реализации. На основании этой оценки уже выбирается категория и формируется список мер, которые необходимо реализовать.

Фстэк кии документально закрепляет обязанность пересматривать категории при изменениях инфраструктуры и процессов. Например, если система, ранее считавшаяся вспомогательной, начинает участвовать в управлении технологическим процессом, ее статус и требования к кии могут измениться. То же самое касается интеграций с внешними платформами: новая связка может повысить значимость компонента и потребовать дополнительных мер по его защите.

Нередко сложности возникают при учете связей между объектами. Формально отдельная подсистема может выглядеть не слишком критичной, но через интеграции фактически воздействовать на управляемые процессы. В рамках 239 кии такие цепочки особенно важны: нарушение работы вспомогательных звеньев через цепочку интеграций может привести к последствиям, сопоставимым с прямым воздействием на основной объект. Поэтому при классификации приходится учитывать не только функцию системы, но и ее место в общей архитектуре.

Корректно проведенное категорирование упрощает дальнейшую работу. Организация видит полный перечень значимых объектов, их взаимосвязи, применяемые требования кии и зоны, где еще есть пробелы. Это делает диалог с регулятором более предметным, а внутреннее планирование - более реалистичным: очевидно, какие меры обязательны и в какие сроки их нужно внедрять.

В процессе создания статьи частично задействованы материалы с сайта blog.infra-tech.ru - классификация по приказу ФСТЭК России 239