Защита КИИ: требования и меры реализации
Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Сайт: legascom.ru
E mail: petukhov@legascom.ru
Введение
Критическая информационная инфраструктура (КИИ) — фундамент современной экономики и государственного управления. Её защита — не просто техническая задача, а стратегический приоритет. В этой статье мы разберём требования к защите КИИ, меры их реализации, риски, перспективы, а также ответственность за нарушения. Взгляд на проблему будет многогранным: через призму права, информационной безопасности и управления.
1. Законодательная база и требования
Основу регулирования защиты КИИ в РФ составляет Федеральный закон от 26.07.2017 № 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон определяет:
• Объекты КИИ — информационные системы, сети и автоматизированные системы управления в ключевых отраслях (энергетика, транспорт, связь, финансы и т. д.).
• Субъектов КИИ — организации, владеющие или эксплуатирующие такие объекты.
• Обязанности субъектов КИИ:
проводить категорирование объектов КИИ;
создавать системы защиты информации;
обеспечивать взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак);
реагировать на компьютерные инциденты.
Подзаконные акты детализируют требования:
• приказы ФСТЭК России по защите информации;
• методические рекомендации по категорированию;
• требования к средствам защиты информации.
Изменения в законодательстве (2023–2024):
• ужесточение требований к импортозамещению ПО и оборудования в КИИ;
• расширение перечня объектов, подлежащих категорированию;
• усиление контроля за соблюдением требований безопасности.
2. Риски и перспективы
Риски:
• кибератаки (включая APT угрозы);
• утечки данных;
• сбои в работе систем из за технических неисправностей или человеческого фактора;
• несоблюдение требований законодательства и последующие санкции.
Перспективы:
• развитие отечественных решений для защиты КИИ;
• внедрение искусственного интеллекта для обнаружения и предотвращения атак;
• повышение квалификации специалистов;
• совершенствование законодательной базы.
3. Меры реализации защиты КИИ
Взгляд специалиста по информационной безопасности:
Реализация защиты КИИ — это комплексный процесс, включающий:
1. Категорирование объектов: определение значимости каждого объекта КИИ для отрасли и экономики в целом.
2. Создание системы защиты:
внедрение средств защиты (межсетевые экраны, системы обнаружения вторжений, антивирусное ПО);
настройка политик безопасности;
разграничение доступа.
3. Мониторинг и реагирование:
развёртывание SIEM систем для сбора и анализа событий безопасности;
организация круглосуточного мониторинга (SOC);
разработка планов реагирования на инциденты.
4. Тестирование и аудит:
регулярные пентесты и аудит безопасности;
проверка соответствия требованиям законодательства.
5. Обучение персонала:
тренинги по кибергигиене;
симуляции фишинговых атак.
Техническая составляющая и решения:
• отечественные межсетевые экраны (например, «Континент», «Ideco»);
• системы обнаружения вторжений (СОВ) российского производства;
• SIEM системы («MaxPatrol SIEM», «Kaspersky Unified Monitoring and Analysis Platform»);
• средства защиты от DDoS атак;
• решения для шифрования данных.
Комментарий Петухова О. А.: «Выбор технических решений должен основываться на результатах категорирования и анализе рисков. Универсального набора средств защиты не существует — каждая организация должна формировать свою систему с учётом специфики деятельности и угроз».
4. Взгляд юриста
С юридической точки зрения, защита КИИ — это соблюдение комплекса нормативных требований. Ключевые аспекты:
• Документооборот:
положение о защите КИИ;
приказы о назначении ответственных лиц;
акты категорирования;
регламенты реагирования на инциденты;
договоры с провайдерами услуг ИБ.
• Взаимодействие с регуляторами:
предоставление отчётов в ФСТЭК и ФСБ;
участие в учениях по кибербезопасности;
информирование о компьютерных инцидентах.
• Договорная работа:
включение требований по ИБ в договоры с подрядчиками;
контроль за соблюдением этих требований.
Комментарий Петухова О. А.: «Грамотное оформление документов — не бюрократия, а защита от претензий регуляторов и основание для взыскания убытков в случае инцидентов по вине подрядчиков».
5. Взгляд руководителя
Для руководителя защита КИИ — это управление рисками и обеспечение непрерывности бизнеса. Ключевые задачи:
• Выделение ресурсов: бюджет на ИБ, штат специалистов.
• Постановка целей: чёткие KPI по ИБ (время реагирования на инциденты, количество выявленных угроз).
• Контроль исполнения: регулярные отчёты от службы ИБ, аудиты.
• Культура безопасности: формирование у сотрудников понимания важности ИБ.
• Стратегическое планирование: учёт требований ИБ при внедрении новых технологий.
Комментарий Петухова О. А.: «Руководитель должен воспринимать ИБ не как затраты, а как инвестиции в стабильность и репутацию компании. Экономия на безопасности может обернуться многомиллионными убытками и потерей доверия клиентов».
6. Ответственность за нарушение законодательства
За нарушение требований к защите КИИ предусмотрена:
• Административная ответственность (КоАП РФ):
штрафы для должностных лиц — до 50 000 руб.;
штрафы для юридических лиц — до 100 000 руб. (ст. 13.12.1 КоАП РФ).
• Уголовная ответственность (УК РФ):
o ст. 274.1 УК РФ — неправомерное воздействие на КИИ РФ:
лишение свободы до 10 лет за действия, повлёкшие тяжкие последствия;
штрафы, принудительные работы.
• Гражданско правовая ответственность:
возмещение убытков, причинённых третьим лицам в результате инцидента;
взыскание штрафов по договорам.
7. Анализ судебной практики
Реальное дело № 1 (уголовное):
В 2022 году суд вынес приговор сотруднику IT отдела энергетической компании, который из мести внедрил вредоносное ПО в систему управления технологическим процессом. Атака привела к сбою на подстанции. Виновный осуждён по ст. 274.1 УК РФ к 5 годам лишения свободы.
Реальное дело № 2 (административное):
Банк оштрафован на 80 000 руб. за несвоевременное информирование ФСБ о компьютерном инциденте, повлёкшем утечку персональных данных клиентов. Нарушение квалифицировано по ст. 13.12.1 КоАП РФ.
Дело с участием Петухова О. А. (гражданское):
Юридическая компания «ЛЕГАС» представляла интересы банка в споре с подрядчиком, который не обеспечил требуемый уровень защиты платёжной системы. В результате атаки были похищены данные карт. Суд взыскал с подрядчика 15 млн руб. убытков и штраф по договору.
8. Примеры из практики
Положительные примеры:
• Пример 1: компания внедрила SIEM систему и SOC. В результате время обнаружения атак сократилось с 72 часов до 2 часов, а количество успешных фишинговых атак снизилось на 80 %.
• Пример из практики Петухова О. А.: юридическая компания «ЛЕГАС» помогла клиенту пройти проверку ФСТЭК без замечаний, грамотно оформив все документы по защите КИИ.
Отрицательные примеры:
• Пример 1: организация сэкономила на обучении персонала. Сотрудник открыл фишинговое письмо, что привело к шифрованию данных вирусом вымогателем. Убытки составили 20 млн руб., компания получила штраф от регулятора.
• Пример из практики Петухова О. А.: клиент не провёл категорирование объектов КИИ. В ходе проверки ФСТЭК выявила нарушение, организация была оштрафована на 100 000 руб.
Заключение
Защита КИИ — сложная, но решаемая задача. Успех зависит от:
• чёткого понимания требований законодательства;
• грамотного выбора технических решений;
• выделения достаточных ресурсов;
• формирования культуры безопасности.
Комплексный подход, объединяющий усилия юристов, специалистов по ИБ и руководителей, позволит минимизировать риски и обеспечить надёжную защиту критической информационной инфраструктуры.
За консультацией по вопросам защиты КИИ обращайтесь в юридическую компанию «ЛЕГАС»:
• сайт: legascom.ru;
• e mail: petukhov@legascom.ru .
Петухов Олег Анатольевич готов оказать правовую поддержку на всех этапах: от категорирования объектов до представления интересов в суде




