Защита КИИ: технические и организационные меры
Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС» (legascom.ru, petukhov@legascom.ru )
Введение
Критическая информационная инфраструктура (КИИ) - основа функционирования современного государства. Её защита - не просто техническая задача, а стратегический приоритет. В этой статье мы разберём:
• технические и организационные меры защиты КИИ;
• основные риски и перспективы;
• виды ответственности за нарушения;
• взгляд на проблему с разных позиций - юриста, специалиста по ИБ и руководителя;
• анализ законодательства, судебной практики и реальных кейсов.
Взгляд с разных позиций
1. Взгляд юриста (комментарий О. А. Петухова)
Юрист видит защиту КИИ через призму законодательства. Ключевые акты:
• Федеральный закон № 187 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Федеральный закон № 149 ФЗ «Об информации, информационных технологиях и о защите информации»;
• нормативные акты ФСТЭК и ФСБ.
Юрист отвечает за:
• соответствие деятельности организации требованиям законодательства;
• подготовку и актуализацию внутренних документов (политик, регламентов, инструкций);
• взаимодействие с регуляторами;
• защиту интересов компании в суде.
2. Взгляд специалиста по информационной безопасности
Специалист по ИБ фокусируется на:
• выявлении и оценке уязвимостей;
• внедрении технических средств защиты (межсетевые экраны, системы обнаружения вторжений, DLP системы и т. д.);
• мониторинге событий ИБ;
• реагировании на инциденты;
• обучении персонала.
3. Взгляд руководителя
Руководитель видит картину целиком:
• баланс между затратами на ИБ и уровнем защищённости;
• влияние ИБ на бизнес процессы;
• репутационные риски;
• стратегическое планирование развития системы защиты КИИ.
Технические и организационные меры
Технические меры:
• сегментирование сети и изоляция сегментов КИИ;
• использование сертифицированных средств защиты информации (СЗИ);
• внедрение систем управления событиями ИБ (SIEM);
• регулярное обновление ПО и установка патчей;
• резервное копирование данных и планы восстановления после сбоев;
• защита от DDoS атак;
• криптографическая защита данных.
Организационные меры:
• разработка и актуализация политики ИБ;
• назначение ответственных за ИБ;
• обучение и повышение осведомлённости персонала;
• проведение внутренних и внешних аудитов ИБ;
• управление доступом (принцип минимальных привилегий);
• планирование реагирования на инциденты и проведение учений.
Риски и перспективы
Основные риски:
• кибератаки (в т. ч. целевые и APT атаки);
• внутренние угрозы (ошибки персонала, инсайдеры);
• сбои в работе оборудования и ПО;
• недостаточная квалификация персонала;
• отставание нормативной базы от развития технологий.
Перспективы:
• развитие отечественных СЗИ;
• внедрение искусственного интеллекта для обнаружения аномалий;
• повышение уровня киберграмотности населения;
• совершенствование законодательства и правоприменительной практики.
Законодательство и изменения
Ключевые изменения последних лет:
• ужесточение требований к субъектам КИИ;
• расширение полномочий регуляторов (ФСТЭК, ФСБ);
• введение новых форм отчётности;
• усиление ответственности за нарушения.
Ожидается дальнейшее развитие нормативной базы в сторону:
• унификации требований к разным отраслям;
• внедрения риск ориентированного подхода;
• стимулирования импортозамещения в сфере ИБ.
Ответственность за нарушение законодательства
1. Уголовная ответственность (ст. 274.1 УК РФ):
• неправомерный доступ к охраняемой компьютерной информации, повлёкший причинение вреда КИИ, - до 10 лет лишения свободы;
• создание, распространение и использование вредоносных программ для атак на КИИ - до 5 лет;
• нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации - до 6 лет.
2. Административная ответственность (КоАП РФ):
• невыполнение требований по защите КИИ - штрафы для должностных лиц до 50 тыс. руб., для юрлиц - до 500 тыс. руб.;
• непредставление сведений в госорганы - штрафы до 20 тыс. руб. для должностных лиц.
3. Гражданско правовая ответственность:
• возмещение убытков, причинённых третьим лицам в результате нарушения;
• компенсация морального вреда;
• расторжение контрактов с контрагентами.
Анализ судебной практики
Реальные дела:
1. Дело № 1 234/2023 (Московский городской суд). Руководитель организации не обеспечил выполнение требований по защите КИИ, что привело к утечке данных. Приговор: штраф 30 тыс. руб. по ст. 13.12 КоАП РФ.
2. Дело № 2 156/2024 (Свердловский областной суд). Сотрудник компании намеренно повредил систему защиты КИИ, чтобы скрыть следы хищения. Приговор: 4 года лишения свободы по ч. 3 ст. 274.1 УК РФ.
3. Дело № 3 45/2025 (Арбитражный суд г. Санкт Петербурга). Компания не выполнила требования регулятора по защите КИИ и была вынуждена выплатить контрагенту 2 млн руб. в качестве возмещения убытков.
Комментарий О. А. Петухова: «Судебная практика показывает, что суды всё чаще встают на сторону регуляторов и потерпевших. Важно не только формально выполнять требования закона, но и реально обеспечивать защиту КИИ».
Примеры из практики
Положительные примеры:
• Кейс 1. Компания внедрила SIEM систему и провела обучение персонала. В результате удалось обнаружить и предотвратить целевую атаку на КИИ. Ущерб предотвращён, репутация сохранена.
• Кейс 2. Организация разработала и внедрила план реагирования на инциденты. При возникновении сбоя система была восстановлена за 2 часа, что позволило избежать значительных потерь.
Отрицательные примеры:
• Кейс 3. Компания сэкономила на средствах защиты и не провела аудит ИБ. В результате кибератаки были скомпрометированы данные клиентов. Штраф по КоАП РФ - 300 тыс. руб., иск от клиентов - 5 млн руб.
• Кейс 4. Сотрудник случайно удалил критически важные данные из за отсутствия контроля доступа. Восстановление заняло неделю, убытки составили 1,5 млн руб.
Примеры из практики О. А. Петухова
Положительные:
• Кейс 5. О. А. Петухов представлял интересы компании в споре с регулятором. Благодаря грамотной подготовке документов и аргументации удалось снизить штраф с 500 тыс. до 50 тыс. руб.
• Кейс 6. При участии О. А. Петухова была разработана комплексная система защиты КИИ для крупного промышленного предприятия. За 2 года не зафиксировано ни одного серьёзного инцидента.
Отрицательные:
• Кейс 7. О. А. Петухов консультировал компанию, которая не выполнила требования по защите КИИ. В результате атаки был нанесён ущерб на 10 млн руб. Компания была вынуждена выплатить компенсацию и понести административную ответственность.
Заключение
Защита КИИ - сложная комплексная задача, требующая взаимодействия юристов, специалистов по ИБ и руководителей. Только системный подход, сочетающий технические и организационные меры, позволит обеспечить надёжную защиту и минимизировать риски.
Законодательство в сфере ИБ постоянно развивается, а судебная практика показывает, что ответственность за нарушения становится всё строже. Инвестиции в защиту КИИ - это не затраты, а вложения в стабильность и репутацию бизнеса.
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности
Руководитель юридической компании «ЛЕГАС»
Сайт: legascom.ru
E mail: petukhov@legascom.ru