ЗОКИИ: что скрывается за грозной аббревиатурой

Тема критической информационной инфраструктуры сейчас актуальна для тысяч российских компаний. Наиболее строгие требования выдвигаются к значимым объектам КИИ – ЗОКИИ.

В этой статье рассмотрим отличия объектов КИИ от ЗОКИИ, ключевые критерии значимых объектов критической информационной инфраструктуры, практики категорирования ЗОКИИ и специфику обеспечения информационной безопасности таких объектов.

Что такое ЗОКИИ

ЗОКИИ — это аббревиатура, обозначающая значимые объекты критической информационной инфраструктуры. По сути, это объекты, деятельность которых критически важна для функционирования страны. Нарушение или остановка их работы может привести к серьезным негативным последствиям для общества, экономики, безопасности и жизнедеятельности людей.

Влад Крылов

Консультант по информационной безопасности AKTIV.CONSULTING

С 1 января 2018 года вступил в силу 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», в котором впервые были введены понятия «критическая информационная инфраструктура» (КИИ), «объект КИИ» (ОКИИ), «значимый объект КИИ» (ЗОКИИ).

ОКИИ являются информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ) субъектов КИИ. К субъектам КИИ относятся госорганы, учреждения, юрлица и ИП, которым принадлежат ИС, ИТКС, АСУ, функционирующие в одной из 14 сфер, определенных в 187-ФЗ.

ЗОКИИ — это ОКИИ, которому присвоена одна из категорий значимости, и который включен в реестр значимых объектов критической информационной инфраструктуры (ведется ФСТЭК России). Категорирование осуществляется в соответствии со ст.7 187-ФЗ и Правилами категорирования ОКИИ, утвержденным Постановлением Правительства РФ от 02.02.2018 г. № 127 (далее — «127 ПП РФ»).

В первую очередь субъект КИИ должен выявить в своей организации критические процессы с точки зрения функционирования и сфер деятельности предприятия, выделить ОКИИ, задействованные при выполнении данных процессов, после чего происходит определение значимости ОКИИ на основании показателей критериев значимости.

Показатели критериев значимости определены в Приложении в 127 ПП РФ, и распределены по следующим категориям: социальная, политическая, экономическая, экологическая, а также значимость для обеспечения обороны страны, безопасности государства и правопорядка. В каждой категории приводится один или несколько критериев, их пороговые значения, с которыми организация соотносит свой ОКИИ.

К примеру, показатель 10.3 показывает, что, если в организации, являющейся негосударственным пенсионным фондом, функционирует ОКИИ, который участвует в проведении операций по выплатам, передаче или размещению денежных средств суммой пенсионных накоплений и пенсионных резервов от 50 млрд до 1 трлн руб., то такой ОКИИ признается значимым. Для каждого показателя значимости необходимо провести оценку масштаба возможных последствий в случае инцидентов на ОКИИ. В результате ОКИИ присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.

ЗОКИИ являются ключевыми элементами критической информационной инфраструктуры (КИИ). Они обеспечивают стабильную работу систем, которые поддерживают:

• энергетику;
• транспорт;
• связь;
• финансовый сектор;
• здравоохранение;
• образование;
• государственное управление;
• военная безопасность.

Важно понимать, что ЗОКИИ — это не только физические объекты, но и информационные системы, которые ими управляют.

Алексей Сидякин

Ведущий инженер-проектировщик УИБ АСУ ТП Cloud Networks

В отличие от других ОКИИ, ЗОКИИ играют ключевую роль в обеспечении непрерывности работы государства, его национальной безопасности и экономического развития, в связи с чем они подвержены более высокому риску кибератак со стороны злоумышленников. Следовательно, реализация данных атак на ЗОКИИ приводит к более серьезным негативным последствиям для всей страны.

В связи с этим для ЗОКИИ установлены обязательные требования по созданию системы безопасности и обеспечению её функционирования в соответствии с ч.1 ст.10, 187-ФЗ (Приказ ФСТЭК Росси №235 и 239, Приказ ФСБ России №282 и 367).

В отношении незначимых ОКИИ у Субъекта КИИ установлена обязанность лишь информировать о компьютерных инцидентах ФСБ России (НКЦКИ) в соответствии с 187-ФЗ (ст.9, ч.2, п.1) и Приказом ФСБ России №367.

Защита ЗОКИИ от кибератак и других угроз считается приоритетной задачей обеспечения национальной безопасности.

Ключевые критерии ЗОКИИ

Все объекты КИИ, в том числе и значимые, требуют повышенного внимания с точки зрения безопасности. Но ЗОКИИ выделяются после категорирования и проведенного анализа. 

Анатолий Широков

Старший аналитик отдела консалтинга и аудита информационной безопасности STEP LOGIC

Ключевой критерий — это то, что проведено категорирование объекта КИИ, по результатам ему присвоена одна из категорий значимости, и он внесен в реестр ЗОКИИ ФСТЭК России. Правила категорирования объектов КИИ приведены в постановлении Правительства от 08.02.2018 №127.

Если же говорить простым языком, объект КИИ является значимым в случаях, когда нарушение его функционирования или связанные с ним инциденты ИБ, могут повлечь негативные социальные, политические, экономические, экологические, последствия. Например: ущерб жизни и здоровью людей, нарушение в работе объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, недоступность услуг связи, государственных услуг, ущерб бюджету страны, невозможность проведения операций по переводу денежных средств, вредные воздействия на окружающую среду и т. д.

Ключевые критерии ЗОКИИ — та самая значимость, которая выделена в названии этих объектов и которая определяется в процессе категоризации.

Алена Лукашева

Заместитель руководителя департамента аудита и консалтинга iTPROTECT

Критерии значимости объектов КИИ строго регламентируются Постановлением Правительства РФ от 08.02.2018 № 127 – всего определено 14 показателей критериев значимости, которые разделены на 5 основных групп: социальная, политическая, экономическая, экологическая значимость и значимость для обеспечения обороны страны, безопасности государства и правопорядка.

Основным и единственным параметром, определяющим значимость объекта КИИ, является масштаб возможных последствий от нарушения или прекращения функционирования управленческих, технологических, производственных, финансово-экономических и (или) иных процессов (критических процессов) субъекта КИИ в случае возникновения компьютерного инцидента на объекте КИИ.

Показатели критериев, по которым оценивается значимость:

1. Причинение ущерба жизни и здоровью людей.
2. Нарушение функционирования объектов, обеспечивающих водо-, тепло-, газо- и электроснабжение населения (объектов обеспечения жизнедеятельности).
3. Нарушение функционирования объектов транспортной инфраструктуры и транспортных средств.
4. Нарушение функционирования сети связи.
5. Отсутствие доступа к государственной услуге.
6. Нарушение функционирования государственного органа.
7. Нарушение условий международного договора РФ, срыв переговоров или подписания международного договора РФ.
8. Снижение уровня дохода определенных субъекта КИИ.
9. Снижение выплат (отчислений) в бюджет РФ.
10. Нарушение проведения определенных финансовых операций кредитными и некредитными финансовыми организациями-субъектами КИИ.
11. Вредные воздействия на окружающую среду.
12. Нарушение функционирования пункта управления (ситуационного центра).
13. Снижение показателей государственного оборонного заказа.
14. Нарушение функционирования информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.

Чтобы считаться значимым, объект должен быть незаменим или его отключение/нарушение работы будет иметь серьезные негативные последствия для общества, экономики, безопасности и жизнедеятельности людей. Или он критически важен для обороноспособности страны или обеспечения государственного управления и т. д.

Отличие ЗОКИИ от других КИИ

ЗОКИИ — это не просто один из типов объектов критической информационной инфраструктуры (КИИ), а специфическая категория, обладающая особым статусом и повышенным уровнем защиты.

Александр Хонин

Руководитель отдела консалтинга и аудита Angara Security

Есть два главных отличия. Во-первых, простыми словами, когда объект признается значимым, это означает, что в случае каких-либо компьютерных атак на него могут быть негативные последствия в отдельных отраслях, которые установлены 187 ФЗ.

А во-вторых для таких объектов предусмотрен ряд необходимых мероприятий. А именно, для ЗОКИИ требуется создавать системы обеспечения безопасности объектов КИИ, в рамках которых необходимо определить актуальные угрозы безопасности, требования по безопасности, а также спроектировать и внедрить саму систему. При этом данные мероприятия должны выполняться с учетом требований, которые определены регуляторами для ЗОКИИ.

По сути, ЗОКИИ отличаются от других объектов КИИ повышенным уровнем критичности, государственной защитой, строгими требованиями к безопасности и расширенной ответственностью за их безопасность.

Практика категорирования ЗОКИИ

Категорирование ЗОКИИ — это процесс определения уровня критичности и значимости объектов для страны. И проводится он субъектами КИИ на местах.

Виктор Шавернев

Руководитель департамента по защите КИИ системного интегратора по ИБ «Бастион»

Есть алгоритм категорирования объектов КИИ:

1. Необходимо понять, является ли организация субъектом КИИ (согласно № 187-ФЗ «О безопасности критической информационной инфраструктуры»).
2. Далее формируется постоянно действующая комиссия по категорированию.
3. Определяются все процессы в организации и составляется полный перечень: управленческие, технологические, финансово-экономические, производственные и т. д.
4. Из всех процессов выявляются критические, которые влияют на функционирование организации.
5. Определяются объекты, которые обрабатывают информацию, необходимую для выполнения критических процессов, и осуществляют управление, контроль или мониторинг критических процессов.
6. Осуществляется подготовка перечня ОКИИ. При необходимости согласуется с головной организацией.
7. Отправляется перечень во ФСТЭК.
8. Исходя из перечня показателей критериев значимости, и учитывая дополнительные исходные данные, определяем, к какой категории относятся объекты КИИ.
9. Для каждого ОКИИ формируются сведения по форме приказа ФСТЭК от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий ФСТЭК».
10. Происходит подготовка акта категорирования объектов КИИ. 11. Затем сведения отправляются во ФСТЭК РФ.

Своевременная и грамотно категоризация позволяет приоритезировать меры безопасности в отношении ЗОКИИ, создавать эффективные стратегии защиты и обеспечивать координацию действий различных ведомств и организаций.

Евгений Баклушин

Заместитель директора Аналитического центра УЦСБ

С точки зрения закона классификация именуется процедурой категорирования, и в реальности она отличается от той последовательности, которая зафиксирована в законодательстве.

В реальности с бизнес-процессами все тяжело. Во многих организациях они не формализованы и не всегда четко структурированы, поэтому организации идут от систем (потенциальных объектов). Сначала составляют их перечень, далее описывают процессы, которые автоматизируют эти системы (объекты), следующие этапы аналогичны закону. Наиболее сложно в этой процедуре корректно определить границы объектов, а также собрать всю необходимую информацию для расчета показателей значимости.

Если говорить про второй момент, то сюда включено много коммуникаций с другими подразделениями организации, которые совсем далеки от ИБ, с целью получить от них нужную информацию. Для промышленных предприятий это может быть декларация промышленной безопасности, информация о промбезе, количестве сотрудников в рабочих сменах, информация о возможных вредных выбросах в случае аварии и т. п., ну и, конечно, много финансовой информации для расчета экономических показателей.

Также стоит отметить еще одну проблему, связанную с категорированием объектов КИИ. Их большое наличие, а также присвоение категорий оборачивается для организаций довольно серьезной ответственностью и финансовыми затратами (на силы и средства ИБ). Это приводит к тому, что часть организаций «манипулирует» показателями значимости, т. е. подгоняет цифры расчетов под выгодные им. В противовес этому от ФСТЭК и отраслевые контролирующие органы (Минэнерго, ЦБ и т. д.) готовят типовые перечни объектов КИИ (с категориями значимости), на которые будут ориентироваться и субъекты КИИ, и регулирующие органы при рассмотрении результатов категорирования и проведении государственного контроля. Например, два почти одинаковых предприятия. У одного АСУ ТП это ЗОКИИ 3-й категории, у второго этой системы даже нет в перечне объектов КИИ. Появятся соответствующие вопросы.

Важно понимать, что категорирование ЗОКИИ — это динамический процесс, который должен постоянно обновляться, учитывая новые угрозы, технологии и контекст меняющегося законодательства. Успешное категорирование ЗОКИИ является ключом к эффективной защите критически важных объектов и систем.

Обеспечение безопасности ЗОКИИ

Система безопасности ЗОКИИ — это комплексный подход к защите важнейших объектов страны от угроз киберпространства. Она призвана не только предотвратить несанкционированный доступ к информации и защитить технические средства обработки данных, но и обеспечить быстрое восстановление работы в случае атаки.

Виктор Бондаренко

Генеральный директор компании «БСС-Безопасность»

Основные понятия, касающиеся области обеспечения безопасности критической информационной инфраструктуры (КИИ) сформулированы в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В соответствии с ней, под объектами критической информационной инфраструктуры понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Из всего массива объектов КИИ в отдельную категорию выделяются так называемые значимые объекты КИИ (ЗОКИИ). То есть объекты КИИ подразделяются на два вида: «значимые» и «незначимые». Значимые объекты, в свою очередь, подразделяются по уровням защищенности на три «категории значимости»: первый – объекты с максимальным уровнем защищенности, второй и третий, минимальный. Правила категорирования объектов критической информационной инфраструктуры Российской Федерации определены Постановлением Правительства РФ от 08.02.2018 г. № 127. Этим же постановлением определён Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.

От уровня защищенности значимого ОКИИ, которому он должен соответствовать, зависит набор реализованных организационных и технических мер, обеспечивающих нейтрализацию угроз безопасности информации, последствиями реализации которых может стать прекращение или нарушение его функционирования, которое может привести к тяжелым последствиям.

Ключевым элементом этой системы является непрерывное взаимодействие с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). Это позволяет оперативно получать информацию о новых угрозах, координировать действия по защите и реагировать на инциденты в режиме реального времени. Таким образом, ЗОКИИ выступает не только как барьер, но и как щит, способный отразить атаку и быстро восстановить работоспособность критически важных систем и объектов.