Журнал "Information Security/ Информационная безопасность" #5, 2021

под разными углами: как сово- купность субъектов КИИ и не являющихся таковыми органи- заций или как единую автома- тизированную систему, функ- ционирующую в различных сфе- рах. Умный дом и умный город: КИИ или не КИИ с практической точки зрения? По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохо- зяйства, умный дом хозяй- ствующего субъекта и умный город. 1. Умный дом домохозяйства, то есть физического лица, с точки зрения критичности, иными словами, масштаба нега- тивных последствий, вызванных нарушением его функциониро- вания, вряд ли можно отнести к объектам КИИ, ведь наруше- ние функционирования системы умного дома несет негативные последствия лишь для домохо- зяйства, а не для крупного хозяйствующего субъекта, отрасли экономики или страны в целом. 2. Умный дом хозяйствующе- го субъекта может быть как критическим объектом, в результате нарушения которого могут быть серьезные негатив- ные последствия (например, нарушение функционирования государственного органа или ситуационного центра), так и не критическим (например, если нарушатся системы жизнеобес- печения объекта торговли или услуг, никаких серьезных последствий не произойдет). 3. Умный город, по сути, есть некая большая автоматизиро- ванная система, объединяющая множество систем (сервисов) из разных сфер, часть из кото- рых относится к КИИ, а часть нет. Поэтому если рассматри- вать умный город как экосисте- му, то, безусловно, это доста- точно критичный объект, поскольку нарушение его функ- ционирования может вести к значительным негативным последствиям. В то же время, по мнению автора, на практике в целях выполнения требований зако- нодательства о безопасности КИИ будет происходить дроб- ление системы умного города на множество отдельных авто- матизированных систем, при- надлежащих различным орга- низациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет. Выводы Вопрос критичности умных городов потребует дальнейшего законодательного регулирова- ния в ходе их развития, которое будет развиваться в одном из трех направлений. 1. Расширение распростра- нения законодательства о без- опасности КИИ на новые сферы. Например, сфера жилищно-коммунального хозяй- ства в действующем законода- тельстве не отнесена к КИИ. В то же время это одна из сфер, которая на сегодняшний день показывает положитель- ную динамику в части примене- ния информационных техноло- гий и значительно влияет на индекс цифровизации IQ горо- дов, рассчитываемый Мин- строем России. 2. Законодательное закреп- ление понятия "умный город" и его корреляция с термином "объект КИИ". 3. Создание методики опре- деления границ объектов КИИ с учетом того, что различные элементы объектов КИИ могут принадлежать разным органи- зациям, как субъектам КИИ, так и нет. l • 13 КИИ www.itsec.ru Источник: Searchinform Ваше мнение и вопросы присылайте по адресу is@groteck.ru С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляю- щую. Поэтому для такой инфра- структуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ. Хорошим тоном считается привлечение на стадии проекти- рования специалистов по ИБ, желательно с пониманием спе- цифики защиты умного города или хотя бы АСУ. Таким образом можно сразу предусмотреть все нюансы, связанные с информа- ционной безопасностью. Впро- чем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построе- ние системы защиты обычно требует увеличения вре- мени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функ- циональности самой системы умного города. У ряда вендоров и интеграторов планомерно разви- ваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты. l Эрик Нуртдинов, начальник отдела по защите информации PROF-IT GROUP Комментарий эксперта