Журнал "Information Security/ Информационная безопасность" #6, 2025

В Федеральном законе № 187-ФЗ прямо указано, что любая информа- ционная система, информационно-теле- коммуникационная сеть или автомати- зированная система управления, при- надлежащие субъекту КИИ на законном основании, считаются объектом КИИ. Поэтому АСУ ТП подлежат категориро- ванию так же, как и другие системы, особенно в промышленности, где техно- логические процессы напрямую влияют на устойчивость предприятия. Изменения в нормативной базе Базовым документом для категориро- вания объектов КИИ остается постанов- ление Правительства РФ № 127. Его структура и подходы давно знакомы большинству специалистов, поэтому детально останавливаться на нем нет необходимости. Гораздо важнее отме- тить те нововведения, которые появи- лись в последние два года и существен- но уточнили порядок работы с АСУ ТП. Первым таким документом стал Феде- ральный закон № 58-ФЗ от 7 апреля 2024 г., который внес дополнения в 187- ФЗ. Эти изменения не пересобирают систему заново, но делают процесс кате- горирования более прозрачным. Закон закрепляет ориентацию на перечни типо- вых объектов КИИ, подчеркивает необхо- димость учитывать отраслевые особен- ности и тем самым устраняет прежние зоны неопределенности. По сути, это набор методических уточнений, облег- чающих субъектам КИИ выполнение требований. Следующий важный шаг – инструкция Минпромторга от 12 января 2024 г., ори- ентированная на промышленные орга- низации, включая оборонный комплекс, химическую и металлургическую отрас- ли. Документ устанавливает порядок подготовки к категорированию, ведения перечней объектов КИИ, планов меро- приятий и паспортов безопасности. В нем впервые официально закреплена веду- щая роль ФГУП "НПП "Гамма" как мето- дического центра, анализирующего отчетность предприятий и дающего реко- мендации по ее корректировке. В 2025 г. появились и перечни типовых объектов КИИ для отдельных отраслей промышленности – химической, оборон- ной, металлургической и др. Основная часть перечней опубликована весной- летом 2025 г. Отдельные сферы, напри- мер финансовая, пока находятся на ста- дии проектов. Стоит также упомянуть отраслевые особенности категорирования объектов КИИ. Эти документы пока остаются на стадии проектов и не вступили в силу, хотя ранее предполагалось, что они будут действовать с 1 сентября 2025 г. Их появление станет следующим шагом к детализации требований, поскольку в них фиксируются специфические риски и критерии оценки значимости для кон- кретных отраслей. Обновленная логика категорирования Новые нормативные документы суще- ственно уточнили порядок категориро- вания АСУ ТП, но базовая логика про- цесса осталась прежней. Первый шаг – формирование комиссии. И здесь подход заметно изменился. Если ранее в состав комиссии часто входили преимуществен- но руководители подразделений, то теперь инструкция Минпромторга прямо ориентирует организации на включение специалистов, отвечающих за эксплуа- тацию АСУ ТП. Именно они глубже дру- гих понимают технологическую цепочку, знают реальные зависимости и способны адекватно оценить влияние отказов. Следующий этап – инвентаризация АСУ ТП, которая теперь проводится с ориентацией на перечни типовых объ- ектов КИИ. Перечни позволяют сопо- ставлять собственные системы с отрас- левыми примерами и исключают преж- нюю ситуацию, когда каждая организа- ция формировала перечень с нуля. После инвентаризации производится анализ критических процессов, которые поддерживает каждая из систем. В типо- вых перечнях и, особенно, в проектах отраслевых особенностей, подробно ука- зано, какие процессы считаются кри- тичными для конкретных видов про- мышленности. Затем следует оценка значимости, которая по-прежнему основывается на критериях, закрепленных в постановле- нии № 127: социальной, экономической, экологической и значимости для оборо- носпособности. Для АСУ ТП именно эти критерии оказываются наиболее чув- ствительными, поскольку технологиче- ские процессы напрямую влияют на без- опасность людей, устойчивость производ- ства и состояние окружающей среды. Завершается процедура присвоением категории объекту КИИ и направлением сведений в ФСТЭК России. Организационные меры защиты Главным нормативным документом, регулирующим организационные меры защиты в АСУ ТП, остается приказ ФСТЭК России № 31, устанавливающий требования к обеспечению безопасности в автоматизированных системах управ- ления. По своей структуре он близок к приказам № 21 и № 239, а централь- ным элементом документа является перечень обязательных мер, сгруппиро- ванных по направлениям. Первая задача – формирование ком- плекса корпоративных документов. В приказе № 31 каждая группа мер открывается позицией с идентификато- ром ".0", которая отражает необходи- мость регламентации соответствующего процесса: обучения персонала, иденти- фикации и аутентификации, управления доступом и др. Для каждой такой меры требуется рабочий регламент. При этом допускается объединение регламентов, если процессы близки по содержанию. Важно обеспечить согласованность всех документов, относящихся к технологиче- ской инфраструктуре, с корпоративной системой управления информационной безопасностью. Политики, принципы и роли должны быть унифицированы: иначе технологический контур превраща- ется в параллельную систему безопасно- сти, живущую по собственным правилам. Хорошей практикой становится веде- ние единого реестра активов, включаю- щего оборудование, программное обес- печение, данные и ответственных лиц. Такой реестр – не только инструмент инвентаризации, но и основа для анали- за уязвимостей. 32 • СПЕЦПРОЕКТ Что делать, если ваша АСУ ТП является ЗО КИИ? Владислав Крылов, консультант по информационной безопасности AKTIV.CONSULTING Фото: AKTIV.CONSULTING