Журнал "Системы Безопасности" № 6‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 110 С чего для компаний начинается реализация закона № 187-ФЗ? Основные трудности Когда встает вопрос о соблюдении предписаний закона № 187-ФЗ, основная трудность для ком- паний – понять, есть ли у них в принципе объ- ект критической информационной инфраструк- туры (КИИ). На первом этапе организации начинают анализировать свои активы и нередко предполагают, что тот или иной управляемый ими объект не относится к КИИ. Отсутствие опыта категоризации приводит к тому, что при последующей проверке выясняется обратное: объект все же подпадает под закон, но не был классифицирован, или же был выявлен и клас- сифицирован, но не по правильной категории. Если категоризация была произведена выше уровнем, это влечет за собой перерасход бюд- жета вследствие избыточных мер защиты. Если ниже, тогда есть реальный риск получить штрафные санкции от регулирующих органов. Вторая серьезная проблема возникает, когда компания осознает наличие объекта критиче- ской информационной инфраструктуры, но из- за сложной архитектуры, распределенной сети и большого количества систем не может кор- ректно учесть все части КИИ. Некоторые объ- екты КИИ, в особенности в энергетической сфере, могут быть расположены на достаточно большой территории, например если речь идет о месторождениях газа или нефти. Элементы КИИ в этом случае могут находиться на расстоя- нии более ста километров друг от друга, и в результате какая-то часть из них может остаться без защиты. Поскольку в будущем на объект КИИ придут уполномоченные органы, ошибки и пробелы на данном этапе влекут за собой серьезные последствия. В приоритете – выполнение требований ИБ Обе эти трудности решаются внимательным отношением к объектам защиты. Если у органи- зации не хватает соответствующих знаний или возможностей, дешевле и эффективнее при- влечь стороннюю компанию с богатым опытом и обширной практикой категоризации и прове- дения предпроектных обследований. Если при- влекать подрядчика не планируется, можно обратиться к опыту соседних организаций с аналогичными объектами и посмотреть, как они подходили к процессу категоризации. Да, это не универсальное решение, но оно может служить ориентиром, некой отправной точкой для проведения работ. Отдельный вопрос: как выстраивать взаимодей- ствие между службой информационной без- опасности (ИБ), ИТ и бизнесом при реализации требований упомянутого закона? Здесь многое зависит от специфики компании и человеческо- го фактора. В части компаний ИБ главенствует над ИТ и диктует свои условия для ведения биз- неса. У некоторых компаний бизнес диктует свои условия для ИТ и ИБ. В РФ очень много разных моделей делегирования полномочий, среди них нет однозначно плохих или хороших. Обычно все они опираются на историю разви- тия компании. При обеспечении безопасности КИИ важно принять базовый постулат: испол- нение закона обязательно, а его нарушение влечет за собой уголовную ответственность. Следовательно, выполнение требований ИБ должно быть в приоритете. Работать сообща Важно понимать, что каких-то универсальных рецептов здесь нет и каждая компания решает задачу по-своему. Но при этом есть один общий принцип: необходимо работать сообща. Служ- ба ИБ отвечает за безопасные настройки опера- ционных систем (ОС), сетевого оборудования и приложений, формирование пакета докумен- тов, взаимодействие с регулирующими органа- ми. Служба ИТ или автоматизации – за ста- бильное функционирование инфраструктуры и систем автоматизации. Бизнес больше всего интересует надежность процессов. В этой точке происходит пересечение интересов всех сторон, и важно научиться идти на временные уступки и находить компромиссы ради общей цели – защищенности компании при соблюдении непрерывности бизнес-процессов. Прежде чем приступать к выполнению пропи- санных в законе требований, самым логичным шагом будет полный и тщательный внутренний аудит информационных систем: какие именно используются, какие меры безопасности уже реализованы, а что планируется внедрить в ближайшее время. Ключевой момент – понять взаимосвязь между бизнес-процессами и информационными системами (ИС), то есть определить, какие именно процессы обеспечи- ваются конкретными ИС. На основании этого можно сделать обоснованные выводы о нали- чии критической информационной инфра- структуры и определить, какие дополнительные меры нужно предпринять для выполнения тре- бований законодательства в полном объеме. Практика реализации в ключевых отраслях – энергетике, транспорте, здравоохранении Требования закона № 187-ФЗ едины для всех отраслей, но специфика проявляется в критиче- ских бизнес-процессах. В энергетике это добы- ча, передача и поставка энергии конечным потребителям. В транспорте – перевозка пасса- жиров и выполнение обязательств по доставке. В здравоохранении – оказание медицинских услуг, проведение операций, хранение и защита данных пациентов. Различия заключаются не в подходах к безопасности, а в объектах и информационных системах, которые необхо- димо классифицировать и защищать. В энерге- тике не встретятся медицинские устройства, а в здравоохранении – турбины или компрес- сорные станции. Но если объекты сопоставимы по значимости возможных последствий атаки на них, то и требования к их защите будут оди- наковы. Что касается типовых уязвимостей, то их как класса не существует. Даже в пределах одной СПЕЦПРОЕКТ ТРАНСПОРТНАЯ БЕЗОПАСНОСТЬ декабрь 2025 – январь 2026 www.secuteck.ru Дмитрий Овчинников Архитектор ИБ uFactor компании UserGate К огда встает вопрос о соблюдении предписаний закона № 187-ФЗ, основная трудность для компаний – понять, есть ли у них в принципе объект критической информационной инфраструктуры. П ри обеспечении безопасности КИИ важно принять базовый постулат: исполнение закона обязательно, а его нарушение влечет за собой уго- ловную ответственность. Следовательно, выполнение требований ИБ должно быть в приоритете. Реализация закона № 187-ФЗ: защита энергетики, транспорта, здравоохранения от кибератак Федеральный закон № 187-ФЗ был принят достаточно давно и стал основой для обес- печения устойчивой работы критической информационной инфраструктуры при кибератаках. Громкие инциденты последнего времени показывают, что, несмотря на определенный успех, о полной, надежной защите данных от злоумышленников гово- рить пока рано. В этой статье расскажем, что поможет ее достичь, какова отрасле- вая специфика и почему бизнес и государство должны действовать сообща.