Подкаст «КОДА КОДА»: все, что нужно знать бизнесу о КИИ

Общемировая практика КИИ

Евгений Антонов: Что такое КИИ и зачем она нужна бизнесу. Эти три буквы стали постоянно мелькать везде, хотя раньше как-то жили без этого.

Константин Анисимов: Критическая информационная инфраструктура (КИИ) – это не просто система. Это совокупность информационных систем, сетей и систем управления, отказ которых может парализовать жизненно важные для государства отрасли. Регулирование движется с двух сторон: от государства, для которого угроза отключения целых отраслей стала реальной, и от бизнеса, где цифровые системы стали критичными для функционирования.

Если смотреть на мировую практику, то пионерами КИИ в 2013 году стали США благодаря введению Critical Infrastructure Protection Act. Позже к нему добавился USA Patriot Act. При этом, модель США отличается децентрализованностью, то есть, несмотря на общее законодательство, регулирование происходит на отраслевых уровнях.

Китай, наоборот, выбрал путь жесткой централизации с 2017 года. Следом за ним, была Россия в 2018 году, но реальная системная работа началась с обновления законодательства в 2025 году, которое сделало правила и ответственность более четкими.

Как понять бизнесу, что КИИ необходима

Евгений Антонов: Представим владельца бизнеса. Как ему понять, что его компания теперь попадает под эти требования? Маркетплейсу, например.

Константин Анисимов: Сначала нужно определить, в какой отрасли работает компания. На сегодняшний день под КИИ попадают 13 ключевых секторов, определенных законом: здравоохранение, транспорт, энергетика, связь, финансовый сектор, ТЭК, атомная энергетика и др. Ритейл, куда относятся маркетплейсы, пока не входит в этот список, но, скорее всего, в дальнейшем там появится. Потому что эта отрасль сильно консолидируемся.

То есть, дело в масштабе. После уточнений законодательства в 2025 году под КИИ регулирование в первую очередь попадает крупный бизнес. Тогда, как ИП, например, сюда не входит.

Алгоритм простой. Если компания является крупным игроком в регулируемой отрасли, ей необходимо создать внутреннюю комиссию. Задача этой комиссии – провести категорирование. Для этого оценивается потенциальный ущерб от выхода из строя каждой информационной системы.

Ущерб может быть социальным, экономическим (включая потери для бюджета), экологическим, политическим или оборонным. На основе этого расчета система получает одну из трех категорий: высокую, среднюю или низкую. Для первой и второй категории обязательна КИИ аттестация. Для третьей категории достаточно разработать внутренние документы и быть готовым к их проверке.

Важный момент, что защищать нужно не всю IT-инфраструктуру компании, а только те информационные системы, простой которых нанесет значительный ущерб. В этом смысле КИИ со временем станет таким же базовым стандартом цифровой «гигиены», как и защита персональных данных сегодня.

Облака для КИИ: зачем бизнес идет к провайдерам

Евгений Антонов: Кажется, что строить КИИ своими силами – очень нетривиальная задача. Наверное, ее, грубо говоря, мало, кто может самостоятельно решить. Значит ли это, что все потянутся в облака?

Константин Анисимов: Востребованность облаков для КИИ действительно растет. Есть три пути реализации.

Первый On-Premise. Строите свои ЦОДы, покупаете сертифицированное ПО. Это оправдано, только если у вас мощности от 10 МВт. Второй – полностью провайдерский. Арендуете уже готовую аттестованную инфраструктуру как услугу. Это снимает огромный пласт затрат и сложностей.

Третий и самый перспективный – гибридная модель. Это соответствует лучшим мировым практикам. Например, правилу 3-2-1 для резервного копирования, когда три копии данных на двух разных типах носителей и одна копия – за пределами основного контура. Так компания может критически важное ядро оставить у себя, а для резервирования, разработки или хранения данных использовать защищенное облако провайдера. Это дает и безопасность, и гибкость, и устойчивость.

Виктор Корейша: Допустим, компания использует облако провайдера с КИИ-решением. Происходит инцидент – кто отвечает?

Константин Анисимов: Провайдер отвечает за физическую безопасность ЦОД (уровни защиты Tier-3/Tier-4), работу сетевой инфраструктуры, базовый мониторинг, защиту от DDoS. Свой сегмент он аттестует. Клиент отвечает за безопасность своих данных, управление доступом пользователей, конфигурацию приложений.

При инциденте смотрят, в чьем контуре произошла компрометация. Как и при ДТП, бывают сложные инциденты, где вина частичная с обеих сторон. Поэтому в договоре и при аттестации важно максимально детально прописать зоны ответственности.

Спрос на новые компетенции

Евгений Антонов: Создает ли эта новая реальность спрос на узких специалистов? Есть ли шанс стать экспертом по КИИ?

Константин Анисимов: Да, такая возможность есть. Сейчас очень не хватает людей двух направлений.

Первые – сильные продуктовые менеджеры. Те, кто может взять сложный, соответствующий жестким требованиям КИИ-продукт и упаковать его в удобный, понятный рынку сервис.

Вторые – практикующие консультанты. Специалисты, которые могут прийти в компанию, помочь провести категорирование, рассчитать ущерб, спроектировать архитектуру. Даже если вы не получите официальный аттестат в ФСТЭК, как консультант вы будете крайне востребованы.

Виктор Корейша: А если такой консультант ошибется – кто будет нести ответственность за инцидент?

Константин Анисимов: Все определяется договорными отношениями. Ответственность наступает при реальном ущербе и если она четко прописана в контракте.

Ситуация похожа на начало работы 152-ФЗ о персональных данных. Тогда тоже можно было формально описать процессы на бумаге, не меняя реальных практик. Но рынок очень быстро показал, что такой подход не работает.

Рынок естественным образом отсеивает тех, кто предлагает лишь формальное соответствие, в пользу специалистов, которые обеспечивают бизнесу реальную безопасность и непрерывность.