ЗОКИИ: что это, требования и этапы построения защиты по 187-ФЗ

КИИ — это информационные системы, сети, автоматизированные системы управления, телекоммуникационные сети и другие элементы, стратегически важные для государства, инфраструктуры, экономики или безопасности.

ЗОКИИ — те объекты КИИ, которые получили соответствующую категорию значимости и включены в государственный реестр.

Защита ЗОКИИ — не просто рекомендация, а жесткое юридическое требование. В РФ основным регуляторным актом является Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ от 26.07.2017). Закон устанавливает обязанности для субъектов КИИ: категорирование, разработка и поддержка системы безопасности, взаимодействие с государственными системами обнаружения и реагирования на атаки.

Таким образом, если организация признана ЗОКИИ — её руководство несёт персональную и юридическую ответственность за информационную безопасность, устойчивость систем и соответствие требованиям регуляторов.

Задача: комплексная безопасность ЗОКИИ

Большинство попыток «защитить ИТ» сводятся к установке антивирусов, фаерволов или бэкапов. Однако для ЗОКИИ этого явно недостаточно. Необходим комплексный, взаимосвязанный подход, охватывающий все уровни: нормативно-организационные, технические, процессы, человеческий фактор и постоянное управление рисками. Такой подход описан как «система безопасности ЗОКИИ» в законодательстве.

Можно выделить ключевые цели:

• предотвращение несанкционированного доступа к информации;

• защита технических средств и инфраструктуры от внешних и внутренних угроз;

• обеспечение устойчивого функционирования инфраструктуры при попытках атак;

• своевременное обнаружение и реагирование на инциденты;

• документальное оформление, контроль, регулярный аудит, обучение персонала.

Этапы построения эффективной защиты ЗОКИИ

Практический путь выстраивания системы защиты ЗОКИИ можно разбить на несколько взаимозависимых этапов. Стандартный комплекс шагов, рекомендованных экспертами в отрасли, выглядит так:

1. OSINT и сбор информации о предприятии и руководстве

Первым шагом является анализ открытых источников (OSINT) для выявления доступных злоумышленникам сведений — персональные данные руководства, контакты, публичная активность, утечки, связанные с ИТ.

Это позволяет заранее понять, какие данные могут быть использованы для социальной инженерии, фишинга, компрометации доступа. На основании оценки строится план, например: запросы на удаление компрометирующей информации, пересмотр учетных записей, усиление аутентификации.

2. Расширенное тестирование на проникновение и аудит инфраструктуры

После OSINT следует глубокое техническое исследование: пентест, аудит конфигураций, проверка уязвимостей прикладного и системного ПО, инфраструктуры, сетевых маршрутов, наличия и корректности средств защиты.

Цель — выявить «тёмные точки» — те механизмы, которые могут привести к компрометации: некорректные настройки, небезопасное ПО, слабые пароли, ошибки в архитектуре, «человеческий фактор».

3. Документарное обеспечение: политика безопасности, регламенты, процедуры

После анализа и аудита необходимо разработать полный комплект организационно-распорядительной документации (ОРД): политики, инструкции, регламенты — от категорирования объектов до процедур реагирования на инциденты, защиты персональных данных, криптозащиты, взаимодействия с контрагентами.

Важно, чтобы документы были не формальными — «для отчета» — а реально внедрялись, стали частью операционной дисциплины: использовались сотрудниками, проверялись, соблюдались и были понятны.

4. Обучение и повышение осведомленности персонала

Даже идеально настроенная инфраструктура может быть сломана «человеческим фактором». Поэтому критически важно обучать сотрудников ИБ, а также пользователей — разъяснять обязанности, риски, правила, отработать реакцию на фишинг, социальную инженерию, инциденты.

Обучение должно быть регулярным, актуальным с учётом реальных угроз, подкреплённым тестами, практическими сценариями, инструктажами, внутренним контролем.

5. Проектирование и внедрение технической защиты + планирование развития

На базе аудита, документации и требований регуляторов (например, обязательных стандартов криптозащиты, сертифицированного ПО, процедур реагирования) — проектируется техническое решение, обеспечивающее защиту. Это может включать межсетевые экраны, системы DLP, SIEM/SOC, системы управления уязвимостями, криптозащиту, сегментацию, средства контроля доступа.

Также важно предусмотреть план развития: обновления, модернизация, регулярные проверки, аудит, реагирование на новые угрозы и соответствие изменяющемуся законодательству.

6. Постоянное сопровождение, аудит или аутсорсинг ИБ

После внедрения системы защита не заканчивается. Необходимо постоянное сопровождение: мониторинг, проверка, контроль, обновления, реагирование на инциденты, тестирование. Многие организации прибегают к ежегодным аудитам или передаче части функций на внешних специалистов.

Такой подход снижает риски, связанные с устареванием систем, человеческими ошибками, ростом сложности инфраструктуры, новыми требованиями регуляторов.

Законодательная и нормативная база: обязательные требования

Защита ЗОКИИ регулируется рядом нормативных актов:

• 187-ФЗ «О безопасности КИИ РФ», который задаёт общие принципы, права и обязанности субъектов, требования к категорированию, включению в реестр, созданию системы безопасности.

• Постановление Правительства РФ № 127 «О правилах категорирования объектов КИИ» — регламентирует: как присваиваются категории значимости, какие объекты могут быть ЗОКИИ.

• Приказы ФСТЭК России (например, № 235, № 239) и ФСБ России — определяют требования к системе защиты, организационным и техническим мерам, средствам защиты информации (ТЗИ, криптозащита) и правилам экспертизы.

• Регламенты по сертификации и использованию программно-аппаратных средств защиты, особенно на ЗОКИИ: сертифицированные ТЗИ, СКЗИ, средства для защиты каналов связи и т.п.

Важно: ПО и средства защиты, используемые на ЗОКИИ, должны быть сертифицированы, подтверждать соответствие требованиям безопасности — это не формальность, а обязательное требование.

Защита ЗОКИИ — важный шаг обеспечения ИБ

Сегодня защита ЗОКИИ — это не опция, а необходимость, обусловленная законодательством, спецификой угроз и высоким уровнем ответственности.

Организация, которая своевременно и всесторонне подойдёт к построению системы безопасности — снизит риски, покажет свою готовность к аудиту, обеспечит устойчивость, защитит интересы бизнеса и избежит штрафов.