Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации» — ключевой акт, регулирующий безопасность объектов КИИ. На практике большая часть внимания уделяется средствам защиты информации (СЗИ), однако сам закон и подзаконные акты требуют и обеспечения физической безопасности объектов, на которых КИИ размещена.
Это значит: для значимого объекта КИИ обязательны не только межсетевые экраны и системы обнаружения вторжений, но и СКУД, видеонаблюдение, охранная сигнализация — на одном уровне ответственности с СЗИ.
Что является объектом КИИ
Объектами КИИ признаются информационные системы, телекоммуникационные сети и АСУ субъектов КИИ, функционирующие в установленных законом сферах деятельности:
- здравоохранение, наука, транспорт, связь, энергетика;
- банковская сфера и иные сферы финансового рынка;
- топливно-энергетический комплекс, атомная энергия;
- оборонная промышленность, ракетно-космическая, горнодобывающая, металлургическая и химическая.
Если организация ведёт деятельность в одной из этих сфер и эксплуатирует ИТ-системы — она потенциально субъект КИИ. Часть объектов признаются значимыми по итогам категорирования (постановление Правительства № 127 от 08.02.2018).
Категории значимости объектов КИИ
| Категория | Уровень последствий инцидента | Требования к защите |
|---|---|---|
| 1 категория | Самые тяжёлые: масштабные последствия для государства, критическое нарушение жизнеобеспечения | Максимальный набор СЗИ + строгая физическая защита |
| 2 категория | Серьёзные последствия для региона/отрасли | Полный комплекс СЗИ, повышенные требования к доступу |
| 3 категория | Существенные последствия для организации/группы потребителей | Базовый комплекс СЗИ + контроль доступа в помещения |
| Незначимый | Объекты без присвоенной категории | Базовые меры по 187-ФЗ |
Требования к физической защите по 235-приказу ФСТЭК
Приказ ФСТЭК России № 239 от 25.12.2017 и его актуальные редакции устанавливают перечень мер защиты для значимых объектов КИИ. Среди них — группы мер «ЗТС» (защита технических средств) и «ЗПС» (защита помещений и средств):
- контроль и управление доступом в помещения с СВТ значимого объекта КИИ;
- видеонаблюдение в помещениях с СВТ и в путях подхода к ним;
- охранная сигнализация с выводом на пост круглосуточной охраны;
- защита от утечки информации по техническим каналам;
- защита от несанкционированного физического доступа к носителям информации.
Эти меры по факту реализуются теми же системами, что и в проекте по транспортной/объектовой безопасности: СКУД, СОТ, ОПС. Но требования к их характеристикам диктуются ФСТЭК и заказчиком при категорировании.
Связь физической и информационной безопасности
На крупных объектах КИИ всё чаще ставится задача интеграции физических систем безопасности с SIEM-системой ИБ. Логика:
- событие СКУД (несанкционированный проход, дверь открыта дольше нормы) → попадает в SIEM как событие безопасности;
- видеоаналитика (нахождение человека в серверной вне расписания) → инцидент в SIEM;
- срабатывание сигнализации в техническом помещении → коррелируется с попытками входа в АРМ.
Это превращает физическую безопасность из «параллельного» в «интегрированный» контур, что соответствует современной модели угроз.
Что должен сделать субъект КИИ
- Идентифицировать все принадлежащие ему объекты КИИ и направить уведомление во ФСТЭК.
- Провести категорирование объектов в установленные сроки (по ПП № 127).
- Разработать модель угроз с учётом физических каналов воздействия.
- Реализовать в комплексе СЗИ + физическую защиту: СКУД, СОТ, ОПС, контроль доступа в серверные.
- Обеспечить взаимодействие с НКЦКИ (Национальный координационный центр по компьютерным инцидентам).
- Документировать все меры защиты и проводить периодический аудит.
Типичные пробелы
Аудиты ФСТЭК и внутренних служб ИБ выявляют повторяющиеся проблемы:
- СКУД установлен только на «парадный» вход, технические двери серверной открываются ключом без журналирования;
- видеонаблюдение охватывает периметр, но не зону работы с носителями информации;
- отсутствует разграничение ролей (один и тот же сотрудник имеет физический доступ ко всем стойкам и логические права администратора);
- не ведётся журнал входов в серверные с увязкой по времени с действиями в АРМ;
- сигнализация «пишет в архив», но не имеет регламента реагирования.
КОНТУР-ЗЕТ — ваш партнёр в реализации требований
ООО «КОНТУР-ЗЕТ» — аккредитованная проектная и монтажная организация с опытом более 15 лет на объектах транспортной инфраструктуры, ТЭК и промышленности. Мы выполняем полный цикл работ: от обследования и разработки проектной документации до пусконаладки и сдачи систем надзорным органам.
В части темы статьи мы предлагаем:
- Проектирование и интеграцию физических систем безопасности (СКУД, СОТ, ОПС) для значимых объектов КИИ с учётом требований ФСТЭК России — с учётом действующих норм и актуальной редакции нормативной базы.
- Аудит существующих систем на соответствие требованиям с выдачей письменного заключения и дорожной карты по приведению в норму.
- Сопровождение приёмки объекта надзорными органами (МЧС, Ростехнадзор, Росгвардия, ФСТЭК, ФСБ — в зависимости от типа объекта).
- Гарантийное и постгарантийное обслуживание с регламентным ТО и оперативным реагированием.
Если ваш объект готовится к проектированию, реконструкции или плановой проверке — обращение к опытному подрядчику на раннем этапе кратно снижает риски срыва сроков и претензий со стороны контролирующих органов.