ФСТЭК России представляет пакет стандартов для безопасности КИИ

В условиях растущих киберугроз безопасность критической информационной инфраструктуры (КИИ) становится вопросом национальной безопасности.

Важнейшим шагом на пути к ее укреплению стала публикация ФСТЭК России пакета предварительных национальных стандартов. Эти документы, разработанные профильным техническим комитетом ТК 167, призваны унифицировать подходы к защите ключевых объектов цифровой экономики и задать новые ориентиры для отечественных разработчиков и операторов КИИ.

Пакет включает три фундаментальных проекта стандартов, каждый из которых решает свою уникальную задачу в общей системе защиты.

Единый язык безопасности: термины и определения

Первый документ, «Инфраструктура критическая информационная. Термины и определения», закладывает концептуальную основу для всей дальнейшей работы. До его появления на практике часто возникали разночтения в трактовке ключевых понятий между регуляторами, аудиторами и организациями.

Этот стандарт призван стать своего рода словарем, который обеспечит единое смысловое поле для всех участников процесса. Четкие и однозначные определения необходимы для корректного проведения категорирования, разработки документов и эффективного взаимодействия между субъектами КИИ.

Аппаратная основа доверия: безопасность «железа»

Второй проект стандарта — «Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения» — обращается к самому фундаменту любой IT-системы: аппаратному обеспечению. Он фокусируется на требованиях к безопасности и надежности микросхем и модулей, используемых в КИИ.

Идея документа заключается в том, что нельзя построить защищенную систему на уязвимом или недоверенном «железе». Злоумышленник, получивший доступ на аппаратном уровне, может обойти любые программные защиты.

Стандарт выделяет класс доверенных компонентов, к которым предъявляются повышенные требования на всех этапах жизненного цикла — от проектирования и производства до внедрения и эксплуатации. Это особенно критично для таких чувствительных секторов, как энергетика, связь и транспорт, где отказ или несанкционированное вмешательство могут привести к катастрофическим последствиям.

Защита на системном уровне: доверенные комплексы

Третий стандарт, «Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения», поднимается на системный уровень. Он регламентирует создание и использование целостных доверенных решений, которые объединяют проверенное аппаратное обеспечение и защищенное программное обеспечение.

Такие комплексы предназначены для создания изолированных и контролируемых сред с КИИ. Они выступают в роли щита, обеспечивая отказоустойчивость, конфиденциальность и целостность обработки данных даже в условиях целевых кибератак. Их внедрение позволяет гарантировать непрерывность критически важных операций и противодействовать как внешним, так и внутренним угрозам.

Значение для отрасли КИИ

Разработка этих стандартов — это не просто техническая формальность.

• Стандарты стимулируют развитие отечественной отрасли безопасных аппаратных и программно-аппаратных решений, задавая для них четкие и современные критерии.
• Хотя изначально это проекты национальных стандартов, в перспективе их положения с высокой вероятностью лягут в основу обязательных требований регулятора. Это обяжет организации выбирать и внедрять только те решения, которые соответствуют установленным критериям доверия.
• Унификация подходов и повсеместное использование доверенных технологий позволят системно снизить уязвимости объектов КИИ, создав для потенциальных агрессоров серьезный технологический барьер.