Категорирование объектов критической информационной инфраструктуры (КИИ)

Категорирование объектов КИИ — это своеобразная форма оценки рисков безопасности для объектов IT-инфраструктуры, используемых в важных для государства отраслях экономики и государственного управления. Своеобразие этого процесса вызвано тем, что объекты могут принадлежать коммерческим компаниям и частным лицам, но при этом создавать риски для государства и общества. Если сравнить процесс категорирования объектов КИИ с аналогичным ему процессом определения уровней защищенности информационных систем персональных данных (постановление Правительства РФ от 01.11.2012 N 1119), видна заметная эволюция в подходе регулятора к формированию требований.

Информация и ее свойства (конфиденциальность, доступность, целостность) больше не рассматриваются как самостоятельная ценность, требующая защиты. Вместо этого требуется оценивать, как именно эта информация обрабатывается и используется и какой реальный вред может причинить злоумышленник, вмешавшись в информационно-технологические процессы.

Именно так и рекомендуется оценивать риски — но в регулятивной практике российской информационной безопасности такой подход используется едва ли не впервые. Важность категорирования заключается даже не в том, что кто-то присвоит своим информационным системам категории значимости и будет исполнять технические требования по обеспечению их безопасности. Нет никаких сомнений, что большинство субъектов КИИ (а скорее всего — все субъекты) будут стремиться разными способами обосновывать незначимость как можно большей части своей IT-инфраструктуры, чтобы по возможности вывести ее из-под нормативных требований.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/categorize-critical-information-infrastructure-systems