Я занимаюсь внедрением требований 187-ФЗ с момента его появления. За это время я прошел путь от инженера до консультанта и видел десятки проектов изнутри. Сегодня я расскажу про ключевые ошибки в обеспечении безопасности КИИ, которые я наблюдал лично и которые регулярно приводят к проваленным проверкам ФСТЭК и огромным финансовым потерям.

Семь лет назад, когда 187-ФЗ только вступил в силу, рынок напоминал дикий запад. Все действовали интуитивно, пытаясь нащупать правильный путь. Казалось, время всё расставит по местам. Но мой опыт показывает, что фундаментальные ошибки, которые совершались тогда, до сих пор кочуют из проекта в проект, лишь меняя масштаб последствий.

Ниже — мой личный рейтинг просчетов, основанный на реальных проектах и их последующих аудитах.

Ошибка 1: Неверное определение границ. Слепое категорирование КИИ

Это стартовая и самая дорогая ошибка. Компании часто мыслят отдельными системами, а не критическими процессами. Слыша «объект КИИ», они сразу указывают на АСУ ТП цеха или на биллинговую систему оператора связи. Это правильно, но это лишь верхушка айсберга.

На одном из моих проектов, в крупной логистической компании, в первоначальный перечень для категорирования КИИ включили только систему управления грузоперевозками. Спустя год, при подготовке к проверке ФСТЭК, мы провели аудит и обнаружили, что простая складская система учета запчастей является не менее критичной. Ее отказ парализовал ремонтный цех, что приводило к срыву перевозок по стратегическим маршрутам. Это прямые финансовые потери и репутационный ущерб, которые не были учтены. Проект пришлось срочно пересматривать.

Как правильно: Начните с описания бизнес‑процессов.

Задайте вопрос: «Остановка какой ИТ‑системы приведет к нарушению основного производственного цикла или оказания услуги?». Комплексный подход к категорированию КИИ — это фундамент, на котором строится вся дальнейшая защита КИИ.

Ошибка 2: Модель угроз КИИ «из шаблона»

Многие до сих пор считают, что модель угроз КИИ — это формальный документ, скачанный из интернета и слегка адаптированный. Это прямой путь к провалу на первой же проверке. Модель угроз — это ваш главный документ, который объясняет регулятору, что и от чего вы защищаете.

Я наблюдал ситуацию на предприятии энергетики, где в модели угроз рассматривался только внутренний нарушитель. При этом объект имел удаленный доступ для подрядной организации, который никак не учитывался. На резонный вопрос инспектора «А что, если пароль подрядчика утечет?» ответа не нашлось. Аттестат соответствия, разумеется, получен не был.

Как правильно: Ваша модель угроз КИИ должна быть живым документом.

Разрабатывайте ее совместно с технологами, инженерами и даже экономистами. Рассмотрите все возможные векторы атак, включая компрометацию цепочки поставок и социальную инженерию.

Ошибка 3: Фокус на бумагах вместо реальной защиты

«Мы разработали все приказы, регламенты и инструкции. Мы готовы к проверке». Это опасное заблуждение. Безопасность КИИ — это не только организационно‑распорядительная документация (ОРД).

В одной компании, которую я консультировал, был идеальный пакет документов. Но при аудите выяснилось, что на межсетевом экране (МЭ), который должен был сегментировать технологическую сеть, стояло правило Any-Any-Allow. То есть вся дорогостоящая защита КИИ на практике не работала. Любой инцидент в корпоративной сети мгновенно распространился бы на критическую инфраструктуру.

Как правильно:

Любое требование, прописанное на бумаге, должно иметь фактическую реализацию и быть проверяемым. Регулярно проводите внутренний аудит и пентесты. Убедитесь, что ваши средства защиты настроены корректно и соответствуют вашей же модели угроз.

Ошибка 4: Недооценка человеческого фактора

Вы можете потратить миллионы на самые передовые системы защиты, но один не обученный сотрудник сведет все усилия на нет. Самый частый вектор атаки, который я видел, — это фишинг, нацеленный на бухгалтерию или отдел кадров.

Печальный, но показательный случай: атака шифровальщика на промышленное предприятие. Основные объекты АСУ ТП были хорошо изолированы и не пострадали. Но вирус зашифровал серверы планирования производства, которые посчитали «офисными» и защитили хуже. Результат — недельный простой и срыв производственного плана. Компанию спасло только наличие оффлайн‑бэкапов, о которых позаботился дальновидный администратор.

Как правильно:

Внедряйте культуру безопасности. Проводите регулярные тренинги и учебные фишинговые рассылки. Ответственность за нарушения 187-ФЗ может быть персональной, и важно донести до каждого сотрудника, что безопасность — это общая задача.

Ошибка 5: Неумение обосновать бюджет

ИТ‑ и ИБ‑специалисты часто говорят с руководством на техническом языке. Фраза «Нам нужно внедрить SOAR‑платформу для автоматизации реагирования на инциденты» для финансового директора звучит как белый шум.

Я выработал для себя правило: любой бюджет на ИБ нужно защищать на языке денег и рисков. Вместо технических терминов я использую понятные бизнесу аналогии.

Как правильно:

Не говорите «нам нужен антивирус». Говорите: «Атака шифровальщика обойдется нам в 30 миллионов рублей прямого убытка от простоя. Чтобы снизить этот риск на 95%, нам нужно инвестировать 2 миллиона в современное решение для защиты конечных точек. Вот расчет». Показывайте стоимость риска и стоимость его митигации. Так цена защиты КИИ становится понятной и обоснованной инвестицией.

Надеюсь, мой разбор поможет вам избежать этих дорогостоящих ошибок. Безопасность КИИ — это не разовый проект, а непрерывный процесс, требующий внимания, компетенций и ресурсов.