Переход значимых объектов КИИ в облако: причины и преимущества

Чтобы определить, является ли ваша организация субъектом КИИ, нужно учесть несколько ключевых аспектов.

Связь с критически важными отраслями экономики. Проверьте: 

• указаны ли в кодах ОКВЭД организации виды деятельности, которые входят в число критически значимых;

• если ли у организации лицензии от ФСБ, Росатома, Минтранса и других регуляторов на деятельность в критически важной сфере;

• упоминаются ли в уставе организации сферы деятельности, регулируемые по ФЗ-187. 

Наличие информационной системы (ИС). Проверьте, владеет ли организация информационной системой или, может быть, использует ее на правах аренды или другого вида пользования. Определите, обеспечивает ли данная ИС работу компании в одной из 14 критически важных сфер, указанных в ФЗ-187.

Ваша организация — субъект КИИ: что важно знать

Категория значимости объекта КИИ — это основной показатель, который определяет, какие меры защиты нужно применять к объекту в соответствии с требованиями Федерального закона №187. Чем выше категория, тем строже требования к защите. Категории установлены Постановлением Правительства №127 и определяются, исходя из масштаба возможных последствий в случае компьютерных инцидентов.

После того, как объект КИИ категорирован, а требования к его защите определены, для обеспечения информационной безопасности объекта разрабатывается модель угроз. Она нужна, чтобы систематизировать информацию об уязвимостях системы, возможных угрозах и их последствиях.

В последние годы для отечественного IT-рынка характерны две ключевых тенденции:

1. Увеличение числа кибератак, инцидентов с DDoS и фишингом. В 2024 году число инцидентов информационной безопасности в компаниях выросло в 2,5 раза по сравнению с 2023 годом и почти достигло 130 тысяч. При этом целями хакерских атак в 2024 году чаще всего становились организации КИИ, которые пришлось около 64% от общего числа инцидентов за год. 

2.  Рост темпа цифровизации бизнеса и госсектора. Крупные компании и государственные структуры активно мигрируют в облака для оптимизации затрат и повышения эффективности управления данными. Согласно информации iKS-Consulting, в 2024 году объем рынка облачных инфраструктурных сервисов (IaaS и PaaS) превысил 165 млрд рублей, а его годовой прирост составил 36,3%. Дальше — больше: по прогнозам того же агентства до 2028 года ежегодный прирост рынка облачных инфраструктурных сервисов будет оставаться на уровне 35-40%.

Приняв во внимание эти тенденции, государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности. Поэтому 2024 год стал переломным для субъектов КИИ из-за нарастающего числа киберугроз и усилившегося регуляторного давления. 

Рынок облачных решений для КИИ в 2025 году также находится в стадии активной трансформации: провайдеры стремятся предоставить заказчикам максимально эффективные решения, сочетающие технологическую адаптивность и соответствие нормам регулятора. 

Государственная политика России в области защиты КИИ в 2025

Отмечу основные аспекты законодательных изменений в области защиты КИИ, которые стоит учитывать в 2025 году.  

Новый федеральный закон №58-ФЗ от 07.04.2025 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно новому закону с 1 сентября 2025 года: 

• все субъекты КИИ обязаны стартовать переход на отечественное программное обеспечение;

• полномочия Правительства РФ по установлению требований к ПО и оборудованию для КИИ расширятся: правительство получит полномочия утверждать отраслевые перечни систем, подлежащих защите;

• ИП будут исключены из числа субъектов КИИ, чтобы снизить административную нагрузку на малый бизнес. 

Также с 1 сентября начнут действовать поправки в 187-ФЗ:

• будет запрещено использование иностранного ПО на значимых объектах КИИ без разрешения ФСТЭК;

• потребуется обязательное согласование решений для финансового сектора с ЦБ РФ.

Импортозамещение ПО и оборудование. С 1 января 2025 года в России был введен полный запрет на иностранное ПО и программно-аппаратные комплексы для объектов КИИ для органов государственной власти и компаний с государственным участием. А уже с 1 сентября 2025 года на всех значимых объектах КИИ будет разрешено использование только российского ПО из единого реестра Минцифры.

Контрольно-надзорные меры. Чтобы проконтролировать исполнение нового закона в практику введены:

• плановые проверки ФСТЭК;

• ведение отчетности по выполнения планов по импортозамещению. 

К чему может привести ужесточение законодательных мер в отношении КИИ? К дефициту доверенных отечественных инструментов на замену иностранных аналогов, повышению рисков кибератак на фоне переходного периода, а также росту административной нагрузки. 

Государство делает ставку на централизацию управления и жесткое администрирование процессов цифровой трансформации КИИ, что создает как возможности для развития отечественных ИТ-решений, так и операционные риски для бизнеса. Ведь усиление законодательных мер — это: 

• угроза дефицита доверенных отечественных инструментов на замену иностранных аналогов;

• повышения рисков кибератак в переходном периоде;

• роста административной нагрузки.

Барьеры и актуальные задачи защиты КИИ

Задача по обеспечению безопасности КИИ приоритетна для организаций во всех ключевых отраслях экономики. На ее эффективное оказывают влияние следующие заградительные факторы: 

• ограниченные ресурсы организаций-субъектов КИИ: подразумеваются как недостаток средств на цифровую трансформацию, так и нехватка квалифицированного персонала на ее реализацию; 

• вопросы эффективной амортизации ранее купленного оборудования и программного обеспечения;

• банальное отсутствие на рынке нужного программного обеспечения, совместимого с отечественными операционными системами;

• длительный цикл внедрения новых решений. 

Прежде, чем поговорить о том, какие задачи по защите КИИ актуальны сегодня и как их можно решить, давайте выровняемся в терминологии. 

Как я говорил выше, сегодня рост числа киберугроз провоцирует государство и бизнес больше внимания уделять вопросам безопасности OКИИ. А на фоне растущей популярности облачных решений перенос таких объектов в облака вполне закономерен. 

Давайте посмотрим детальнее, почему субъектам КИИ выгодно размещаться в облаках: 

• Гарантии безопасности и соответствие требованиям. Зачастую владельцам КИИ не просто выполнять требования регуляторов к безопасности КИИ. В связи с этим компании все чаще доверяют размещение своих ИС облачным провайдерам, ведь облачные провайдеры инвестируют значительные ресурсы в обеспечение безопасности своих сервисов и соответствие нормативам.

Также мы можем отметить и более «классические» драйверы перехода в облако, которые идут в связке с потребностью удовлетворить требованиям регуляторов:

• Снижение затрат. Облачные решения позволяют сократить капитальные затраты на приобретение и обслуживание собственной IT-инфраструктуры, а также оптимизировать операционные расходы.

• Масштабируемость и гибкость. Облачные провайдеры предлагают клиентам возможность быстрого масштабирования ресурсов в зависимости от потребностей бизнеса.

• Высокая доступность и надежность. Облачные сервисы обеспечивают высокий уровень доступности и надежности за счет использования современных технологий и распределенных центров обработки данных.

Решение Cloud.ru для компаний-владельцев КИИ

Cloud.ru предлагает облачное решение для объектов критической информационной инфраструктуры (ОКИИ), создавая надежную и безопасную инфраструктуру для размещения информационных систем.

Наше архитектурное решение предполагает создание изолированного на аппаратном уровне контура для каждого клиента. Такой подход обеспечивает комплексную защиту инфраструктуры и конфиденциальность информации, а также возможность аттестации ИС клиента на базе аттестованного контура Cloud.ru, который соответствует требованиям ИБ.

Что учесть при размещении ЗОКИИ в облаке

Реализация проектов по переходу значимых объектов критической информационной инфраструктуры (ЗОКИИ) в облако имеет ряд особенностей, которые необходимо учитывать для обеспечения безопасности и надежности работы системы. Вот основные из них:

• Миграция ИС не всегда проходит гладко, зачастую используются непривычные инструменты для миграции. Перед переходом в облако важно протестировать функционал миграции и виртуализации, а также подготовить пошаговый план миграции.

• Важно обеспечить безопасность данных. Выстроить защищенный канал с использованием криптографических средств для передачи данных и учесть, что на закупку и проектирование такого решения потребуется время. 

• Нужно гарантировать стабильность работы решения. Все провайдеры работают над этим, но не всегда все идет гладко. Поэтому критически важно наличие выделенных клиентских менеджеров и технической поддержки, которые помогут в том числе и в процессе миграции.

Облачный провайдер и владелец КИИ: кто за что отвечает

Разграничение ответственности между облачным провайдером и владельцем КИИ при его переходе в облако — важный момент, который стоит обсудить отдельно. Ключевые аспекты, которые нужно учесть:

Переход на облачные решения — не только практическая необходимость, но и стратегическая задача для компаний-субъектов КИИ. Пока число киберугроз увеличивается, регуляторное давление ужесточается, а потребность в оперативном импортозамещении растет, организациям приходится сталкиваться с серьезными вызовами в области обеспечения безопасности. Это требует значительных затрат ресурсов и времени. 

Cloud.ru предлагает решения, которые не только соответствуют росту требований по защите информации, но и обеспечивают гибкость и масштабируемость, критически важные для успешной цифровизации.

Облачные решения для КИИ продолжают оставаться в центре внимания у государственных регуляторов и бизнеса, что подчеркивает их важность в контексте обеспечения технологического суверенитета и устойчивости экономики.