Переход значимых объектов КИИ в облако: причины и преимущества
2024 год стал переломным для темы критической информационной инфраструктуры (КИИ) из-за роста киберугроз и регуляторного давления. Актуальна тема и в 2025 году — в России сохраняется вектор на усиление технологической независимости и усиление контроля со стороны государства. Например, уже 1 сентября начнет действовать новый Федеральный закон № 58, который ужесточит требования к субъектам КИИ.
В ответ на перемены рынок облачных решений для КИИ тоже активно трансформируется. Технологическая адаптивность и соблюдение регуляторных норм становятся главными конкурентными преимуществами.
О том, какие именно законодательные изменения произошли в 2025 году, с какими барьерами и актуальными задачами защиты инфраструктуры сталкиваются субъекты КИИ, расскажу в этой статье.
Что такое КИИ
Согласно Федеральному закону №187-ФЗ, объекты критической информационной инфраструктуры (КИИ) — это системы, которые играют важную роль в работе критических отраслей экономики. К ним относятся:
Информационные системы (ИС) — наборы данных и технологии, которые помогают обрабатывать эти данные.
Информационно-технологические системы (ИТС) — системы, которые передают информацию через линии связи.
Автоматизированные системы управления технологическими процессами (АСУ ТП) — программы и устройства, которые контролируют работу производственного оборудования и управляют процессами.
Чтобы определить, является ли ваша организация субъектом КИИ, нужно учесть несколько ключевых аспектов.
Связь с критически важными отраслями экономики. Проверьте:
указаны ли в кодах ОКВЭД организации виды деятельности, которые входят в число критически значимых;
если ли у организации лицензии от ФСБ, Росатома, Минтранса и других регуляторов на деятельность в критически важной сфере;
упоминаются ли в уставе организации сферы деятельности, регулируемые по ФЗ-187.
Наличие информационной системы (ИС). Проверьте, владеет ли организация информационной системой или, может быть, использует ее на правах аренды или другого вида пользования. Определите, обеспечивает ли данная ИС работу компании в одной из 14 критически важных сфер, указанных в ФЗ-187.
Ваша организация — субъект КИИ: что важно знать
Категория значимости объекта КИИ — это основной показатель, который определяет, какие меры защиты нужно применять к объекту в соответствии с требованиями Федерального закона №187. Чем выше категория, тем строже требования к защите. Категории установлены Постановлением Правительства №127 и определяются, исходя из масштаба возможных последствий в случае компьютерных инцидентов.
Всего существует три категории значимости объектов КИИ: первая, вторая и третья (от наиболее к менее значимому).
Если объект КИИ не соответствует ни одному из установленных критериев значимости, ему не присваивается категория. Однако субъект КИИ все равно обязан сообщать о компьютерных инцидентах в Государственную систему предотвращения и обнаружения компьютерных атак (ГосСОПКА).
После того, как объект КИИ категорирован, а требования к его защите определены, для обеспечения информационной безопасности объекта разрабатывается модель угроз. Она нужна, чтобы систематизировать информацию об уязвимостях системы, возможных угрозах и их последствиях.
КИИ в 2025 году: актуальная ситуация и ключевые аспекты
В последние годы для отечественного IT-рынка характерны две ключевых тенденции:
1. Увеличение числа кибератак, инцидентов с DDoS и фишингом. В 2024 году число инцидентов информационной безопасности в компаниях выросло в 2,5 раза по сравнению с 2023 годом и почти достигло 130 тысяч. При этом целями хакерских атак в 2024 году чаще всего становились организации КИИ, которые пришлось около 64% от общего числа инцидентов за год.
2. Рост темпа цифровизации бизнеса и госсектора. Крупные компании и государственные структуры активно мигрируют в облака для оптимизации затрат и повышения эффективности управления данными. Согласно информации iKS-Consulting, в 2024 году объем рынка облачных инфраструктурных сервисов (IaaS и PaaS) превысил 165 млрд рублей, а его годовой прирост составил 36,3%. Дальше — больше: по прогнозам того же агентства до 2028 года ежегодный прирост рынка облачных инфраструктурных сервисов будет оставаться на уровне 35-40%.
Приняв во внимание эти тенденции, государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности. Поэтому 2024 год стал переломным для субъектов КИИ из-за нарастающего числа киберугроз и усилившегося регуляторного давления.
Рынок облачных решений для КИИ в 2025 году также находится в стадии активной трансформации: провайдеры стремятся предоставить заказчикам максимально эффективные решения, сочетающие технологическую адаптивность и соответствие нормам регулятора.
Государственная политика России в области защиты КИИ в 2025
Отмечу основные аспекты законодательных изменений в области защиты КИИ, которые стоит учитывать в 2025 году.
Новый федеральный закон №58-ФЗ от 07.04.2025 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно новому закону с 1 сентября 2025 года:
все субъекты КИИ обязаны стартовать переход на отечественное программное обеспечение;
полномочия Правительства РФ по установлению требований к ПО и оборудованию для КИИ расширятся: правительство получит полномочия утверждать отраслевые перечни систем, подлежащих защите;
ИП будут исключены из числа субъектов КИИ, чтобы снизить административную нагрузку на малый бизнес.
Также с 1 сентября начнут действовать поправки в 187-ФЗ:
будет запрещено использование иностранного ПО на значимых объектах КИИ без разрешения ФСТЭК;
потребуется обязательное согласование решений для финансового сектора с ЦБ РФ.
Импортозамещение ПО и оборудование. С 1 января 2025 года в России был введен полный запрет на иностранное ПО и программно-аппаратные комплексы для объектов КИИ для органов государственной власти и компаний с государственным участием. А уже с 1 сентября 2025 года на всех значимых объектах КИИ будет разрешено использование только российского ПО из единого реестра Минцифры.
Контрольно-надзорные меры. Чтобы проконтролировать исполнение нового закона в практику введены:
плановые проверки ФСТЭК;
ведение отчетности по выполнения планов по импортозамещению.
К чему может привести ужесточение законодательных мер в отношении КИИ? К дефициту доверенных отечественных инструментов на замену иностранных аналогов, повышению рисков кибератак на фоне переходного периода, а также росту административной нагрузки.
Государство делает ставку на централизацию управления и жесткое администрирование процессов цифровой трансформации КИИ, что создает как возможности для развития отечественных ИТ-решений, так и операционные риски для бизнеса. Ведь усиление законодательных мер — это:
угроза дефицита доверенных отечественных инструментов на замену иностранных аналогов;
повышения рисков кибератак в переходном периоде;
роста административной нагрузки.
Барьеры и актуальные задачи защиты КИИ
Задача по обеспечению безопасности КИИ приоритетна для организаций во всех ключевых отраслях экономики. На ее эффективное оказывают влияние следующие заградительные факторы:
ограниченные ресурсы организаций-субъектов КИИ: подразумеваются как недостаток средств на цифровую трансформацию, так и нехватка квалифицированного персонала на ее реализацию;
вопросы эффективной амортизации ранее купленного оборудования и программного обеспечения;
банальное отсутствие на рынке нужного программного обеспечения, совместимого с отечественными операционными системами;
длительный цикл внедрения новых решений.
Прежде, чем поговорить о том, какие задачи по защите КИИ актуальны сегодня и как их можно решить, давайте выровняемся в терминологии.
Преимущества размещения КИИ в облаке
Как я говорил выше, сегодня рост числа киберугроз провоцирует государство и бизнес больше внимания уделять вопросам безопасности OКИИ. А на фоне растущей популярности облачных решений перенос таких объектов в облака вполне закономерен.
Какие нормативы важно учесть при работе с объектами критической инфраструктурыДавайте посмотрим детальнее, почему субъектам КИИ выгодно размещаться в облаках:
Гарантии безопасности и соответствие требованиям. Зачастую владельцам КИИ не просто выполнять требования регуляторов к безопасности КИИ. В связи с этим компании все чаще доверяют размещение своих ИС облачным провайдерам, ведь облачные провайдеры инвестируют значительные ресурсы в обеспечение безопасности своих сервисов и соответствие нормативам.
Также мы можем отметить и более «классические» драйверы перехода в облако, которые идут в связке с потребностью удовлетворить требованиям регуляторов:
Снижение затрат. Облачные решения позволяют сократить капитальные затраты на приобретение и обслуживание собственной IT-инфраструктуры, а также оптимизировать операционные расходы.
Масштабируемость и гибкость. Облачные провайдеры предлагают клиентам возможность быстрого масштабирования ресурсов в зависимости от потребностей бизнеса.
Высокая доступность и надежность. Облачные сервисы обеспечивают высокий уровень доступности и надежности за счет использования современных технологий и распределенных центров обработки данных.
Решение Cloud.ru для компаний-владельцев КИИ
Cloud.ru предлагает облачное решение для объектов критической информационной инфраструктуры (ОКИИ), создавая надежную и безопасную инфраструктуру для размещения информационных систем.
Аттестованная инфраструктура Cloud.ru для размещения ЗОКИИ 1 категории, ГИС К1, ИСПДн УЗ-1 создана на базе системы виртуализации, объектного хранилища и системы резервного копирования из Реестра российского программного обеспечения.
Наше архитектурное решение предполагает создание изолированного на аппаратном уровне контура для каждого клиента. Такой подход обеспечивает комплексную защиту инфраструктуры и конфиденциальность информации, а также возможность аттестации ИС клиента на базе аттестованного контура Cloud.ru, который соответствует требованиям ИБ.
Вариант инфраструктуры, организованной с помощью облачного решения Cloud.ru для КИИЧто учесть при размещении ЗОКИИ в облаке
Реализация проектов по переходу значимых объектов критической информационной инфраструктуры (ЗОКИИ) в облако имеет ряд особенностей, которые необходимо учитывать для обеспечения безопасности и надежности работы системы. Вот основные из них:
Миграция ИС не всегда проходит гладко, зачастую используются непривычные инструменты для миграции. Перед переходом в облако важно протестировать функционал миграции и виртуализации, а также подготовить пошаговый план миграции.
Важно обеспечить безопасность данных. Выстроить защищенный канал с использованием криптографических средств для передачи данных и учесть, что на закупку и проектирование такого решения потребуется время.
Нужно гарантировать стабильность работы решения. Все провайдеры работают над этим, но не всегда все идет гладко. Поэтому критически важно наличие выделенных клиентских менеджеров и технической поддержки, которые помогут в том числе и в процессе миграции.
Облачный провайдер и владелец КИИ: кто за что отвечает
Разграничение ответственности между облачным провайдером и владельцем КИИ при его переходе в облако — важный момент, который стоит обсудить отдельно. Ключевые аспекты, которые нужно учесть:
Облачный провайдер | Владелец ОКИИ | |
Безопасность данных | обеспечивает безопасность инфраструктуры, включая физическую защиту центров обработки данных, сетевую безопасность и защиту от внешних угроз | отвечает за защиту своих данных на уровне приложений и пользователей, включая шифрование данных, управление доступом и мониторинг активности |
Соответствие нормативным требованиям | предоставляет услуги, соответствующие общим требованиям безопасности и конфиденциальности | гарантирует соответствие специфическим требованиям, регулирующим КИИ, включая требования к защите информации и обеспечению непрерывности бизнеса |
Управление доступом | управляет доступом к инфраструктуре и обеспечивает базовые механизмы аутентификации и авторизации | отвечает за управление доступом к своим приложениям и данным, включая реализацию принципов наименьших привилегий и сегментации сети |
Мониторинг и аудит | предоставляет инструменты и данные для мониторинга инфраструктуры и обнаружения угроз | осуществляет мониторинг и аудит своих приложений и данных, а также следит за соответствием требованиям безопасности |
Аварийное восстановление и бизнес-непрерывность | предлагает решения для аварийного восстановления инфраструктуры | разрабатывает и внедряет план аварийного восстановления для своих приложений и данных, учитывая специфику КИИ |
Интеграция с существующей инфраструктурой | обеспечивает интеграцию своих услуг с инфраструктурой владельца КИИ | отвечает за настройку и поддержку интеграции, чтобы обеспечить бесперебойную работу приложений и данных |
Обучение и поддержка | предоставляет обучающие материалы и поддержку по использованию своих услуг | обучает свой персонал работе с облачной средой и следит за соблюдением процедур безопасности |
Итоги
Переход на облачные решения — не только практическая необходимость, но и стратегическая задача для компаний-субъектов КИИ. Пока число киберугроз увеличивается, регуляторное давление ужесточается, а потребность в оперативном импортозамещении растет, организациям приходится сталкиваться с серьезными вызовами в области обеспечения безопасности. Это требует значительных затрат ресурсов и времени.
Cloud.ru предлагает решения, которые не только соответствуют росту требований по защите информации, но и обеспечивают гибкость и масштабируемость, критически важные для успешной цифровизации.
Облачные решения для КИИ продолжают оставаться в центре внимания у государственных регуляторов и бизнеса, что подчеркивает их важность в контексте обеспечения технологического суверенитета и устойчивости экономики.