1. Нормативный фундамент и стадии создания систем защиты КИИ согласно 187-ФЗ и ГОСТ Р 59793
Нормативный фундамент и стадии создания систем защиты КИИ согласно 187-ФЗ и ГОСТ Р 59793
В 2023 году крупная региональная энергетическая компания не прошла проверку ФСТЭК России, несмотря на наличие межсетевых экранов следующего поколения (NGFW) и полностью укомплектованного штата специалистов по информационной безопасности. Причина крылась не в технических уязвимостях, а в отсутствии Технического проекта. Межсетевые экраны были закуплены по стандартному коммерческому брифу, а не на основе ГОСТ-ориентированного Технического задания. С точки зрения регулятора, системы защиты значимого объекта критической информационной инфраструктуры (ЗО КИИ) на предприятии юридически не существовало. В сфере защиты КИИ техническая мера признается легитимной только тогда, когда она спроектирована, обоснована и задокументирована в строгом соответствии с государственными стандартами.
Правовой и инженерный каркас: 187-ФЗ, Приказ №239 и ГОСТ 34
Проектирование системы защиты информации (СЗИ) для значимого объекта КИИ опирается на три уровня нормативных документов. Понимание их иерархии и взаимосвязей — первый шаг к квалифицированному управлению проектом.
Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» задает верхнеуровневый правовой контекст. Он определяет, что такое объекты КИИ, вводит процедуру категорирования и устанавливает уголовную ответственность (статья 274.1 УК РФ) за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации. Закон говорит «что нужно защищать» и «что будет, если этого не сделать», но не дает инженерных инструкций.
Приказ ФСТЭК России от 25.12.2017 № 239 выступает связующим звеном между законом и технической реализацией. Документ содержит исчерпывающий перечень мер защиты (идентификация и аутентификация, управление доступом, регистрация событий безопасности и т.д.), которые обязательны к применению в зависимости от присвоенной категории значимости (первая, вторая или третья). Приказ отвечает на вопрос «какие механизмы безопасности должны быть реализованы».
Комплекс стандартов на автоматизированные системы (ГОСТ 34-й серии) и, в частности, ГОСТ Р 59793-2021, определяет инженерную методологию. Пункт 11 Приказа №239 прямо указывает, что создание СЗИ значимого объекта КИИ осуществляется в соответствии с ГОСТами. Стандарты отвечают на вопрос «как именно спроектировать, задокументировать и внедрить выбранные меры».
!Иерархия нормативной базы КИИ
Важнейший концептуальный нюанс, который часто упускают начинающие проектировщики: система защиты информации не является самостоятельной сущностью, висящей в вакууме. Согласно методологии ГОСТ, СЗИ — это всегда подсистема основной автоматизированной системы (АС), автоматизированной системы управления технологическим процессом (АСУ ТП) или информационной системы (ИС). Нельзя спроектировать защиту токарного станка с ЧПУ, не понимая архитектуры сети самого цеха. Проектная документация на СЗИ разрабатывается либо в составе проекта на создание новой АС, либо как проект модернизации существующей АС в части добавления функций безопасности.
Стадии создания системы по ГОСТ Р 59793-2021
В 2021 году на смену устаревшему, но десятилетиями применявшемуся ГОСТ 34.601-90, пришел ГОСТ Р 59793-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Стадии создания». Он осовременил терминологию, но сохранил фундаментальный принцип: проект должен двигаться от абстрактных бизнес-требований к конкретным техническим настройкам через серию контролируемых стадий.
Стандарт выделяет восемь основных стадий. Рассмотрим их через призму работы Главного инженера проекта (ГИПа), создающего систему защиты для значимого объекта КИИ.
Стадия 1. Формирование требований к АС
На этом этапе происходит осознание проблемы. Для объектов КИИ эта стадия фактически совпадает с процессом категорирования. Комиссия предприятия обследует бизнес-процессы, выявляет критичные системы, оценивает возможный ущерб от кибератак (экономический, социальный, экологический) и присваивает объекту категорию значимости. Результатом становится Акт категорирования и первичное понимание того, от каких угроз предстоит защищаться. Формируется модель угроз и нарушителей (МУиН).Стадия 2. Разработка концепции АС
Концепция отвечает на вопрос о целесообразности и путях решения задачи. В контексте КИИ здесь выбирается глобальный архитектурный подход. Например, для территориально распределенной системы управления нефтепроводом на этой стадии принимается решение: будем ли мы строить единый центр управления безопасностью (SOC) в головном офисе или распределим средства защиты по локальным узлам с автономным управлением. Разрабатываются варианты концепции, оцениваются их ориентировочные бюджеты и риски.Стадия 3. Техническое задание (ТЗ)
ТЗ — это конституция проекта. Это единственный документ, имеющий абсолютную юридическую силу при приемке работ. Для систем защиты КИИ разработка ТЗ регламентируется отдельным стандартом ГОСТ 34.602-2020 (это подробнее разберём дальше).В ТЗ закрепляются требования к архитектуре, функциям СЗИ, видам обеспечения (программному, техническому, организационному), а также перечисляются конкретные меры защиты из Приказа ФСТЭК №239, которые подрядчик обязан реализовать. Ошибка в ТЗ стоит дороже всего: если мера защиты не вписана в ТЗ, подрядчик имеет полное право ее не реализовывать, даже если она требуется по закону.
Стадия 4. Эскизный проект (ЭП)
Эскизный проект — это предварительные архитектурные решения. Документация этой стадии показывает, как в целом будет работать система, без привязки к конкретным вендорам и IP-адресам. Разрабатываются структурные схемы комплекса технических средств, схемы функциональной структуры.Например, в ЭП фиксируется решение: «Для защиты периметра используется отказоустойчивый кластер межсетевых экранов уровня приложения (NGFW), а для защиты конечных точек — средства антивирусной защиты с централизованным управлением». Конкретные марки оборудования (UserGate, Континент, Kaspersky) здесь могут еще не фигурировать.
Стадия 5. Технический проект (ТП)
Технический проект переводит абстрактные архитектурные решения в плоскость конкретных спецификаций. Это самая объемная часть проектирования. Здесь появляются точные спецификации оборудования, схемы кабельных проводок, матрицы доступа, схемы IP-адресации, планы размещения оборудования в серверных стойках.Если ЭП говорил «нужен кластер NGFW», то ТП говорит: «В стойку 42U в юните 15 и 16 устанавливаются два аппаратных шлюза Модель X, порт eth0 первого шлюза подключается к коммутатору Y патч-кордом категории 6a длиной 2 метра». ТП должен быть настолько подробным, чтобы любая посторонняя монтажная бригада могла по нему закупить нужное железо и собрать инфраструктуру.
Стадия 6. Рабочая документация (РД)
Если ТП отвечает на вопрос «из чего состоит система», то РД отвечает на вопрос «как это настроить и как этим пользоваться». Рабочая документация включает в себя инструкции администраторов безопасности, руководства пользователей, программы и методики испытаний, а также конкретные конфигурационные скрипты и таблицы настроек.Здесь прописываются правила фильтрации (firewall rules), политики паролей (длина, сложность, срок действия), параметры аудита событий.
Стадия 7. Ввод в действие
Стадия физической реализации спроектированного. Включает в себя:Стадия 8. Сопровождение АС
Система переходит в продуктив. Выполняются гарантийные обязательства, техническое обслуживание, установка обновлений баз решающих правил и патчей безопасности.!Жизненный цикл создания системы защиты по ГОСТ Р 59793-2021
Принцип воронки детализации: эволюция одного требования
Чтобы понять, почему ГОСТ требует такого количества стадий и документов, необходимо осознать принцип «воронки детализации» (прослеживаемости требований). Ни одно техническое решение не должно появляться из ниоткуда — оно должно быть прямым следствием высокоуровневого требования.
Проследим эволюцию одной меры защиты из Приказа ФСТЭК №239 на примере металлургического комбината. Возьмем меру УПД.1 (Управление учетными записями пользователей).
Если убрать любую из этих стадий, цепочка порвется. Без ТП интегратор купит сервер, но не будет знать, куда его подключать. Без РД администратор не сможет настроить интеграцию. Без ПМИ никто не проверит, работает ли функция блокировки на самом деле. ГОСТ 34 — это инструмент предотвращения инженерного хаоса.
Практика управления проектом: объединение стадий
В реальной коммерческой практике жесткое последовательное выполнение всех восьми стадий с выпуском полного комплекта документов для каждой из них встречается редко — это слишком долго и дорого. ГОСТ Р 59793-2021 (как и его предшественник) содержит важнейшую оговорку: допускается объединять стадии и исключать разработку отдельных документов, если это зафиксировано в Техническом задании.
Наиболее частый паттерн в проектах по защите КИИ — создание Технорабочего проекта (ТРП). Это объединение Стадии 5 (Технический проект) и Стадии 6 (Рабочая документация).
Вместо того чтобы сначала выпускать спецификации и схемы (ТП), сдавать их заказчику, ждать 30 дней согласования, а затем писать инструкции и скрипты (РД), подрядчик делает все единым пулом. Документы ТП (пояснительная записка, схемы) и документы РД (инструкции, программы испытаний) выпускаются одновременно и сдаются одним комплектом.
Когда объединение в ТРП оправдано:
Когда объединение стадий недопустимо:
Также в 90% случаев в проектах по КИИ опускается Стадия 2 (Разработка концепции). Выбор архитектурных подходов переносится в предпроектное обследование и сразу фиксируется в Техническом задании.
Управление стадиями — это управление рисками. Задача ведущего специалиста или ГИПа на этапе старта проекта — грамотно сформировать раздел ТЗ «Стадии и этапы создания», определив тот минимально достаточный набор проектных шагов, который обеспечит прозрачность технических решений для регулятора (ФСТЭК), но не утопит команду в избыточной бюрократии. Документооборот ради документооборота убивает безопасность, но отсутствие прослеживаемой документации делает систему защиты юридически ничтожной. Баланс достигается глубоким пониманием того, какую инженерную задачу решает каждый конкретный артефакт ГОСТа.