• +7 (495) 228-30-31
  • EN 

Умный дом и умный город: КИИ или нет?

Дата:
Источник:
Журнал Information Security

Умных устройств, автоматизирующих различные процессы в жизнедеятельности человека, с каждым днем становится все больше и больше. Редакция журнала Information Security разбирается, насколько критичны системы, объединяющие умные устройства, и как они соотносятся с понятием КИИ из 187-ФЗ. Своей экспертизой поделился начальник отдела по защите информации PROF-IT GROUP Эрик Нуртдинов.

Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

Что представляют собой умный дом и умный город

Умный дом -- это, по сути, набор управляемых устройств, небольших автоматизированных систем управления бытовым технологическим процессом: включение освещения (умная лампа), включение электроприборов (умная розетка), приготовления пищи (чайник, мультиварка), уборки (пылесос), управление климатом (кондиционер, вентилятор, обогреватель) и т.п.
Умный город -- это уже заметно более сложный комплекс, где к системам управления могут добавляться информационные системы (в том числе обрабатывающие большие данные, использующие механизмы искусственного интеллекта и машинного обучения). Инфраструктура умного города может интегрироваться в себя такие сферы как:

  • жилищно-коммунальное хозяйство;
  • электроснабжение;
  • транспорт;
  • коммуникации и связь;
  • розничная торговля и услуги;
  • здравоохранение;
  • наука;
  • образование;
  • культура;
  • муниципальное управление;
  • безопасность.
Таким образом, видно, что и умный город, и умный дом представляют собой совокупность автоматизированных систем различного вида (информационные системы и автоматизированные системы управления), объединенных в единую инфраструктуру.

Критическая информационная инфраструктура

В соответствии с терминологией, принятой в действующем законодательстве, критическая информационная инфраструктура (КИИ) представляет собой совокупность объектов КИИ и сетей электросвязи, используемых для организации взаимодействия этих объектов.

Объекты КИИ -- информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. Субъекты КИИ -- это государственные органы (учреждения), российские юридические лица или индивидуальные предприниматели (далее -- организации) функционирующие в определенных сферах жизнедеятельности.

Очевидно, что системы и умного города, и умного дома потенциально могут быть объектами КИИ.

Отсюда возникает следующий вопрос: в каком случае они будут являться объектами КИИ и насколько целесообразно их к таковым относить?

Умный дом и умный город: КИИ или не КИИ с точки зрения законодательства?

Умные дома, принадлежащие физическим лицам (обычным пользователям умных устройств), не относятся к объектам КИИ, так как физическое лицо не входит в понятие субъекта КИИ.

Умные дома (системы управления жизнеобеспечением рабочих помещений), принадлежащие организациям, функционирующим в одной из сфер, перечисленных в законодательстве, попадают в область регулирования законодательства о безопасности КИИ и должны быть оценены с точки зрения применения к ним критериев значимости3.

В части умного города ситуация выглядит несколько сложнее, так как его экосистему образует множество различных организаций, функционирующих в различных сферах, причем включенных в КИИ (субъекты КИИ) -- электроснабжение, транспорт, коммуникации и связь, здравоохранение, наука, так и не входящих в перечисленные в законодательстве о безопасности КИИ сферы -- розничная торговля и услуги, жилищно-коммунальное хозяйство, образование, культура, муниципальное управление, безопасность.

Таким образом, умный город представляет собой экосистему, которую можно рассматривать под разными углами: как совокупность субъектов КИИ и не являющихся таковыми организаций или как единую автоматизированную систему, функционирующую в различных сферах.

Умный дом и умный город: КИИ или не КИИ с практической точки зрения?

По итогам проведенного выше анализа можно выделить три вида интересующих нас объектов: умный дом домохозяйства, умный дом хозяйствующего субъекта и умный город.

1. Умный дом домохозяйства, то есть физического лица с точки зрения критичности, иными словами, масштаба негативных последствий, вызванных нарушением его функционирования, вряд ли можно отнести к объектам КИИ, ведь нарушение функционирования системы умного дома несет негативные последствия лишь для домохозяйства, а не для крупного хозяйствующего субъекта, отрасли экономики или страны в целом.

2. Умный дом хозяйствующего субъекта может быть как критическим объектом, в результате нарушения которого могут быть серьезные негативные последствия (например, нарушение функционирования государственного органа или ситуационного центра), так и не критическим (например, если нарушатся системы жизнеобеспечения объекта торговли или услуг, никаких серьезных последствий не произойдет).

3. Умный город, по сути, есть некая большая автоматизированная система, объединяющая множество систем (сервисов) из разных сфер, часть из которых относится к КИИ, а часть нет. Поэтому если рассматривать умный город как экосистему, то, безусловно, это достаточно критичный объект, поскольку нарушение его функционирования может вести к значительным негативным последствиям.

В то же время, по мнению автора, на практике в целях выполнения требований законодательства о безопасности КИИ будет происходить дробление системы умного города на множество отдельных автоматизированных систем, принадлежащих различным организациям, часть из которых будет рассматривать свои системы в качестве объектов КИИ ввиду отнесения себя к субъектам КИИ, а часть нет.

Выводы

Вопрос критичности умных городов потребует дальнейшего законодательного регулирования в ходе их развития, которое будет развиваться в одном из трех направлений.

1. Расширение распространения законодательства о безопасности КИИ на новые сферы. Например, сфера жилищно-коммунального хозяйства в действующем законодательстве не отнесена к КИИ. В то же время это одна из сфер, которая на сегодняшний день показывает положительную динамику в части применения информационных технологий и значительно влияет на индекс цифровизации IQ городов, рассчитываемый Минстроем России.

2. Законодательное закрепление понятия "умный город" и его корреляция с термином "объект КИИ".

3. Создание методики определения границ объектов КИИ с учетом того, что различные элементы объектов КИИ могут принадлежать разным организациям, как субъектам КИИ, так и нет.

Комментирует эксперт Эрик Нуртдинов, начальник отдела по защите информации PROF-IT GROUP:

С точки зрения безопасности умный город одновременно имеет и ИТ-, и ОТ-составляющую. Поэтому для такой инфраструктуры могут применяться как классические средства защиты, где это уместно, так и специфические, используемые для защиты АСУ.

Хорошим тоном считается привлечение на стадии проектирования специалистов по ИБ, желательно с пониманием специфики защиты умного города или хотя бы АСУ. Таким образом можно сразу предусмотреть все нюансы, связанные с информационной безопасностью. Впрочем, часто возникают случаи, когда безопаснику приходится работать с уже разработанной или даже введенной в эксплуатацию системой. В подобных случаях построение системы защиты обычно требует увеличения времени и бюджета и иногда перетекает в создание "костылей", что может даже привести к потере функциональности самой системы умного города.

У ряда вендоров и интеграторов планомерно развиваются выделенные компетенции в вопросах защиты технологических сегментов сетей вообще и умного города в частности. И эта специализация крайне важна, так как позволяет учитывать специфические риски и применять необходимые средства защиты.



Другие материалы