Слияние стандартов: Сравнение международных подходов к кибербезопасности АСУ ТП (ISA/IEC 62443) и российского законодательства (ФЗ-187)
В условиях глобализации и цифровизации промышленных процессов, многие российские предприятия, особенно те, что имеют иностранный капитал или работают с зарубежными технологиями, сталкиваются с необходимостью одновременного выполнения двух комплексов требований: международного стандарта ISA/IEC 62443 и обязательного российского законодательства, прежде всего, Федерального закона № 187-ФЗ "О безопасности критической информационной инфраструктуры РФ".
Эти два подхода, хотя и преследуют общую цель — обеспечение кибербезопасности индустриальных систем управления (АСУ ТП), — имеют принципиальные различия в методологии, классификации и обязательности исполнения. Понимание этих различий критически важно для построения эффективной и легитимной системы защиты.
🛠️ Основы международного подхода: ISA/IEC 62443
ISA/IEC 62443 – это серия международных стандартов, разработанных для обеспечения безопасности систем промышленной автоматизации и управления (IACS).
▌ Принцип добровольности и гибкости
Ключевой особенностью IEC 62443 является его добровольный характер и ориентация на лучшие практики. Он не является законом, а выступает в роли комплексного руководства, охватывающего весь жизненный цикл системы: от проектирования и разработки до эксплуатации и вывода из строя. Стандарт детально проработан для всех участников процесса:
1 Поставщиков оборудования (требования к разработке безопасных компонентов).
2 Интеграторов (требования к проектированию и внедрению систем).
3 Владельцев активов (требования к эксплуатации и управлению безопасностью).
▌ Классификация по Уровням Безопасности (Security Levels – SL)
Вместо оценки масштаба последствий, IEC 62443 фокусируется на целевом уровне защиты (SL), который должен быть достигнут. Используется шкала от SL1 до SL4, где:
• SL1 – защита от случайных нарушений или неквалифицированных атак.
• SL4 – защита от высококвалифицированных, целевых атак, включая государства-спонсоров.
Выбор уровня SL основан на оценке риска и является отправной точкой для определения конкретного набора технических и организационных мер.
⚖️ Обязательства российского законодательства: ФЗ-187
ФЗ-187 и сопутствующие подзаконные акты ФСТЭК России (в частности, Приказ № 239) — это императивные нормы, обязательные к исполнению для всех субъектов КИИ, работающих на территории Российской Федерации.
▌Принцип обязательности и категорирования
Основной движущей силой российского подхода является категорирование значимости объектов КИИ. Цель — определить, насколько критичен объект для государства и общества.
Российское законодательство использует три Категории Значимости (1, 2, 3), которые присваиваются объекту на основе критериев масштаба последствий от возможного инцидента: социальная значимость, экономический ущерб, влияние на оборону страны и безопасность государства.
▌Требования к сертифицированным средствам защиты
В отличие от гибкого международного стандарта, российский подход делает акцент на применении сертифицированных средств защиты информации (СЗИ), прошедших контроль соответствия требованиям безопасности ФСТЭК России и ФСБ России. Это ключевое условие для прохождения процедуры аттестации — обязательного этапа для объектов КИИ, которым присвоена категория значимости.
🤝 Путь к синтезу: Как совместить подходы
Транснациональным компаниям, работающим в России, необходимо реализовать модель кибербезопасности, которая удовлетворяет обеим системам требований.
▌ 1. IEC 62443 как основа проектирования
Рекомендуется использовать IEC 62443 как архитектурный и методологический каркас. Его детальные требования к сегментации сетей, управлению учетными записями и безопасному жизненному циклу обеспечивают высокий технический уровень защиты. Стандарт помогает ответить на вопрос: "Как сделать систему по-настоящему безопасной?"
▌ 2. ФЗ-187 как обязательный минимум
На этот каркас должны быть наложены обязательные требования ФЗ-187.
Это означает выполнение следующих шагов:
- Обязательное категорирование: Проведение оценки по критериям, установленным Постановлением Правительства РФ № 127.
- Применение сертифицированных СЗИ: Внедрение российских средств защиты, имеющих необходимые сертификаты ФСТЭК, для выполнения требований Приказа № 239.
- Аттестация: Проведение аттестации объекта КИИ по требованиям безопасности с привлечением лицензированной организации.
▌ 3. Интеграция терминологии и мер
Требования Приказа ФСТЭК № 239 (например, управление доступом, защита от вредоносного ПО) должны быть сопоставлены с соответствующими требованиями IEC 62443. Российское законодательство, по сути, устанавливает минимальный необходимый уровень защиты (Baseline), который должен быть обеспечен на технологических объектах.
💡 Заключение
Для субъекта КИИ, работающего в международном контексте, оптимальная стратегия — это гибридный подход. Использование IEC 62443 гарантирует, что система соответствует лучшим мировым практикам инженерии кибербезопасности АСУ ТП, в то время как строгое выполнение ФЗ-187 обеспечивает полную юридическую легитимность на территории Российской Федерации.
Только такой комплексный подход позволяет не только избежать регуляторных рисков, но и обеспечить реальную, надежную защиту критически важных промышленных активов.
Запишитесь на консультацию — и давайте сделаем ваш бизнес надежным и безопасным.
Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.
О технологиях, кибербезопасности и о том, как компаниям повысить свою эффективность. Подписывайся!