2025 год стал переломным для критической информационной инфраструктуры (КИИ). Меняется нормативная база, ужесточаются требования к импортозамещению и отчетности, увеличивается нагрузка на службы ИБ. Но, как подчеркивает Демид Балашов, руководитель направления по развитию продуктов кибербезопасности МегаФона ПроБизнес, формального соответствия новым требованиям уже недостаточно — компании должны смещать фокус на реальную устойчивость своих систем.

Регуляторика меняется — и меняет процессы компаний

Основная цель подхода МегаФона ПроБизнес — освободить бизнес от избыточной сложности в вопросах кибербезопасности и непрерывности сервисов, взяв эти задачи на себя.

В 2025 году субъекты КИИ столкнулись с рядом существенных изменений:

• Введена обновленная форма предоставления сведений во ФСТЭК России (в рамках требований ФЗ № 187-ФЗ и Постановления Правительства РФ № 127), включая расширенные данные об объектах, ПО и средствах защиты.
• Закреплено требование использовать ПО из Единого реестра российского ПО на значимых объектах КИИ.
• Расширены требования по информированию ГосСОПКИ/НКЦКИ — теперь передаются сведения не только о компьютерных инцидентах, но и о компьютерных атаках.
• Ужесточен и сделан регуляторным процесс категорирования объектов КИИ для исключения формального занижения их значимости.
• Расширены требования к импортозамещению — они распространяются не только на СЗИ, но и на базовые промышленные ИТ- и OT-системы (SCADA, MES и др.).

Эти изменения затрагивают не только промышленные объекты — субъектами КИИ являются также банки, телеком-операторы и компании из других отраслей.

Комплаенс — не панацея

Несмотря на растущую активность регуляторов, в МегаФоне ПроБизнес подчеркивают: формальное соответствие требованиям регуляторов — это необходимый минимум, но не гарантия устойчивости.

Комплаенс создает фундамент: задает обязательный набор мер, формирует базовую архитектуру процессов и средств защиты. Однако реальная защищенность объекта определяется тем, как эти меры реализованы на практике:

• насколько корректно сконфигурированы системы;
• как выстроено управление уязвимостями;
• какие процессы реагирования и восстановления реально работают, а не только описаны в документах;
• есть ли возможность своевременно обнаруживать сложные многоэтапные атаки.

Иными словами, наличие сертифицированных средств защиты не гарантирует реальную защищенность объекта КИИ.

Непрерывное тестирование как основа устойчивости

Для объективной оценки фактического уровня защищенности в МегаФоне ПроБизнес опираются на концепцию непрерывного тестирования (Continuous Security). Среди эффективных инструментов:

• Red Team/Blue Team,
• пентесты,
• Bug Bounty-программы,
• имитация атак на инфраструктуру.

Только практика показывает реальный уровень защиты. Если объект постоянно тестировать и его невозможно "сломать" — это и есть показатель зрелости. Такой подход помогает выявлять уязвимости, которые не описаны в нормативных документах, но имеют критическое значение в реальной атаке.

Самое слабое звено — человек

По оценке экспертов МегаФона ПроБизнес, от 30 до 40% успешных атак осуществляется через компрометацию сотрудников.

Отсюда вывод: сотрудники — это не просто пользователи систем, а часть поверхности атаки. Поэтому обучение персонала и повышение осведомленности становятся такими же важными мерами, как внедрение технических средств защиты. Без обучения и мотивации людей любая, даже очень продвинутая техническая защита, останется уязвимой.

Какой подход предлагает МегаФон ПроБизнес

Подход строится на управлении измеряемыми показателями киберустойчивости: оценивается текущий уровень защиты, соответствие модели угроз, покрытие системы средствами мониторинга, а также такие метрики, как среднее время обнаружения, реагирования, восстановления и устранения уязвимостей.

Определенное внимание уделяется контролю подрядчиков и цепочке поставок — при необходимости проводятся дополнительные аудиты и проверки сторонних контуров, участвующих в работе с объектами КИИ.

Также в фокусе — подготовленность к инцидентам и работа с человеческим фактором, который остается одной из основных точек компрометации в реальных атаках.

На практике современный подход к безопасности КИИ включает:

1. Выстраивание процессов, а не только выполнение чек-листа.
2. Автоматизацию передачи данных об инцидентах и событиях.
3. Непрерывный контроль и тестирование систем.
4. Командную работу: технологии + люди + образование.
5. Поддержку бизнеса, а не превращение ИБ в обременительный фактор.

Именно это позволяет клиентам сосредотачиваться на своих ключевых задачах, передав вопросы безопасности и устойчивости в надежные руки.

Ключевые выводы

Соответствие требованиям сегодня выступает лишь базовым уровнем защиты и само по себе не дает гарантии устойчивости объекта КИИ перед реальными угрозами. Истинная киберустойчивость формируется через регулярную проверку систем — тестирование, моделирование атак и непрерывную работу с уязвимостями. При этом процессы импортозамещения выходят далеко за рамки классической ИБ и затрагивают ядро производственных и технологических систем, включая промышленные контуры управления. Отдельного внимания требует человеческий фактор, остающийся наиболее уязвимым элементом в системе защиты: обучение сотрудников и отработка сценариев реагирования должны идти в одной связке с техническими и организационными мерами.

В конечном счете, уровень зрелости ИБ определяется не формальными документами и отчетами, а способностью инфраструктуры сохранять устойчивость под реальной нагрузкой и в условиях целевых атак. Именно поэтому безопасность КИИ сегодня — это не разовый проект и не бумажная отчетность, а постоянный, живой и непрерывный процесс.