Получить консультацию

Подпадает ли производитель оборудования для энергетики под КИИ

Полезное admin 1 мин

В современной России вопросы безопасности и стабильности функционирования отраслей, обеспечивающих жизнедеятельность общества, регламентируются на законодательном уровне. Особое место в этом ряду занимает критическая информационная инфраструктура (КИИ) — объекты и субъекты, от действий которых напрямую зависит энергетическая, транспортная, экономическая и национальная безопасность страны. Для производителей оборудования для энергетики вопрос о соответствии КИИ приобретает особое значение не только в аспекте нормативных требований, но и с точки зрения конкурентоспособности и допуска к государственным и корпоративным заказам. Центр по сертификации товаров и услуг «СертКонтроль» делится опытом, экспертным мнением и реальными кейсами по оформлению документации и обеспечению соответствия предприятий требованиям КИИ.

Законодательная база КИИ: ключевые положения для производителей

Статус объектов критической информационной инфраструктуры и правовой режим их функционирования в РФ определён основными нормативными актами:

  • Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Постановление Правительства РФ от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
  • Постановление Правительства РФ от 01.05.2019 №563 «Об утверждении Правил уведомления о категориях объектов КИИ».
  • Профильные стандарты информационной безопасности, в том числе ГОСТ Р 57580, ГОСТ Р 56939-2016 и отраслевые документы.

Согласно закону 187-ФЗ, под категорией КИИ подпадают объекты, используемые в процессах оказания услуг или исполнения государственных функций в следующих отраслях: энергетика, атомная энергетика, транспорт, связь, здравоохранение, финансы и др. Объект КИИ — это информационная система, информационно-телекоммуникационная сеть, а также автоматизированная система управления технологическими процессами, используемая оператором КИИ.

Важное экспертное разъяснение: прямо производитель оборудования для энергетики не входит в перечень операторов КИИ, поскольку собственно объектами КИИ являются эксплуатирующие организации (энергогенерирующие компании, сетевые предприятия и т.д.), но продукция производителя может быть внедрена в объекты КИИ заказчика и становиться их неотъемлемой частью. В этом случае оборудование проходит процедуру категорирования, аттестации, зачастую — обязательной сертификации средств защиты информации.

Коды ТН ВЭД, к которым часто относится энергетическое оборудование, — от 8501 до 8543 (электрические машины и оборудование, включая автоматизированные системы и электронику). Для безопасности КИИ значимым является не только состав изделия, но и его программные компоненты, уязвимости и соответствие требованиям по защите (например, ГОСТ Р 56939-2016 «Информационные технологии. Защита информации. Основные положения»).

Когда производитель оборудования подпадает под КИИ: алгоритм оценки

Реальный опыт «СертКонтроль» подтверждает: ответственность за категорирование и выполнение требований КИИ лежит именно на владельцах или пользователях энергетической инфраструктуры. Однако на практике крупные заказчики (ПАО «Россети», ГК «Росатом», энергетические компании уровня ЕЭС и др.) зачастую предъявляют поставщикам повышенные требования к безопасности. Это становится обязательным условием допуска на рынок.

Следует рассмотреть следующие ситуации:

  1. Производитель разрабатывает оборудование под техническое задание заказчика, интегрируя его непосредственно в АСУ ТП (автоматизированную систему управления технологическими процессами) или информационные системы энергетических компаний.
  2. У оборудования имеется управляющее программное обеспечение, серверные компоненты или элементы мониторинга, попадающие под определение ИС, ИТКС или АСУ ТП.
  3. На предприятии осуществляется эксплуатация или испытание собственных инновационных энергетических комплексов, используемых в пилотных проектах с потенциальным внедрением в КИИ.

На практике, если ваша компания производит оборудование с интеллектуальными функциями, сетевым подключением, дистанционным управлением, вы, как правило, сталкиваетесь со следующими юридическими и процедурными моментами:

Сфера ответственности Что требуется Кем оформляется
Категорирование оборудования как части КИИ Проведение категорирования по методикам ФСТЭК России. Представление модели угроз, паспорт безопасности, уведомление в соответствующий ведомственный орган. Оператор КИИ (эксплуатирующая компания), но с привлечением данных от производителя
Сертификация средств защиты информации Сертификаты соответствия (ГОСТ Р 51317, ГОСТ Р 58144), испытания в аккредитованных лабораториях ФСТЭК/ФСБ Производитель, совместно с центром сертификации «СертКонтроль»
Аттестация АСУ ТП/ИТ-оборудования Проведение комплексной проверки и оформления аттестата соответствия Владелец системы/КИИ и производитель совместно

Из чего следует, что вовлечение производителя в процедуры защиты КИИ происходит на всех этапах внедрения, хотя формальный статус оператора КИИ производителю не присваивается. Однако вы обязаны предоставить документацию на ПО, результаты тестирования, паспорта безопасности и т.д. На практике любое несоответствие требованиям ФСТЭК или ФСБ влечет невозможность поставок в отрасли ТЭК и к госклиентам.

Реальные кейсы «СертКонтроль»: оформление документов для производителей энергетического оборудования

За последние 3 года специалисты «СертКонтроль» оформили более 70 проектов для предприятий — производителей щитового оборудования, преобразовательных систем, контроллеров, систем автоматизации для энергетики. Пример одного кейса:

  • Клиент: Производственная компания (ТН ВЭД 8537) — щитовое оборудование с интеллектуальными контроллерами.
  • Задача: Доставка крупной партии продукции для модернизации подстанции федерального значения (категория «значимый объект КИИ»).
  • Решения:
    • Проведено тестирование ПО на уязвимости по требованиям ФСТЭК (ГОСТ Р 56939-2016);
    • Подготовлен паспорт безопасности оборудования;
    • Оформлен сертификат соответствия ФСТЭК России (средний срок — 4,5 месяца);
    • Проведена экспертиза и консультации для техслужбы заказчика по моделированию угроз для конкретного объекта;
    • Средняя стоимость оформления полного комплекта документов под ключ — от 240 000 до 620 000 рублей (в зависимости от сложности и объёма оборудования).

Наша компания сопровождает предприятия по следующим этапам:

  1. Аудит технической и нормативной документации;
  2. Проведение испытаний и подготовка заключений по соответствию;
  3. Оформление всех видов сертификатов и аттестатов (ГОСТ, ТР ТС, ФСТЭК, ФСБ);
  4. Проведение переговоров и согласований с эксплуатирующими компаниями/операторами КИИ.

По нашему опыту, заблаговременная подготовка (на этапе ТЗ и НИОКР) минимизирует риски отказа во включении оборудования в проекты класса КИИ.

Вопросы и ответы: ответы эксперта «СертКонтроль»

  • Вопрос: Если наша компания производит только отдельные комплектующие для энергетических систем, требуется ли категорирование продукции как КИИ?

    Ответ: Как правило, нет — категорируется готовое решение или система, куда ваша продукция входит в составе. Однако экспертизу на предмет соответствия требованиям ФСТЭК/ФСБ может потребовать интегратор или конечный заказчик.

  • Вопрос: Нужно ли сертифицировать программное обеспечение, встроенное в наши контроллеры?

    Ответ: Да, если контроллеры выступают компонентами АСУ ТП или локальных вычислительных сетей для КИИ — необходимо подтвердить отсутствие недокументированных возможностей, уязвимостей, получить заключение или сертификат по ГОСТ Р 56939-2016, ФСТЭК и иным профильным стандартам.

  • Вопрос: Сколько стоит оформление полного комплекта документов для выхода на государственные тендеры в сфере энергетики?

    Ответ: В среднем пакет услуг (сертификация, консультативное сопровождение, оформление паспортов безопасности, тестирование) составляет от 250 000 рублей, в зависимости от состава оборудования/ПО. Для сложных проектов — от 400 000 до 1 000 000 рублей.

  • Вопрос: В каких случаях к вам нужно обращаться именно производителю, а не интегратору или заказчику?

    Ответ: Когда вы хотите самостоятельно подтвердить соответствие продукта требованиям для КИИ (например, для расширения рынка, участия в проектах с иностранными/российскими энергетиками, обеспечения прозрачности на этапах НИОКР, вывода новой линейки оборудования).

Что делать производителю оборудования для энергетики: рекомендации «СертКонтроль»

Чтобы обеспечить беспрепятственные поставки и избежать проблем с прохождением аудитов/проверок ФСТЭК и ФСБ, мы рекомендуем придерживаться следующего алгоритма:

  • Проводите анализ требований КИИ и включайте их в техническое задание на этапе НИОКР;
  • Тестируйте ПО и аппаратные решения на предмет уязвимостей заранее — до передачи заказчику;
  • Сотрудничайте со специалистами по информационной безопасности уже на ранней стадии разработки продукции;
  • Готовьте полный комплект документации: паспорт безопасности, сертификаты соответствия, тест-протоколы, результаты моделирования угроз;
  • Обращайтесь за консультацией/аудитом в аккредитованный центр (например, в «СертКонтроль») для получения персонализированной дорожной карты прохождения процедур КИИ.

Наши эксперты помогут оперативно пройти все этапы сертификации, ускорить оформление документов и выйти на проекты энергетики, транспорта, ТЭК и других отраслей, где применяются требования КИИ.
Свяжитесь с нами для получения консультации или оформления документации:
89005746601 или sertkontrol@bk.ru.

Помощь с оформлением документов или включением в реестры?

Получить консультацию

Читайте также

Получите консультацию

Оставьте заявку, и мы свяжемся с вами в ближайшее время

Спасибо! Мы свяжемся с вами в ближайшее время.

Готовы включить продукцию в реестр Минпромторга?

Получите бесплатную консультацию и расчёт стоимости

Получить консультацию
95% успешных заявок 300+ проектов 5+ лет