- В
- Воронеж
- Е
- Екатеринбург
- К
- Казань
- Краснодар
- Новосибирск
- О
- Омск
- П
- Пермь
- У
- Уфа
- Ф
- Федеральный
- Ч
- Челябинск
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Расследование инцидентов информационной безопасности на объектах КИИ (Форензика)
Главная / База знаний / Категорирование объектов критической информационной инфраструктуры (КИИ) / Расследование инцидентов информационной безопасности на объектах КИИ (Форензика)
Компьютерная криминалистика для субъектов КИИ — от обнаружения атаки до передачи материалов в правоохранительные органы и полного восстановления критической инфраструктуры.
Критическая информационная инфраструктура — это не просто серверы и базы данных. Это энергосети, системы водоснабжения, транспортные узлы и финансовые платформы, от бесперебойной работы которых зависят жизни людей. Когда злоумышленник проникает в периметр объекта КИИ, стандартные процедуры ИТ-поддержки оказываются недостаточными. Требуется компьютерная криминалистика КИИ — дисциплина на стыке кибербезопасности, юриспруденции и инженерии промышленных систем.
По данным НКЦКИ, в 2025 году количество подтверждённых компьютерных атак на субъекты КИИ выросло на 37% по сравнению с предыдущим годом. Средний срок необнаруженного присутствия атакующего (dwell time) в промышленных сетях составил 243 дня. Каждый час простоя критического объекта обходится владельцу в миллионы рублей, а за нарушение порядка реагирования грозят значительные штрафы и внеплановые проверки.
Форензика РФ в контексте КИИ имеет принципиальные отличия от западных практик: жёсткие сроки уведомления ФСБ (24 часа), обязательная передача данных в ГосСОПКА, уголовная ответственность по ст. 274.1 УК РФ и необходимость сохранять юридическую значимость собранных доказательств в рамках российского процессуального законодательства.
Специфика промышленных объектов добавляет дополнительный уровень сложности: устаревшие операционные системы без поддержки современных EDR-агентов, проприетарные протоколы передачи данных (Modbus, OPC UA, IEC 104), невозможность остановить технологический процесс для снятия форензик-образов и отсутствие централизованного логирования в сегментах АСУ ТП. Всё это требует от команды реагирования специализированных компетенций, выходящих далеко за рамки классической ИТ-форензики.
Расследование инцидентов на объектах КИИ регулируется комплексом нормативных актов. Фундаментом служит 187-ФЗ «О безопасности КИИ» с актуальными изменениями 2025–2026 годов, который устанавливает обязанности субъектов по реагированию на компьютерные инциденты.
Ключевые нормативные требования, которые обязан учитывать каждый CISO и юрист:
Юридически значимое расследование предполагает, что все действия специалиста по форензике документируются так, чтобы результаты могли быть использованы в качестве доказательств в уголовном или административном производстве. Это означает соблюдение цепочки хранения (chain of custody), использование сертифицированных средств и привлечение аккредитованных экспертов.
Эффективное расследование киберинцидентов строится на структурированном процессе, каждая фаза которого имеет чёткие задачи, ответственных и результаты. Ниже представлена таблица фаз Incident Response, адаптированная под требования российского законодательства в сфере КИИ.
| Фаза | Срок | Ключевые действия | Результат | Статус |
|---|---|---|---|---|
| 1. Обнаружение | 0–2 ч | Сработка SIEM/SOC, верификация алерта, классификация инцидента | Карточка инцидента | Критично |
| 2. Уведомление | до 24 ч | Информирование НКЦКИ/ГосСОПКА, руководства, юридической службы | Уведомление в ФСБ | Обязательно |
| 3. Сдерживание | 2–12 ч | Изоляция скомпрометированных сегментов, блокировка учётных записей, сохранение энергетических дампов | Локализованный периметр | Критично |
| 4. Расследование | 1–14 дн. | Форензика, анализ артефактов, восстановление хронологии (timeline), поиск нулевого пациента | Отчёт об инциденте | Экспертиза |
| 5. Устранение | 1–7 дн. | Удаление вредоносного кода, закрытие уязвимостей, пересборка скомпрометированных систем | Чистая среда | Восстановление |
| 6. Восстановление | 1–30 дн. | Возврат систем в продуктивный режим, усиленный мониторинг, валидация целостности | Работающая инфраструктура | Восстановление |
| 7. Выводы (Lessons Learned) | до 30 дн. | Анализ причин, обновление playbooks, корректировка системы защиты, доклад в НКЦКИ | Post-mortem отчёт | Улучшение |
Качественная работа на каждой фазе невозможна без предварительно выстроенного центра мониторинга (SOC), обеспечивающего круглосуточный контроль событий безопасности и первичную верификацию инцидентов.
Нулевой пациент — первая скомпрометированная точка, через которую злоумышленник получил доступ к инфраструктуре. Определение Patient Zero является ключевой задачей форензики РФ при расследовании инцидентов на объектах КИИ, поскольку без этого невозможно гарантировать полное устранение угрозы и предотвращение повторного проникновения.
Методология выявления нулевого пациента включает:
Предварительная работа по управлению уязвимостями и регулярные пентесты значимых объектов КИИ существенно сокращают поверхность атаки и упрощают задачу установления вектора первоначального проникновения.
Для кого эта услуга
Связь
Топливно-энергетический комплекс
Химическая промышленность
Оборонная промышленность
Энергетика
Атомная энергия
Здравоохранение
Горнодобывающая промышленность
Транспорт
О нашей компании
Постоянно сотрудничаем с крупными государственными и международными корпорациями
Четко выполняем требования контролирующих организаций
Непрерывно работаем над улучшением нашего профессионализма
Послепродажная поддержка в правовых аспектах
Беспроцентная рассрочка (до 4 месяцев)
Бесплатная доставка документации по регионам России лично к заказчику
Клиенты
Благодарственные письма
Доказательная база, собранная с нарушением процессуальных требований, не будет принята ни НКЦКИ, ни следственными органами. Для юриста и CISO критически важно обеспечить юридическую чистоту всех этапов сбора цифровых доказательств. Ниже приведён чек-лист, сформированный на основе практики расследования инцидентов на объектах КИИ.
| N | Действие | Детали и требования | Приоритет |
|---|---|---|---|
| 1 | Фиксация состояния оперативной памяти | Снятие дампа RAM до любых изменений системы. Использовать сертифицированные средства (например, Belkasoft RAM Capturer). Протоколировать хэш-суммы SHA-256 | Высший |
| 2 | Побитовое копирование носителей | Создание forensic image (dd, FTK Imager) с использованием аппаратных блокираторов записи. Два независимых копии, верификация хэшами | Высший |
| 3 | Сохранение журналов событий | Экспорт логов SIEM, ОС, сетевого оборудования, АСУ ТП. Обеспечить синхронизацию временных меток (NTP). Минимальная глубина — 6 месяцев | Высший |
| 4 | Фиксация сетевого трафика | Сохранение PCAP-дампов, NetFlow, записей IDS/IPS. Фиксировать точки съёма и временные диапазоны | Высокий |
| 5 | Документирование цепочки хранения | Chain of Custody: кто, когда, где получил доступ к доказательству, какие действия выполнял. Каждый этап — подпись ответственного лица | Высший |
| 6 | Составление акта об инциденте | Хронология событий, перечень затронутых активов, предварительная оценка ущерба. Формат — в соответствии с требованиями НКЦКИ | Высокий |
| 7 | Передача материалов в ФСБ | Формирование пакета документов по установленной форме. Соблюдение сроков (24/48 ч). Уведомление через ГосСОПКА | Высший |
Критическое правило: никогда не работайте с оригиналом доказательства. Все исследования проводятся исключительно на верифицированных копиях. Оригиналы опечатываются и передаются на ответственное хранение с момента изъятия.
Успешное расследование киберинцидентов невозможно без чёткого распределения ролей. Размытая ответственность — одна из главных причин затягивания расследований и утраты доказательств. Ниже приведена матрица RACI (Responsible — Accountable — Consulted — Informed), адаптированная для субъектов КИИ.
| Задача / Роль | CISO | IR-команда | Юрист | ИТ-отдел | Руководство | Внешний подрядчик |
|---|---|---|---|---|---|---|
| Обнаружение и классификация | A | R | I | C | I | C |
| Уведомление НКЦКИ/ФСБ | R | C | A | I | I | I |
| Сдерживание угрозы | A | R | I | R | I | R |
| Форензика и сбор доказательств | A | R | C | C | I | R |
| Восстановление систем | A | C | I | R | I | R |
| Post-mortem и Lessons Learned | R | R | C | C | A | C |
Обозначения: R — Responsible (исполняет), A — Accountable (отвечает), C — Consulted (консультирует), I — Informed (информируется).
Привлечение внешнего подрядчика, имеющего лицензию ФСБ и опыт работы с промышленными системами, существенно ускоряет расследование и повышает качество доказательной базы. Особенно это актуально для организаций, не располагающих собственной IR-командой.
Восстановление — не просто «поднять из бэкапа». Это системный процесс, который должен гарантировать, что атакующий полностью вытеснен из инфраструктуры, а повторное проникновение по тому же вектору исключено. Ошибка на этапе восстановления обходится дороже самого инцидента: по статистике, 40% повторных компрометаций происходят в течение 90 дней после неполного устранения первоначальной угрозы.
Ключевые этапы восстановления инфраструктуры КИИ:
Комплексный подход к восстановлению обеспечивается в рамках программы комплексной киберзащиты КИИ «под ключ», которая включает не только техническое восстановление, но и приведение документации в соответствие с актуальными требованиями регуляторов.
Практика показывает, что субъекты КИИ допускают одни и те же ошибки, которые приводят к утрате доказательств, затягиванию расследования и усугублению последствий инцидента.
1. Перезагрузка скомпрометированной системы. Самая распространённая и разрушительная ошибка. При перезагрузке уничтожаются данные оперативной памяти — процессы, сетевые соединения, ключи шифрования вредоносного ПО. Правильное действие: сначала снять дамп RAM, затем изолировать систему от сети.
2. Нарушение сроков уведомления НКЦКИ. Пропуск 24-часового окна уведомления влечёт административную ответственность и подрывает доверие регулятора. Процедура уведомления должна быть автоматизирована в рамках подключения к ГосСОПКА.
3. Работа с оригиналами доказательств. Любое исследование должно проводиться на верифицированных копиях. Работа с оригиналом делает его процессуально непригодным.
4. Отсутствие pre-incident плана. Если план реагирования создаётся в момент инцидента — уже поздно. Playbooks, списки контактов, шаблоны уведомлений, договоры с IR-подрядчиками должны быть готовы заранее.
5. Попытка «тихо починить» без привлечения специалистов. Администраторы пытаются самостоятельно устранить последствия, тем самым уничтожая артефакты и позволяя атакующему закрепиться глубже. Каждый инцидент на КИИ — это потенциальное уголовное дело, и действия персонала должны быть координированы с IR-командой и юристом.
6. Игнорирование промышленного сегмента (АСУ ТП). Расследование часто ограничивается корпоративным сегментом, тогда как атакующий уже проник в технологическую сеть. Форензика на объектах КИИ обязательно должна охватывать промышленные контроллеры, SCADA-системы и инженерные сети.
7. Недокументирование действий персонала. Каждое действие, предпринятое в ходе реагирования, должно фиксироваться с указанием времени, ответственного лица и обоснования. Недокументированные шаги создают разрывы в хронологии, которые ставят под сомнение достоверность всего расследования при передаче материалов следственным органам.
Расследование киберинцидентов на объектах КИИ — это не реактивная мера, а стратегический элемент системы безопасности. Организации, инвестирующие в готовность к инцидентам, сокращают среднее время реагирования с недель до часов, минимизируют финансовый ущерб и сохраняют доверие регуляторов.
Компьютерная криминалистика КИИ в российских реалиях — это сложная междисциплинарная задача, требующая одновременно технической экспертизы в области промышленных систем, глубокого знания нормативной базы (187-ФЗ, приказы ФСБ и ФСТЭК) и практических навыков работы с цифровыми доказательствами.
Ключевые принципы, которые стоит зафиксировать:
Команда sertifikat.bz оказывает услуги экстренного реагирования на инциденты информационной безопасности на объектах КИИ: от оперативного выезда и сдерживания угрозы до полного цикла форензики, подготовки доказательной базы для ФСБ и восстановления инфраструктуры. Свяжитесь с нами для разработки IR-плана или экстренного реагирования — каждый час промедления увеличивает масштаб ущерба.
Медиа
Была ли полезна вам данная статья?
Кирилл Соколов
8(800) 70-70-144
info@sertifikat.bz
|
г. Екатеринбург |
г. Москва |
г. Челябинск |
г. Казань |
г. Пермь |
|
г. Волгоград |
г. Нижний Новгород |
г. Омск |
г. Новосибирск |
г. Воронеж |
|
г. Санкт-Петербург |
г. Ростов-на-Дону |
г. Самара |
г. Красноярск |
г. Уфа |
* Обязательная добровольная сертификация, классификация гостиниц, СМК, ХАССП, ISO 22000.
© ООО «Астелс» - Консалтинговая группа» 2012 - 2024
* На нашем сайте мы используем cookie для сбора информации технического характера. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies и обработку персональных данных в соответствии с Политикой конфиденциальности
Последнее обновление сайта: 17.03.2026
8(800) 70-70-144
Москва, Санкт-Петербург, Екатеринбург, Новосибирск, Нижний Новгород, Казань, Челябинск, Омск, Самара, Ростов-на-Дону, Уфа, Красноярск, Пермь, Воронеж, Волгоград