Кто является субъектом КИИ?


#1

Определение из Федерального закона 187-ФЗ:

субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Мнение участников Telegram-чата КИИ 187-ФЗ::

Владимир Суворов, [30.05.18 14:35]
Коллеги, а что говорит ФСТЭК по поводу ОКВЭД и отсутствия указания на него в 187-ФЗ как критерия определения является ли организация субъектом КИИ или нет? получается, что ОКВЭД - это выдумка ФСТЭК пока что

Alexxiel
Наверно, да, но логика в этом есть. Если организация в сфере, то и ее системы априори в этой сфере. Хотя, осмелюсь предположить, наверняка найдутся примеры, когда организация может быть не из сферы, но у неё окажется одна подходящая ИС, и наоборот.

Владимир Суворов
Я соглашусь, что логика определенная есть. Но в законе об этой логике ни слова.
Вот мне и интересно, чем объясняется свой взгляд на этот вопрос ФСТЭК, когда говорит об этом
Если просто логикой, так можно далеко зайти в своих предположениях и размышлениях. Если есть законное основание, то какое

kudryaviy
Нет никакого основания, пошло это с выступления Лютиковая на ИБКВО, жаль он быстро ушёл. Я бы вообще не смотрел на сферу деятельности организации, а смотрел на ИС функционирующие в сферах, пока закон говорит именно об этом.

Владимир Суворов
Вот и я придерживаюсь такой точки зрения. Строго как в законе написано

Alexxiel
Согласен

Антон Корнюшин
Есть торговый дом и у него есть побочный бизнес - небольшое производство профлиста. По оквэд этот код попадает под металлургию. Как так? Но производство шурцпов это уже обрабатывающая промышленность. :sob:

Alex Barysh
ОКВЭД, Лицензия, Устав - самый простой способ по определению наибольшего количества субъектов.
А вот “функционирующих” и “обеспечивающих взаимодействия” можно будет выявлять только при проверках предоставляемых сведений или в ходе плановых проверок.
Поэтому представители ФСТЭК и озвучивают такие условия отнесения.

Alex Barysh [In reply to Антон Корнюшин]
Не подаст этот ТД сведений, да и никто про это не узнает.

Антон Корнюшин [In reply to Владимир Суворов]
А уак понять в какой сфере ис работает?

Антон Корнюшин [In reply to Alex Barysh]
Головную контору не устраивает это.

Alex Barysh
А головной компании за это ничего не должно быть. Могут прикрыться Распоряжением по группе компаний.

Антон Корнюшин
Каким распоряжением?

Yan
Приказом наверное

Антон Корнюшин
Что этот ТД не субъект?

Alex Barysh
Антон, ТД - отдельное юр.лицо, значит самостоятельный субъект КИИ (раз по ОКВЭД попал). Все работы по 187-ФЗ должен понимать сам.
А распоряжение - в удобном виде, как принято в группе: Приказ, Информационное письмо или т.п.

Антон Корнюшин
Это я понимаю. Вопрос в том как бы красиво уйти из под …

kudryaviy
Тут сложнее, думаю реально. Есть организации у которых чуть ли не собственные подстанции, но автоматизированы ли они?

Антон Корнюшин
вот вот. И с кодами оквэд было бы логичнее, но это понятия другой гос. структуры и фстэк про это на этапе разработки закона не вспомнил

kudryaviy
ФСТЭК уже говорил, что не они законы пишут…

Антон Корнюшин
с другой стороны. Если в нормативке про оквед не слова какие доводы будут приводить проверяющие что у юридического лица есть объекты кии.

Alex Barysh
Предполагаю следующий сценарий: “Вы занимаетесь такой-то деятельностью, значит вы относитесь к такой-то сфере, почему не подали информацию об ОКИИ (Перечень ОКИИ)?”.

Alex Barysh
Как будет на самом деле - еще никто не знает.

Антон Корнюшин
Потому что у меня нет Ис работающей в этой сфере

Alex Barysh
Вот тут действительно уже несколько раз задавал вопросы представителям ФСТЭК (в том числе и на otd22@fstec.ru): что писать в Перечень ОКИИ, если у меня в критических процессах нет ИС, АСУ и ИТС

Антон Корнюшин
Значит не субъект. И зачем тогда уведомлять? Ведь ни кто не узнает. Ну или сразу выслать отчет о проведения категорирования ( правда обектов нет) и фстэк должен в течении 30 дней среагировать.

Alex Barysh
Здесь снова начинается философия. Так как у меня субъекта КИИ, есть, как минимум, информационные системы, которые функционируют в моей (пусть будет металлургической) сфере. Но в определенных мной критических процессах нет ни АСУ, ни ИС, ни ИТС.
В этом случае не понятно, что подавать во ФСТЭК - возможно им будет достаточно Уведомления с перечислением критических процессов, и упоминание, что в них нет ОКИИ.

Антон Корнюшин, [30.05.18 17:15]
Я бы и процессы тогда не показывал

Alex Barysh
Надо как-то усиливать свои доводы перед ФСТЭК, поэтому процессы скорее всего лучше показать

Alexxiel
Очень похоже, что Вам подавать ничего не надо, но, возможно, надо сохранить какой-то документик, дескать ИС, ИТС, АСУ из сфер есть, но они не то что незначимые ОКИИ, но даже критические процессы не обрабатывают.

Alex Barysh
Алексей, вот поэтому я и задавал этот вопрос ФСТЭКу. И многих коллег, к которым еще не пришла заветная “цифровизация”, этот вопрос тоже волнует. Но пока ответа нет.

Антон Корнюшин
Так всеже кто есть такой субъект? У кого естб хоть одна ис из указанных сфер, или ис из указанных сфер в рамках критических процессах? Из определений фз следует первый вариант. Из пп 127 вытекает второй.

Alexxiel
Первичен, главнее федеральный закон, поэтому первый вариант.

Антон Корнюшин
Согласен. Так же есть еще одна заковырка по процессам. Категорировать нужно обьекты которые работают в рамках критичных процессов, а ТАКЖЕ В ПРОЦЕССАХ КОТОРЫЕ МОНИТОРЯТ, УПРАВЛЯЮТ КРИТИЧНЫЕ ПРОЦЕССЫ.

Alexxiel
Заковырка ещё глубже))) какие объекты надо категорировать прямо указано в п. 3 ПП-127.


#2

Ещё мнения коллег в блогах.

Сергей Борисов:

Валерий Комаров

Алексей Лукацкий

Павел Луцик


Что является объектом КИИ?
#3

Валерий Комаров: Почему так важны сферы деятельности организации в части 187-ФЗ

Очень часто в спорах об идентификации субъектов КИИ используется аргумент про сферы деятельности организации, включая лицензируемые виды деятельности.
Казалось бы, причем здесь сферы деятельности организации, когда в 187-ФЗ определение субъекта КИИ дается через сферы деятельности объекта (ИС, АСУ)?
Давайте разберемся с тем, почему ФСТЭК так активно формирует важность такого аргумента.