Кто является субъектом КИИ?


(Алексей Комаров) #1

Определение из Федерального закона 187-ФЗ:

субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Мнение участников Telegram-чата КИИ 187-ФЗ::

Владимир Суворов, [30.05.18 14:35]
Коллеги, а что говорит ФСТЭК по поводу ОКВЭД и отсутствия указания на него в 187-ФЗ как критерия определения является ли организация субъектом КИИ или нет? получается, что ОКВЭД - это выдумка ФСТЭК пока что

Alexxiel
Наверно, да, но логика в этом есть. Если организация в сфере, то и ее системы априори в этой сфере. Хотя, осмелюсь предположить, наверняка найдутся примеры, когда организация может быть не из сферы, но у неё окажется одна подходящая ИС, и наоборот.

Владимир Суворов
Я соглашусь, что логика определенная есть. Но в законе об этой логике ни слова.
Вот мне и интересно, чем объясняется свой взгляд на этот вопрос ФСТЭК, когда говорит об этом
Если просто логикой, так можно далеко зайти в своих предположениях и размышлениях. Если есть законное основание, то какое

kudryaviy
Нет никакого основания, пошло это с выступления Лютиковая на ИБКВО, жаль он быстро ушёл. Я бы вообще не смотрел на сферу деятельности организации, а смотрел на ИС функционирующие в сферах, пока закон говорит именно об этом.

Владимир Суворов
Вот и я придерживаюсь такой точки зрения. Строго как в законе написано

Alexxiel
Согласен

Антон Корнюшин
Есть торговый дом и у него есть побочный бизнес - небольшое производство профлиста. По оквэд этот код попадает под металлургию. Как так? Но производство шурцпов это уже обрабатывающая промышленность. :sob:

Alex Barysh
ОКВЭД, Лицензия, Устав - самый простой способ по определению наибольшего количества субъектов.
А вот “функционирующих” и “обеспечивающих взаимодействия” можно будет выявлять только при проверках предоставляемых сведений или в ходе плановых проверок.
Поэтому представители ФСТЭК и озвучивают такие условия отнесения.

Alex Barysh [In reply to Антон Корнюшин]
Не подаст этот ТД сведений, да и никто про это не узнает.

Антон Корнюшин [In reply to Владимир Суворов]
А уак понять в какой сфере ис работает?

Антон Корнюшин [In reply to Alex Barysh]
Головную контору не устраивает это.

Alex Barysh
А головной компании за это ничего не должно быть. Могут прикрыться Распоряжением по группе компаний.

Антон Корнюшин
Каким распоряжением?

Yan
Приказом наверное

Антон Корнюшин
Что этот ТД не субъект?

Alex Barysh
Антон, ТД - отдельное юр.лицо, значит самостоятельный субъект КИИ (раз по ОКВЭД попал). Все работы по 187-ФЗ должен понимать сам.
А распоряжение - в удобном виде, как принято в группе: Приказ, Информационное письмо или т.п.

Антон Корнюшин
Это я понимаю. Вопрос в том как бы красиво уйти из под …

kudryaviy
Тут сложнее, думаю реально. Есть организации у которых чуть ли не собственные подстанции, но автоматизированы ли они?

Антон Корнюшин
вот вот. И с кодами оквэд было бы логичнее, но это понятия другой гос. структуры и фстэк про это на этапе разработки закона не вспомнил

kudryaviy
ФСТЭК уже говорил, что не они законы пишут…

Антон Корнюшин
с другой стороны. Если в нормативке про оквед не слова какие доводы будут приводить проверяющие что у юридического лица есть объекты кии.

Alex Barysh
Предполагаю следующий сценарий: “Вы занимаетесь такой-то деятельностью, значит вы относитесь к такой-то сфере, почему не подали информацию об ОКИИ (Перечень ОКИИ)?”.

Alex Barysh
Как будет на самом деле - еще никто не знает.

Антон Корнюшин
Потому что у меня нет Ис работающей в этой сфере

Alex Barysh
Вот тут действительно уже несколько раз задавал вопросы представителям ФСТЭК (в том числе и на otd22@fstec.ru): что писать в Перечень ОКИИ, если у меня в критических процессах нет ИС, АСУ и ИТС

Антон Корнюшин
Значит не субъект. И зачем тогда уведомлять? Ведь ни кто не узнает. Ну или сразу выслать отчет о проведения категорирования ( правда обектов нет) и фстэк должен в течении 30 дней среагировать.

Alex Barysh
Здесь снова начинается философия. Так как у меня субъекта КИИ, есть, как минимум, информационные системы, которые функционируют в моей (пусть будет металлургической) сфере. Но в определенных мной критических процессах нет ни АСУ, ни ИС, ни ИТС.
В этом случае не понятно, что подавать во ФСТЭК - возможно им будет достаточно Уведомления с перечислением критических процессов, и упоминание, что в них нет ОКИИ.

Антон Корнюшин, [30.05.18 17:15]
Я бы и процессы тогда не показывал

Alex Barysh
Надо как-то усиливать свои доводы перед ФСТЭК, поэтому процессы скорее всего лучше показать

Alexxiel
Очень похоже, что Вам подавать ничего не надо, но, возможно, надо сохранить какой-то документик, дескать ИС, ИТС, АСУ из сфер есть, но они не то что незначимые ОКИИ, но даже критические процессы не обрабатывают.

Alex Barysh
Алексей, вот поэтому я и задавал этот вопрос ФСТЭКу. И многих коллег, к которым еще не пришла заветная “цифровизация”, этот вопрос тоже волнует. Но пока ответа нет.

Антон Корнюшин
Так всеже кто есть такой субъект? У кого естб хоть одна ис из указанных сфер, или ис из указанных сфер в рамках критических процессах? Из определений фз следует первый вариант. Из пп 127 вытекает второй.

Alexxiel
Первичен, главнее федеральный закон, поэтому первый вариант.

Антон Корнюшин
Согласен. Так же есть еще одна заковырка по процессам. Категорировать нужно обьекты которые работают в рамках критичных процессов, а ТАКЖЕ В ПРОЦЕССАХ КОТОРЫЕ МОНИТОРЯТ, УПРАВЛЯЮТ КРИТИЧНЫЕ ПРОЦЕССЫ.

Alexxiel
Заковырка ещё глубже))) какие объекты надо категорировать прямо указано в п. 3 ПП-127.


(Алексей Комаров) #2

Ещё мнения коллег в блогах.

Сергей Борисов:

Валерий Комаров

Алексей Лукацкий

Павел Луцик


Что является объектом КИИ?
(Алексей Комаров) #3

Валерий Комаров: Почему так важны сферы деятельности организации в части 187-ФЗ

Очень часто в спорах об идентификации субъектов КИИ используется аргумент про сферы деятельности организации, включая лицензируемые виды деятельности.
Казалось бы, причем здесь сферы деятельности организации, когда в 187-ФЗ определение субъекта КИИ дается через сферы деятельности объекта (ИС, АСУ)?
Давайте разберемся с тем, почему ФСТЭК так активно формирует важность такого аргумента.


(Александр Лагутин) #4

Длительное казуистическое обсуждение участников Telegram-чата КИИ 187-ФЗ (перенесено для удобства):

Оксана, [16.08.18 17:48]
Коллеги! верно ли я понимаю что может быть такой вариант: Юр лицо под определение субъекта КИИ подходит, а вот объектов КИИ не имеет?

Alexxiel, [16.08.18 17:52]
[In reply to Оксана]
Нет. Так как, чтобы стать субъектом КИИ, надо иметь ИС, ИТС, АСУ, функционирующую в одной из сфер. Следовательно, после приобретения статуса субъекта КИИ эта ИС, ИТС или АСУ станет объектом КИИ, прихватив с собой все остальные принадлежащие этому субъекту ИС, ИТС или АСУ.
Под прихватив я имею ввиду то, что они тоже станут объектами КИИ.

Оксана, [16.08.18 17:53]
То есть идти все равно от объекта а не от субъекта… Как предлагает фстэк

Alexxiel, [16.08.18 17:56]
Нет.
Ещё раз. Есть организация. У неё есть, допустим, 10 ИС. Одна из этих ИС функционирует в сфере. Это обстоятельство обуславливает принятие этой организацией статуса субъекта КИИ. После этого все ИС этой организации становятся объектами КИИ.

Оксана, [16.08.18 19:08]
Я абсолютно согласна. Вопрос был вызван тем как представители фстэк в беседе предлагали начать категорирование 1. Берём устав смотрим виды деятельности . 2берем выписку смотрим оквэд. Если подходит то субъект. Далее смотрим какие ис есть.

Alexxiel, [16.08.18 19:36]
[In reply to Оксана]
Наверно, такие сложности из-за того, что 187-ФЗ писала ФСБ, а основной провоприменитель закона - ФСТЭК.

Aleksandr Petuhov, [17.08.18 08:31]
[In reply to Alexxiel]
странное принятие статуса. у объекта разве есть оквэд, устав и т.д.? не объект относится к сферам деятельности.

[In reply to Оксана]
абсолютно верно они предлагали

Оксана, [17.08.18 08:34]
Следовательно по уставу ,оквэд мы подходим под субъект, создали комиссию , определили что субъект,но объектов у нас нет. Значит ничего не отправляем?

Aleksandr Petuhov, [17.08.18 08:35]
а что вы можете отправить?

Оксана, [17.08.18 08:39]
получается ничего, мне не очень нравится субъект без объектов, считаю определние субъекта в 187-фз не очень корректным, но как говорится закон есть закон

Aleksandr Petuhov, [17.08.18 08:43]
[In reply to Оксана]
есть котельная, она относится к ТЭК, но в ней кроме кочегара и задвижки (утрирую конечно, но в целом…) ничего нет, так что мы там будем категорировать?

Оксана, [17.08.18 08:44]
но комиссия котельную признает субъектом?.меня только этот вопрос интересует

Aleksandr Petuhov, [17.08.18 08:45]
ну признает и что?

Alexxiel, [17.08.18 08:50]
[In reply to Aleksandr Petuhov]
В Законе нет ни одного слова про ОКВЭД, устав и так далее. Это выработанное решение ФСТЭК о том, как бы вычислять потенциальных субъектов КИИ.
А мое утверждение основано на букве Закона, согласно которой субъектами КИИ становятся те, кто имеют хотя бы одну ИС или ИТС, АСУ, функционирующую в сфере.

Aleksandr Petuhov, [17.08.18 08:54]
[In reply to Alexxiel]
в Законе прописан общий вектор направления, а вот в подзаконных актах, ПП 127 (который писала ФСТЭК) уже конкретика. Это всегда так. Да и проверять Вас будут не те, кто писал Закон, те кто ПП 127. Думаю так.

Alexxiel, [17.08.18 08:58]
[In reply to Aleksandr Petuhov]
ПП-127 оперирует уже установленными Законом понятиями субъект КИИ и объект КИИ. В ПП-127 лишь уточняется группа объектов КИИ, которые будут подлежать категорированию, если смотреть в разрезе дискуссии.
И определение субъекта КИИ на основе ОКВЭД и Устава (Положения) логичное решение.

Aleksandr Petuhov, [17.08.18 09:01]
да я вообще не очень понимаю в чем сложности. Собралась комиссия, определила процессы, даже выявила критические, но объектов, которые обслуживают эти процессы - нет. Все - мы не субъект.

Alexxiel, [17.08.18 09:02]
[In reply to Aleksandr Petuhov]
Нет. Субъект, но без объектов КИИ, подлежащих категорированию.

Оксана, [17.08.18 09:06]
[In reply to Alexxiel]
Спасибо, теперь поняла,у нас будет именно такая ситуация

Aleksandr Petuhov, [17.08.18 09:06]
[In reply to Alexxiel]
нееет. Субъект - это та организация, у которой есть объекты, функционирующие в сферах… Это из Закона. Разве не так?

Оксана, [17.08.18 09:06]
в том то и дело что не так…к сожалению

Aleksandr Petuhov, [17.08.18 09:07]
[In reply to Оксана]
что не так?

Оксана, [17.08.18 09:07]
хотя так как вы сказали было бы более верно

Alexxiel, [17.08.18 09:07]
[In reply to Aleksandr Petuhov]
Нет. Из закона субъект КИИ - это тот, кому принадлежит хоть одна ИС, ИТС или АСУ из сферы.

Aleksandr Petuhov, [17.08.18 09:08]
ну и? а у меня вообще нет объектов и что?

Alexxiel, [17.08.18 09:08]
Если организация становится субъектом КИИ, то согласно Закону уже все ее ИС, ИТС, АСУ становятся объектами КИИ.

Andrey Nefedov, [17.08.18 09:09]
По определению из 187-ФЗ – это государственные органы, государственные учреждения, российские юридические лица и (или) ИП, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ (далее обобщенно - ИС), функционирующие в 12 сферах.

Aleksandr Petuhov, [17.08.18 09:09]
[In reply to Alexxiel]
у меня нет вообще ни одного объекта. И какой я субъект?

Alexxiel, [17.08.18 09:10]
[In reply to Andrey Nefedov]
Верно, там же не написано, что «принадлежат объекты КИИ».

Aleksandr Petuhov, [17.08.18 09:11]
[In reply to Alexxiel]
а что такое объект КИИ?

Alexxiel, [17.08.18 09:12]
[In reply to Aleksandr Petuhov]
Я не знаю как Вам обьяснить и не знаю, надо ли это вообще делать.
Ещё раз. Если Вы субъект, то вообще ВСЕ ваши ИС, ИТС, АСУ - объекты КИИ. Но субъектом КИИ Вы можете стать, если Вам принадлежит хотя бы одна ИС, ИТС или АСУ, функционирующая в сфере.

[In reply to Aleksandr Petuhov]
Принадлежащие субъекту КИИ ИС, ИТС, АСУ. Замечу, что в определении объекта КИИ нет и упоминания про сферы.

Понятие субъект КИИ не определяется через понятие объект КИИ.

Aleksandr Petuhov, [17.08.18 09:15]
[In reply to Alexxiel]
вы видимо мои посты не читаете. это я не знаю, как до Вас донести? У меня вообще нет объектов, вообще ни одного. Я - субъект? Выше посты прочтите.

Alexxiel, [17.08.18 09:16]
[In reply to Aleksandr Petuhov]
Предлагаю взять тайм-аут.
Во время тайм-аута Вы прочтёте определения объекта и субъекта КИИ, приведённые в Законе и скажете, где я не прав?

Aleksandr Petuhov, [17.08.18 09:17]
[In reply to Alexxiel]
странное у Вас прочтение Закона

Alexxiel, [17.08.18 09:17]
[In reply to Aleksandr Petuhov]
Читайте Закон.

Aleksandr Petuhov, [17.08.18 09:17]
[In reply to Alexxiel]
Вот вот и Вам того же