Субъект КИИ: два подхода к определению статуса

Вадим Владимирович Петров
Количество просмотров1684

является ли организация субъектом КИИ

Несколько месяцев назад мы писали, как продвигается исполнение закона о критической информационной инфраструктуре. Пока одни выявляют критические процессы, определяют значимость и проводят категорирование, других до сих пор беспокоит многих: как определить, конкретная организация — субъект КИИ или нет? Нужно ли выделять бюджет на подготовку и оснащение информационной системы предприятия или требования ФЗ-187 его не касаются? Разбираемся.

Субъект КИИ — кто он?

Закон определяет субъекта вот так:

Субъект КИИ

Однако, если толковать определение буквально, под это понятие можно подвести практически все организации и ИП, ведь они так или иначе связаны с одной из жизненно важных отраслей. Сужение понятия также неприемлемо — в таком случае из-под зоны действия закона выпадают критически важные информационные системы, которые, будучи лишенными надлежащей защиты, могут стать объектом хакерской атаки или вредоносных действий злоумышленников.

Следует иметь в виду, что для ответа на вопрос важно определить два момента:

  • является ли организация владельцем информационной системы;
  • обеспечивает ли данная система надлежащую работу компании в одной из 13 критически важных сфер.

Если ответ «да» на оба вопроса — организация точно является субъектом КИИ. При этом нигде в законодательстве прямо не указано, как понять, относится ли информационная система к определённой сфере. Можно выработать лишь примерный план действий и руководствоваться разъяснениями ФСТЭК.

В настоящее время эксперты рекомендуют использовать для ответа на вопрос, является ли организация субъектом КИИ, следующие подходы:

Прямой подход

Изучите документацию на ИС: как правило, если автоматическая или информационная система создана для выполнения специализированных задач в определённой сфере, сомнений в её принадлежности к одному из 13 видов деятельности не возникает. Предназначение системы должно быть конкретным и очевидным: регулирование значимых процессов на атомной станции, переключение сигналов на взлётных полосах или автомобильных дорогах, переключение стрелок на ж/д путях… Здесь сфера деятельности организации второстепенна, и может вообще не входить в число 13 критически важных, однако наличие в собственности подобной информационной системы автоматически делает компанию субъектом КИИ.

Та организация, которой принадлежит ИС на праве собственности или аренды, либо передана в пользование, и будет являться субъектом КИИ.

Косвенный подход

Здесь на первый план выходит деятельность организаций. Если она входит в одну из 13 сфер, определённых в законе № 187-ФЗ, вероятнее всего есть и информационная система, обеспечивающая критически важные процессы такой компании. Например, система регистрации на авиарейсы может быть аналогична системе онлайн-бронирования билетов в театр, однако разные сферы деятельности организаций предопределяют отнесение первой системы к объектам КИИ, а второй — нет. Соответственно, авиакомпания является субъектом КИИ в силу деятельности в сфере транспорта и в связи с наличием информационной системы, обеспечивающей ряд важных процессов в данной области.

Определение сферы деятельности субъекта КИИ

Как определить, является ли основная деятельность организации критически важной? ФСТЭК рекомендует руководствоваться следующими данными:

Коды ОКВЭД

Можно увидеть в выписке из ЕГРЮЛ, регистрационных документах и т. д. Как правило, если видами деятельности указаны те, что входят в число критически значимых, организация является субъектом.

Здесь есть нюанс, который до конца не разрешён практиками, да и регуляторы пока не пришли к единому мнению. Что делать, если некоторые виды деятельности указаны «на будущее» или фирма фактически перестала их вести, но в кодах ОКВЭД такие виды работ ещё числятся? Учитывать ли их при ответе на вопрос, является ли организация субъектом КИИ?

По сути, если компания фактически не ведёт деятельность в сферах, указанных в законе ФЗ-187, её ИС не имеют значимости как объект КИИ, а значит, субъектом КИИ такая организация не будет. Однако ФСТЭК в ходе формальной проверки организации по кодам ОКВЭД может задать обоснованные вопросы об отсутствии категорирования системы и достоверности предоставляемой информации. По мнению некоторых экспертов, такая неопределенность в вопросе может привести к негативным последствиям, в том числе уголовной ответственности за ненадлежащее обеспечение технической защиты объекта КИИ.

Подробнее: Уголовная ответственность за неисполнение требований ФЗ-187

Виды деятельности по лицензии

Если компания имеет лицензию ФСБ, Росатома, Минтранса на деятельность в одной из сфер, она относится к субъектам КИИ при наличии соответствующей информационной системы в собственности или аренде. Как и в предыдущем случае, предпринимателям лучше заранее привести документы в соответствие реально осуществляемой работе, чтобы не тратить бюджет на ненужные мероприятия по категорированию и выстраиванию техзащиты ИС и не рисковать бизнесом и свободой. Если, к примеру, фирма с лицензией на гостайну оформила её «на всякий случай» или давно не ведёт никаких работ, связанных с ознакомлением с секретными сведениями, лучше заявить о прекращении деятельности, чем потом доказывать следователям ФСБ или сотрудникам ФСТЭК, что фирма уже несколько лет не работает с гостайной.

Уставные документы

Ещё один способ определить, является ли организация субъектом КИИ — внимательно изучить её устав, а именно главу, посвященную основным видам деятельности. Это относится и к коммерческим компаниям, и к органам местного самоуправления, и к государственным учреждениям, у которых зачастую сферы деятельности определены довольно размыто.

Если в Уставе прямо упомянуты сферы деятельности, регулируемой по ФЗ-187, и есть в собственности или в ведении информационные системы, компания является субъектом КИИ.

Всё равно непонятно. Что делать?

Можно, конечно, составить протокол о непризнании себя субъектом КИИ. Указать, что в регулируемых сферах не работаете, соответствующих информационных систем не имеете, все реестры, учёты и делопроизводство ведёте на бумаге, а значит, объектов КИИ в собственности нет.

Однако, если ФСТЭК объявит о проверке, решить вопрос об относимости к субъектам по ФЗ-187 всё-таки придётся. Поэтому в случае спорных вопросов, неясностей или для перестраховки рекомендуем направить официальный запрос в ФСТЭК и получить разъяснения. Запрос должен быть подробным и описывать реальную работу организации и действующие ИС, в том числе и находящиеся на аутсорсинговом обслуживании сервисных организаций. В случае проверки у вас будет хоть какое-то доказательство в обоснование вашей позиции.

Еще один вариант: привлечь к аудиту и разрешению данного вопроса компанию с лицензией ФСТЭК. Как правило, они могут быстрее выяснить ключевые моменты, провести категорирование и в дальнейшем реализовать надлежащую техническую защиту для значимых ИС.

Есть вопросы по технической защите информации или оформлению лицензий? Звоните, поможем.

Нужна косультация по новости?

Оставить комментарий