Очень часто в спорах об идентификации субъектов КИИ используется аргумент про сферы деятельности организации, включая лицензируемые виды деятельности.
Казалось бы, причем здесь сферы деятельности организации, когда в 187-ФЗ определение субъекта КИИ дается через сферы деятельности объекта (ИС, АСУ)?
Давайте разберемся с тем, почему ФСТЭК так активно формирует важность такого аргумента.
На мой взгляд, есть два важных нюанса:
1. Современные информационные технологии широко проникли во все сферы деятельности. Если организация заявила своей основной деятельностью сферы из 187-ФЗ, то очень даже вероятно, что они автоматизированы и/или используются информационные системы в них. Что логично приводит к формулировкам из 187-ФЗ и организация становится субъектом КИИ. Вполне разумная подсказка для специалистов в организации.
2. Необходимо посмотреть на проблему идентификации субъектов КИИ глазами регулятора, а не потенциального субъекта КИИ. И тут выясняется, что им негде узнать ни количество ИС/АСУ, ни их назначение. Так, минимум информации по ГИС в ФОИВ + отрывочные и неструктурированные данные по различным территориальным подразделениям.
И у регуляторов серьезные проблемы:
2.1. Требуется грубая оценка "емкости рынка", сколько вообще субъектов появляется в стране с вступлением в силу 187-ФЗ. Это ведь и обоснование бюджетов, штатов и т.д.
2.2. Требуется понять кому рассылку с запросами о выполнении требований 187-ФЗ делать? Не спамить же на все юридические лица страны.
Им ведь то же приходится отчитываться и обосновывать свою нужность для страны. А реестр лицензиатов вполне доступен и реестры с ОКВЭД под рукой. Легко структурировать и обрабатывать.
Итог: для организации важно оценить свою заявленную деятельность именно с целью оценки рисков привлечения внимания регуляторов. Особенно лицензиатам в сферах 187-ФЗ.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
На счёт "легко обрабатывать". Простая арифметика: в стране порядка 5 млн. юр лиц. Из них под определение «субъект КИИ» подпадает больше половины (а скорее - все). Пусть будет 3 млн. У юр. лица от 5 до 300 (цифра озвучена лицензиатом ФСТЭК на одной из конференций) ИС. Итого актов категорирования - от 15 до 900 (!) млн штук. И это без учёта ИП. Кто сможет переработать этот вал? Причём, вал откровенного хлама. (Интересно, есть такие, кто сомневается, что это будет вал и что хлама?).
ОтветитьУдалитьДумаю, что по количеству юрлиц,потенциально попадающих под определение "субъект КИИ" не все так страшно. Можно даже анализ провести по http://www.gks.ru/free_doc/doc_2017/rusfig/rus17.pdf. Сферы деятельности так же не самые многочисленные указаны в 187-ФЗ. В любом случае, по всей стране будет вал из миллионов актов. С учетом сжатых сроков по 187-ФЗ и ПП127, проверить сотрудникам ФСТЭК корректность заполнения уведомлений с результатами категорирования субъектов будет проблематично. Количество значимых объектов в стране, планируемых к учету ФСТЭК, можно оценить по Порядку ведения реестра (Приказ 227) "Первая группа знаков содержит число от 000001 до 999999, указывающее на порядковый номер значимого объекта критической информационной инфраструктуры в Реестре."
ОтветитьУдалить