4 Декабря, 2018

Все ли Банки формально являются субъектами КИИ? Большой вопрос!

Павел Луцик



Банки и банковская сфера в целом имеют особый статус в законодательстве о КИИ. Для этой сферы в законодательстве выделен дополнительный регулятор (ЦБ РФ), существует отраслевой аналог ГосСОПКА (Финцерт), а применимый к Организациям банковской сферы показатель критериев категорирования в 127-ПП распространяется только на определенные Организации.
Неоднократно, с разных трибун представителями ЦБ озвучивалась позиция о том, что все Банки в РФ являются субъектами КИИ без каких-либо дополнительных условий. И это формально следует из определения Субъекта КИИ в 187-ФЗ.
Вот один из последних случаев, когда ЦБ в лице А.М. Сычева была озвучена такая позиция: (SOC-Форум, секция «Диалог с регулятором», смотреть начиная с 1:27:25): https://youtu.be/GCKcGfoZwjI
Но давайте попробуем выстроить логическую цепочку и разобраться - действительно ли все Банки являются субъектами КИИ и соответственно подпадают под действие 187-ФЗ? Опираться будем на мнение ФСТЭК, которое может расходиться с мнением остальных регуляторов в области КИИ.

В качестве исходных данных рассмотрим следующие утверждения:
  1. По мнению ФСТЭК: Объектами КИИ являются только те ИС/АСУ/ИТКС субъекта, которые подлежат категорированию и попадают в Перечень объектов КИИ, подлежащих категорированию. Остальные ИС/АСУ/ИТКС субъекта объектами КИИ не являются. Писал об этом тут .
  2. По мнению ФСТЭК: Ели Организация функционирует в одной из сфер, указанных в 187-ФЗ, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию (критические процессы не автоматизированы), то организация тоже не подпадает под определение субъекта КИИ. Писал об этом там же.
  3. Согласно п.5б, 127-ПП критические процессы должны рассматриваться в рамках основной деятельности, в нашем случае банковской. Т.е. остальные процессы, не связанные с иной деятельностью в процессе категорирования не рассматриваются.
  4. Согласно п.5б, 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным, экономическим,... последствиям. По мнению ФСТЭК: речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости. Писал об этом тут .
  5. В целом к Банкам применим 10-показатель экономического критерия значимости 127-ПП. Но данный показатель, как в нем самом прописано, применим не к любому Банку, а только к системно значимой кредитной организации, оператору услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.


Какие можно сделать выводы на основе приведенных выше исходных данных:
  1. Рассматривая п.4 остается открытым вопрос - необходимо ли считать процесс критическим, если сам показатель, к которому соотносится нарушение процесса, не применим к субъекту? Если ответ «Да», то остальные выводы можно не читать, любой остается субъектом КИИ, а по результатам категорирования в перечень объектов КИИ, подлежащих категорирования попадут банковские системы, которые не окажутся значимыми ОКИИ. Если ответ «Нет», то переходим к следующим выводам.
  2. Банк, не подпадающий под п.5 не может иметь критических процессов, нарушение которых может привести к указанным в п.4  последствиям, т.к. ни один процесс в таком Банке даже не подпадает под 10-й показатель (процессы не в рамках банковской деятельности при этом не рассматриваются, согласно п.3).
  3. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, которая обеспечивает критические процессы, т.к. самих критических процессов нет.
  4. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, подлежащих категорированию
  5. Значит у такого Банка нет объектов КИИ (согласно п.1)
  6. Значит такой Банк не является субъектом КИИ (согласно п.2)

Полагаю, что у регуляторов и экспертов может быть иное мнение, да это и логично, что все Банки в РФ должны быть субъектами КИИ и как минимум отправлять в ГосСОПКА информацию об инцидентах. Но текущие формулировки в законодательстве не позволяют однозначно сделать такой вывод. Надеюсь, что в ближайшем времени в законодательство будут внесены соответствующие изменения и такие спорные вещи можно будет трактовать однозначно.