Очень часто в спорах об идентификации субъектов КИИ используется аргумент про сферы деятельности организации, включая лицензируемые виды деятельности.
Казалось бы, причем здесь сферы деятельности организации, когда в 187-ФЗ определение субъекта КИИ дается через сферы деятельности объекта (ИС, АСУ)?
name='more'>
Давайте разберемся с тем, почему ФСТЭК так активно формирует важность такого аргумента.
На мой взгляд, есть два важных нюанса:
1. Современные информационные технологии широко проникли во все сферы деятельности. Если организация заявила своей основной деятельностью сферы из 187-ФЗ, то очень даже вероятно, что они автоматизированы и/или используются информационные системы в них. Что логично приводит к формулировкам из 187-ФЗ и организация становится субъектом КИИ. Вполне разумная подсказка для специалистов в организации.
2. Необходимо посмотреть на проблему идентификации субъектов КИИ глазами регулятора, а не потенциального субъекта КИИ. И тут выясняется, что им негде узнать ни количество ИС/АСУ, ни их назначение. Так, минимум информации по ГИС в ФОИВ + отрывочные и неструктурированные данные по различным территориальным подразделениям.
И у регуляторов серьезные проблемы:
2.1. Требуется грубая оценка "емкости рынка", сколько вообще субъектов появляется в стране с вступлением в силу 187-ФЗ. Это ведь и обоснование бюджетов, штатов и т.д.
2.2. Требуется понять кому рассылку с запросами о выполнении требований 187-ФЗ делать? Не спамить же на все юридические лица страны.
Им ведь то же приходится отчитываться и обосновывать свою нужность для страны. А реестр лицензиатов вполне доступен и реестры с ОКВЭД под рукой. Легко структурировать и обрабатывать.
Итог: для организации важно оценить свою заявленную деятельность именно с целью оценки рисков привлечения внимания регуляторов. Особенно лицензиатам в сферах 187-ФЗ.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite