Какая финансовая организация является субъектом КИИ? #ibbank

Какая финансовая организация является субъектом КИИ? #ibbank
8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу.

Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, "Экономическая значимость". Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:
  1. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
  2. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
    • в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
    • в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
  3. Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений).
Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:
  • Банк России
  • Сбербанк, а точнее все его отдельные юрлица (Московский, Среднерусский, Волго-Вятский, Северо-Западный, Байкальский банки Сбербанка России и т.п.)
  • Внешэкономбанк
  • Национальный Клиринговый Центр 
  • ВТБ
  • Россельхозбанк
  • Газпромбанк
  • Глобэкс (как дочка ВЭБ)
  • Связь-Банк (как дочка ВЭБ)
  • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
  • Российский капитал (как дочка АИЖК)
  • ВБРР
  • Почта Банк (как дочка ВТБ и Почты России)
  • РНКБ (как дочка Росимущества)
  • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
  • Крайинвестбанк
  • Дальневосточный Банк
  • Акибанк
  • Алмазэргиэнбанк
  • Московское Ипотечное Агентство
  • Росэксимбанк
  • БМ-Банк
  • Русь
  • Хакасский Муниципальный Банк
  • Банк Казани
  • Почтобанк (не путать с Почта Банк)
  • Новикомбанк.
Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 - в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.

 Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.

Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:

  • АО ЮниКредит Банк
  • Банк ГПБ
  • Банк ВТБ
  • АО «АЛЬФА-БАНК»
  • ПАО Сбербанк
  • ПАО «Московский Кредитный Банк»
  • ПАО Банк «ФК Открытие»
  • ПАО РОСБАНК
  • ПАО «Промсвязьбанк»
  • АО «Райффайзенбанк»
  • АО «Россельхозбанк».

Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:

  • Центральный депозитарий
  • Расчетный депозитарий
  • Репозитарий
  • Центральный контрагент.
Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:
  • Русславбанк и ВТБ (для CONTACT)
  • НСПК, Банк России (для НСПК)
  • НСПК, Банк России (для Visa)
  • Платежный центр, Золотая корона (для Золотой короны)
  • Национальный расчетный депозитарий (для НРД)
  • Лидер (для ПС Лидер)
  • НСПК, Банк России (для MasterCard)
  • ВТБ (для ПС ВТБ)
  • Сбербанк (для ПС Сбербанка)
  • Рапида, ВТБ (для Рапиды).
Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.

Вот такой список финансовых организаций получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой "мы все еще составляем перечень объектов КИИ". Вот такой парадокс и кто это придумал - непонятно :-(
    Alt text
    Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

    Alert! Зафиксирована утечка экспертных знаний!

    Собираем и анализируем опыт профессионалов ИБ

    Подключитесь к потоку конфиденциальной информации!