Первоначальная эйфория относительно всего 12 отраслей, попадающих под понятие критической инфраструктуры, сменяется постепенно разочарованием. При полной размытости понятия "функционирующие в сфере...", упомянутом в ФЗ-187, и перекладывании ответственности за отнесение себя к КИИ на субъекта, ситуация становится абсолютно неуправляемой и непредсказуемой.
Я уже описывал кейс с облачными провайдерами, которые в первом приближении не являются субъектами КИИ, но при использовании критериев, упомянутых на конференции ФСТЭК (изучение уставных документов, анализ кодов ОКВЭД и т.п.), могут быть отнесены к таковым. И последние недели общения с различными компаниями показывают, что к КИИ могут относиться очень различные организации, которые даже и не думали об этом.
Например, небольшая логистическая компания, обслуживающая региональный город. У нее в уставных документах, как правило, прописано, что она оказывается транспортные услуги, то есть она, среди прочего, трудится в сфере транспорта. Это автоматически делает ее субъектом КИИ, если следовать трактовкам ФЗ-187, которые дают регуляторы. Про ломбарды, действующие в сфере финансового рынка, я уже писал раньше. Про районные поликлиники тоже.
Слишком большое число организаций попадают под требования нового законодательства, даже не подозревая об этом. Было ли это осознанным решением авторов ФЗ-187 или нет, я не знаю. Но сейчас, мне кажется, они уже и сами не рады тому, что получилось. Иначе как можно объяснить, что в нарушение закона, который требует уведомлять об инцидентах любого субъекта КИИ (в отличие от требования обеспечения безопасности, которое распространяется только на владельцев значимых объектов), ФСБ выпускает проект приказа, который описывает процедуру уведомления только для тех, у кого есть значимые субъекты. А что делать с незначимыми? В законе они есть - у ФСБ нет. Но прокуроры проверяют соблюдение законности и имеют полное право спросить у поликлиники или небольшого таксомоторного парка или ломбарда, почему они не соблюдают требования законодательства? И что отвечать последним? Очередной вопрос, который остается неотвеченным.
Выкладываю свою презентацию, которую я делал еще в январе, и которая описывает подходы к категорированию критических инфраструктур в разных странах мира.
Я уже описывал кейс с облачными провайдерами, которые в первом приближении не являются субъектами КИИ, но при использовании критериев, упомянутых на конференции ФСТЭК (изучение уставных документов, анализ кодов ОКВЭД и т.п.), могут быть отнесены к таковым. И последние недели общения с различными компаниями показывают, что к КИИ могут относиться очень различные организации, которые даже и не думали об этом.
Например, небольшая логистическая компания, обслуживающая региональный город. У нее в уставных документах, как правило, прописано, что она оказывается транспортные услуги, то есть она, среди прочего, трудится в сфере транспорта. Это автоматически делает ее субъектом КИИ, если следовать трактовкам ФЗ-187, которые дают регуляторы. Про ломбарды, действующие в сфере финансового рынка, я уже писал раньше. Про районные поликлиники тоже.
Слишком большое число организаций попадают под требования нового законодательства, даже не подозревая об этом. Было ли это осознанным решением авторов ФЗ-187 или нет, я не знаю. Но сейчас, мне кажется, они уже и сами не рады тому, что получилось. Иначе как можно объяснить, что в нарушение закона, который требует уведомлять об инцидентах любого субъекта КИИ (в отличие от требования обеспечения безопасности, которое распространяется только на владельцев значимых объектов), ФСБ выпускает проект приказа, который описывает процедуру уведомления только для тех, у кого есть значимые субъекты. А что делать с незначимыми? В законе они есть - у ФСБ нет. Но прокуроры проверяют соблюдение законности и имеют полное право спросить у поликлиники или небольшого таксомоторного парка или ломбарда, почему они не соблюдают требования законодательства? И что отвечать последним? Очередной вопрос, который остается неотвеченным.
Выкладываю свою презентацию, которую я делал еще в январе, и которая описывает подходы к категорированию критических инфраструктур в разных странах мира.