Все ли Банки являются субъектами КИИ? Большой вопрос!
Банки и
банковская сфера в целом имеют особый статус в законодательстве о КИИ. Для этой
сферы в законодательстве выделен дополнительный регулятор (ЦБ РФ), существует
отраслевой аналог ГосСОПКА (Финцерт), а применимый к Организациям банковской
сферы показатель критериев категорирования в 127-ПП распространяется только на определенные
Организации.
банковская сфера в целом имеют особый статус в законодательстве о КИИ. Для этой
сферы в законодательстве выделен дополнительный регулятор (ЦБ РФ), существует
отраслевой аналог ГосСОПКА (Финцерт), а применимый к Организациям банковской
сферы показатель критериев категорирования в 127-ПП распространяется только на определенные
Организации.
Неоднократно,
с разных трибун представителями ЦБ озвучивалась позиция о том, что все Банки в
РФ являются субъектами КИИ без каких-либо дополнительных условий. И это формально следует из определения Субъекта КИИ в 187-ФЗ.
с разных трибун представителями ЦБ озвучивалась позиция о том, что все Банки в
РФ являются субъектами КИИ без каких-либо дополнительных условий. И это формально следует из определения Субъекта КИИ в 187-ФЗ.
Вот один из
последних случаев, когда ЦБ в лице А.М. Сычева была озвучена такая позиция: (SOC-Форум, секция «Диалог с регулятором»,
смотреть начиная с 1:27:25): https://youtu.be/GCKcGfoZwjI
последних случаев, когда ЦБ в лице А.М. Сычева была озвучена такая позиция: (SOC-Форум, секция «Диалог с регулятором»,
смотреть начиная с 1:27:25): https://youtu.be/GCKcGfoZwjI
Но давайте попробуем
выстроить логическую цепочку и разобраться — действительно ли все Банки являются
субъектами КИИ и соответственно подпадают под действие 187-ФЗ? Опираться будем на мнения ФСТЭК и ЦБ, которые могут расходиться с мнением ФСБ.
выстроить логическую цепочку и разобраться — действительно ли все Банки являются
субъектами КИИ и соответственно подпадают под действие 187-ФЗ? Опираться будем на мнения ФСТЭК и ЦБ, которые могут расходиться с мнением ФСБ.
В качестве
исходных данных рассмотрим следующие утверждения:
-
По мнению ФСТЭК: Объектами КИИ являются только те ИС/АСУ/ИТКС субъекта, которые подлежат
категорированию и попадают в Перечень объектов КИИ, подлежащих категорированию.
Остальные ИС/АСУ/ИТКС субъекта объектами КИИ не являются. Писал об этом тут. -
По мнению ФСТЭК: Ели Организация функционирует в одной из сфер, указанных в
187-ФЗ, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию
(критические процессы не автоматизированы), то организация тоже не подпадает
под определение субъекта КИИ. Писал об этом там же. -
Согласно п.5б, 127-ПП критические
процессы должны рассматриваться в рамках основной деятельности, в нашем случае
банковской. Т.е. остальные процессы, не связанные с иной деятельностью в
процессе категорирования не рассматриваются. -
Согласно п.5б, 127-ПП процесс становится критическим, если его
нарушение может привести к негативным социальным, экономическим,… последствиям.
По мнению ФСТЭК: речь идет о
соответствующих последствиях, определяемых показателями критериев значимости в
127-ПП. Если
указанные в показателях критериев значимости негативные последствия нарушения
процесса возможны, то его необходимо считать критическим, даже если по своему
масштабу последствия не дотягивают до 3-й категории значимости. Писал об
этом тут. -
По устно озвученному мнению ЦБ: 10-й показатель экономического критерия значимости 127-ПП, применим не к любому Банку, а только к системно значимой
кредитной организации, оператору услуг платежной инфраструктуры системно и
(или) социально значимых платежных систем или системно значимой
инфраструктурной организацией финансового рынка.
Какие можно
сделать выводы на основе приведенных выше исходных данных:
сделать выводы на основе приведенных выше исходных данных:
-
Рассматривая
п.4 остается открытым вопрос — необходимо ли считать процесс критическим, если
сам показатель, к которому соотносится нарушение процесса, не применим к
субъекту? Если ответ «Да», то остальные выводы можно не читать, любой Банк является субъектом КИИ, а по результатам категорирования в перечень объектов КИИ,
подлежащих категорирования попадут банковские системы, которые не окажутся значимыми
ОКИИ. Если ответ «Нет», то переходим к следующим выводам. -
Банк, не подпадающий под п.5, не может
иметь критических процессов, нарушение которых может привести к указанным в п.4
последствиям, т.к. ни один процесс в таком
Банке даже не подпадает под 10-й показатель (процессы не в рамках банковской
деятельности при этом не рассматриваются, согласно п.3). -
Значит у такого Банка нет ни одной ИС/АСУ/ИТКС,
которая обеспечивает критические процессы, т.к. самих критических процессов
нет. -
Значит у такого Банка нет ни одной ИС/АСУ/ИТКС,
подлежащих категорированию -
Значит у такого Банка нет объектов
КИИ (согласно п.1) -
Значит такой Банк не является
субъектом КИИ (согласно п.2)
Полагаю, что
у регуляторов и экспертов может быть обратное мнение, да это и логично,
что все Банки в РФ должны быть субъектами КИИ и как минимум отправлять в
ГосСОПКА информацию об инцидентах. Но текущие формулировки в законодательстве
не позволяют однозначно сделать такой вывод. Надеюсь, что в ближайшем времени в
законодательство будут внесены соответствующие изменения и такие спорные вещи можно
будет трактовать однозначно.
у регуляторов и экспертов может быть обратное мнение, да это и логично,
что все Банки в РФ должны быть субъектами КИИ и как минимум отправлять в
ГосСОПКА информацию об инцидентах. Но текущие формулировки в законодательстве
не позволяют однозначно сделать такой вывод. Надеюсь, что в ближайшем времени в
законодательство будут внесены соответствующие изменения и такие спорные вещи можно
будет трактовать однозначно.
Источник — Блог Павла Луцика «Информационная безопасность на 360°».
