Что говорят владельцы объектов КИИ

Приведу несколько:

«… ты тут на старые грабли наступаешь. Уже давно все это обсосали, что по сфере функционирования организации, а не системы считать надо, хотя да, есть указ президента более ранний, который прописывал, что системы функционирующие и есть еще системы, функционирующие в сфере здравоохранения, понятие в 323-фз».

«... это 2-3 года назад было... и ФСТЭК разъяснения давал. Мы даже когда методичку делали этот вопрос со ФСТЭКом обсуждали».

«Там норма двоякого толкования сделана. Страдает юридическая техника, впрочем повсеместно.

- ФОИВ даёт разъяснения закону?

- Не закону, а как читать... Смотри внимательно на запятые.

- Именно! Системы, функционирующие...

- Нет. Юрлица. В той что сейчас формулировке».

«Есть … решения судов, которые оценивают, что все системы субъекта - это объекты КИИ».

Субъекты КИИ и запятая

Ещё раз посмотрим на формулировку в статье 2 187-ФЗ:

«8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

По тексту слово «функционирующие» без вариантов относится к ИС, ИТКС, АСУ. Вот если бы перед запятой был союз «и», тогда слово «функционирующие» относилось бы к юрлицам и т.п.: «…, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, и функционирующие в сфере».

Учёт и контроль - кого или чего?

А как в НПА? Если мы откроем зарегистрированные в Минюсте приказы ФСТЭК России, регулирующие вопросы учёта (направления сведений, ведения реестра), то увидим, что там учитывается сфера деятельности именно объекта КИИ, а не субъекта, в нумерации объектов предусмотрена ситуация:

«В случае если значимый объект критической информационной инфраструктуры функционирует в нескольких сферах (областях) деятельности или расположен на территории нескольких федеральных округов, второй и третьей группам цифр присваивается обозначение сферы (области) деятельности или территории, указанные субъектом критической информационной инфраструктуры первыми. Обозначение других сфер (областей) деятельности, в которых функционирует значимый объект критической информационной инфраструктуры, или территорий федеральных округов, на которых он располагается, вносится в графу Реестра, содержащую дополнительные сведения о значимом объекте критической информационной инфраструктуры».

Водоканал - субъект КИИ?

Когда-то наблюдал дискуссию по отнесению или неотнесению предприятий системы «Водоканал» к субъектам КИИ. Да, сферы деятельности организации по обеспечению жизнедеятельности населённых пунктов впрямую нет. Но почему сразу надо делать вывод про субъект КИИ? Проще составить перечень всех имеющихся в организации такого типа ИС, АСУ, ИТКС с указанием сфер их функционирования. Здравоохранение не подходит? А критерии значимости из социальной (первые два) и экологической сфер? Вне зависимости от сферы функционирования ИС или АСУ? Там теперь есть подходящие критерии и формулировки. Наверное, проще впрямую добавить в перечень сфер, в которых функционируют системы и сети, «сферу обеспечения жизнедеятельности населения и экологической безопасности». Про системы росреестра сделали же законопроект - в ГосДуме сейчас.