Публикация Указа Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», установившего новые требования по ИБ для всех субъектов КИИ без разделения по категориям значимости, вызвала бурное обсуждение в профильных каналах о количестве организаций в стране - субъектов КИИ.
Вопрос этот не новый, он уже поднимался в начале трудного пути 187-ФЗ, причем на всех уровнях.
Сложность подсчета количества субъектов КИИ обусловлена определением "субъект КИИ" в 187-ФЗ через владение объектом КИИ. Более того, законодательством вообще не предусмотрено ведение учета субъектов КИИ страны. Четкий порядок ведения, ответственная организация за ведение - ФСТЭК, ответственность за недостоверные сведения и не актуальные сведения, форма предоставления сведений прописаны в подзаконных актах исключительно для ЗНАЧИМЫХ объектов КИИ. И это вполне логично, так как объект КИИ становится значимым только после его включения в Реестр ФСТЭК.
При внесении и рассмотрении законопроекта (будущего 187-ФЗ) в 2016-2017 годах никакой оценки количества субъектов КИИ не делалось и не обсуждалось.
Судить по количеству объектов КИИ или ЗОКИИ в докладах регуляторов о количестве субъектов КИИ не представляется возможным, даже с очень грубыми допущениями. Минимально у субъекта КИИ может быть один объект КИИ, а максимально и несколько тысяч.
Вот пример, когда у одного субъекта КИИ больше 1000 только значимых ОКИИ:
1 195 объектов ПАО "..." признаны ФСТЭК России значимыми объектами критической информационной инфраструктуры (далее - ЗОКИИ), перебои работы которых могут привести к негативным социальным, политическим, экономическим последствиям для города Санкт-Петербург и Ленинградской области. Решение ФАС России от 23.07.2021 N СП/61880/21
Пояснительная записка к проекту указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» Это вызвано увеличением по мере реализации Федерального закона количества объектов критической информационной инфраструктуры (в первом полугодии 2018 г. – 4200 объектов, во втором полугодии 2018 г. – 20 524 объектов, в 2019 году – более 25 000 объектов).
В итоге отчитались на конец 2019 года о 45 000 объектах КИИ.
На начало 2021 года ФСТЭК давала такие цифры (https://valerykomarov.blogspot.com/2021/03/2020-187.html):
1. Количество ОКИИ - 50 000
2. Количество ЗОКИИ - 10 000
Интересно, но в апреле 2021 года Минэкономразвития указывала:
"По экспертным оценкам субъектов предпринимательской деятельности, количество значимых объектов КИИ может составлять более 25 тысяч, количество незначимых объектов КИИ установить не представляется возможным." (№ 13768-АХ/Д26и от 30.04.2021). Фактически это означает и невозможность установить и количество владельцев НОКИИ.
Перейдем к субъектам КИИ.
Делались ли оценки количества субъектов КИИ регуляторами?
Да, такие данные публиковались и озвучивались.
На начало 2019 году такие данные (https://valerykomarov.blogspot.com/2019/02/2019-187.html):
1800 субъектов КИИ подали Перечни объектов и приступили к категорированию.
ФСТЭК оценивала на тот момент, что это 15% от общего количества субъектов КИИ.
на сентябрь 2019 года - учтено 3 500 субъектов КИИ.
Прогноз на начало 2019 года: около 12 000 субъектов КИИ.
Прогноз ФСТЭК на конец 2019 года: 500 000 субъектов КИИ!
ФОРМА сводного отчета о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия от 18.10.2019 года.
Даже, если брать только крупные предприятия - субъекты КИИ, то прогноз на 371 000 организаций.
На начало 2020 года официально публиковалось оценочное количество субъектов КИИ с ЗОКИИ - всего 500 организаций.
ЗАКЛЮЧЕНИЕ об оценке регулирующего воздействия на проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» № 4250-АХ/Д26и от 14.02.2020 г.
"предлагаемое регулирование будет распространяться на порядка 500 субъектов критической информационной инфраструктуры, а именно на государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат являющиеся значимыми объектами критической информационной инфраструктуры информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также на российские юридические лица и (или) индивидуальных предпринимателей, которые обеспечивают взаимодействие указанных систем или сетей."
При этом, к крупным предприятиям с ЗОКИИ отнесены только 321 субъект КИИ.
Учитывая настойчивые пожелания ФСТЭК по отнесению станков ЧПУ на предприятиях ОПК и сложного медоборудования в больницах к ЗОКИИ, явно очень заниженная оценка.
На конец 2020 года официально было более 5 000 субъектов КИИ. На октябрь 2020 года ФСТЭК оценивала количество учтенных субъектов КИИ как 20% от прогнозируемых. Что дает оценку в 25 000 организаций.
https://valerykomarov.blogspot.com/2020/10/2020.html.
На начало 2021 года зафиксирована такая оценка - 1% от прогнозируемого количества субъектов КИИ подал информацию о себе в ФСТЭК
"Ранее в сопроводительных материалах к одному из проектов нормативных правовых актов в данной сфере ФСТЭК России отмечалось, что требования Закона № 187-ФЗ выполняются порядка 1% субъектов КИИ." (ЗАКЛЮЧЕНИЕ об оценке регулирующего воздействия на проект указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости
и безопасности объектов критической информационной инфраструктуры» № 3804-АХ/Д26и от 11.02.2021)
Это снова дает нам оценку количества субъектов КИИ в 500 000 организаций.
Давали свою оценку количества субъектов КИИ и другие регуляторы из 187-ФЗ:
Минцифры:
Итоги: оценка количества субъектов КИИ озвучивалась в очень в широких границах от 12 000 до 500 000 организаций.
С учетом, что у нас только больниц более 5 000 (без поликлиник), более 5 000 операторов связи, более 1 300 предприятий ОПК, почти 1 700 предприятий ТЭК, то уже 4 сферы из 13 сфер КИИ дают с запасом превышение нижней границы оценки.
Складывается ощущение, что в стране должно быть около 25 000 субъектов с ЗОКИИ. И в районе 150 000 с НОКИИ.
Если же исходить из судебной практики по ст.274.1 УК РФ - https://valerykomarov.blogspot.com/p/2741.html, то следует руководствоваться верхней планкой - 500 000 организаций.
P.S. Как наглядный пример уже из 2022 года, сейчас рассматривается в Государственной Думе законопроект по внесению изменений в 187 - ФЗ:
предлагают добавить еще одно новую сферу КИИ ("О внесении изменения в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" https://sozd.duma.gov.ru/bill/154496-8#bh_histras).
Оценка количества организаций, которые станут субъектами КИИ согласно этим изменениями - отсутствует. Зато традиционно указано, что никаких затрат бюджета не повлечет.
Если у вас есть информация об оценке количества субъектов КИИ - напишите в комментариях.
#кии #187-ФЗ #ЗОКИИ #пп127 #субъект КИИ #объект кии
Пишите комментарии, ставьте лайки и подписывайтесь на канал "Клуб любителей КИИ". Нас ждет еще много интересного и полезного.
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf
*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019