Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Какая финансовая организация является субъектом КИИ? #ibbank

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу.

Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, "Экономическая значимость". Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:
  1. Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
  2. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
  • в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
  • в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
  • в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
  • Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений).
  • Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:
    • Банк России
    • Сбербанк, а точнее все его отдельные юрлица (Московский, Среднерусский, Волго-Вятский, Северо-Западный, Байкальский банки Сбербанка России и т.п.)
    • Внешэкономбанк
    • Национальный Клиринговый Центр 
    • ВТБ
    • Россельхозбанк
    • Газпромбанк
    • Глобэкс (как дочка ВЭБ)
    • Связь-Банк (как дочка ВЭБ)
    • МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
    • Российский капитал (как дочка АИЖК)
    • ВБРР
    • Почта Банк (как дочка ВТБ и Почты России)
    • РНКБ (как дочка Росимущества)
    • Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
    • Крайинвестбанк
    • Дальневосточный Банк
    • Акибанк
    • Алмазэргиэнбанк
    • Московское Ипотечное Агентство
    • Росэксимбанк
    • БМ-Банк
    • Русь
    • Хакасский Муниципальный Банк
    • Банк Казани
    • Почтобанк (не путать с Почта Банк)
    • Новикомбанк.
    Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 - в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.

     Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.

    Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:

    • АО ЮниКредит Банк
    • Банк ГПБ
    • Банк ВТБ
    • АО «АЛЬФА-БАНК»
    • ПАО Сбербанк
    • ПАО «Московский Кредитный Банк»
    • ПАО Банк «ФК Открытие»
    • ПАО РОСБАНК
    • ПАО «Промсвязьбанк»
    • АО «Райффайзенбанк»
    • АО «Россельхозбанк».

    Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:

    • Центральный депозитарий
    • Расчетный депозитарий
    • Репозитарий
    • Центральный контрагент.
    Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:
    • Русславбанк и ВТБ (для CONTACT)
    • НСПК, Банк России (для НСПК)
    • НСПК, Банк России (для Visa)
    • Платежный центр, Золотая корона (для Золотой короны)
    • Национальный расчетный депозитарий (для НРД)
    • Лидер (для ПС Лидер)
    • НСПК, Банк России (для MasterCard)
    • ВТБ (для ПС ВТБ)
    • Сбербанк (для ПС Сбербанка)
    • Рапида, ВТБ (для Рапиды).
    Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.

    Вот такой список финансовых организаций получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой "мы все еще составляем перечень объектов КИИ". Вот такой парадокс и кто это придумал - непонятно :-(
      Оцените материал:
      Total votes: 80
       
      Комментарии в Facebook
       

      Вы сообщаете об ошибке в следующем тексте:
      Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.