8-го февраля Правительство утвердило Постановление №127 об утверждении показателей категорирования объектов критической информационной инфраструктуры. Учитывая, что в эти дни под Магнитогорском проходит 10-й юбилейный форум по информационной безопасности организаций финансовой сферы, и в пятницу будет заседание, посвященное как раз обсуждению финансовой организации как субъекта КИИ, я решил пробежаться глазами по установленным критериям и понять, кто из финансовых структур попадет под раздачу. Тут надо сразу оговориться, что субъектами КИИ являются все финансовые организации, а вот значимыми объектами КИИ обладать будут далеко не все из них. Принятое ПП-127 касается как раз вопроса о том, какие объекты КИИ будут признаны значимыми.
Итак, из 5 критериев значимости к финансовым организациям относится только 3-й, «Экономическая значимость». Ни социальной, ни политической, ни экологической значимости, ни тем более значимости для обороноспособности страны, финансовые организации не имеют. Остается только экономическая значимость, в рамках которой выделяется всего 3 показателя:
- Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственной корпорацией, государственным унитарным предприятием, муниципальным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)
- Возникновение ущерба бюджетам Российской Федерации, оцениваемого:
- в снижении доходов федерального бюджета (процентов прогнозируемого годового дохода бюджета);
- в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);
- в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)
- Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (млн. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов — на основе прогнозных значений).
Кто попадает под первый критерий? Финансовых организаций, которые являются ГУПом, МУПом, госкорпорацией или госкомпанией у нас нет. А вот финансовыми структурами с участием государства у нас являются:
- Банк России
- Сбербанк
- Внешэкономбанк
- Национальный Клиринговый Центр
- ВТБ
- Россельхозбанк
- Газпромбанк
- Глобэкс (как дочка ВЭБ)
- Связь-Банк (как дочка ВЭБ)
- МСП Банк (как дочка Федеральной корпорация по развитию малого и среднего предпринимательства)
- Российский капитал (как дочка АИЖК)
- ВБРР
- Почта Банк (как дочка ВТБ и Почты России)
- РНКБ (как дочка Росимущества)
- Еврофинанс Моснарбанк (как дочка ГПБ и ВТБ)
- Крайинвестбанк
- Дальневосточный Банк
- Акибанк
- Алмазэргиэнбанк
- Московское Ипотечное Агентство
- Росэксимбанк
- БМ-Банк
- Русь
- Хакасский Муниципальный Банк
- Банк Казани
- Почтобанк (не путать с Почта Банк)
- Новикомбанк
- НСПК.
Предположу, что Бинбанк, Открытие, Рост Банк, Уралприватбанк и Промсвязьбанк тоже можно отнести в этот список, так как ЦБ в рамках санации стал их основным инвестором.
Список стратегических предприятий и стратегических акционерных обществ утвержден Указом Президента от 4 августа 2004-го года №1009 — в нем более 1000 пунктов, большая часть из которых уже удалена. Из финансовых структур там только ВТБ. Но бояться упомянутым организациям не стоит, так как порог входа в список значимых начинается с 5% ущерба от уровня дохода, а это огромная цифра.
Со вторым показателем, с ущербом субъектам РФ, тоже, на мой взгляд, все просто. Даже те доли процента, что указаны в Постановления Правительства, как мне кажется, достаточно велики, чтобы кто-то из банков мог претендовать на попадание в список владельцев значимых объектов.
Остается последний критерий, Системно значимыми кредитными организациями у нас являются, согласно Указанию Банка России от 22.07.2015 3737-У, следующие 11 организаций:
- АО ЮниКредит Банк
- Банк ГПБ
- Банк ВТБ
- АО «АЛЬФА-БАНК»
- ПАО Сбербанк
- ПАО «Московский Кредитный Банк»
- ПАО Банк «ФК Открытие»
- ПАО РОСБАНК
- ПАО «Промсвязьбанк»
- АО «Райффайзенбанк»
- АО «Россельхозбанк».
Системно значимых инфраструктурных организаций финансового рынка у нас всего 4:
- Центральный депозитарий
- Расчетный депозитарий
- Репозитарий
- Центральный контрагент.
Наконец, к операторам услуг платежной инфраструктуры системно и (или) социально значимых (но не национально значимых) платежных систем у нас относятся (по состояния на 9-е февраля) следующие организации:
- Русславбанк и ВТБ (для CONTACT)
- НСПК, Банк России (для Visa)
- Платежный центр, Золотая корона (для Золотой короны)
- Национальный расчетный депозитарий (для НРД)
- Лидер (для ПС Лидер)
- НСПК, Банк России (для MasterCard)
- ВТБ (для ПС ВТБ)
- Сбербанк (для ПС Сбербанка)
- Рапида, ВТБ (для Рапиды).
Вот тут заранее сложно сказать, кто из данного перечня попадет под критерий в виде 3 миллионов операций в день, которые могут быть прекращены или нарушено их проведение.
Вот такой список финансовых организаций, как потенциальных владельцев значимых объектов КИИ, получается. Всем успехов в успешном категорировании. Кстати, из финального текста, уж не знаю по каким причинам, но исчезла очень важная деталь. В проекте подразумевалось, что субъект КИИ должен составить перечень объектов КИИ и направить его отраслевому регулятору в течении 6 месяцев с момента принятия соответствуюшего Постановления Правительства о категорировании. Потом на само категрирование выделялся год. То есть получалось, что итоговое категорирование у вас должно было завершиться максимум через 1,5 года с момента выхода ПП по категорированию. Все было логично. Так вот в принятом документе исчезла приписка про 6 месяцев. Теперь субъект КИИ должен согласовать с отраслевым регулятором перечень объектов КИИ, но не говорится, в течении какого срока? А срок категорирования (максимум один год) отсчитывается от согласования перечня. Но если нет финального срока на согласование, то и срок категорирования у нас может быть растянут до бесконечности с постоянной отмазкой «мы все еще составляем перечень объектов КИИ». Вот такой парадокс и кто это придумал — непонятно 🙁