Редко какой нормативный документ выходит без сучка, без задоринки. Не стал исключением и 187-ФЗ - Федеральный закон  "О безопасности критическойинформационной инфраструктуры Российской Федерации".

Как и в бытность выхода закона о персональных данных, сейчас многие руководители задаются вопросом: "Является ли моя организация субъектом КИИ?" или "Относятся ли  требования закона 187-ФЗ к моей организации?"


Примечательно, что в определении Закона упоминается 13 сфер деятельности, однако в Приказе ФСТЭК №27 этих сфер уже 12 (ФСТЭК объединил Энергетику и ТЭК в одну сферу, см. п.6 Приказа №227).
  

Однако ответ на эти вопросы приходится формулировать либо самостоятельно, либо с помощью профессионального сообщества путем обсуждения на различных площадках, поскольку полномочиями по разъяснению положений 187-ФЗ ни ФСТЭК, ни ФСБ не наделены. И хотя комментарии их представителей по толкованию положений 187-ФЗ не имеют юридической силы, все участники обсуждений сходятся на мысли, что именно дополнительные комментариев все же необходимо направлять во ФСТЭК России (это так же подтвердил представитель 8 Центра ФСБ России на секции, прошедшей в рамках Positive Hack Days 8).

Итак, кто же такой Субъект КИИ?

По определению, данному в 187-ФЗ:

"субъекты КИИ - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей."


 Другими словами, субъектом КИИ является любое лицо (орган госвласти, юридическое лицо, ИП), которому принадлежит хотя бы одна ИС, используемая в одной из отраслей, указанных в 187 Законе.


Основная путаница при отнесении организации к субъектам КИИ происходит от того, что при принятии решения необходимо исходить из сфер функционирования ИС, ИТС и АСУ, а не из фактической сферы деятельности самой организации, в отношении которой проводится анализ.
Каким образом относить функционирование ИС, ИТС и АСУ к указанным сферам деятельности законодательно не определено и это еще одна неопределенность дает возможность разрабатывать собственные подходы.

Павел Луцик предлагает потенциальным субъектам КИИ использовать следующие подходы к отнесению их ИС, ИТС и АСУ к указанным сферам деятельности КИИ: прямой и косвенный.

 Кратко эти подходы можно сформулировать следующим образом:

Прямой подход: ИС, ИТС или АСУ относится к определенной сфере деятельности из закона, если ее функционирование направлено на обеспечение специализированных функций. В качестве примера можно привести систему централизованного управления задвижками на нефтеналивной базе.


При прямом подходе необходимо выявлять специализированные ИС, ИТС или АСУ, которые явным образом функционируют в указанных в законе сферах. Наличие хотя бы одной из таких ИС, ИТС или АСУ влечет отнесение организации к Субъекту КИИ даже в том случае, если организация явным образом не попадает в названные сферы.

Косвенный подход:  ИС, ИТС или АСУ относится к определенной сфере деятельности из закона в том случае, если она явно или косвенно обеспечивает реализацию функций, относящихся к определенным видам деятельности организации в рамках рассматриваемой сферы. В этом случае, система может быть классической ИС и не выполнять специализированных функций, явно относящихся к данной сфере, но при этом обеспечивать реализацию критических для рассматриваемой сферы процессов.
При косвенном подходе на первое место выходит анализ сферы деятельности организации. Логично предположить, что если организация подпадает под указанные в законе 13  сфер, то у нее будут какие-либо ИС, ИТС или АСУ из закона. 
Определение по данному методу основывается на анализе данных, представленных в уставных документах, в кодах основных видов деятельности, данных лицензий на виды деятельности и соотнесению их с областью деяствия 187-ФЗ.
О таком подходе говорил и  представитель ФСТЭК России (см. выступление В.С. Лютикова в рамках 6 конференции «Информационная безопасность АСУ ТП критически важных объектов»).
Если по косвенному методу ваша организация относится к субъектам КИИ, то скорее всего так это и есть. 
Если не согласны с тем, что вас отнесут к субъектам КИИ, то есть два выхода:
молчаливый - готовьте аргументированный ответ регуляторам, потому что они точно по косвенным признакам (анализ сведений из ОКВЭД или ЕГРЮЛ) выйдут на вас рано или поздно с вопросом о предоставлении перечня объектов КИИ. 
действенный - направление во ФСТЭК письма с запросом разъяснения.

Главное помнить: 
Обязанность по определению является ли организация субъектом КИИ лежит на самой организации!


Бытует так же мнение, что все государственные органы и госучреждения являются субъектами КИИ (такого мнения придерживаются представители ФСБ России, которые заявляются как авторы 187-ФЗ). Но строго по букве закона, госорганы или госучреждения являются субъектами КИИ наравне с другими юридическими лицами и лишь только в том случае, если им на основаниях, определённых законом, принадлежат ИС, ИТС или АСУ, функционирующие в соответствующих сферах. 
Если у госоргана или госорганизации нет таких ИС, ИТС или АСУ, то они и не субъект КИИ.

Рекомендую так же почитать по теме:
- про подходы к определению "субъект"/"не субъект" для госорганов и госорганизаций в блоге Сергея Борисова. (http://sborisov.blogspot.ru/2018/05/blog-post.html)
- в отношении облачных провайдеров - в блоге Алексея Лукацкого  (Является ли облачный провайдер субъектом КИИ?) (http://lukatsky.blogspot.ru/2018/02/blog-post_21.html)