Значимые объекты КИИ в банках

Уже не первый раз слышу от банковских безопасников: "Мы - не системно значимый банк, у нас не может быть значимых объектов КИИ."

Причиной стала формулировка одного из экономических показателей в ПП127:

Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, ...

Коллеги видят упоминание системно значимых банков и решают, что оно относится ко всему показателю. Но это не так.

Показатели определены только в этом документе, других норм на эту тему нет. Обычаи делового оборота тоже ничего не гоаорят о значимости тех или иных банковских операций для государства. В этой ситуации трактовка норм права определяется только правилами русского языка.

В данной формулировке речь идет о проведении банковских операций. Но не всех операций, а только двух определенных групп. Первая группа определяется дополнением "клиентами" и уточняется обстоятельством "по банковским счетам". Вторая группа операций определяется причастным оборотом "осуществляемых субъектами, являющимися системно значимыми...". Т.е в структуре предложения эти операции определены так:

проведение операций клиентами или операций, осуществляемых системно значимыми банками

В соответствии с правилами русского языка, причастный оборот, выделенный запятыми, определяет существительное, которое ему предшествует.

То есть на самом деле АБС может быть значимым объектом КИИ в двух случаях:

1. Банк системно значимый, и инцидент с АБС приведет к прекращению или нарушению любого вида операций
2. Банк не является системно значимым, и инцидент с АБС приведет к прекращению или нарушению операций, которые клиенты выполняют со своими счиетами.

Упоминание системной значимости могло бы относиться к обеим группам операций, если бы было добавлено слово "других":

проведение операций клиентами или других операций, осуществляемых системно значимыми банками

Это было бы стилистической ошибкой, но тогда из контекста было бы понятно, что речь идет только о системно значимых банках. В действующей же формулировке показатель "прекращение или нарушение проведения лпераций клиентами" относитсямко всем банкам без исключения.

Безопасность КИИ: что считать "ущербом бюджету"?

И в чатиках о безопасности КИИ и АСУ ТП, и на встречах с заказчиками часто задают одни и те же вопросы. Этот вопрос - один из самых частых.

Постановление Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений», показатель 9:

9. Возникновение ущерба бюджетам Российской Федерации, оцениваемого:

а) в снижении доходов федерального бюджета, (процентов прогнозируемого годового дохода бюджета);

6) в снижении доходов бюджета субъекта Российской Федерации (процентов прогнозируемого годового дохода бюджета);

в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)

Если коммерческая компания (без государственного участия) простаивает из-за инцидента и недополучает прибыль, то является ли это ущербом бюджету? Правильный ответ - нет, не является.

Если налогоплательщик в отчетном периоде получил определенную прибыль, у него возникла обязанность уплатить определенную сумму налогов. Неисполнение этой обязанности (неуплата налогов) - это ущерб, который налогоплательщик причинил государству. Этот ущерб может быть взыскан как с самого налогоплательщика, так и с конкретного виновника (например, с генерального директора организации). Но как быть, если по какой-то причине (неважно, киберинцидент или забастовка) прибыль недополучена? Некоторые считают, что в этом случае к налогам можно применять понятие "упущенная выгода", но это не так. Вот, например, определение ВС РФ №58-КГПР16-22 от 22 ноября 2016 г. (рассматривалось как раз взыскание ущерба по неуплате налога):

В силу п. 2 ст. 15 Гражданского кодекса Российской Федерации под убытками понимаются расходы, которые лицо, чьё право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

Обратите внимание на выделенное. Для того, чтобы недополучение денежных средств стало ущербом, требуется, чтобы получатель имел право на получение этих средств и чтобы это право было нарушено. Но если налогоплательщик не получил часть прибыли, то у него так и не возникла обязанность уплатить налог с этой части прибыли, а у государства так и не возникло право на получение этого налога. Да, бюджет недополучил доход, но он никогда и не имел права на этот доход, а также не понес никаких расходов. Соответственно, говорить о каких-либо убытках или ином ущербе бюджету в этом случае неправомерно.

А когда может возникнуть ущерб бюджету? Когда бюджет получил право на денежные средства, но эти средства не были ему выплачены. Например, автоперевозчик, уже выполнивший рейс, получает обязанность выплатить в бюджет определенную сумму, а бюджет получает право на эти денежные средства. Если из-за сбоя системы Платон сведения о причитающейся сумме не будут зарегистрированы в системе, бюджет эти деньги не получит, и ему будет причинен ущерб.