Это не обязательно “промышленная” система: объектом КИИ может оказаться и платёжная платформа, и диспетчерская система, и система управления инфраструктурой, и гос/ведомственная ИС, если сбой в ней приводит к серьёзным последствиям.
Что говорит законодательство
187-ФЗ прямо закрепляет, что объекты КИИ – это информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления субъектов КИИ.
При этом термин «информационная система» в российском праве раскрыт в 149-ФЗ: это совокупность информации в базах данных и обеспечивающих её обработку информационных технологий и технических средств.
Из этого следует важная мысль для практики: под «информационной системой» понимается не только “сайт” или “1С”, а широкий класс решений – от отраслевых платформ до корпоративных систем, если они подпадают под сферу 187-ФЗ и являются объектами субъекта КИИ.
Как это работает на практике
Если говорить простыми словами, “виды” информационных систем, которые чаще всего становятся объектами КИИ, можно представить так:
1. Отраслевые (производственные/операционные) ИС, которые поддерживают основной процесс
- диспетчеризация и мониторинг (энергетика/транспорт/связь)
- системы управления технологическими режимами “на уровне данных” (не обязательно АСУ ТП)
- системы управления ресурсами и режимами работы критичной инфраструктуры
2. Критичные сервисные ИС, через которые оказываются жизненно важные услуги
- платёжные/процессинговые системы, расчётные платформы
- системы обслуживания клиентов, без которых услуга фактически недоступна (например, массовые сервисы в связи/транспорте)
3. Информационные системы учёта и управления, если их остановка реально “роняет” критичный процесс
- учёт/управление в цепочке поставок топлива/энергоресурсов
- системы управления эксплуатацией, ремонтами, аварийными заявками на инфраструктуре
4. Государственные и ведомственные информационные системы (ГИС), если через них обеспечиваются значимые функции
- системы предоставления госуслуг, межведомственного взаимодействия, ведения критичных реестров и т.п.
Главный критерий тут не “название класса системы”, а смысл: если остановка/сбой ИС приводит к значимым последствиям (для людей, экономики, безопасности, устойчивости процессов), то она может рассматриваться как объект КИИ в контуре 187-ФЗ.
Выводы и рекомендации
Объектом КИИ может быть любая информационная система (в широком смысле 149-ФЗ), если она принадлежит/используется субъектом КИИ и задействована в сферах, подпадающих под 187-ФЗ.
Начните с простого списка ваших ключевых ИС и ответьте на вопрос: “какой критичный процесс она обеспечивает и что будет, если она остановится на сутки?” Если последствия серьёзные – такую ИС стоит рассматривать как потенциальный объект КИИ и дальше разбирать уже предметно в рамках требований 187-ФЗ.
