Все ли Банки являются субъектами КИИ? Большой вопрос!

Банки и банковская сфера в целом имеют особый статус в законодательстве о КИИ. Для этой сферы в законодательстве выделен дополнительный регулятор (ЦБ РФ), существует отраслевой аналог ГосСОПКА (Финцерт), а применимый к Организациям банковской сферы показатель критериев категорирования в 127-ПП распространяется только на определенные Организации.

Неоднократно, с разных трибун представителями ЦБ озвучивалась позиция о том, что все Банки в РФ являются субъектами КИИ без каких-либо дополнительных условий. И это формально следует из определения Субъекта КИИ в 187-ФЗ.

Вот один из последних случаев, когда ЦБ в лице А.М. Сычева была озвучена такая позиция: (SOC-Форум, секция «Диалог с регулятором», смотреть начиная с 1:27:25): https://youtu.be/GCKcGfoZwjI

Но давайте попробуем выстроить логическую цепочку и разобраться - действительно ли все Банки являются субъектами КИИ и соответственно подпадают под действие 187-ФЗ? Опираться будем на мнения ФСТЭК и ЦБ, которые могут расходиться с мнением ФСБ.

В качестве исходных данных рассмотрим следующие утверждения:

1. По мнению ФСТЭК: Объектами КИИ являются только те ИС/АСУ/ИТКС субъекта, которые подлежат категорированию и попадают в Перечень объектов КИИ, подлежащих категорированию. Остальные ИС/АСУ/ИТКС субъекта объектами КИИ не являются. Писал об этом тут.
2. По мнению ФСТЭК: Ели Организация функционирует в одной из сфер, указанных в 187-ФЗ, у нее есть ИС/АСУ/ИТС, но нет объектов КИИ, подлежащих категорированию (критические процессы не автоматизированы), то организация тоже не подпадает под определение субъекта КИИ. Писал об этом там же.
3. Согласно п.5б, 127-ПП критические процессы должны рассматриваться в рамках основной деятельности, в нашем случае банковской. Т.е. остальные процессы, не связанные с иной деятельностью в процессе категорирования не рассматриваются.
4. Согласно п.5б, 127-ПП процесс становится критическим, если его нарушение может привести к негативным социальным, экономическим,... последствиям. По мнению ФСТЭК: речь идет о соответствующих последствиях, определяемых показателями критериев значимости в 127-ПП. Если указанные в показателях критериев значимости негативные последствия нарушения процесса возможны, то его необходимо считать критическим, даже если по своему масштабу последствия не дотягивают до 3-й категории значимости. Писал об этом тут.
5. По устно озвученному мнению ЦБ: 10-й показатель экономического критерия значимости 127-ПП, применим не к любому Банку, а только к системно значимой кредитной организации, оператору услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка.
   
   

Какие можно сделать выводы на основе приведенных выше исходных данных:

1. Рассматривая п.4 остается открытым вопрос - необходимо ли считать процесс критическим, если сам показатель, к которому соотносится нарушение процесса, не применим к субъекту? Если ответ «Да», то остальные выводы можно не читать, любой Банк является субъектом КИИ, а по результатам категорирования в перечень объектов КИИ, подлежащих категорирования попадут банковские системы, которые не окажутся значимыми ОКИИ. Если ответ «Нет», то переходим к следующим выводам.
2. Банк, не подпадающий под п.5, не может иметь критических процессов, нарушение которых может привести к указанным в п.4  последствиям, т.к. ни один процесс в таком Банке даже не подпадает под 10-й показатель (процессы не в рамках банковской деятельности при этом не рассматриваются, согласно п.3).
3. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, которая обеспечивает критические процессы, т.к. самих критических процессов нет.
4. Значит у такого Банка нет ни одной ИС/АСУ/ИТКС, подлежащих категорированию
5. Значит у такого Банка нет объектов КИИ (согласно п.1)
6. Значит такой Банк не является субъектом КИИ (согласно п.2)

Полагаю, что у регуляторов и экспертов может быть обратное мнение, да это и логично, что все Банки в РФ должны быть субъектами КИИ и как минимум отправлять в ГосСОПКА информацию об инцидентах. Но текущие формулировки в законодательстве не позволяют однозначно сделать такой вывод. Надеюсь, что в ближайшем времени в законодательство будут внесены соответствующие изменения и такие спорные вещи можно будет трактовать однозначно.