Критическая информационная инфраструктура:
что это, и какие компании к ней относятся

В середине мая Федеральная служба технического экспортного контроля разработала правила оценки защищенности госорганов и критически значимой инфраструктуры РФ (КИИ).
До этого, в конце марта, Правительство Р Ф внесло в Госдуму законопроект, который может наделить кабмин полномочиями определять типы информационных систем в каждой отрасли, которые необходимо будет относить к значимым объектам критической информационной инфраструктуры. Все они с 2025 года перейдут на отечественное ПО — и законопроект закрепляет правила этого перехода.
Разберемся в теме подробнее.

Субъектами КИИ являются компании, работающие в стратегически важных для государства областях: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, атомная энергетика, а также оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.

В случаях, когда бизнес компании не относится к категории стратегически важных для государства областей (указанных выше), компания сама принимает решение о том, относить ли свою деятельность и процессы к КИИ.
Элементы ИТ-инфраструктуры, которые поддерживают HR-процессы, а также процессы бухгалтерского и налогового учета, оформления командировок, поддержки продаж и закупок и многие другие «бэк-офисные» функции не относятся к объектам КИИ, если компании-субъекты не считают их таковыми.
При этом, даже если компания является субъектом КИИ, но ее поддерживающие бизнес-процессы не определяются как объекты этой системы, она может передавать на аутсорсинг поддерживающие процессы провайдеру, который не является субъектом КИИ.