Куда смотреть?

Ок

Компенсационные меры?

Алексей, что Вы хотели сказать этими пунктами?

Субъекты критической информационной инфраструктуры обязаны:

1) незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации);

То, что субъект без объектов должен передавать в ГосСОПКА информацию о компьютерных инцидентах

Но может я не прав :)

Тут ключевое "в установленном указанным федеральным органом исполнительной власти порядке". Как раз этот порядок и определяется в приказах ФСБ, в том числе в 367, скриншот из которого я вставил выше. Если нет объектов КИИ - информировать не о чем.

Было бы конечно хорошо

Где же взять денег медучреждениям на все это "счастье"?

почему, ответственность на уполномоч лице или рук субьекта, а не на подразделении... они выполняют только работы утвержленные планом

уполн.лицо и рук подразделения иб это не одно и тоже. у первого есть право утверждать мероприятия по иб, в том числе орг и тех меры

Я имел в виду учреждение, не конкретное лицо, занимающееся категорированием. В большей своей части ответственность, в основном на руководителе

Более того, если нет объектов КИИ, то скорее всего Организация не является субъектом КИИ - по крайней мере такую позицию озвучил ФСТЭК на встрече. Логика регулятора тут такая: если организация функционирует в сфере из 187-ФЗ, то скорее всего у нее есть критические процессы, связанные с этой сферой/основной деятельностью, нарушение которых может повлечь... И скорее всего эти процессы автоматизированы и значит есть ИС (ОКИИ), которые их обеспечивают. Значит Организация субъект. Если эти процессы не автоматизированы (случаи такие возможны, но редки), то организация продолжает формально оставаться субъектом, но не иметь ОКИИ. Возможен также вариант, когда есть автоматизированные процессы, но они не являются критичными, в этом случае формально организация является субъектом КИИ, но не имеет ОКИИ.

если рук субьекта или уп.олномоч лицо в акте вписало обосновпние., то спецам по иб остается только выполнять задачи учитывая это...

я заметил подмену понятий при обсуждении вопросов ответственности.... подразделение иб отвечает только за выполнения плана мероприятий и предлагает на утв. такие планы. Но за соотв требованиям фз этих планов несет ответственность рук субьекта или у. л

поправьте если не прав... готовлюсь разжевывать это рук-ву

я опустил прочие функции подразделения из 235...*

Вы наверное не вчитались полностью. Категорировать Вашу систему должны Вы. Но категорирование это не только тех меры по обеспечению безопасности. Это так же и принятие решений о необходимости вообще проводить категорирование (обследование акты и тд). Вот поэтому я и говорю, что заставить Вас категорировать то или и ное никто не может. А если и есть попытки, тото нужна бумага, как основание.Так как у верхнего уровня Вы можете провести только согласование Ваших списков. Процедуры защиты за Вас верхнее учреждение делатьне будет. Ответственность на Вас

категорирует вообще комиссия... в плане исполнение, да, за полноту исподнения отвечают спецы по иб... но я в целом про процесс обеспеч безопасности ЗОКИИ. Создание системы и соответственно распределение полномочий