Добрый день.
Подскажите пожалуйста, правильно ли я понимаю, деятельность предприятия не является субъектом КИИ, если не входит в ИС, АСУ и ИТС. Конкретнее - если ИС относится к одной из 13 видов деятельности, то это и есть объект КИИ. Если мы являемся владельцем данного ОКИИ, то мы автоматически субъекты кии. А если арендуем такую ИС, то мы не субъекты данной КИИ, соответсвенно не включаем ее в перечень ОКИИ?

И если Вы владеете такими ис или арендуете такие ис и "на ином законном основании" у Вас эти ис- вы субъект. Если деятельность предприятия не входит в 13 сфер, это не значит что ис/итс/асу не функционирует в этих сферах

Вопрос непростой. Тут надо учитывать, что сам сервис может оказываться по разному .. с передачей оконечного оборудования и без .. и, как я понимаю, юридически это будет по-разному выглядеть. По второй части вопроса - скорее не соглашусь, если только оператор официально вам это (конфиденциальность, целостность) при передачи данных через свою  сеть не гарантирует.

По букве закона, если у вас (в том числе на правах аренды) ИС в одной из 13 сфер, вы - субъект КИИ, а все ваши системы - объекты КИИ.
Хотя могут быть и другие трактовки, основанные на критичности для вас процессов, обеспечивающих данной ИС, и сферой деятельности вашей организации.
Решать все равно вам.

Ээээээ, вы оператору связи ВСЕГДА передаете защищаемую информацию, которая идет по его каналам связи. А уж защищена она или нет, зависит от вас

Зашифрованную с применением СКЗИ информация уже можно не защищать и передавать через открытые сети

Подскажите. Мы поликлиника около 200 компов(включая армы)
2 объекта КИИ ( сеть, и медицинская информационная система) нужны ли нам дорогостоящие программы (сов и.т.д) или хватит випнет координатор и антивира?

Проведите категорирование и моделирование угроз - тогда можно что-то сказать наверняка

Если у вас есть значимые объекты, то не хватит, конечно. Посмотрите перечень мер защиты хотя бы для третьей категории

Есть операторы, которые предоставляют такие услуги, в этом нет никакой проблемы.

Доброго времени суток! Подскажите, люди добрые, как лучше поступить... Пришло указание сверху прокатегорировать объекты, все доблестно рванули составлять перечни объектов и посылать их во ФСТЭК. Но после осмысления оказалось, что части учреждений этого делать было не надо - нет у них ИС, ИТКС и АСУ, работающих в 12 сферах. Как уведоить ФСТЭК, что они не субъекты? Собрать комиссию, вынести решение, что организация не является субъектом, составив акт. И направить письмо во ФСТЭК? В связи с отсутствием объектов КИИ просим не считать нас субъектом?

Одновременно отмечаем, что предоставление информации об отсутствии в организации объектов критической информационной инфраструктуры или о том, что организация не является субъектом критической информационной инфраструктуры Российской Федерации в ФСТЭК России в соответствии с законодательством о безопасности критической информационной инфраструктуры Российской Федерации не требуется.

это из информационного письма фстэк от 24 августа 2018 г. № 240/25/3752

Если Вы уже направили Перечень в ФСТЭК. То пишите им супер обоснованное письмо, что направленные системы не являются ОКИИ.

Спасибо

Коллеги, есть контакты  в центральном аппарате  ФСТЭК скем поговорить по заполнению формы отправки информации???, сказали свыше что заполнили не правильно

Отсчёт пошел ...

Можно по телефону 8 (499) 246-11-89

Не берут и мне кажется что и не возьмут

я неоднократно общался сам, возможно момент конкретно сейчас такой