Конкретно про неактуальность ксиишных видел только косвенно, например указ президента от 25.11.2017 # 569 где ксии приравнено к зокии

Снижение будет у того, кто работает по ГОЗ - у головного исполнителя. Головной исполнитель обязан защищаться от всех возможных угроз - и от "хакеры взломали наш конвейер", и от "поставщик облажался" - независимо от того, почему тот облажался.

А вот его поставщики и поставщики его поставщиков никакого отношения к ГОЗ не имеют.

Спасибо!

Добрый день! Подскажите пожалуйста по следующей ситуации: Есть промышленный объект, на нем функционирует АСУ (ОКИИ). Организация N1  передает его в пользование организации N2. Кто из этих организаций должен категорировать и защищать ОКИИ, владелец или пользователь? (В договоре не отражено).

Владелец. Т.е. тот, кому ОКИИ принадлежит на праве собственности, аренды или ином законном основании.
Но если организация № 2 не просто эксплуататор, а арендатор, то вот тут будет сложнее.

Я помню, что или в нормативке, или тут в группе этот вопрос уже поднимался, но не могу найти инфу про документы. Не подскажите, где можно посмотреть?

Какие документы?
Какие объекты категорировать указывается и в 187-ФЗ, и в ПП-127.

Точно ведь, слона я и не заметил. Спасибо!

Здравствуйте. Прошу совета. Есть указание откатегорироваться и отправить во ФСТЭК как полагается. Мы по ГОЗам должны попадать. Раньше хотел откатегорироваться "без категории" то есть снижение показателей на 3-4 процента. Однако прочитал о планируемых изменениях, где мы даже при 0,00001 процента будем 3 категорией и задумался. А стоит ли делать двойную работу (отсылать сейчас и после внесения изменений в ПП 127) или лучше сразу поставить 5% и 3 категорию и не ломать голову?

На вашем месте я бы отправил сейчас без категории, а потом отправил бы уточнение:
- изменение может не пройти;
- мораторий на плановые проверки начнется с момента отправки уточнения.

В проекте изменений нет слов о том, что результаты категорировпния, полученные по предыдущим значениям показателей, подлежат аннулированию и пересмотру в соотвествии с новыми значениями.

Забавная бы была ситуация, если бы регулятор начал бы каждый год вносить изменения в ПП-127 и требовать каждый раз пересматривать категорию до момента, пока все субъекты не обзаведутся ЗОКИИ.

И да, ещё неизвестно чем закончится общественное  обсуждение, и что напишет Минэкономразвития. Короче, не факт, что изменения будут на 100% такими, как мы все могли прочесть в размещённом проекте.

Большое спасибо, значит будем пока без категории.

+1. Тем более и нормативная база тоже не до конца выпущенная. фстэк и методику моделирования угроз обещал , и методические рекомендации по ЗИ переделать (ещё в апреле) . Но схватились почему то за ПП )

Если изменения будут приняты, то анализировать угрозы безопасности для ОКИИ уже не надо будет. Так как это требование пропадает из акта категорирования. Не исключено, что после изменения ПП-127 ФСТЭК получит основание для внесения изменений в свой приказ № 236, от куда это требование тоже могут исключить.

Полностью МУ не уберут ( 239 приказ ) , а вот из таблицы  сведений по категорированию может и есть смысл. Кто то уже мог прислать им толстый томик сведений , где 80% текста это перебивка 213 угроз из банка данных. Ужаснулись и отказались. )

Уже обсуждалось неоднократно, что модель угроз писать на этапе категорирования не нужно - это избыточно. Она нужна именно для ЗОКИИ для разработки требований ИБ в соответствии с 239 приказом и из него ее убирать не будут.
Да и сведения о угрозах безопасности информации пока не уходят - они нужны не в Акте категорирования, а в форме о результатах категорирования, которая утверждена 236 приказом.

А как же :17. Субъект критической информационной инфраструктуры в течение 10 дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают: е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта критической информационной инфраструктуры либо об отсутствии таких угроз; Так в каком виде предоставляются сведения об угрозах и их анализ?

Сведения об угрозах и МУ - это две большие разницы. Примерно как перечень угроз из ст.19 ФЗ-152 и МУ. Одно - просто перечень без обоснования. Второе - подробное обоснование признания актуальности угроз

в виде заполненной формы из 236 Приказа