Заново не надо! Закон не имеет обратный силы, а в проекте постановлния ничего не прописано про такие объекты.

Спасибо! Если комиссия уже установила, что категории нет, а во ФСТЭК еще не направили информацию, может ФСТЭК потребовать перекатегорировать наши объекты, если получит по ним сведения после принятия изменений в 127 Постановление?

Между утверждением акта(ов) категорирования и направлением заморённой формы из 236 приказа срок не более 10 дней. Соответсвенно, если результаты категориования были утверждены до даты вступления изменений в силу (а ещё лучше до момента официального опубликования изменений в ПП-127), то, я полагаю, примут без проблем. Но вот в ином случае...скорее всего, Вам придётся подавать результаты уже по обновлённым требованиям.

то есть заново собирайте кимиссию и считайте показатели - так как между утверждением акта и отправки во ФСТЭК прошло 11 дней, а не 10 😱

Мне кажется, здесь ключевым должно быть не 10 или 11 дней, а вступили или нет на момент утверждения акта категорирования изменения в ПП-127.

и мне так кажется

Во, но пользуясь тем, что на отправку сведений даётся 10 дней, регулятор, возможно, предпримет некие шаги, чтобы не получилось ситуаций, при которых субъекты утверждали акты, а потом ожидали внесения изменений в ПП-127 (более 10 дней) и только потом направляли заполненную форму. Тем более и в КоАП, если судить по плану нормотворческой деятельности, что опубликован на сайте ФСТЭК, они тоже хотят внести некие дополнения (возможно, они как раз и будут касаться тех, кто затягивает с тем или иным действием по предоставлению чего-то регулятору).

Не сомневаюсь, что ФСТЭК продавит себе карательные меры в КоАП. Вместо того, чтобы объяснить как создать систему обеспечения информационной безопасности для какого-нибудь рентгена, всегда проще выписывать штрафы. Так, можно взять все российские лечебные заведения (~10 тыс), вычесть из них 500, которые честно заявили о ниличии у них значимых ОКИИ, и ходить выписывать штрафы. Работы на 10 лет хватит. Только за эти 10 лет не появится у больниц и поликлиник ни денег на выполнение всех требований, ни специалистов, которых могут их выполнить. Я лично сомневаюсь, что проверять начнут со Сбербанка или Аэрофлота. Зачем тягаться с их адвокатами в правовом поле, где множество коллизий, нестыковок и явных ошибок? Статистику можно на бюджетниках повысить. А так, отличный закон!

ФСТЭК не будет никого карать и никаких карательных мер они не продавливают. Хотели бы карать, давно бы по линии ПДн или по линии ПП-584 ходили и карали всех налево и направо. Но что-то не ходят.

Полагаю что не ходят из-за отсутсвия необходимых на это сил.
Если большинство организаций не выполняют 17 и 21 приказы и это почти норма, зачем еще добавлять требования под несколько млн объектов КИИ, большая часть которых и так защищалась отраслевыми стандартами? и при этом не проверять и не требовать исполнения закона.

Любой ФОИВ мало что придумывает сам - делает все, что приходит сверху. И в данном случае не ФСТЭК была инициатором ФЗ-187, а совсем другое ведомство. С точки зрения ФСТЭК по ИБ вообще ничего не поменялось - требования те же. Новое там только по линии ГосСОПКИ

Понятно. Как раз по линии ГосСОПКИ в законе всего лишь одно несложное требование направлять email об инциденте. Хочется надеяться, что ФСТЭК в скором времении не придумает требования (в которых ничего не поменялось) для домохозяйств по защите IoT или еще чего.

Доброе утро! Есть пара вопросов:
1. Согласно 187 фз фстэк вносит в базу как объекты с категориями, так и без. Что делать дальше? Как необходимо создать взаимодействие с сопкой? Интересно для значимых и не значимых объектов.
2. Аутсорс. По каким критериям расчитывается стоимость? Какую фирму можете посоветовать ?

1. В реестр вносятся только значимые объекты. Об остальных ФСТЭК передает информацию в ГосСОПКА, но в реестр не вносит.
2. Взаимодействие с ГосСОПКА одинаково для значимых и незначимых объектов. Подробности - в приказе ФСБ #368 от 24.07.2018.
3. Смотрите по пресс-релизам, кто из лицензиатов заключил соглашение с ГосСОПКА. Они вам назовут стоимость. Предложений мало, поэтому ни о каком "среднем ценнике по рынку" речи нет.

Т.е. нас просто фстэк вносит в реестр, а дальше мы уже по факту отправляет информацию об инциндентах?

Да, именно так

Большое спасибо.

Коллеги, приветствую! Может кто-то уже задавал вопрос, но повторюсь.  Модель угроз составляется с помощью методики КСИИ или ПДн? И какое различие между ними?

МОжно на основе своей. Если у Вас есть. А так - читайте. Пробуйте применительно к собственному ОКИИ.

Все ку дважды с уважением. Ну подскажите пожалуйста, кто заполнял акты категорирования? Вы придерживались какой-то справочной инструкции?