Возможно.
Я только за то, что все это касается самого объекта, а не процессов.

за обьект отвечает субьект которому он принадлежит, а в аренду он его отдал или в цоде он в облаках не важно.

ну, конечно, в первую очередь определяется у кого есть законные основания на владение этим объектом. Но таких  юрлиц, имеющих законные основания может быть несколько (тот же пример - у одного в собственности, но другому сдают в аренду). И тут уже лучше отталкиваться от того чьи процессы обеспечивает этот объект. Но это только касается категорирования. Построение системы защиты, формирование подразделения и т.д. - уже более сложный вопрос

Жалко только, что в законе написано иное :)

здравствуйте, в продолжении разговора. такая ситуаци: есть ИС, которая на праве собственности принадлежит минздраву  (зарегистрировали авторское право на ПО), а сопровождает ее организация, выбранная по результату конкурса. это будет считаться "на ином законном основании"?

ЦОД у сопровождающей орг-ии, а АРМ по всем больницам и поликлиникам региона

и в итоге кто должен категорировать и защищать

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Фактически, нужно идти от КА. Все это (ЦОД, АРМы) - составляющие ИС. Если КА на какую-либо ее часть может повлечь негативные последствия, то виноват тот, кому эта часть принадлежит в соотв. с договорами

Правильно. А закон говорит, что субъектом является в том числе и арендатор объекта КИИ. Это в определении субъекта КИИ написано прямым текстом.

Просто не ломайте голову - обратитесь в юр. отдел. Вам там расскажут, кому, что и на каком основании принадлежит

является не спорю, но наказывать будут  в первую очередь, если так можно выразится "головного" субьекта которому принадлежит ОКИИ, а там сеть упала в цоде в котором арендуется сервера или цод не построил систему защиты каналов связи уже дело второстепенное

С чего бы?

Чтобы владельца наказать, нужно, чтобы он нарушил требования нормативного документа. Если его собственные критические процессы от объекта не зависят то он никому ничего не должен. А вот арендатор, чьи критические процессы от этого объекта зависят - должен. И как он с арендодателем поделит свои обязанности - его личные трудности.

с того как я сказал выше и написано в законе. Субьект КИИ отвечает за его безопасность. Если он не уведомит об этом тот же ЦОД"для примера" что на его серверах информация поподающая под категорирование и т.д. со всеми вытекающеми, а в цоде к примеру умерло ядро и ОКИИ недоступен. Виноват будет Субьект которому принадлежит ОКИИ, ЦОД тоже будет виноват, но они то буджут давить на то что Субьект не сообщил.

Отмечу что в законе нет определения и понятия "ПРОЦЕССЫ" от слова совсем. Этот вопрос уже поднимался и не раз. Нельзя к ним привязыватся и от них плясять так сказать.

Ничего подобного. Мнение понятное, но оно не основано на законе.

Субъект КИИ не "отвечает за безопасность", а обязан выполнять требования безопасности, установленные в приказе 239. Приказ 239 распространяется на значимые объекты. Значимость определяется в порядке, установленном в ПП127. В соответствии с этим порядком ЦОД определил, что объект не является значимым, и он больше никому ничего не должен (кроме информирования об инциденте).

В соответствии с тем же порядком тот же объект должен категорировать арендатор, являющийся субъектом КИИ. И если арендатор категорировал объект, как значимый, то у него возникает обязанность выполнять требования приказа 239

может быть не прав, я думаю что это сам субъект должен предьявлять ЦОДу (провайдеру облака)  требования по защите

Совершенно верно.

ЦОД может и не знать, что у него на серверах, однако ответсвенность с него не спадёт в случаи инцидента. Так что перед тем как ему (ЦОДу) заявить о том, что у него нет ОКИИ ему нужно связатся со всеми своими клиентами и получить подтверждение.