Это уж как вам будет угодно

Добрый день! Можно пару уточняющих вопросов: 1. Технологический объект - это совокупность технологического оборудования и АСУ ТП? Цепочка владельцев и для технологического оборудования и для АСУ ТП идентична? 2. Кто получает прибыль от выполнения процессов, которые обеспечивает эта АСУ ТП?

А есть ссылка на данный документ?

Добрый день, коллеги! Я соглашусь с @malotavr . Мое личное мнение по вопросу ЦОД и беседы следующее 1) коллеги пожалуйста не делайте из законодательства  по КИИ отдельную сущность 2) Излишне все время ссылаться на нармотивку ФСТЭК т.к. она а) не самодостаточна б) имеет еще очень много недостатков в виду масштаба задачи и отсутствия подобного мирового опыта;  3) есть здравый смысл, и именно им лично я стараюсь руководствоваться, если уже здравый смысл противоречит закону, то точно стоит смотреть на законодательства  по  ФЗ, ПП , и .... А ссылаться постоянно на нмд ФСТЭК и попытка их толкования это уже не ИБ это бюрократия

Да, технологический объект это то что вы назвали. Прибыль, тут сложно сказать, объект как таковой ничего не производит, к нему приходит сырье, он его подготавливает и направляет к нам, а мы это сырье уже используем по своим нуждам. Можно уверенно сказать что без этого объекта и наша организация в принципе не может функционировать. Проще говоря как транспоотировщик этот объект. Поэтому тут конечно с нашей стороны весомый аргумент в его функционировании. Прибыль получают разве что с аренды и выплат по договорам я так понимаю.

На мой взгляд, категорировать объект может и собственник и арендатор. Если категорирует собственник, то в договор аренды должен включить требования по защите ОКИИ. Если собственник не категорирует (сдаёт площади и электричество), то в договор аренды следовало бы включить требование о категорировании к арендатору. Тогда у арендатора будет и основание, и обязанность. А эксплуатирующие и обслуживающие точно не должны категорировать. Но в их договора должны быть требования по обеспечению безопасности.

Думаю, что вам (арендатору) нужно договариваться с собственником по тому, кто будет нести дальнейшую ответственность и возможно вносить коррективы в Ваши договоры. Пока не известно, что точно прописано во всех Ваших договорах я бы предположил два варианта:
1.  Собственник передал Вам в аренду только само оборудование (железо, не объект КИИ). В таком случае принадлежность объекта КИИ будет определяться по принадлежности обеспечиваемых им процессов (по аналогии с информационными системами - информационная система это в первую очередь информация, а затем уже технологии и технические средства обработки этой информации; поэтому собственник ИС в первую очередь определяется по владельцу информации; грубо говоря, мы можем создать информационную систему на базе арендованных серверов, при этом собственником ИС будем мы, а собственником серверов – другой юрлицо; с АСУ ТП ситуация аналогичная, только вместо информации определяем собственника процесса; если процесс принадлежит Вам, то и объект КИИ, как отдельная сущность, тоже принадлежит Вам (хоть он и построен на арендованном железе)). При этом, чтобы не раздваивать ответственность (чтобы в случае инцидента ответственность падала только на одно из юрлиц) я бы предложил в договоре аренды указать положения о том, что собственник не несет ответственности за использование передаваемого железа, и что в случае если это железо будет частью значимого объекта КИИ, то такой объект КИИ должен категорировать и выполнять все требования по обеспечению безопасности арендатор.
2.  Если собственник передал Вам по договору прям объект КИИ. Тогда категорировать необходимо и Вам и собственнику. Тут в качестве одного из варианта предложил бы написать письмо от собственника в Ваш адрес с просьбой провести категорирование объекта и предоставить им и направить во ФСТЭК результаты этого категорирования. Но в этом варианте в случае инцидента спрашивать будут и с Вас и с собственника. Как мне кажется, Вам ответственности в любом случае не избежать, но хотя бы можно снять ее с собственника путем внесения корректировок в договор аренды, которые я указал в первом пункте.

Дополнительно, определить принадлежность объекта КИИ можно по вводу в эксплуатацию. Если объект ввели в эксплуатацию Вы, то вы и будете собственником объекта КИИ (хоть и на базе арендованного оборудования).

Отдельно еще хотел бы высказать свое мнение по подобным вопросам в части того, кто должен обеспечивать безопасности ОКИИ. Как мне кажется, обеспечивать безопасность ОКИИ должен владелец процесса, потому как именно он является главным выгодоприобретателем от эксплуатации этого объекта (и, соответственно, именно он должен быть финансово в этом заинтересован). В отдельных случаях обеспечивать безопасность может и собственник, но тогда он будет сдавать в аренду именно значимый ОКИИ, брать за это отдельные деньги, да еще и иметь лицензию на ТЗКИ.

прошу прощения за много текста

Собственником не будет. Владельцем

Спасибо за ответы, очень понятно и доходчиво, будем работать!))

ну, фактически, именно Объект КИИ, как сущность, создал тот, кто ввел его вэксплуатацию. Грубо говоря вот, например такая ситуация: мы арендовали серваки и на их базе построили ИС и ввели ее в эксплуатацию. Далее в процессе эксплуатации мы решили постепенно менять серваки с арендованных на собственные. Не думаю, что в таком случае ИС поменяет собственника.

Тут часто путают аренду технических средств и аренду ИС. Если вы создаете ИС на арендуемых серверах, то собственником серверов по-прежнему остается арендодатель, но владельцем ИС являетесь вы.

Но если совсем упираться в буквоедство, то к ИС неприменимо понятие "собственность".

ИС - совокупность информации,  информационных технологий и технических средств обработки информации. Из этой триады у аппаратных средств обработки бывает собственник, у программных средств обработки - пользователь (человек, имеющий право их использования), у информации - обладатель, а у ИС в целом - оператор. И это запросто могут быть разные лица :)

Под  "владельцем" в контексте обеспечения ИБ объектов КИИ, ИСПД и  ГИС обычно понимается оператор ИС: в соответствии с трехглавым законом исполнение обязанностей, связанных с обеспечением бещопасности информационной системы возлагается на ее оператора

Оператор ИС - это или собственник технических средств, или лицо, заключившее с ним договор эксплуатации. Договор с ЦОД - это обычно договор эксплуатации технических средств ЦОД. И в соответствии с трехглавым ФЗ в этом случае "арендатор" является оператором ИС, а ЦОД остается собственником технических средств.

Да, со всем согласен. Большое спасибо за подробные разъяснения.

Коллеги, день добрый!) Где-то мелькала информация о том, что данные объекта КИИ не должны утекать за пределы РФ. Это была новость на сайте или это требование в законопроекте уже?

Требование на фоне «огораживания» российского сегмента сети от иностранного)

Про заказчиков ИС и уполномоченных лиц забыл. И я могу быть владельцем ПО. А могу его арендовать