Не можешь :)

Ты можешь быть обладателем исключительныз прав на ПО и, как обладатель исключительных прав, дать кому-то неисключительное право использовать это ПО на определенных условиях. Вещные правоотношения (собственность, аренда) на объекты интеллектуальной собственности не распространяются.

Другое дело, что исключительные права и право на использования для таких объектов являются аналогами собственности и аренды, поэтому иногда о нтх так и говорят. Но на самом деле это совсем разные вещи

Подскажите, пожалуйста, при присвоении 2 категории есть ли необходимость создания отдела отвечающего только за кии?

Ну скажем так. Здесь надо проанализировать п.п. 10 - 13 из 235 приказа ФСТЭК.
Т.е. субъект может создать такое подразделение или отдать его функции лицензиату. Это подразделение может посвятить свою деятельность только обеспечению безопасности ЗОКИИ или ИБ в целом.

Лицензиату можно отдать все-таки только часть функций, ответственного нужно назначать в любом случае.
Это не обязательно целый отдел, может быть 1 работник. Ну и не чисто за КИИ - он может совмещать обязанности с другой деятельностью по ИБ в организации, но не должен совмещать с эксплуатацией ОКИИ или другими. То есть можно назначить существующий Отдел ИБ, но нельзя отдел АСУ ТП, ИТ-отдел или иной операционный отдел

Я говорил за то, как указано в 235 приказе. Там из используемых слов можно сделать вывод, что все или только часть функций можно передать, что ответственный может быть отдельным или в составе подразделения по ИБ. Короче, «по вкусу».

Ну нельзя ИЛИ назначить ответственного ИЛИ передать. Да и "привлекаться" не аналог "передать". То есть спихнуть все на аутсорс не получится

На аутсорс можно отдать все (или часть) функции, которое должно выполнять подразделение, ответственное за обеспечение безопасности ЗОКИИ (это явно прописано в 235 приказе). Но, опять же по тексту 235 приказа, такое подразделение должно быть создано или определён ответственный (т.е. тут вопросов нет, если есть ЗОКИИ, то выполняем), но если все его функции отдадут, тогда что он будет делать: только нести ответственность за действия аутсорса?

в приказе указано "могут пивлекаться". Насколько я понимаю эту формулировку, ответственность вся остается все равно на Субъекте и Ответственном за обеспечение безопасности ЗОКИИ, а привлекаемые организации, как это и бывает сейчас, могут по договорам делать проекты на систему ИБ, готовить проекты НМД, проводить аудиты ИБ или даже часть операционной деятельности по ИБ проводить.
Но полностью все отдать и забыть? Без контроля деятельности, без проверки и утверждения решений? Вы готовы полностью все отдать кому-то, но нести полную ответственность за его действия? Сомневаюсь, что это хороший подход
Немного иначе все, конечно, смотрится, если это какой-то холдинг или группа компаний, в которой есть выделенное лицо, отвечающее за ИБ.

Тут дело не в том, чего хочу (или готов делать) я, а в том, что допускает нормативно правовой акт. Никто же не против того, что бы их объекты с молчаливого согласия регулятора, категорировали другие организации. Для этого даже никаких лицензий не надо.

В документе четко прописано:

- п. 10: назначается подразделение, ответственное за...
- п. 11: для выполнения функций могут привоекаться...

Лицензиатам передаются функции, а не ответчтвенность за результат и качество их исполнения

Я об этом и говорю, что функции можно отдать лицензиату, он их будет выполнять, но ответственность за выполнение останется за подразделением, а у лицензиата ответственность будет только в рамках договорных отношений.

Значит, мы все трое говорим об одном и том же

Не важно какая из 3-х категорий значимости присваивается.
Если объект КИИ значимый, то появляется "структурное подразделение, ответственное за обеспечение безопасности значимых объектов КИИ" или "отдельные работники, ответственные за обеспечение безопасности значимых объектов КИИ"
(п.10 приказа #235).

Сейчас есть только следующий запрет для значимых объектов КИИ:
"передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе СрЗИ, или иным лицам без контроля со стороны субъекта КИИ"
(п.31 приказа #239)

В изменениях к приказу #239 есть следующее предложение:
"Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющи ехранение и обработку информации, должны размещаться на территории РФ", но нужно ждать финальной редакции.

Благодарю!

Спасибо

Строго говоря категорировать может только субъект. Даже если привлечена подрядная организация, которая сделает все работы. И с помощью договора вы не сможете, например, переложить ответственность за качество категорирования на подрядную организацию.

Тем более, что многие подрядные организации не умеют и не хотят разбираться в процессах заказчиков.

Добрый день. Подскажите пожалуйста, коллеги, по операторам связи. Субъект - оператор связи (телефония, телеграф, интернет). Если у оператора нет "систем управления сетями связи", то к объектам КИИ относятся всё телеком-оборудование? При этом возможно ли ограничиться, предоставив в перечне только, например, центральную АТС?

И второй вопрос: при оформлении перечня объектов КИИ как будет правильнее называть объекты, которые относятся к сетям оператора? Например, объекты: "сеть передачи данных", "сеть местной телефонной связи" и т.д.

Спасибо.