Есть методический документ по категорированию объектов КИИ операторов связи, его можно в АДЭ запросить

Коллеги, кто-то запрашивал этот документ? Можете поделиться?

Вы можете отправлять всё, что посчитаете нужным.
АДЭ в течение 1-2 недель опубликует мет. рекомендации по этому вопросу.

Коллеги, а пункт д) главы 10 ПП127 имеет ввиду ведь, что взаимодействие ОКИИ с другим ОКИИ надо рассматривать в рамках одного субъекта?

д) сведения о взаимодействии объекта критической информационной инфраструктуры с другими объектами критической информационной инфраструктуры и (или) о зависимости функционирования объекта критической информационной инфраструктуры от других таких объектов;

Нет, не имеет. В смысле, такое ограничение ни из чего не следует.

Т.е. если один субъект знает, что от функционирования его ОКИИ зависит функционирование других ОКИИ, принадлежащих другому субъекту КИИ, он в процессе категорирования должен каким то способом получить у них необходимую ему для категорирования информацию? Имею ввиду в первую очередь операторов связи.

Наоборот, настучать на соседа :)

Я - региональный интернет-оператор. Канала "наружу" у меня нет, я покупаю трафик у точки обмена. Если точка обмена накроется, я не смогу оказывать услугу связи. ОК, я категорируюсь с учетом этой угрозы и в п. д) сообщаю, от какой именно точки обмена я завишу.

Не очень красивый пример, сходу ничего дрогого в голову не пришло

Но ведь у оператора связи есть ещё и клиенты юр. лица, которые являются субъектами КИИ (оператор точно об этом знает). Должен ли оператор это учитывать, при категорировании своих ОКИИ, ведь от их функционирования зависит и функционирование объектов КИИ его клиентов?

Вот тут вопрос: должен ли оператор связи знать, что обслуживает субъектов КИИ? Должен ли он знать, что у них есть значимые или категорируемые объекты КИИ?

Оператор связи с объектами КИИ своих клиентов обычно не взаимодействует, поэтому у него обычно нет таких сведений. То, что клиент оператора, возможно, субъект КИИ, еще не означает, что он гонит трафик своих объектов КИИ именно через этого оператора.

А клиент и так указывает, какие операторы связи используются для взаимодействия объекта КИИ с внешним миром.

Этот пункт был вствлен больше для учета взаимодействия ИС.

Если проект Минкомсвязевского постановления таки будет принят, то оператор обязан будет знать. Точнее, субъект обязан будет сообщать оператору, что его сеть используется вот таким объектом КИИ

Уже очень долго не принимают и не актуализируют его...

Ну это две разных вещи: обязан сам узнать/ ему обязаны сообщить.

Сам узнавать не обязан

Коллеги, добрый день! Если головная организация находится в Москве и имеет дочки по регионам, надо ли дочкам строить систему ЗИ? Почему нельзя чтобы только головная организация имела система защиты с подключёнными дочками?

Константин. Вас вообще никто ничего делать не принуждает. Надо защищать значимые объекты КИИ и критические процессы КИИ. Если будет инцидент - могут дать время подумать (где-то от 6 до 10 лет), почему Вы все деньги вложили в одно место, вместо построения комплексной системы защиты. А в целом - смотреть надо, может Вы и правы для Вашей системы - защитив только центр. В целом, ответственность на Вас. Как считаете нужным так и делайте. Никто из регуляторов ничего Вам не скажет, пока инцидента не будет.

А если оператор знает, что трафик между ОКИИ и даже ЗОКИИ проходит по его сетям связи? И даже если допустить, что от выхода из строя ОКИИ оператора будет нарушена работа ОКИИ клиентов и возможно наступят последствия у его клиентов? Должен ли оператор категорировать в таком случае свои объекты с учётом таких входных данных? При этом по таблице категорировании из 127 ПП у оператора не получается значимых ОКИИ, а вот если с этими дополнительными условиями (учесть последствия выхода из строя ЗОКИИ своих клиентов) то будут у оператора тогда ЗОКИИ.

Неважно, знает он или нет. Важно обязан ли он это знать или нет. Не обязан.

Насколько я помню, в проекте постановления написано, следующее. Если оператор связи не обеспечивает меры защиты, необходимые ЗОКИИ абонента, то он может или отказаться обслуживать этого абонента, или за отдельную плату реализовать для него необходимые меры защиты.

В любом случае, оператор не обязан зашищать субъекта КИИ.