Благодарю!

Смотря что вы называете дочками (отдельные юрлица или обособленные подразделения) и что вы называете стстемой ЗИ (систему защиты, как она определена в законе, или только оргструктуру ЗИ).

Если дочки - отдельные юрлица, то они являются самостоятельными субъектами КИИ и самостоятельно отвечают за безопасность своих объектов. В этом случае у "головы" есть только ограниченные возможности централизовать безопасность:

1. "Голова" или уполномоченная ею компания может оказывать дочкам услуги по защите их ЗОКИИ.
2. Если дочки - часть интегрированной структуры, то дочки должны выполнять нормативные требования "головы" (появилось в проекте новой редакции приказа 235).
3. Голова или уполномоченная ею компания могут заключить соглашение с НКЦКИ и стать центром ГосСОПКА для всего холдинга.

Но ответственность за результат каждое юрлицо  все равно несет самостоятельно во всех трех случаях.

Если же дочки - обособленные структурные подразделения одного юрлица, то:
1. За все отвечает "голова"
2. Персонал "дочек" рассматривается как силы обеспечения безопасности, т.е. привлекается к реализации отдельных мер защиты "на местах"
3. Голова может при желании создавать в дочках самостоятельные подразделения безопасности.

Спасибо!

Добрый день! Имеют ли право входить в комиссию по категорированию сотрудники лицензиата совместно с заказчиком  проводящего работы за заказчика по категорированию? И обязателен ли анализ всех процессов ОКИИ, если в акт по категорированию входят только критические процессы? Потому что, например, при анализе, лицензиат не знает всех технологий на предприятии и процессы с точностью верно установить не сможет.

Если он не сможет установить, то как определит какие критические

А есть какие-то причины его туда не пускать?

Будет странно, если исполнитель работы не будет, как минимум, докладывать ее результаты лицам, принимающим эту работу.

С анализом процессов сложнее. На месте заказчика я бы сперва сам отфильтровал процессы, отбросив заведомо неинтересные. Это как минимум снизит объем выполняемой подрядчиком работы, а значит и ее стоимость

Но если задача ставится в духе "мы тут сами не знаем, разберитесь" (бывает и такое) - тогда исполнителю придется самому разбираться со всеми процессами

А как и кто будет проверять правильность определения процессов, если в акте категорирования только критические?

В ситуации "до сих пор нам было пофигу, но тут от нас какие-то бумажки требуют"? Подозреваю, что никто :)

Благодарю за ответ 😌👍

Коллеги, добрый день! Поделитесь пожалуйста методическими рекомендациями для оператора связи

Добрый день, ребята! есть такой вопрос, может кто подскажет. есть централизованная лаборатория, в ней анализаторы с двусторонним обменом, результаты попадают в Регион.медиц. систему. у каждого анализатора своя лабораторная ИС. анализаторы подключены к сети интернет через моксы.....внимание вопрос! должны ли мы категорировать эти ИС ? или???? как это должно работать?!

Создать комиссию и она определить.

наша коммисия может только в носу поковыряться. это возрастные люди не имеющие отношения к информ безопастности в принципе. и безопастника у нас нет.

Не можете сами, наймите компетентных людей. Вы что хотите в этом чате, что бы по "паре Ваших предложений" Вам точно определили что и как Вам нужно ?

И уверен, что Вы можете посоветоватсья с МЗ региональным, где Вы находитесь, нам наш МЗ помогал.

Наше мз рекомендует ставить регион мед систему

Нет. Не хочу. Спасибо, очень вежливо и тактично ответили. Спрашивала не о том что как конкретно это делать, а мнения. Наверно в вашем мед учреждении есть больше возможностей для работы спецов. А в наше за зп в 20 никто особо идти не хочет.

Категорировать ИС надо (в рамках 187-ФЗ), если Вы субъект, а
эта ИС является объектом КИИ. Наличие или отсутствие неких подключений никак не влияет на необходимость категорирования.
Здесь в группе есть специалисты из сферы здравоохранения, возможно, чуть позже появятся ещё более квалифицированные мнения.