Но это же не реально, чтобы все компании в России побежали заниматься инвентаризацией (заказывать аудит) только для того чтобы понять, попадают ли они в сферы КИИ

Можно ведь применять и другой подход - изучть ОКВЭД, уставные документы, ежегодный отчет о деятельности компании, лицензии, оргструктуру, и если не найдено свидетельств попадания в 187-ФЗ, то считаем что мы не в КИИ.  А в тот момент когда нам кто-то сообщает что мы относимся к КИИ (как в том примере от ФСТЭК - субъект КИИ в рамках работ по ОБ увидел что зависит по электропитанию от нашей компании и сообщил нам об этом) тогда пересматриваем свою оценку.

В безопасности нужно стремится к сохранению баланса в адекватности восприятия мира ) жаль представители Фстэк не всегда это осознают (не хватает им опыта и компетенций) . Так можно до того дойти, что шашлычная во дворе, где иногда в обед покупают шаурму сотрудники Минобороны - является субъектом КИИ так как косвенно связана с вооружёнными силами.

Не вижу смысла самостоятельно в этом крпаться. Генеральный директор, главный бухгалтер и директор юрслужбы точно знают, какими видами деятельности занимается организация в настоящее время. Соответственно, достаточно ответа "да/нет" от одного из них. У нас я бы пошел к юристу, но где-то в этом лучше разбирается главбух.

1. Если они отрицают, что организация работает в "критических" сферах, копать дальше - бессмысленно и опасно для карьеры :)

2. Если подтверждают, то организация может являться субъектом, но не факт, чоо является. Дальше нужно инвентаризировать системы.

3. Если не знают, но закон их беспокоит - мне проще проинвентаризировать системы. Разобраться, как используется система, у меня займет час времени - просто побеседую с ее "функциональным заказчиком". А вот копаться в бумагах... А если бумаги не соответствуют действительности? Формальный признак отнесения организации к субъектам КИИ - использование ИС, а не тексты документов.

4. Если не знают и им пофиг - см. п. 1 :)

Важное, хотя и не главное в безопасности - четко понимать разницу между "используется в" и "косвенно связана с" :)

А фамилию этого государственного служащего не запомнил случайно? Очень интересно

Ща, в программе конференции найду

Не знаю, не знаю. Был в пятницу на мероприятии ТПП, все спикеры, как один, говорили о том, что в КИИ надо начинать с аудита

Это было Приволжское ТУ. Цитата из доклада Логвина, но по сути это позиция Хачиняна - он как раз перед этим с обзорным докладом выступал

Спасибо!

Говорить они могут что угодно, нам важен момент документального оформления. Как говорится слова к делу не пришьёшь. Начнёшь ссылать вот на таких говорунов, а он потом скажет, "это моё частное мнение было"

ИМХО пока нет официального распоряжения, все эти докладчики могут идти лесом

Не будет никаких официальных распоряжений. У субъекта есть обязанности: категорировать ОКИИ и для значимых выполнить требования приказа 239. Эти обязанности придется исполнить.

Если субъект не знает, как категорироваться, то это его личные трудности. Решать их можно по-разному, в том числе и прислушиваясь к советам регулятора.

Так о том и речь одно деле когда это всё в устной виде а когда так сказать в бумаге. Я просто один раз так "укололся" уже послушал вот таких вот "рекомендаторов". А потом при проверке мне сказали что "у вас есть закон, ему и следуйте".

Коллеги, добрый день! Кто может подсказать как классифицировать корпоративный сегмент ГосСОПКА при создании? Как АС и руководствоваться ГОСТами 34 серии?

Нет, класс центра ГосСОПКА определяется в соответсвии с методическими документами ФСБ России, которые необходимо запросить прежде, чем создавать такой центр.
Исходя из той информации, которая озвучивалась представителем ФСБ на публичных мероприятиях, классификация центров ГосСОПКА приблизительно выглядит так: https://t.me/bureaucraticsecurity/276

Спасибо! Но вышеуказанные методические документы в большей степени содержат требования к системе...Мой вопрос скорее относится к порядку (в том числе этапности) создания

Тогда так: https://t.me/gsopka/106

ПРи чём тут официальное распоряжение? Вы считаете, что можно провести все работы в рамках 187-ФЗ без аудита (внутреннего или внешнего)? Не зная что, но категорировать и защищать? Не зная рисков в рублях рассчитать расходы на защиту?
Откуда можно взять "10. Исходные данные для категорирования" из ПП-127?

Да и в качестве докладчиков был и г-н Лютиков. Про аудит говорили: не знаете с чего начать - начните с аудита/обследования/дня инвентаризации (последнее не уверен так, как не силён в военной терминологии)

))) "не знаете с чего начать начните с аутида", смешно если человек не знает что делать аудит ему не поможет