Возможно, тут зависит от того, в какой стадии находится ИС(ГИС). Если она уже эксплуатируется, то формально она уже должна быть защищена, а если создаётся, то, полагаю, однозначно согласен.

Наша еще только создается

Ооо. Везёт Вам. Тогда лучше вообще за основу взять какую-нибудь лучшую практику, а 17, 235, 239, 378 учитывать как compliance

Добрый вечер . Подскажите такой вопрос у субъекта кии может не быть объектов кии или могут быть только незначимые объекты?

Если вы субъект, значит у вас есть объект, и все ваши объекты могут оказаться незначимыми

Первое следует из определения, второе из акта комиссии

Не совсем так. В определении субъекта КИИ нет указания на то, что у него должны быть объекты КИИ.

Гипотетически, может быть ситуация, что у субъекта КИИ нет объектов КИИ, подлежащих категориованию.

Коллега. Алёна права. Читайте определение СКИИ (п. 8 статьи 2 ФЗ-187)

Я прекрасно знаю это определение. Кротко говорят, субъект - это организация, которой принадлежит хотя бы одна ИС/ИТС/АСУ, функционирующая в одной из заветных сфер. Заметьте, это ещё не объект КИИ. А вот объект КИИ - это некая ИС/ИТС/АСУ субъекта. Заметьте, в определении объекта нет отсылок на заветные сферы.

Не некая, а любая. Из двух определений следует, что ты субъект КИИ только если у тебя есть объект КИИ

Определение субъект КИИ первично по отношению к определению объект КИИ, хоть и в статье они занимают места наоборот.
Т.е.организация сначала становится субъектом по формальному признаку, затем наступает странная вещь, что формально вроде все, в вроде и не все принадлежащие этой организации ИС/ИТС/АСУ становятся объектами КИИ. Однако, что можно утверждать достаточно точно, что не все из этих ИС/ИТС/АСУ могут попасть в Перечень ОКИИ, подлежащих категориованию, который надо отправить в ФСТЭК. Так как в него включаются те из них, которые обрабатывают критические процессы. Итого, лично мне кажется, что может быть ситуация, что организация может быть субъектом, но не иметь объектов, подчёркиваю, подлежащих категориованию.

При таком подчеркивании мысль понятна 👍

А смысл в этом. Не попасть под 187 и ублажить регулятора?

Если у субъекта КИИ нет ОКИИ, подлежащих категориованию, то регулятор про него не узнает, так как  субъект ему ничего не направляет вообще.

То что ФТЭК про него не знает, не освобождает субъект от выполнения требований 187-ФЗ

А я про это и не говорил. Про «не попасть под 187-ФЗ» говорил другой оратор. Если у субъекта нет ОКИИ, подлежащих категориованию, то ему не требуется выполнять все то, что прописано в ПП-127 и приказах ФСТЭК по тематике КИИ.
Но другой вопрос в том, а что же имеется ввиду под объектом КИИ в ст. УК 274.1: вообще объекты КИИ или объекты КИИ, подлежащие категорированию?

А разве 17 приказ первичней по отноншению к 239? 239 обеспечивает выполнение ПП  127,  которе в свою очередь обеспечивает выпоонение ФЗ 187

Нет объекта у субъекта. Тогда что он должен исполнять по приказам фстэка?

Год назад этот вопрос здесь обсасывали, тогда решили что суд разберется (