все системы будут объектами КИИ, раз вы субъект. Это прямой вывод из 187-ФЗ. А отмечать и направлять нужно объекты КИИ, подлежащие категорированию. Вот к ним бух уже относиться не будет

Коллеги.  А кто как понял п.  14 со сноской 2 452 постановления?

по сути ФСТЭК ответил на вопрос, который задавали ранее субъекты про зависимость ОКИИ и последствий. Это нужно для варианта, когда есть компрометация смежной системы, а непосредственной компьютерной атаки на сам ОКИИ нет, например:
1. На предприятии есть какая-то АСУ ТП и верхнеуровневая SCADA. При оценке угроз и с учетом МЭ или иных мер считается, что направление несанкционированных команд на АСУ ТП не актуально, а вот SCADA у нас имеет подключения хитрые к ЛВС и туда хакеры добраться могут. В таком случае нужно считать, что и АСУ ТП будет подвержена соответствующим угрозам со стороны SCADA уже, если ее порутают хацкеры.
2. Банальный пример с ИС и ИТС. Если есть угрозы для ИТС, подразумевающие ее отказ или иные нарушения, то автоматически распространяем их на ИС в части функций, реализующихся ИТС
3. Связанные ИС/АСУ, реализующие общий процесс, где есть обработка и передача данных из одной в другую - по аналогии рассматриваем угрозу нарушения работы, если сломалась система с нижней ступени обработки, ну и компрометация - возможно будет подмененная информация на входном потоке например.

Т.е. есть два  объекта А и Б. Объект А зависит от объекта Б, если Б хакнули то объект А лежит. При оценке критериев по объекту А необходимо учитывать последствия от воздействий на объект Б? Следовательно объект А потенциально будет иметь больший критерий значимости, и следовательно и мероприятий по защите необходимо реализовывать больше? Но объект Б то как был менее защишен так и останется. Или все наоборот?

Не совсем так. Там про последствия не говорится, то есть ущерб не суммируется. Нужно учитывать именно дополнительные потенциальные угрозы, связанные с нарушением функционирования объекта Б или его компрометации. Для А нужно делать оценку ущерба исходя из возможных для него собственных угроз + причитающихся угроз от нарушения функционирования Б, если они отличаются как-то по воздействию/последствиям

это по аналогии распространяется и на пункт 14(3)

И интересно, что там нет примечания о том, что все это в рамках одного субъекта (хотя логично предположить, что это так), поэтому получается в теории, что нужно делать запросы энергоснабжающим компаниям что и как там с угрозами электростанциям, а также операторам сязи что там с их сетями связи, которыми мы пользуемся :)

Это в тексте я и вычитал. Но логику не вижу. Поэтому и обратился к коллективному разуму

если совсем просто:
вы составили перечень угроз для объекта Б и там есть:
нарушение работоспособности/сбои из-за.....
нарушение целостности обрабатываемой информации.
Соответственно, в перечень угроз зависимого объекта А добавляются угрозы:
нарушение доступности входной информации от системы Б
нарушение целостности входной информации от системы Б,
далее делаете анализ последствий от этих угроз и рассчитываете ущерб от них как всегда

👍

Надо уметь во время остановиться. Вторичные риски вы никогда все не закроете

Ну там это относилось к новым рискам от систем защиты. Здесь все-таки другое и в целом верное. Но кто-то и так раньше выстраивал такую цепочку и рассматривал связанные угрозы, а для кого-то это было неочевидно и сделали такое уточнение. Другой вопрос, как его теперь будут трактовать и использовать - не все ответственные раньше могли и просто к угрозам подступиться адекватно, а с новыми нагромождениями еще хуже может стать

Но и не учитывать тоже неправильно. Хотя да. Сложность на порядок возрастает.

Эта ИС в критических процессах участвует? Если да, то к ней можно применить критерии. Если нет, то это не объект. Можно даже категорирование ее не проводить

если я правильно понимаю, процесс, связанный с отчислением налогов в фонды РФ, это уже критический процесс для любого субъекта КИИ

Доброе утро, коллеги!
Вопрос следующий:
Если организация является субъектом КИИ по видам деятельности, но не имеет у себя ИС, функционирующих в этих сферах (только 1С, ЭДО и т.п.), по какому пути правильнее всего будет пойти? Надо собирать комиссию и актировать отсутствие таких ИС?

Смотрите внимательно пункт 5 пп 127

Оцените, какой ущерб экономический может наступить от того, что вы не можете лечить людей. Например, вы единственные, кто делает прививку от сибирской язвы в регионе. Без этой прививки работоспособное население региона не будет допущено к работе. Эти производства будут простаивать. В регионе коллапс, бюджету ущерб. А вы прививку не можете поставить, потому что без 1с не можете ни вакцину заказать, ни учесть ее. А 1с лежит из-за хакерской атаки.

Ущерба РФ при атаке на ИС организации не будет, только частные административно-хозяйственные проблемы, ничего серьезного 100%, что в таком случае делать?

Коллеги есть кто-то из банковской сферы? Сто уже успели сделать? Сами ли делали?

*что

В таком случае 1с не реализует критические процессы. И ее не надо категорировать. Просто при составлении перечня учесть, что ис такая есть. Но она не объект