Добрый день! Коллеги, подскажите пожалуйста по следующим вопросам:
1. Можно ли вносить изменения в акты категорирования, в случае если произошли изменения а объекте КИИ?
2. В акте категорирования, в п.8.3 необходимо ли указывать конкретные значения ущерба (социальная и экономическая значимость)?
3. Если объекту КИИ категория не присваивается (не ЗОКИИ), он ведь не попадает под действие 239 приказа?

1. Акт категорирования - внутренний документ вашей организации, и Вы вправе переиздавать его хоть каждый день. Более того, если следовать здравому смыслу, то после изменения структуры ОКИИ как раз-таки в первую очередь нужно внести изменения в Акт и посмотреть, как изменится категория объекта, чтобы в дальнейшем решить, следует ли отправлять обновленные "сведения об изменении показателей критериев значимости..." во ФСТЭК
2. Да, необходимо указывать именно конкретные значения. При этом хотел бы отметить, что ФСТЭК явно приветствует эмпирические и статистические сведения за последние 3 года
3. Да, это так. Однако если Вам очень хочется, можете соблюсти требования 239 приказа. Некоторые коммерческие организации настаивают на выполнении 239 приказа, будучи СКИИ и не имея ЗОКИИ :)

Можно подробнее по 2му пункту, где-то в нормативных актах есть требования по конкретным показателям, или это просто хотелка ФСТЭК?

Да, конечно. Хотел бы только уточнить один момент: Вы, случайно, не путаете Акт и Форму 236 приказа ФСТЭК? Прошу прощения, что раньше не обратил на это внимания, но в Акте нет пункта 8.3., Акт составляется в свободной форме. В 1 пункте я ответил про Акт - во втором про Форму
Насчет расчетов. Давайте обратимся к 127-ПП, к таблице "Перечень показателей критериев значимости объектов КИИ Российской Федерации и их значений". Мы не сможем присвоить объекту КИИ категорию значимости, допустим, по пункту 1, если не сосчитаем точное число людей, причинение ущерба жизни и здоровья которых было допущено при нарушении функционирования объекта КИИ. Точно так же, собственно, и с остальными пунктами
Касательно опыта: обратимся к пунктам 8-10. Там явно прописано, что мы должны опираться на значения за последние 3-5 лет, которые сами должны усреднить

Да, форма 236 приказа, я тоже некорректно написал, прошу прощения. По пункту 8.3, расчётный я провёл, у себя его отразил,  но допустим не хочу сообщать ФСТЭКу конкретную информацию по экономическому ущербу для организации. Хотя рас читает все по рекомендации. Разве это будет нарушением? Не нашел таких требований.
И вернёмся к форме 236 приказа и первой части моего вопроса. Если меняются данные, которые отражены в форме, делаем новый акт, вносим изменения в форму и направляем в ФСТЭК?

Недавно на эту тему был вопрос. Говорили , что если что-то меняется, то необходимо пересматривать риски и соответственно, оповещать ФСТЭК. Но это при условии, что меняется категория. Могу ошибаться. Поправьте коллеги.

Всё так

2. То есть Вы хотите сказать, что собираетесь в пункте 8.3. обосновать полученные значения, не приводя сами значения? Я не могу себе такого представить, на самом деле :) Это как будто Вы собираетесь написать математическое выражение, не отразив ответ. Препятствий не вижу, но это кажется немного странной позицией. Чем вызвано такое желание, если не секрет?

upd: Полагаю, представители ФСТЭК могут придраться в таком случае к недостаточной мотивации с Вашей стороны о том, почему установлена именно выбранная Вами категория значимости

1. Леонид и Владимир правильно подсказывают: после переоценки показателей критериев значимости нужно направлять форму во ФСТЭК тОлько в том случае, если меняется категория значимости объекта (п. 21 127-ПП)

Добрый всем день. У нас 23 мая будет встреча с фстэк, ФСБ и ркн,  есть возможность задать вопросы, пишите свои, а я им предоставлю список, обещали на всё ответить

Только по существу и конкретика ;)

Сроки пересмотра категории из-за новых показателей критериев для ОКИИ, которые уже в реестре

Добрый день. А необходимо ли делать модель угроз для объектов КИИ, как это делается для ИСПДн?

Только для ЗО КИИ на этапе проектирования (см. приказ 239 ФСТЭК России).
ПС: для ИСПДн как раз такого требования нет. Есть для ГосИС

Дамир, вы не обязаны делать модель угроз для ИСПДн. Это ваша добровольная жертва. Посмотрите внимательно 152фз, например с помощью CTrl+F. Там нет такого словосочетания.

Доброго времени дня! Уважаемые коллеги! Может ли кто имея опыт или мнение ответить на вопрос по оценке экономических критериев. 8,9 критерий какие временные сроки использовать. Время на восстановление, или полная гибель (что маловероятно при компьютерном инценденте). Аналогично 13 критерий что означает заданный период времени заданный объем.

Исходите из времени востановления после разового инцидента. В это время при желании можно включить и время на закуп оборудования, инсталяцию ПО. По 13 критерию исходите из времени/объемов  указанных в договорах или средних значений за 3-5 лет. Так как регулятор не указал как оценивать критерии Вы в вправе придумать свою методику. Главное обосновать Вашу точку зрения и надеяться что результат получиться таким, каким его ожидает ФСТЭК.

Спасибо. В 13 смущает нулевое значение. Есть дублирующие линии исполнение растянуто в году и объем незначительный. Озадачу финансистов и технологов пусть ищут формулировки.