Также те которые в аренде и на другом законном основании принадлежат Вам.

Благодарб за ответ

🖐 да, именно так, категорировать субъекту надо те объекты, которые принадлежат ему на праве, собственности, аренды и ином законном основании, но из них надо выбрать только те, которые обрабатывают критические процессы. И вот их включать в перечень и заявлять в ФСТЭК России.

Здравствуйте, подскажите, пожалуйста, если у меня в организации нет объектов КИИ, мне нужно составлять какие-то документы, подтверждающие этот факт?

Если ваша организация субъект КИИ, то объекты КИИ у Вас имеются. Другой вопрос в том, что может не быть объектов КИИ, подлежащих категорированию. Формально составлять бумаги, что таковых нет, не требуется, как и уведомлять об этом ФСТЭК. Однако собирать комиссию надо, также для исключения возможных рисков, как мне кажется, лучше провести заседание комиссии, где коллегиально решить, что объектов КИИ, подлежащих категориованию, нет, оформить это решение документально и хранить на всякий пожарный.

Спасибо!

Результатом работы комиссии и сбора информации по рассматриваемый объектам разве не будет Акт без категории?

Все так, если есть объекты для категорирования, а я говорил о ситуации, когда таковых нет.

Позиция ФСТЭК, что если вы субъект КИИ вы должны найти хотя бы один обьект

Подлежащий категорированию

А если объект КИИ не мапится с критериями значимости?

Он может быть не значимый, но он есть ) доходило до того на обсуждении, что это может быть автономный АРМ

Я бы на вашем месте подготовил обоснование на всякий случай, что хоть вы субъект КИИ, но у вас нет объектов КИИ, подлежащих каьегорированию

Провести анализ критериев, сказать «не применимо» и указать причины почему не применимо

На случай проверки регулятора

Ну так оно и есть

Не применимо значит не значимый

Речь шла о том, что у субъекта КИИ могут быть объекты, подлежащие категориованию, а могут быть и не подлежащие этому делу.
Первые включаются в соответсвующий перечень, который необходимо утвердить (кстати, до 1.09.2019) и направить в ЦА ФСТЭК в течении 10 рабочих дней с момента утверждения.
А вторые включать в таковой перечень не надо, и информировать о таких объектах ФСТЭК не надо.
Как следствие, образуется пласт организаций, которые не выпадают из под действия 187-ФЗ, но остаются скрытыми от регулятора, так сказать, латентные субъекты КИИ.
Тем не менее, ФСТЭК, предположим, может выявить такого латентного субъекта, нагрянуть к нему с проверкой (если найдёт повод, но, представим, что повод имеется). Тогда этой организации лучше иметь какое-то документальное подтверждение того, что формально  требования 187-ФЗ и ПП-127 выполнены были: комиссия была собрана, заседания проводились, процессы анализировались, в итоге было выявлено либо отсутствие критических процессов, либо установлено, что таковые процессы объектами КИИ не обрабатываются, в связи с чем оснований для формирования перечня ОКИИ, подлежащих категориованию, не нашлось, все это документальное подтверждение визируется членами комиссии и ложится на хранение в некое делопроизводство.

Я имею ввиду, что я не субъект КИИ. Т.е допустим у меня в организации есть только ИСПДн, она не является КИИ. Предсавитель ФСТЭК на своем выступлении сказал, что нужно как-то доказать что в моей организации нет КИИ. На данный момент я думаю сделать акт, подтвержадющий что КИИ у меня в организации нет)

Если ваша организация не субъект, то у неё нет объектов КИИ по формальному признаку - по определению понятия объект КИИ из 187-ФЗ, которое гласит, что объект КИИ - это ИС/ИТС/АСУ субъекта КИИ.