Здравствуйте коллеги. Может кто нибудь подскажет по следующему вопросу.  В организацию поступило письмо от регионального ФСТЭК в котором регулятор информирует о необходимости проведения работ по определению объектов КИИ подлежащих категорированию  и рекомендует утвердить до 1 сентября 2019г  перечень  объектов подлежащих категорированию в соответствии с изменёнными правилами (имеется ввиду изменение в пп127 постановлением правительства 452)
В свою очередь наша организация уже провела необходимые работы в соответствии с нормативной базой,  перечь объектов подлежащих категорированию был утверждён комиссией и отправлен в Центральное управление ФСТЭК в соответствии рекомендациям, это было сделано в декабре 2018 года, до вступления в силу пп 452.  Ответа от ФСТЭК так и не поступило(устраивает ли их перечень или есть какие то вопросы). Отсюда  несколько вопросов :
1.Данное письмо носит информативный характер или является следствием того, что Регулятора не устроил отправленный перечень (например потому что перечень был направлен до внесение изменений в пп127)
2. Необходимо ли отвечать на это письмо региональному управлению ФСТЭК .
3. Нужно ли повторно отправлять перечень объектов подлежащих категорированию!
4. Ждать ли  от ФСТЭК ответа о получении перечня или приступать к категорированию без ответа ?                
5. Буду благодарен если кто подскажет хотя бы по одному из вопросов.

Напишите в ответ примерно так: перечень направлялся исх.номер/дата . До кучи можно приложить копию. Ответ от Центрального управления пока не поступил. с уважением, ....

100% Вам никто, думаю, не скажет. Я бы поступил следующим образом. 1. Нет. ФСТЭК не девушка,  такими туманными намеками через региональное подразделение отвечать не будет. 😊 Они вам прямо напишут да или нет и что именно нет, если их не устроит. 2. По идее - нет. Если есть желание себя хорошо проявить - можете направить им ответ вида " в соответстви с ... перечень был направлен во ФСТЭК России такого-то числа, Исх. Номер такой-то. В данный момент организация ожидает утверждение перечня со стороны ФСТЭК России. 3. Пока нет, если вы уверены что они его получили. 4. Я бы начал потихоньку, для себя, но пока не отправлял во ФСТЭК. И, да. Изменения в 127 не влияют на перечень! Они влияют на сроки, на категории ЗОКИИ, на то, ОКИИ это или ЗОКИИ. Но сам перечень будет одинаковый.

1. Информативный.
2. Да.
3. Нет.
4. Не ждать, приступать.

Фстэк не утверждает перечень объектов - субъект уведомляет ФСТЭК о наличии у него объектов

Добрый вечер, если информация о том, сколько организации подлежат категорированию в России?
Здесь была презентация, там есть инфа по Южному федеральному округу

Странный вопрос. Можно найти информацию о том, сколько организаций подали сведения о своих объектах КИИ во ФСТЭК. А информацией о том, сколько организаций подлежат категорированию не владеет никто. Это как раз и является одной из целей 187-ФЗ: определить сколько, чего и у кого.

Добрый день, в приказе фстэк 239 сначала необходимо делать ТЗ (ЧТЗ), только потом МУ. Как это понимать? Разве не надо для начала определиться с угрозами, только потом приступать к выбору мер защиты?

Читайте внимательней. Разработка организационных и технических мер по обеспечению  безопасности значимого объекта осуществляется субъектом критической информационной инфраструктуры и (или) лицом, привлекаемым в соответствии с законодательством Российской Федерации к проведению работ по созданию (модернизации) значимого объекта и (или) обеспечению его безопасности, в соответствии с техническим заданием на создание значимого объекта и (или) техническим заданием (частным техническим заданием) на создание подсистемы безопасности значимого объекта и должна включать:
а) анализ угроз безопасности информации и разработку модели угроз безопасности информации или ее уточнение (при ее наличии);
б) проектирование подсистемы безопасности значимого объекта;
в) разработку рабочей (эксплуатационной) документации на значимый объект (в части обеспечения его безопасности).
Т.е. ЧТЗ включает в себя требования по разработке МУ. Причём на первом этапе.

да, это 11 пункт 239 приказа, а что тогда из себя представляет 10 пункт? Это только форма направляемая в ФСТЭК России? На мой взгляд, 10 пункт - это и есть ЧТЗ.

ТЗ вещь достаточно гибкая, можно включить туда и разработку МУ. А можно и не включать)) Мне кажется, это не принципиально.
Можете сначала разработать МУ, а потом с учётом угроз готовить ТЗ.
Никто этого не запрещает и строго не регламентирует.
Но логика и методология должны прослеживаться.

Здравствуйте коллеги, хотелось бы узнать о вашем опыте и практике применения 187-фз к локальным системам оповещения.
Правильно ли я понимаю, что согласно критериям значимости любая такая система, радиус действия который охватывает более 500 человек однозначно принадлежит 1 категории?

Добрый день, такой вопрос если мы получили письмо от ФСТЭК что информация о наших КИИ проверена и направлена в ГосСОПКА можно считать что замечаний к нам нет и мы можем переходить к реализации мер по защите по 239 ФСТЭК ?

Да

Спс

10й пункт это не совсем ТЗ. Точнее совсем не ТЗ. 10й пункт это задание требований по обеспечению безопасности. Они задаются на основании требований законодательства (на основании присвоенной категории).

Фактически это чуть ли не перепечатка 239 приказа, но с уточнениями и дополнениями под конкретный объект

И должны учитывать требования еще и других НПА и регуляторов. В общем это единый документ (точнее, раздел в ТЗ) должен быть, похожий на 239й приказ в котором будут отражены все требования законодательства к объекту исходя из его категории, класса, назначения и т.д.

Проект-то документы был не особо содержательный, а уж итог и вовсе на «законодательную заглушку» похож: ПП-743 от 08.06.2019 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи РФ для обеспечения функционирования ЗО КИИ» https://zlonov.ru/kii/пп-743-от-08-06-2019/

более-менее понял, спасибо