https://www.securitylab.ru/blog/personal/valerykomarov/346554.php?R=1 если кто не читал...

Коллеги, добрый день! Хотелось бы посоветоваться в тонкостях формулировок. Вопрос такой: если в ГосСопку мы передаем "компьютерный инцидент, произошедший на объекте КИИ" насколько корректно остальные инциденты ИБ назвать "инцидент ИБ, произошедший не на объекте КИИ"?

Точнее мы передаем "сведения о КИ или атаке, в т.ч. идентификационные сведения об ИР, на котором произошел инцидент (имеется в виду, что ИР относится к объекту КИИ)

Товарищи, здравствуйте. Подскажите, пожалуйста, при определении является организация субъектом кии или нет стоит смотреть только основной вид деятельности или доп.виды тоже?

У вас ИС для этих видов деятельности есть? Или они (виды) просто в устав вписаны и реально в этих областях вы не работаете?

кейс такой. Организация занимается геологоразведочными работами (основной вид деятельности), а также в доп.видах деятельности указана добыча нефти и газа(но нефть не добывает, АСУ ТП нет, собственного производства нет).
Является ли организация субъектом кии?

Если ИС в соответствующих сферах нет, то не субъект. Геологоразведка не входит, если я не путаю. А что за кейс и откуда?

Кейс - попросили как безопасника помочь с данным вопросом, но с КИИ я не работал.
На сколько я знаю геологоразведка в топливно-энергетический комплекс не входит, поэтому вопрос именно в том, что указана как доп.вид деятельности добыча нефти, но ею не занимаются в конторе

Дословно в 187-ФЗ звучит как-то так: "имеющие ИС, функционирующие в областях..." Т.е., даже если бы даже занимались добычей нефти вручную, то не Субъект. Если не занимаются - тем более.

Геологоразведка может входить в горнодобывающую сферу, чисто теоретически. Но, все равно, основной критерий отнесения организации к субъекту КИИ - это наличие ИС, АСУ, ИТС в сферах. Анализ по видам деятельности является лишь первичным. Если по результатам этого анализа есть подозрения, что организация может относится к субъектам - необходимо проводить анализ наличия ИС, АСУ, ИТС в сферах

В ППРФ нет разделения на основные и дополнительные виды деятельности. Там указано просто "процессы в рамках видов деятельности"

Ну, геологоразведка она может и в нефтяной и горнодобывающей. В целом вопрос входит в ТЭК или нет...

Судя по вашему описанию, я бы сделал вывол, что есть риск, что компания будет субъектом и необходимо проводить анализ наличия систем в сферах

Ну если так широко трактовать, то ИТ сейчас почти в любой отрасли есть. Но это не делает ИТ компании субъектами КИИ. Геологоразведка не является обязательной и неотъемлемой составляющей этих сфер. Она может быть, а может и не быть. Поэтому, я бы не стал так широко трактоввать 187-ФЗ.

Ясно, спасибо за мнения

Здравствуйте, подскажите пожалуйста на что можно сослаться . У меня в больнице хотят "1С бухгалтерия" отнести к КИИ. Как всем доказать что 1С не относится к КИИ?

Вам надо придумать обоснование, чтобы не включать эту ИС в Перечень объектов КИИ, подлежащих категорированию. Самый верный способ, как мне кажется, обосновать, что данная система никаким образом не обрабатывает критические процессы, характерные для Вашего учреждения.

в том то и дело что это не ИС. 1С это просто дистрибутив. ИС у нас нету , у нас только "вэб морда" а сама ИС с базами в казначействе. но для начальства это пустые слова, им нужна бумага, вот я и думаю кому написать запрос.

ФСТЭК вряд ли даст ответ , поскольку мы сами должны дать ответ.

Такая вещь, что субъекты КИИ сами решают, что включать в Перечень ОКИИ, подлежащих категорированию. Поэтому здесь Вам ФСТЭК вряд ли поможет. Они никак не проверяют то, что им присылают в этом Перечне. Они только потом сверят, что субъект провёл категорирование именно тех объектов, которые были заявлены.
Ещё такой нюанс.
У вас просто дистрибутив или Вы раскатили (инсталлировали) то, что в нем было, и пользуетесь? Опять же, смотрите кто является владельцем, так как включать в перечень и категорировать надо те системы, которыми Вы владеете. Вы можете пользоваться системой, но не владеть ею.