Я же так и написал;)

А если у субъекта, который работает в одной из сфер, на этапе определения значимых объектов КИИ, таких не нашлось и он не отправлял список во ФСТЭК. Им тоже необходимо отправить эти сведения во ФСТЭК?

на этапе формирования перечня объектов Вы, как субъект, еще не знаете объект значимый или нет. Отсюда вопрос у Вас есть объекты? Отвечаю га Ваш вопрос - форму "сведенья о присвоении категории ..." (236 ПРИКАЗ) необходимо заполнять по КАЖДОМУ объекту.

У нас все объекты, которые могут стать значимыми, принадлежат или региону, или государству. Единственная наша ИС не обеспечивает основную деятельность (бухгалтерия), поэтому не включалась в список. Можно конечно направить во ФСТЭК список с региональными ИС, в которых мы работаем. А в акте написать по каждому объекту: не присвоена категория, т.к. организации не принадлежит данная ИС.

Я даже теперь думаю, лучше так и сделать.

Я вижу логическую ошибку. Сначало Вы должны определиться с перечнем объектов. И уже по ним провести процедуру категорирования. Категория присваивается изходя из показателей. Нет такого показателя - принадлежит ИС Вам или нет.

Субъект должен рассматривать все объекты, которые ему принадлежат на любом законном основании и которые обеспечивают работу КРИТИЧЕСКИХ процессов

На сколько я знаю, никто не запрещает организации предварительно посмотреть объекты по критериям и отбросить те, которые точно не станут значимыми.

Нет, так делать нельзя, так как в ФСТЭК нужно предоставлять информацию и о незначимых объектах (т.е. тех, в отношении которых принято решение (в процессе категорирования) об отсутствии необходимости в присвоении категории).
Таким образом, если проводится категориование, то сначала формируется полный перечень систем, которыми владеет субъект, затем определяются критические процессы, которые выполняет субъект (заметьте, именно субъект, но не его системы), далее определяются системы, которые обрабатывают или обеспечивают такие процессы, именно эти системы и включаются в перечень объектов КИИ, подлежащих категорированию, который необходимо отправить в ФСТЭК.

Нет, не правильно я стал рассуждать. Ещё раз полистал Методика категорирования КИИ (на этот раз обновленную версию), там ещё на пункте о принятии решения является организация субъектом КИИ или нет решается этот вопрос. Если организация ведет деятельность в указанных сферах и работает в ис, которые ей не принадлежат, она не субъект КИИ.

Только не всегда можно понять какие ис принадлежат организации.

Т.е. если оператором медицинской системы является орган власти. То мы уже не субъект кии ? При условии что других систем нет ?

Да. Но это не отменяет того, что орган власти может вам выкатить приличный список требований по подключению, после того как сами категорируются и осознают куда попали.

А сама корпоративная сеть стоит ли ее включать в объекты кии?

Уже были жёсткие разборки в этом чате, по этому поводу. Поищите поиском. Там долго мурыжили эту тему и к однозначному выводу так и не пришли. 😊

Коллеги, добрый день, интересно ваше мнение: является ли распределенная ИС/=АС  ИТКСом.

Как все помнят есть небольшая путаница с понятийным аппаратом в НМД и тд. - ас=ис,  ас/ис,  а тут еще и ИТКС. В 2013 было инф. сообщение ФСТЭК по разъяснению применения терминов АС, ИС,  которое все поняли по разному,  с чем и продолжают жить и трудиться))

Ранее всегда считал что понятие ИТКС в основном касается систем,  основной задачей которых является предоставление услуг связи (например ИТКС провайдеров и тд.). Сейчас возникли споры по этому вопросу.  Интересно мнение, возможно полезные ссылки (вдруг что-то пропустил).

Здравствуйте, коллеги! А если оператором медицинской системы (как информационной системы) является орган власти, а лицензии на медицинскую систему (как на ПО) имеет мед. учреждение и оборудование, на котором установлен МИС (или часть РМИС) находится у него на балансе? В таком случае разве не мед. учреждение категорирует МИС (часть РМИС)? Спасибо!

Я например понял так, что информационная система может быть и не автоматизированной (после загс с их полками бумажными), а автоматизированная может быть не информационной, много лет использую термин аис 😊. Иткс я бы применил если бы обладал каналами телекоммуникации (лицензия на телеком)

Вопрос, что вы понимаете под оборудованием. Если на балансе компьютеры, с которых происходит подключение, это одно. Если реально система распределенная и у мед. учреждения сервера с данными, с которыми оно что-то делает - другое. Со вторым, думаю, вопросов нет. С первым сложнее. Недавно обсуждали уже и к единому мнению так и не пришли. Сугубо мое личное мнение - нет, категорирует не мед. учреждение, а орган власти (по первому варианту).

Нет вы будете оператором, но все что связано с кии будет делать тому кому на праве сосет илм на другом законо праве пренадлежит система