1. Исполнение 282го приказа ФСБ от категорирования не зависит никак от слова "совсем". От того, что вы не включили ИС в перечень, она не перестала быть объектом КИИ, и от обязанности сообщать об инцидентах вас это не освобождает. В перечень включаются объекты КИИ, которые потенциально могут оказаться значимыми, только и всего.

2. Если вы направили перечень, затем категорировали "лишние" ИС, как незначимые, то сведения о них легли в архив ФСТЭК и больше нигде не фигурируют.

Если вы направили перечень, потом написали "ой, мы тут по глупости много лишнего написали" и исключили это лишнее, сведения об этих системах тоже нигде не фигурируют.

Результат в обоих вариантах одинаков. Зато во втором варианте вангую геморрой с объяснениями, почему это вам так резко расхотелось категорировать стстемы, которые вы совсем недавно считали нуждающимися в категорировании :)

У меня в ТЗ прописано, что я должен сделать модель угроз и описать какими средствами я закрываю угрозы, но заказчик оговорил, что средства защиты должны быть подобраны с учетом 1 категории по 127 ПП. Я же при моделировании угроз пользуюсь "методикой  определения актуальных угроз",  а на нее идет ссылка из 31 приказа ФСТЭК. Значит все таки 31й приказ использовать?

У вас в ТЗ написана глупость. 239й приказ относится к значимым объектам КИИ, 31й приказ - к АСУ ТП, которые не являются значимыми объектами КИИ. Система не может одновременно и быть, и не быть значимым объектом, поэтому к ней может применяться только один из этих двух приказов.

Но так как у вас объект КИИ 1й (наивысшей) категории, а оба приказа содержат одинаковый набор мер безопасности, выполняя 239й вы одновременно выполняете и 31й.

А как можно сравнить категории ОКИИ и УЗ ИСПДН? 😳

А сравнивать категории ОКИИ и УЗ ПДн и не надо.  Необходимо лишь выбрать набор мер защиты, соотвествующий либо наивысшей категории, либо наивысшему УЗ. Т.е. сравнивать надо составы мер защиты. Соотвественно, кмк, если ЗОКИИ является ИСПДн, для которой был установлен УЗ 1, но категория оказалась 3, то, по крайней мере, базовый набор мер защиты информации будет выбираться из 21 приказа ФСТЭК для установленного УЗ (при этом категория значимости никуда не девается). Тем более, на ряде прошедших публичных мероприятиях, по моему, представителями ФСТЭК России озвучивалась мысль, что они хотят привести все составы мер защиты, которые можно увидеть в 17, 21, 31 и 239 приказах, к единому, так сказать, знаменателю

Добрый день. Подскажите пожалуйста, категорирование объектов кии провели, сведения отправили, ответ получили. Вопрос следующий, если сменился оператор связи и один из маршрутизаторов, нужно ли вносить какие нибудь изменения в акты категорирования и отправлять об этом информацию во фстэк? Объект не имеет категорию значимости.

Если у объекта изменились сведения о подключении к сетям электросвязи ( эти данные в 3 разделе в 236 форме), то необходимо направить. Эти сведения нужны госсопке.

Спасибо

добрый день, вот есть у нас в юольнице ИС 1С: Больничная аптека, будет ли она относится к объектам кии, если не подходит под  критерии значимости?

К объектам да

почему?

лекарства выдадут пациентам в любом случае, без средст автоматизации зафиксируют обработку.

Определение обьектов почитайте. Все что автоматизирует деятельность, подпадающую под регулирование законом, является объектом

То что он не критичен это отдельная песня

госспока ляжет на него?

Про госсопку не скажу

Шар для чтения мыслей подсказывает, что речь идет об обязанности сообщать об инцидентах. Да, ляжет

А какая взаимосвязь Госсопки и фстэк? Процесс направления во фстэк форм сведений с изменениями не урегулирован. Если категория не поменялась или не прошло 5 лет с момента категорирования, то направлять ничего во фстэк не надо, в документах фстэк не требуется обновлять данные форм.

Даже для значимых объектов правила категорирования этого не требуют. А по незначимым объектам ФСТЭК информацию не хранит вообще.

Если вы получали уведомление о приеме сведений по категорированию, то видели в конце ответного письма приписку. Что сведения проверены и направлены в госсопку. Согласна, можно ждать пять лет. За это нет никаких штрафов и т.д. но обновление этих сведений в ваших интересах. Потому что если на провайдера, например, будет идти атака, которая может на вас повлиять, вас предупредят и скажут, что делать. А если сведений нет, нет и реакции. Как в поговорке. Сено за лошадью не бегает