Не во всех случаях. Надо уточнять в Перечне сведений, подлежащих засекречиванию. ФСТЭК туда внёс изменения, добавив пункты по КИИ. Их надо читать, анализировать и понимать, подходит ли ситуация, что там описывается, под необходимость засекречивания.

Благодарю, Дмитрий. Интересно насколько данное усмотрение можно растянуть. И как обязать субьект, в случае, если он скажет что-то вроде "такого закон не предусматривает".

Это и есть "информация есть у первого отдела" :)

Большинству субъектов КИИ этот перечень даже читать не положено, потому что он грифованый, а у них лицензии на гостайну нет :)

Коллеги, по-моему вы заигрались в разведчиков:). Как по мне, если законом или иным нормативным актом не предусмотренно. Тогда грифование идёт на усмотрение владельца ОКИИ

Смотрите. Вы либо обязаны засекретить сведения, либо нет. Такая обязанность устанавливается только законом, и пока в нашем случае есть единственный такой закон - это ФЗ-187

Применительно к сведениям о КИИ засекречиванию подлежат сведения, указанные в ведомственных перечнях ФСТЭК и ФСБ. Ведомственные перечни засекречены.

Дабы не вдаваться в щекотливые детали, общее правило:
1. Если у вас есть лицензия на гостайну, но вы не знаете, нужно ли вам засекречивать сведения о КИИ, значит, скорее всего, вам их засекречивать не нужно. Все, кому нужно, уже соответствующий руководящий пендель получили :) Можете для очистки совести уточнить в вашем ТУ ФСТЭК.
2. Если у вас нет лицензии на гостайну, засекречивать сведения о КИИ вы не только не должны, но и не можете :)

Если вы не должны засекречивать сведения о КИИ, то действует ФЗ-149, по которому в отсутствие установленной законом обязанности ограничивать доступ к информации, обладатель сам решает, что с ней делаиь.

Понял. Спасибо большое за развернутый ответ.

Кстати, тоже интересно

имхо первична модель, 239 приказ не отрицает, что она может существовать и потребовать уточнения на этапе разработки мер по защите, 127 ПП определяет что угрозы являются исходными данными для категорирования, ГОСТ Р 51583—2014 прямо указывает, что моделирование угроз осуществляется на этапе обследования системы..

Спасибо!)

Добрый день! Подскажите пожалуйста, если объект КИИ не является значимым, существуют ли какие-то отдельные требования по его защите?

Только если он является ещё чем-то, требующим защиты. Например ИСПДн, ГИС и прочее.

То есть не по требованиям КИИ, а по требованиям ГИС?

Если ГИС, то да. Но по желанию субъекта КИИ можно и 239 приказом руководствоваться. Сугубо по желанию.

Если у вас это ГИС, то да.

Спасибо! А есть ли ссылка на документ, в котором это упоминается?

Упоминается что? В документах сказано, кому обязательно. Всем, кому в явном виде требований не озвучено - не обязательно.

Доброго дня! Господа, никто не знает о судьбе правок в КоАП по КИИ?

149-ФЗ устроит (ст.14)? Из него же ссылка на ПП РФ от 06.07.2015 N 676 идет

В п.2-3 239 приказа есть указание применять Требования к ЗОКИИ, для остальных ОКИИ - по усмотрению.

Неофициально есть методичка АРСИБа, которую можно использовать как шпаргалку. Ссылку не нашла, но могу в личку сбросить документ.

Спасибо за ответы! За методичку буду благодарна