Я на самом деле приверженец простой логики. Есть пункт 5, в котором по сути написано, что нужно сделать, чтобы сформировать перечень объектов и провести категорирование этих самых объектов. Придет проверка и спросит - как вы определили перечень процессов в рамках исполнения своих функций и как вы выявили их этого перечня критические процессы? Поэтому я и считаю что должен быть документ, в котором будет это все прописано. Не отдельный документ конечно, это все можно описать в том же перечне объектов или акте заседания комиссии по категорированию.

Такое чрезмерное бумажное оформление, возможно, имеет смысл. И это точно имеет смысл в государственных организациях, где без бумажки, как говорится,...
Но проверка по КИИ осуществляется только в отношении субъектов КИИ со значимыми объектами КИИ (ст. 13 187-ФЗ).

235 приказ ФСТЭК, глава 2.
Правда там нет чёткой привязки к термину администратор безопасности

Спасибо

А в чем чрезмерность? Это обычная работа комиссии. Посидели, поговорили, подумали, решили и зафиксировали.

У субъекта нет прямой обязанности готовить какие-либо ещё документы, кроме вышеозначенных. Однако, в каждой организации могут быть свои правила документооборота, в которых могут предусматриваться разные модели. Где-то это может быть протокол заседания, где-то акт, где-то члены комиссии просто нажмут кнопочку «за» или «против». Но, в любом случае, это все внутренние дела субъекта КИИ.
В итоге, что получается. Обязанности готовить некое заключение у субъекта нет, предоставлять эту информацию кому-то ещё - аналогично. Но это и не запрещается.

Здравствуйте! Не подскажите где посмотреть обязанности администратора зокии и администратора безопасности зокии?

Только названием объекта защиты

Добрый день, коллеги! Поделитесь опытом выделения объектов КИИ. Есть локалка, ИС, часть компов работает в ИС, часть просто с файлообменником, сервер один с виртуалками. Нужно ли выделять локалку в отдельный объект (ИТКС)? Если да то как при этом делить что ИС, а что локалка? Нужен совет.

Добрый день! Подскажите пожалуйста крайние сроки категорирования КИИ не изменились?

До 1 сентября не успеваем. 😔 Какие наказания, если не в срок?

1 сентября обязательно для гос и рекомндуемо для бизнеса

А для бизнеса есть срок перетекаемо из рекомендуемого в обязательно ?

Присоединяюсь

Как вы вообще приходите к мыслям что вы владелец ИТКС? Просто интересно... Я вот читаю ст. 15 149-ФЗ,и вижу что речь явно не о ЛВС, ИТКС - это сети эксплуатируемые в соотвествии с законом о Связи, имхо это означает наличие лицензии на эту деятельность.

Объекты следует выделять из процессов, которые существуют в вашей организации и сети, в частности, а не только "по железу"

А то вот в секторе здравоохранения, довольно часто слышу 2019, 2022, 2025 бизнесу медицинскому подключаться к ГИС / ЕГИСЗ, но я себе слабо представляю как бизнес смогут убедить передавать какие-то данные. С КИИ конечно намного все проще, но хочется чёткой постановки вопроса, обязаны, а не рекомендуется.

УФСТЭК всячески склоняло всех-всех определиться до 1 сентября через разного рода комитеты, собрания, заседания и иже с ним

Субъектам критической информационной инфраструктуры - государственным органам и государственным учреждениям утвердить до 1 сентября 2019 г. перечень объектов критической информационной инфраструктуры, подлежащих категорированию.

Только перечень до сентября.

Локалка не есть иткс. Определение иткс есть в 149-фз (ст. 2), применимо к вам, если вы под фз о связи попадаете, ис определение есть в той же статье, ключевым здесь является словосочетание "база данных". Если у вас на сервере бд нет, а есть просто некий арм для передачи информации, например, то вы не обладаете ис, вы ее пользователь