ВС
Nick Y
Если вы входите в одну из 13 сфер, охватываемых 187-фз, то ваше мнение не играет никакой роли
В законе не сказано про входит ли организация в те или иные сферы. В законе сказано про наличие ИС/ИТС/АСУ в сферах
Size: a a a
2019 September 05
AV
Коллеги, подскажите, какой пакет документов отправляется во фстэк при присвоении категорий значимости утвержденному перечню окии?
R
Alexey Viktorovich
Коллеги, подскажите, какой пакет документов отправляется во фстэк при присвоении категорий значимости утвержденному перечню окии?
Заполненная и подписанная руководителем субъекта Форма сведений согласно 236 приказу ФСТЭК
R
Плюс высылаете в электронном виде в установленном формате
NY
Владимир Суворов
В законе не сказано про входит ли организация в те или иные сферы. В законе сказано про наличие ИС/ИТС/АСУ в сферах
Все правильно
AV
В случае же проверки будут смотреть всю сопроводительную документацию (показывающую, как определялись категории значимости)?
NY
Alexey Viktorovich
В случае же проверки будут смотреть всю сопроводительную документацию (показывающую, как определялись категории значимости)?
Будут, причем все делается комиссионно
I
А там же и в форме обоснования по определению категории должны быть?)
2019 September 06
Z
Приветствую! Коллеги, подскажите, если ни один процесс организации не соответствует ни одному показателю критериев значимости, то как зафиксировать отсутствие критических процессов и информировать об этом ФСТЭК? И вообще является ли данный подход при определении критических процессов верным?
A
Zheka
Приветствую! Коллеги, подскажите, если ни один процесс организации не соответствует ни одному показателю критериев значимости, то как зафиксировать отсутствие критических процессов и информировать об этом ФСТЭК? И вообще является ли данный подход при определении критических процессов верным?
Если процессы организации не соответствуют показателям, то так и пишите, что показатель не применим в отчётной форме из 236 приказа, которую необходимо будет направить в ФСТЭК.
Отдельный вопрос в том, что есть ли у субъекта критические процессы или нет. Если их нет, то, скорее всего, и заявлять объекты КИИ на категорирование не надо.
Отдельный вопрос в том, что есть ли у субъекта критические процессы или нет. Если их нет, то, скорее всего, и заявлять объекты КИИ на категорирование не надо.
Z
Если процессы организации не соответствуют показателям критериев значимости, следовательно нет критических процессов, следовательно нет объектов КИИ.
Z
Как субъекту КИИ уведомить об этом регулятора. Форма из 236 приказа используется как результат категорирования объектов КИИ. Объектов то нет
A
Не путайте. Субъекты КИИ сначала должны понять есть ли у них ОКИИ, подлежащие категориованию, и только затем субъекты КИИ смотрят на показатели критериев значимости. Т.е. на наличие или отсутсвие объектов КИИ, подлежащих категорированию, соответсвии организации показателям критериев значимости не влияет.
Есть несколько позиций в этом деле.
Одна позиция - заявлять на категориование все ИС/ИТС/АСУ субъекта КИИ.
Другая - заявлять на категорирование только те ОКИИ, которые обрабатывают критические процессы.
Соотвественно, выберите один из этих подходов, определитесь с тем, есть ли Вам, что надо категорировать, уведомите ФСТЭК, если Вам есть, что категорировать, далее смотрите на показатели критериев значимости.
Есть несколько позиций в этом деле.
Одна позиция - заявлять на категориование все ИС/ИТС/АСУ субъекта КИИ.
Другая - заявлять на категорирование только те ОКИИ, которые обрабатывают критические процессы.
Соотвественно, выберите один из этих подходов, определитесь с тем, есть ли Вам, что надо категорировать, уведомите ФСТЭК, если Вам есть, что категорировать, далее смотрите на показатели критериев значимости.
Z
Я выбираю позицию Другая. Созданная комиссия определяет, основываясь на показателях критериев значимости, что в организации отсутствуют критические процессы. Значит объектов КИИ, которые обеспечивают такие процессы, тоже нет.
A
Оформите это документально. Храните эту бумажку. Направлять информацию об этом в ФСТЭК не надо.
Z
Ок. Спасибо
К
Zheka
Я выбираю позицию Другая. Созданная комиссия определяет, основываясь на показателях критериев значимости, что в организации отсутствуют критические процессы. Значит объектов КИИ, которые обеспечивают такие процессы, тоже нет.
но объекты у вас все равно могут быть, которые не будут иметь категории
Z
но объекты у вас все равно могут быть, которые не будут иметь категории
Это почему? Критических процессов нет
К
на какой пункт закона вы ссылаетесь говоря о "критических" процессах?
Z
ПП 127 п.5