АС
если у вас нет объектов КИИ, то вы не субъект КИИ.
А я на методсборе со ФСТЭКом слышал противоположное мнение - субъекты КИИ без объектов бывают.
Size: a a a
2019 October 08
ТД
если у вас нет объектов КИИ, то вы не субъект КИИ.
Ну, тут как закон почитать, субъект КИИ - госорганы ...., учреждения..., юрлица, корторым на и праве собственности и .... принадлежат ИС, ИТКС, АСУ, функционирующие в этих самых сферах. Про объекты КИИ тут не слово. У субъектов КИИ могут быть информационные системы, функционируюшщие в этих сферах, но не относящиеся к ОКИИ. Так?
V
Александр Станкевич
А я на методсборе со ФСТЭКом слышал противоположное мнение - субъекты КИИ без объектов бывают.
бывыют, если у них электросети.
A
если у вас нет объектов КИИ, то вы не субъект КИИ.
Это противоречит понятиями субъект и объект КИИ, так как в соответсвии с 187-ФЗ субъект КИИ - это организация, которая владеет ИС/ИТС/АСУ, функционирующей в одной из 13 заветных сфер. Указания о том, что субъект КИИ - это тот, кто владеет объектом КИИ, в определении из 187-ФЗ нет. Да, есть ещё вариант, что субъект КИИ - это тот, кто обеспечивает взаимодействие указанных выше ИС/ИТС/АСУ, но это не относится к рассматриваемой ситуации.
A
Ну, тут как закон почитать, субъект КИИ - госорганы ...., учреждения..., юрлица, корторым на и праве собственности и .... принадлежат ИС, ИТКС, АСУ, функционирующие в этих самых сферах. Про объекты КИИ тут не слово. У субъектов КИИ могут быть информационные системы, функционируюшщие в этих сферах, но не относящиеся к ОКИИ. Так?
Да, все верно. Объектами КИИ являются ИС/ИТС/АСУ субъекта КИИ. Как видно, определение объекта КИИ не содержит привязки ни к одной из 13 сфер, которые упоминаются в определении понятия субъект КИИ, т.е. чтобы некоей ИС/ИТС/АСУ стать объектом КИИ, ей надо просто принадлежать субъекту КИИ.
ТД
user
Все верно. Но если почитать эту статью у автора есть два подхода. Один более лояльный, которым вы воспользовались, второй более серьезный "К критическим относятся те процессы, которые обеспечивают основные виды деятельности субъекта. Основные виды деятельности субъекта, как правило, содержатся в его уставных документах. Если следовать данному подходу, субъекту необходимо проанализировать устав и ЕГРЮЛ и выделить в нем виды деятельности, задекларированные как основные. Далее для составления перечня объектов КИИ, подлежащих категорированию, следует определить, какие объекты участвуют в автоматизации указанных видов деятельности".
ТД
Я так понимаю в условиях нормативной неопределенности, можно вполне основываться на этих двух подходах
u
Ещё вопрос.
Надо ли отправлять во фстэк письмо об отсутствии окии?
Надо ли отправлять во фстэк письмо об отсутствии окии?
A
user
Ещё вопрос.
Надо ли отправлять во фстэк письмо об отсутствии окии?
Надо ли отправлять во фстэк письмо об отсутствии окии?
Нет. На этот счёт было соответствующее информационное сообщение: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/1668-informatsionnoe-soobshchenie-fstek-rossii-ot-24-avgusta-2018-g-n-240-25-3752
u
Благодарю!
D
user
Коллеги!
Мы ВУЗ.
Рассмотрели перечень процессов, связанных с обработкой информации в сфере науки.
В рамках ВУЗа не выявили ни одного критического процесса, несмотря на наличие НИИ.
ВОПРОС:
Возможно ли сделать вывод о том, что субъект КИИ не имеет объектов КИИ, в связи с отсутствием критических процессов?
В оквэде сфера науки имеется.
Мы ВУЗ.
Рассмотрели перечень процессов, связанных с обработкой информации в сфере науки.
В рамках ВУЗа не выявили ни одного критического процесса, несмотря на наличие НИИ.
ВОПРОС:
Возможно ли сделать вывод о том, что субъект КИИ не имеет объектов КИИ, в связи с отсутствием критических процессов?
В оквэде сфера науки имеется.
Вы пишите про критические процессы, но это уже этап категорирования, а не определения субъект-не субъект.
Так как у вас есть сфера науки по ОКВЭД, то сначала посмотрите есть ли у вас какие-то ИС, которые так или иначе задействованы в автоматизации научной деятельности (в понятиях 127-ФЗ: фундаментальные, прикладные, поисковые научные исследования). Если такую систему найдете, то де-юрэ по 187-ФЗ вы субъект, далее уже берете 127ПП и идете по категорированию, в том числе смотрите процессы. Если не нашли - у вас нет ОКИИ, подлежащих категорированию
Так как у вас есть сфера науки по ОКВЭД, то сначала посмотрите есть ли у вас какие-то ИС, которые так или иначе задействованы в автоматизации научной деятельности (в понятиях 127-ФЗ: фундаментальные, прикладные, поисковые научные исследования). Если такую систему найдете, то де-юрэ по 187-ФЗ вы субъект, далее уже берете 127ПП и идете по категорированию, в том числе смотрите процессы. Если не нашли - у вас нет ОКИИ, подлежащих категорированию
V
В 187-ФЗ нет никаких исключений по категорированию для ОКИИ. А ПП127 не определяет ЧТО категорировать,а определять КАК категорировать.
u
Вы пишите про критические процессы, но это уже этап категорирования, а не определения субъект-не субъект.
Так как у вас есть сфера науки по ОКВЭД, то сначала посмотрите есть ли у вас какие-то ИС, которые так или иначе задействованы в автоматизации научной деятельности (в понятиях 127-ФЗ: фундаментальные, прикладные, поисковые научные исследования). Если такую систему найдете, то де-юрэ по 187-ФЗ вы субъект, далее уже берете 127ПП и идете по категорированию, в том числе смотрите процессы. Если не нашли - у вас нет ОКИИ, подлежащих категорированию
Так как у вас есть сфера науки по ОКВЭД, то сначала посмотрите есть ли у вас какие-то ИС, которые так или иначе задействованы в автоматизации научной деятельности (в понятиях 127-ФЗ: фундаментальные, прикладные, поисковые научные исследования). Если такую систему найдете, то де-юрэ по 187-ФЗ вы субъект, далее уже берете 127ПП и идете по категорированию, в том числе смотрите процессы. Если не нашли - у вас нет ОКИИ, подлежащих категорированию
Спасибо!
По ППРФ 127 интересно получается:
П. 5:
Категорирование включает в себя:
а) определение процессов;
б) выявление управленческих, ..., процессов, прекращение которых могут привести к негативным последствиям;
в) определение ОКИИ;
г) формирование перечня ОКИИ, подлежащих категорированию;
д) оценку в соответствии с перечнем показателей критериев значимости;
е) присвоение каждому из ОКИИ одной из категорий, либо отсутствии необходимости присвоения категории.
Итого.
а) определил процессы;
б) выявил отсутствие процессов, прекращение которых может привести к негативным последствиям;
в) определил отсутствие ОКИИ;
г) формировать перечень ОКИИ подлежащий категорированию не представляется возможным;
д) - ;
е) - .
Верная логика?
Небольшой резонанс, что одним из мероприятий категорирования ОКИИ является формирование перечня ОКИИ, подлежащих категорированию (г).
По ППРФ 127 интересно получается:
П. 5:
Категорирование включает в себя:
а) определение процессов;
б) выявление управленческих, ..., процессов, прекращение которых могут привести к негативным последствиям;
в) определение ОКИИ;
г) формирование перечня ОКИИ, подлежащих категорированию;
д) оценку в соответствии с перечнем показателей критериев значимости;
е) присвоение каждому из ОКИИ одной из категорий, либо отсутствии необходимости присвоения категории.
Итого.
а) определил процессы;
б) выявил отсутствие процессов, прекращение которых может привести к негативным последствиям;
в) определил отсутствие ОКИИ;
г) формировать перечень ОКИИ подлежащий категорированию не представляется возможным;
д) - ;
е) - .
Верная логика?
Небольшой резонанс, что одним из мероприятий категорирования ОКИИ является формирование перечня ОКИИ, подлежащих категорированию (г).
V
В 187-ФЗ нет никакой привязки к процессам. Если нарушение функционирования ОКИИ не приводит к негативным последствиям (определенным правительством), то ему не присваивается категория значимости. Не предусматривает 187-ФЗ каких-либо ОКИИ, которые не подлежат категорированию.
A
В 187-ФЗ нет никакой привязки к процессам. Если нарушение функционирования ОКИИ не приводит к негативным последствиям (определенным правительством), то ему не присваивается категория значимости. Не предусматривает 187-ФЗ каких-либо ОКИИ, которые не подлежат категорированию.
То есть категорируем все ИС/ИТС/АСУ субъекта КИИ?
V
То есть категорируем все ИС/ИТС/АСУ субъекта КИИ?
категорируем все объекты КИИ у субъекта КИИ
A
Объект КИИ - это ИС/ИТС/АСУ субъекта КИИ. Это все его ИС/ИТС/АСУ или какие-то особенные?
M
Разве не только те которые функционируют в указанных в ФЗ сферах
АС
категорируем все объекты КИИ у субъекта КИИ
т.е. у вас перечень ОКИИ будет состоять из всех ИС/ИТС/АСУ ? :)
AI
А про процессы?