Приказ ФСТЭК России от 22.12.2017 N 236 (ред. от 21.03.2019) "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий" (Зарегистрировано в Минюсте России 13.04.2018 N 50753) п.1.3 "Сфера (область) деятельности, в которой функционирует объект, в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Вывод - ИС/АСУ/ИТКС функционирующие исключительно в 13 сферах

Ну именно что в 13 сферах а не прям все же

перед 236ым идет 127ое ПП. В котором говорится, что перечень ОКИИ составляется только из ИС/ИТС/АСУ, которые обеспечивают критические процессы.

Приказ ФСТЭК, как и ПП не может ограничить круг объектов КИИ, который установлен Федеральным законом. Тем более, что читать 236 ПФ необходимо на самом завершающем этапе категориования.

Нет. Этот приказ прямо прописан в 187-ФЗ, а не через ПП127. В соответствии с пунктом 3 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Почему тогда высшие органы режут перечени и говорят, что вот эти писать не надо т.к. они не обеспечивают критические процессы

В пп 127 просто чётко сказано какой перечень мы отправляем в ФСТЭК.

Добрый день! Если идти по вашей логике, то процедуру категорирования необходимо выполнять в отношении всех систем субъекта КИИ, в том числе и в отношении систем, которые ее относятся ни к одной из 13 сфер. Потому что в 187-ФЗ в статье о категорировании нет деления объектов на функционирующие в сферах и не функционирующие. А то что в форме ФСТЭК-236 есть поле о сфере функционирования - ни о чем не говорит. Его можно заполнить словами: "не функционирует ни в одной из 13 сфер", например. Однако, как мне кажется, все-таки прр категорировании стоит придерживаться оценки рисков и порядка, определенного 127ППРФ (все-таки не зря же его писали).

Видел ответ ФСТЭК о том, что в перечень объектов КИИ включена ИСПДн органа исполнительной власти субъекта, сфера действия которого не относится к 13 заветным.

О том, что регулятор не включал в перечень какие-то ИС, АСУ, ИТКС не слышал.

Поделитесь информацией - что конкретно отказались включать в реестр?

Не фстэк, а орган с которым до фстэка согласовывали перечень.
СМАДы

Сферы же не относятся к определению объеков, они для определения субъектов. Критерий отбора ис/асу/иткс как ОКИИ - наличие критического процесса

Нет. Этого нет в 187-ФЗ.  А область действия ПП127 жестко задана в 187-ФЗ

Коллеги, для общего понимания. Есть ли среди нас регуляторы, или это только полемика?)

В чате, скорее всего, есть. Но в полемику они не вступают.

Мне кажется, что даже если есть, это все-равно только полемика) Официального мнения регулятора тут точно никто не выскажет)

А даже если и выскажет, то высказывания в рамках чата, никак нельзя считать "официальным мнением"

у каждого регулятора определена зона полномочий и ответсвенности. Не существует регулятора, который сможет ответить на данный вопрос. Была попытка прописать полномочия ФСТЭК по разъяснению применения ПП127, но их убрали при утверждении. А по 187-ФЗ есть прямые официальные ответы ФСБ и ФСТЭК, что они не имеютполномочий по его трактовке

Я говорил о принципе подхода к категорированию, ключевой момент наличие критических процессов (в определении пп127)

Принцип подхода к категорированию задан в ст.7 187-ФЗ "1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения." Все остальное самодеятельность, не имеющаю законного основания.

Посмотрите, какие полномочия дает ФЗ правительству, и почитайте п.3,4,5 пп127