11.2. По решению руководителя субъекта критической информационной инфраструктуры, имеющего филиалы, представительства, могут создаваться отдельные комиссии для категорирования объектов критической информационной инфраструктуры в этих филиалах, представительствах.

В филиале может быть создана полноценная самостоятельная комиссия. В этом случае головной офис только координирует ее работу и контролирует ее решения

Спасибо большое

Доброго времени суток! Поделитесь опытом пожалуйста.
Как убедить руководство в том что лучше бы нам прокатегорироваться если предприятие, по мнению владельца, к КИИ не относится?

Зачем вам категорироваться если вы не субъект КИИ?
Если хочется повысить уровень ИБ, можете просто выполнить для своих систем все (или выборочно) требования из 235 и 239 приказа  ФСТЭК. Это не запрещенно.

Понимаете в чем дело, я как ответственное должностное лицо, считаю что мы именно субъект КИИ. Но сталкиваюсь со стеной непонимания или нежелания "тратить бюджет непонятно на что", в лице руководства.

Какая ваша главная цель: защитить системы или выполнить требования закона, который еще возможно на вас не распространяется?

Служебку на руководство, а копию себе. На всякий случай.

В вашем вопросе нет общих подходов, все индивидуально.
Оценивайте возможные последствия, считайте риски, прикидывайте стоимость  реализации тех или иных решений.
Оформляйте и доводите до уководства, применяя все свои способности  убеждения, актерское мастерство и т.п.

Если коротко, то вы можете только дать руководству полезный совет, а в целом этот вопрос, скорее всего выходит за рамки ваших оьязанностей.

В терминах нормативки по КИИ вы - не ответственное лицо. Нормативка (приказ 235, п. 8) говорит, что ваш работодатель может уполномочить вас обеспечивать безопасность значимых объектов КИИ), а до этого момента за это отвечает руководитель вашей организации. Он же отвечает за создание комиссии по категорированию (постановление 127, п. 11).

И если в вашем трудовом договоре не указана трудовая функция "информировать руководство об изменении законодательства по вопросам информационной безопасности", ваш вопрос даже не входит в ваши трудовые обязанности.

Это формальная сторона вопроса. Неформально, как неравнодушный человек, вы свой гражданский долг выполнили - руководство проинформировали. Можно сделать следующий шаг - проинформировать прокуратуру, но это, наверное, перебор :)

Сообщите руководству о возможных последствиях (штрафы , ответственность ) с указанием конкретных статей

Не предусмотрено ответственности за неотнесение организации к субъекта КИИ

Да. Только в случае инцидента неотнесение к КИИ не освобождает от ответственности за инцидент. И КИИ или не КИИ, в этом случае, будет решать уже следствие.

Зато освобождает от большого объёма трудозатрат и экономии бюджета, а так же от госконтроля надзорных органов

В чем заключается большой объем трудозатрат и бюджета в случае, если признать КИИ, но незначимым? Составить пару бумажек и потратиться на 2 конверта с марками?

А вы гос или комерс?
Если комерс, то вам пока даже перечень объектов во ФСТЭК направлять необязательно. Точнее, пока не определена крайняя дата для этого мероприятия.

Все организационные вопросы лежат на плечах Вашего руководителя, если он считает, что организация не субъект КИИ, то это его управленческая воля. Со своей стороны Вы можете (на всякий случай), как было указано выше, письменно информировать руководство, если такое уведомление вызывает какие-то сложности, то старайтесь публично это заявлять, чтобы было много свидетелей, либо чтобы это было зафиксировано на аудио или видео.

Благодарю за советы, вы меня успокоили!

Прежде, чем категорироваться, я бы настаивал на обследовании. Стоит не дорого, но все вопросы у вас и у руководства снимутся.

Добрый день! Посоветуйте, пожалуйста.
Если в небольшой организации (до 300 пользователей), субъекте кии, есть значтмые объекты кии, то надо организовать взаимодействие с госспокой. Подскажите, для выявления инцидентов siem обязательна, или есть альтернативы ?