а вот требований к обьекиам кии не взаимодействовать с зарубежными серверами насколько я понимаю - нет. верно?

Для НОКИИ вообще требований не предусмотрено, кроме ограничения информации о КИ зарубеж

я вот смотрю в сторону усточивого функционирования и закона о сувереннои рунете... а так да...

Коллеги, добрый день. На CISO FORUM я своими ушами слышал от представителя ФСТЭК, что подключаться к ГосСОПКе должны все субъекты КИИ, независимо от наличия у них значимых объектов КИИ. Ранее изучая действующие нормативные акты в сфере защиты КИИ я сформировал правовую позицию, что подключаться к ГосСОПКе обязаны только субъекты КИИ, у которых есть ЗОКИИ. Самое смешное, что и я и вышеупомянутый представитель ФСТЭК ссылались на примерно одни и теже пункты нормативных актов ). Разница в том, что представители ФСТЭК используют документированную формулировку: «субъект КИИ обязан информировать об инцидентах», в качестве голословного значения: «субъект КИИ обязан подключиться к ГосСОПКе». Я же предложил требование: «субъект КИИ обязан информировать об инцидентах», выполнять в порядке, описанном в Приказе ФСБ № 282, где документировано, что информировать нужно через форму на специальном web-сайте, если субъект КИИ не подключен к ГосСОПКе. При этом в этом Приказе ФСБ № 282 не указано, что субъект КИИ обязан подключаться к ГосСОПКе (на самом деле косвенно там указано скорее обратное – в этом Приказе приведен порядок согласования с ФСБ схемы размещения средств ГосСОПКа - так вот эта процедура актуальна исключительно при наличии значимых объектов КИИ). Интересно Ваше мнение на этот счет. Наше любимое законодательство в сфере защиты информации - сложное и беспощадное, может я что-то не замечаю/не вижу? )

моя позиция здесь https://t.me/ruporsecurite/318

Терминологическая путаница: два участника дискуссии используют жаргонизм "подключиться к ГосСОПКА", каждый понимает под ним что-то свое, и каждый делает из этого правильный вывод :)

Понятия "подключиться к ГосСОПКА" в нормативке нет. Вы, видимо, понимаете под ним "информировать об инцидентах, используя инфраструктуру НКЦКИ". Если нет ЗОКИИ, такой обязанности у субъекта нет и быть не может.

Второй участник дискуссии понимает под этим просто "информировать об инцидентах". Эта обязанность есть у всех субъектов, это делает работников, ответственных за информирование, частью сил ГосСОПКА, и в этом смысле любой субъект КИИ "подключен к  ГосСОПКА" в смысле "является частью сил ГосСОПКА"

ЗОКИИ не обязан использовать техническую инфраструктуру НКЦКИ

да поставят вам железку, будете траффик на неё зеркалировать и всё. Откуда хайпа столько.

"за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;" Это 187-ФЗ.  Кто нам поставит то ?

Значит за свой счёт прийдётся ещё 1 сервак поставить. Дать не него зеркало и управление НКЦКИ

Респект вам Валерий ! вопрос по теме КИИ:
1. Есть Субъект - по ОКВЭД научная деятельность
2. Есть ФГИС (принадлежит субъекту) - сфера деятельности ветеренария( не относится к сферам деятельности статьи 2, п.8 187 ФЗ)
вопрос, либо пишем, что субъектом являемся и объектов не имеем,
либо не следуем рекомендованной форме ФСТЭК  и категорируем со всеми вытекающими (категория объекта 1 будет)

Звонил во ФСТЭК, говорят ХЗ - пишите письма

если ФГИС  используется для научной деятельности организации, то не важно в какой сфере. ОКИИ в сфере наука.

Субъектом КИИ становятся не по ОКВЭД, а по наличию в собственности ИС, которая функционирует в одной из 13, определенных в законе сфер. Вы уверены, что Вы субъект?

Научная деятельность в ветеринарии - это сфера КИИ (наука).  ОКВЭД не важен сам по себе. Но, если организация научной деятельностью занимается реально и научную деятельность автоматизирует ФГИС,  то область науки (ветеринарияили астрономия) уже не важно. Ключевое - автоматизация научной деятельности организации

Науки ФГИС вообще не касается, только ветеренарии (автоматизация оформления документов)

Если научная деятельность только декларирована в ОКВЭД и реально не осуществляется, а ФГИС заявлена как ветеринарсная, то вы не субъект КИИ.

На всякий случай логично собраться, составить АКТ о том что ОКИИ подлежащих категорированию нет.?

Очень похоже, что ваша организация вообще не субъект.

походу да, но по ущербу если категорировать то 1 категория. Но с законом спорить не будем, значит мы не субъект КИИ. Я аж выдохнул