Как вариант, собраться руководящим составом организации и документально это решить, дескать, так как в собственности Рога и копыта нет информационных систем (автоматизированных систем управления, информационно-телекоммуникационных сетей), функционирующих в сферах, определенных п. 8 ст. 2 187-ФЗ, то Рога и копыта не является субъектом КИИ.

Зашёл на сайт НКЦКИ
Стало плохо
Кто ещё видел это безобразие? Поделитесь ощущениями.

Что там?

Передача данных по незащищённому каналу связи. ФИО, должность, название компании, информация об инциденте.

а вы не пробовали еще сообщать о событиях по телефону? Рекомендую )) они там забавные вообще ни знают что с этими обращениями делать

Спасибо за канал, выяснил, что не КИИ. Жаль покидать вас, поэтому не буду)

Из практики, если вы утвержденном актом удостоверяете, что вы не субъект КИИ, то это ничего не означает, через ФСБ/ФСТЭК можно сделать обратное заключение, которые будет использоваться в следствии и т.п.

И много такой практики?

Я тоже так считаю. Но у регуляторов иное мнение :)

Вы путаете "средства, предназначенные для обнаружения и т.п." и "средства поиска признаков компьютерных атак". Железка под управлением НКЦКИ - это второе, а для реализации тех же требований ФСТЭК по реагированию на инциденты, скорее всего, придется использовать первое, причем исключительно самостоятельно

Небольшие 5 коп, хотя это старый холивар. Недавно был  во ФСТЭК (как раз на предмет обсуждения методики категорирования) - их позиция итоговая, что субъект КИИ - это тот, кто работает в одной из сфер И имеет ИС, АСУ, ИТКС. То есть определение не через системы.
Обсуждали со ссылкой на текст ФЗ - ответ, что прочтение должно быть таким, а остальное - заблуждение, спрашивать и разбираться будут так.
Дальше больше - было сказано, что при определении субъект или нет достаточно ориентироваться только на основной вид деятельности.

В общем сам немного недоумеваю, но инфа из первых рук

Ну это логично, если организация работает в одной из сфер и у неё есть ИС,ИТС,АСУ, то эти системы или сети автоматически в этой сфере.
Ведь организация работает в сфере, а значит у неё есть процесс в этой сфере, который может быть автоматизирован этой системой.
Другой вопрос в том, что наличие вида деятельности по ОКВЭД, ещё не значит, что он выполняется.

не правильно, у меня сфера науки по оквэду, а в реале я ИБ по ветеренарии

При этом тут уже 100 раз обсуждалось, что субъекты могут быть без объектов)

Да, очень рекомендую. Сначала звонок по оф контакту во ФСТЭК по вопросам КИИ и плюс оф запрос

Я, кстати, не поддерживаю эту точку зрения. Ведь субъект КИИ - это тот, кому принадлежит хотя бы одна ИС, АСУ, ИТС из заветной сферы. А значит хотя бы один объект КИИ будет.

Согласен. Но за бортом остаются варианты, когда ИС есть, но компания не работает в сфере де-юре

Они за бортом по мнению ФСТЭК, но не по букве закона, согласно которой не организация должна быть в сфере, а система.

Предложите ФСТЭК объяснить, почему в форме 236 приказа запрашивается сфера у объекта, а не сфера организации