это сколько вы разрешаете быть недоступной, а не сколько она будет из-за хакера недоступна.  Есть системы, для которых перерыв в час критичен,а есть такие, что и сутки перерыва никто и не заметит.  По этому их и требуют защищать по разному.

Вот это открытие для меня, спасибо

Добрый день, вопрос по отправке результатов категорирования во фстэк. Отсылается ли вместе с письмом что-либо, кроме форм по 236 приказу?

Мы только письмо с формой отправляли. Я после этого созванивался со фстэком они   ричего дополнительного не требовали

Ну ещё машинный носитель с электронной копией заполненной формы в формате .ods.

Коллеги, в каком виде отражать в Акте категорирования пункт о Организационных и тех.мерах, применяемых для обеспеч.безпасности КИИ? В виде таблицы 239 приказа с пояснениями применительно к данному объекту КИИ? Или достаточно общих фраз типа МЭ, резервное копировпние, план аварийного восстановления, ДИ, ролевая модель и т.д и т.п?

а зачем вам в акте этоуказывать? это требование было в старой редакции пп127.

Хм... перечитаю. Спасибо.

П.17 пп 127... Субъект кии в течении 10 дней... подпункт И... орг. и тех.меры... Ничего не запрещает оформить это в виде приложения к Акту. Или на сайте ФСТЭК старая редакция (452 от 13.04.2019) ? Ну и сам вопрос актуален по оформлению данного подпункта.

п.17 относится к сведениям по форме 236 приказа и к акту категорирования отношения не имеет. Содержания акта категорирования указано в п.16 "оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий." В старой редакции было "оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, результаты анализа угроз безопасности информации объекта критической информационной инфраструктуры, реализованные меры по обеспечению безопасности объекта критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также сведения о необходимых мерах по обеспечению безопасности в соответствии с требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры."

Добрый день. Подскажите, пожалуйста, как ответить корректно на запрос прокураторы о том как у нас осуществляется защита ОКИИ по 239-ому приказу фстэк? Учитывая, что мы не госорганизация, перечень окии направлены во фстэк, категорирование в процессе

так вы не защищаете. У вас же еще нет ЗОКИИ. Нет объекта защиты

А исполнение 239ого запланировано в след году, после выявления категорийй окии

Да, спасибо, я также думаю. Просто хотел удостовериться, что в законе нет жестких требований по реализации 239ого приказа без знания о наличии зокии

Ответьте просто, что ваши объекты КИИ станут ЗОКИИ толкьо после внесения в реестр ЗОКИИ ФСТЭК.  "значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;" вс необходимые мероприятия по обеспечению безопасности ЗОКИИ запланированы. План утвержден тогда, копию прикладываем

Благодарю)

Огромное Спасибо за столь развёрнутый ответ!

Примеры по заполнению формы 236 приказа можете посмотреть в метреках. Часть метрек согласована с ФСТЭК (для ТЭК и операторов связи). https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

Ещё раз Спасибо!

ФСТЭК обновила законопроект по административному наказанию субъектов КИИ https://t.me/ruporsecurite/381