До тех пор пока не произойдет инцидент ИБ и не начнётся расследование по 274 статье :)

Закон, как дышло

Расскажите это тем, кто присел по 272 и 274  УК РФ. Во всех случаях суд интересует только сам факт наличия ИС

272 к КИИ отношения не имеет, по 274 никто пока не присел и в отношении владельцев КИИ она не заводилась, пока.
У судов нет единой позиции как определять ИС объект КИИ/не объект.
Все 274 были возбуждены по объектам, которые не были прокатегорированны и уж тем более внесены в реестр. В ряде случаев относимость систем к КИИ определялась по формальным признакам.

Дак здесь история совершенно про то же самое.
Если ты решил сделать как написали выше: "нет документации на ИС, нет ИС", а потом у тебя что-то произошло, то есть шанс, что будет именно так как уже случалось: при разборках эту ИС формально относят к КИИ и в ход идет 274ая статья.

Это было к вопросу о "что дышло".

Случаев, чтобы "нет бумажки - нет ИС" я пока не видел, оцениваются фактические обстоятельства дела. Поэтому утверждать, что в КИИ будет иначе, странно

Если бы так же прокуратура на проверке сказала)

коллеги,  поправьте если я неправ.
минимально необходимые действия по КИИ (если нет ЗОКИИ):
1. Определение и отправка во ФСТЭК перечня ОКИИ;
2. Моделирование угроз и нарушителя для ОКИИ;
3. Создаем комиссию по категорированию и Подготавливаем Акта (-ы) категорирования ОКИИ;
4. Направление Сведений категорирования ОКИИ (с обоснованием отсутствия  категории) во ФСТЭК;
5. Подготавливаем проект приказа о взаимодействии с НКЦКИ и направляем им для согласования;
6. Утверждаем приказ из п.5
7. Радуемся жизни и каждые 3 года проводим категорирование.
8.  что-то еще?

План согласно табличке из 239 приказа ФСТЭК

где по сути на каждый пункт в итоге нужна бумага. внутренняя

Комиссия первым пунктом нужна.
Моделирование угроз полноценное после окончания категорирования и только для значимых. Если их нет, то не нужно.
Помимо приказа нужно еще и уведомлять НКЦКИ непосредственно

"Моделирование после окончания.."
как же тогда заполнить 6-й раздел Сведений о категорировании..? Там фигурирует нарушитель и угрозы.
Среднепотолочные?

Коллеги, приветствую!

Предисловие:
Форма Приказа ФСТЭК 236 в пп. 2.4,2.5 и п.1.9 содержит фразы «значимых объектов».

Вопрос:
Возможно ли при отсутствии у объекта категории значимости в соответствующих пунктах формы 239 написать «Отсутствует необходимость присвоения категории значимости объекту КИИ», опираясь на формулировку п.16 ПП 127?

Вам не нужно их оценивать - нужен перечень возможных в принципе и достаточно укрупненного варианта, без детализации как именно вредоносное ПО проникает.

1.9 уже нет - смотрите обновленную версию приказа.
2.4 указано при наличии, если нет - данные дира
2.5 указано при наличии - соответственно, если нет значимых, указываете, что не назначен, тк отсутствуют значимые объекты

Ошибочка вышла: не 1.9, а 9 (что писать в этом пункте, если объект незначимый?)

В пп.2.4, 2.5 «при наличии» не относится к значимости объекта. (Что писать в этих пунктах, если объект незначимый?)

Так если у вас нет значимых, то нет ответственных, а к ним и относится "при наличии"

Форма 236 должна заполняться для каждого из ранее отправленных во ФСТЭК ОКИИ в том числе и для незначимых

Если бы кто нибудь грамотно составил подобный список,с обоснованием каждого пункта прям огонь было бы.

*исчерпывающий