Окей. Только система становится объектом не из-за того, что в сфере, а из-за того, что она субъекта.
Если оно так, то ее владелец - субъект: либо станет таковым с овладением этой системы, либо уже, возможно, и есть таковым.

Там была прописана система оповещения, а не мчс.

Я спросил, мол на каком законом  основании все госорганы субъекты КИИ (Прошу вспомнить определение).

Система оповещения принадлежит ГО и ЧС, а это не только МЧС, это сборная солянка организаций. Кто именно из них будет выполнять работы по защите КИИ и КВИС - вопрос открытый.

Добрый вечер.
Может кто-то подсказать как правильно трактуется п.24 239 приказа ФСТЭК?
24. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.
Насколько я понимаю имея ИСПДн 2 уровня и 3 категории значимости к ним нужно применять меры 1 уровня и 2 категории соответственно?

Ровно наоборот. Система является объектом КИИ тогда и только тогда, когда она функционирует в определенных сферах - см. определение. Кому она при этом принадлежит, значения не имеет.

Применяете меры наибольшего класса, уровня или категории

Немного ошиблись с примером:
Если у вас испдн 2УЗ, а значимость третьего, то меры по ЗИ выполняются по УЗ2. И наоборот если у вас УЗ4, а значимость вторая (хотя такое сложно представить), то и меры по ЗИ применяете в соответствии с вторым уровнем значимости/

Мы смотрим один и тот же закон (187-ФЗ)?
Так как в действующей (принятой) букве Закона изложено совершенно противоположное Вашим словам;)

Но, стоит отметить, что Ваши слова соответствуют исходному тексту проектного варианта Закона, но, к сожалению, та проектная трактовка была заменена на то, что мы можем наблюдать сейчас.

Если ИСПДн УЗ 2 и категория  3, то выполняем требования по УЗ 2.

Только по уз2 или по уз2 и 2 категории?

Только по УЗ 2.


Здесь действует тот же принцип, что если ИСПДн является еще и ГИС. То наивысший (или равный) класс защищенности перекрывает меры, предусмотренные для УЗ (правда, в обратную сторону это не работает, т.е. наивысший или равный УЗ не перекрывает класс ГИС).

Плохой пример. В случае ИСПДн > ГИС просто повышаем КЗ ГИС

Теперь понял, берём УЗ2 и добавляем к нему меры из 2 категории значимости которых не достаёт в УЗ2

Добрый день, коллеги. Подскажите, как получить методические документы фсб по вопросам защиты КИИ?

Если речь идёт о методичка по ГосСОПКА, то раньше было так: https://t.me/bureaucraticsecurity/76 , но, вероятно, сейчас что-то поменялось, поэтому лучше связаться к НКЦКИ за разъяснениями: https://t.me/bureaucraticsecurity/535

👆 для получения методичек от НКЦКИ необходимо направить соотвествущий запрос (в бумажном виде) по указанному почтовому адресу

Не. Все системы субъекта КИИ являются объектами КИИ (по определению). И даже сайт-визитка и сервер CS ))

А субъект КИИ - тот, кому принадлежит система, "функционирующая в...".

КСЭОН "функционирует в...", поэтому она делает субъектом КИИ любого, кому принадлежит, и сама является объектом КИИ. О чем МЧС в проекте документа любезно напоминает :)

А еще она делает все информационные системы счастливого обладателя КСЭОН объектами КИИ )