Да, не дописал: "все системы, которые используются в критических процессах". Не "остановит процесс", а "используется в процессе". Пока не поокатегорируете, не узнаете, насколько система критична, а категорируете ее уже после составления перечня.

Но если очевидно, что система для процессов не критична, нет смысла включать ее в перечень.

ФСТЭК интересуют только ЗОКИИ, а те объекту, которые не остановят критические процессы - априоре не будут ими. Они им просто не интересны. Только вот под критичесике процессы подходит все, там используется " и иные"

Вот да, я это тоже помню и следовательно не все системы, принадлежащие субъекту подлежат категорированию.. А принцип значит - принадлежность к критич.процессам. А критичны те процессы, для которых актуален хоть 1 критерий. Ок

Да, так правильно.

Откуда вывод, что "критический процесс" это процесс к которому применим хоть один показатель? "б) выявление управленческих, технологических, производственных, финансово-экономических и (или) иных процессов в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры, нарушение и (или) прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям, последствиям для обеспечения обороны страны, безопасности государства и правопорядка (далее - критические процессы);"

ФСТЭК просила не включать )
Как мило ) Только согласно закона все системы субъекта относятся к ОКИИ, все обеспечивают тот или иной процесс и все надо категорировать.
Если не хочет ФСТЭК иметь никакого дела с системами, которые не обеспечивают критические процессы, то внесли бы в закон изменения что системы, которые не обеспечивают критические процессы, не являются КИИ.
А то их "просьбы" еще сильней запутывают субъектов, внимательно читающих законодательство в области КИИ.

Критичность вы определяете сами на основе критериев, которые формулируете сами. Если вы определяете критичность процесса именно так - это ваше право

127 ПП

Объекты КИИ определяет 187-ФЗ, а не ПП127. ФСТЭК не имеет полномочий трактовать ни 187-ФЗ, ни ПП127.

В пятом пункте 127пп написано же как и что делать.

Валера, он имеет в виду, что по ПП127 в перечень включаются не все ОКИИ, а только те, которые используются в критических процессах. А критерия критичности процесса в нормативке нет. Раз нет - имеют право определить этот критерий самостоятельно любым разумным способом

Ну тут сейчас опять начнется: "есть три мнения: делать как написано в 187фз, делать как написано в 127пп и совмещать".
Самый разумный метод это не включать паранойю и не добавлять в перечень ОКИИ даже бесполезные ИС типа ведение архива документов, 1с и т.п.

Область действия ПП127, как подзаконного акта, четко задана в ст.7 187-ФЗ.  "4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий." Не дает 187-ФЗ никакого права исключать объеекты КИИ из категорирования.

Ну дак мы не исключаем ОКИИ из категорирования, мы просто не включаем ИС, которые не обеспечивают деятельность крит процессов, в ОКИИ :)

В ПП-127 четко указано, в отношение каких ОКИИ оно раскрывает таинство категорирования.

ПП127 вообще не определяет какие системы являются ОКИИ.

Предлагаю не продолжать :)
Уже выясняли, что ФЗ писали ФСБ под себя, 127 ПП ФСТЭК писал под себя.
ФСБ надо как можно больше ИС включить в свой перечень, ФСТЭК интересуют только значимые ОКИИ.

Если так хочется можно делить ОКИИ на 3 типа:
1) значимые
2) незначимые
3) неподлежащие категорированию (так как не обеспечивают критические и иные процессы)
Но в случае каких-либо проверок могут быть вопросы, почему ту или иную систему не прокатегорировали (

Даже ФСТЭК указывает, что не бывает "ОКИИ, не подлежащих категорированию" . Каждый ОКИИ должен быть прокатегорирован.

Очень разумный вопрос. Для ответа на него нужна карта критических процессов, демонстрирующая, какие системы в них участвуют. Если системы в ней нет, то включать ее в перечень и выполнять последующие телодвижения не требуется. Эта система была категорирована как не требующая присвоения категории, просто для нее это решение было правомерно принято уже на стадии формирования перечня :)

Конечно, могут задать вопрос, а почему только эти процессы. Правомерный ответ: потому что определяем самостоятельно.