Спасибо.

Здравствуйте, такой вопрос: коллеги отправили во ФСТЭК весь перечень ИС организации в качестве ОКИИ, с целью дальнейшего их категорирования (ни одна ИС не соответствуют ни одной из категорий). Коллеги утверждают что ФСТЭК подтвердил, что это правильно. Я же утверждаю, что надо направлять только ИС которые соответствуют категориям, кто прав ?

Ваши коллеги правы. Отправлять в ФСТЭК необходимо полный перечень ОКИИ, подлежащих категорированию. Если они не соответствуют категориям, то в дальнейшем они станут незначимыми, о чем также надо будет в обязательном порядке проинформировать регулятора.

Ну а как понять, что это ОКИИ, например ИС СЭД, Бухучёт и склад не критичны для предприятия

Или вообще какие нибудь совсем прикладные вроде корпоративного портала, который ничего кроме т/ф справочника не содержит

ОКИИ - это ИС/АСУ/ИТС, принадлежащие субъекту КИИ, независимо от критичности и сферы функционирования (см. определение из 187-ФЗ).

Т.о. надо весь перечень всех ИС отправлять во фстэк, а потом категорировать, доказывая отсутствие их значимости ?

В рамках выполнения ПП-127 в ФСТЭК необходимо перечнем отправить ОКИИ, удовлетворяющие этим требованиям. Провести их категориование, в ходе которого будет не доказываться, а устанавливаться либо категория значимости, либо будет принято решение об отсутствии необходимости присвоения категория. Далее обо всем этом снова информируется ФСТЭК.

Ясно, спасибо

Всем привет!) вопрос по КИИ:

"сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры Российской Федерации" и "сведения, раскрывающие состояние защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак" - указом #98 Президента РФ от 2 марта 2018 года - отнесены к ГТ.

Вопрос: на стороне субъекта КИИ, что конкретно необходимо секретить? Или по этому указу работают только фстэк, фсб и нкцки?

По этому Указу ФСТЭК и ФСБ разработали расширенные перечни сведений, подлежащих засекречиванию, по своим зонам отвественности. Соотвествующие выписки (ну, по крайней мере, от ФСТЭК) из этих перечней были разосланы по субъектам КИИ, являющимся государственными органами, чтобы те приняли к исполнению.
В общем случае же ситуация такова, что если у субъекта КИИ нет объектов КИИ, обрабатывающих ГТ,  то секретить ничего не надо.

Окей.  Примерно ситуация ясна, но всё-таки для уточнения. В качестве примера.
Есть субъект КИИ.
Есть у этого субъекта объект КИИ.
ГТ на ОКИИ не обрабатывается. В организации ГТ не обрабатывается.

Возникает ли необходимость защищать (секретить) сведения о подключении к госсопке, о составе и конфигурации оборудования и так далее? Может быть ещё что.

И где более подробно об этом можно почитать, из официальных источников, так сказать, за подписью, или может быть есть официальные разъяснения по этим вопросам?

Вопрос по ГТ. Я отвечаю за защиту КИИ в организации. Категорирование в процессе, перечень отправила. В перечень не вошла АС, содержащая ГТ, т.к. я о ней не знала. Получила допуск, узнала. Значимой она не будет, но к ОКИИ, очевидно относится. Менять перечень или можно не надо?)

Нет, секретить в этом случае ничего не придётся.

Более подробные рассуждения уже будут минимум составлять служебную тайну.
Если есть сомнения, то можете запросить перечни засекречивания у ФСТЭК/ФСБ.

Формально, к объектам КИИ относится множество ИС/ИТС/АСУ субъекта КИИ независимо от того, в какой сфере они функционируют и какая в них обрабатывается информация.

Для ФСТЭК понятия АС и ИС тождественны.

Скорее всего, Перечень ОКИИ придётся дополнить, если эта АС удовлетворяет этим требованиям: https://t.me/KII187FZ/25631

Спасибо! Отправлю новый перечень в догонку(((

Всем привет.

Кто-нибудь уже заполнял форму "Сведения о присвоении объекту КИИ категории значимости..." на какой-нибудь станок ЧПУ и/или офисную АТСку?

Поделитесь образцом заполнения, плз. Само собой, форму желательно предварительно подчистить от персональных данных, адресов и наименований организации и т.д.

Представитель ФСТЭК на конференции говорил, что если после отправки перечня у вас обнаружились еще объекты кии, вы их формируете отднльным перечнем и так же отправляете. Соответственно срок категорирования у этих перечней будет разным.

Ответ: ФСБ выпустила следующие документы:
− Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации*;

− Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации*;

− Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;

− Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации*;

− Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации*;

− Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

* – документы ограниченного доступа.

https://187.ussc.ru/faq/ это отсюда