где в законодательстве определено что такое ЦОД? Прежде чем спорить о применение 187-ФЗ к ЦОД надо определится с тем, а что является предметом обсуждения. Вот есть определение Минкомсвязи - "Центр обработки данных <1> (ЦОД, дата-центр) - специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным. ЦОД является комплексным объектом информатизации, в котором могут размещаться как государственные, так и сторонние (коммерческие) ИТ-инфраструктуры автоматизированных и информационных систем различного назначения. Коммерческий ЦОД <2> - это выделенный в отдельное юридическое лицо центр обработки данных, нацеленный на получение прибыли от продажи услуг физическим и юридическим лицам." То есть, явно указано - ЦОД не ИС/ИТКС/АСУ. И не является объектом КИИ по определению.

Вот к слову о ЦОД.  У нас была проверка ФСТЭК и одним из нарушений, по их мнению, было именно то, что ЦОД не был аттестован. После многочисленных расспросов про то, что же все таки такое ЦОД и с чем связано нарушение, которое нам приписали, сотрудники ФСТЭК сказали, что ЦОД это железо, на котором развёрнута виртуальная инфраструктура, в составе которой была расположена ГИС)и после того, как мы показали, что в данной  инфраструктуре ничего кроме этой ГИС нет, оказалось что и нарушения н какого нет)))

Вот после моего общения с ФСТЭК при согласовании моделей угроз тоже именно о такой трактовке этого понятия сложилось мнение. Что это общая инфраструктура для разных ИС. Серверная. А тем временем использование общей инфраструктуры - это очень распространенная ситуация.

в 17 приказе сейчас это сформулировано так - "Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, <1> не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных." Ну а дальше мы попадаем под непонятки с определением ИТКИ в ЦОДе и на основании каких НПА она вообще классифицируется.  В любом случае,в 187-ФЗ использованы ИТКС, а не ИТКИ. То есть, ЦОД не объект КИИ даже по действующим документам ФСТЭК.

При написании модели угроз нам необходимо учитывать угрозы ЦОДа если основные сервера нашей КИИ находятся в нем ?

а чем угрозы для ваших серверов отличаются от угроз ЦОДу?

Нам говорят что надо учитывать модель угроз ЦОДа при написании свой но если ЦОД не КИИ а мы ЗОКИИ немного не понял но

Видимо предлагают исходить из этого - Угрозы безопасности информации, актуальные для арендуемых
компонентов информационно-телекоммуникационной инфраструктуры центра
обработки данных или облачной инфраструктуры, определяются поставщиком
услуг в модели угроз безопасности информации информационнотелекоммуникационной инфраструктуры центра обработки данных (облачной
инфраструктуры). Указанная модель угроз безопасности информации
предоставляется оператору для использования в ходе моделирования угроз
безопасности информации в принадлежащих ему системах и сетях.
Поставщик услуг информационно-телекоммуникационной инфраструктуры
центра обработки данных или облачной инфраструктуры информирует оператора
об изменении угроз безопасности информации в его информационнотелекоммуникационной инфраструктуре.
Если поставщик услуг не определил угрозы безопасности информации для
информационно-телекоммуникационной инфраструктуры центра обработки
данных (облачной инфраструктуры), размещение на базе такой инфраструктуры
систем и сетей не рекомендуется.

Да, это прямым текстом написано в методике

👍

Добрый день коллеги! Правда ли, что при заполнении п.9.1 и 9.2 сведений о результатах присвоения объекту КИИ мы соглашаемся с тем, что он является значимым?

вы с отнесением к значимым соглашаетесь еще до заполнения формы. Когда акт категорирования формруетет

Нет, не соглашаетесь. Категорию значимости или ее отсутствие утверждают в акте категориования, а уже из него информацию переносят в форму.
К сожалению, такая проблема, о которой Вы пишите, действительно существует, но где-то здесь в группе давным давно уже разбиралось, что даже для незначимых эти пункты надо заполнять.

Мы не относим объект к значимому, но вчера был звонок из ФСТЭКа, где меня коллеги попросили либо поставить пропуски в этих пунктах, либо согласиться что он значимый )

Очень странно. Но раньше, на сколько я помню, были иные мнения на этот счёт.
Но а так да. Логично, что если по результатам категориования объект незначимый, то эти пункты в форме заполнять нелогично.
Ну и категорию значимости или ее отсутсвие, повторюсь, субъект устанавливает в акте категорирования, а не в форме из 236 приказа.

по 187-ФЗ значимым он станет только после внесения в Реестр ФСТЭК.  На момент оформления формы по 236 приказу этого нет априори. ФСТЭК опять что то выдумывает.

Нет, в соответсвии с п. 16 Правил категориования в акте категориования указывается либо категория, либо сведения об ее отсутствии. Т.е. сформировав акт категорирования это ещё не значит, что субъект согласился с категорией значимости.

Ну видимо скользкий пункт

Это как? только субъект решает что  у него ОКИИ и какой категории. ФСТЭК имеет право указать только на нарушение процедуры и порядка категориования

Если даже его название прочитать, «организационные меры и технические меры, применяемые для обеспечения безопасности значимого объекта КИИ»