Через полтора месяца пришёл ответ, экономическая сфера, куратор ЦБ

Мы не включали специалистов подрядной организации в комиссию

Можно ли одновременно отправить во ФСТЭК и перечень ОКИИ и результаты категорирования? или строго по регламенту - сперва процедура утверждения и только потом все работы?

Спасибо за уточнение!

Срок категориования составляет не более 1 года с момента утверждения перечня. Вполне можно допустить ситуацию, что субъект утверждает перечень, а потом мгновенно проводит категориование и утверждает акт.
Тут, на мой взгляд, главное, чтобы даты и номера утверждения были последовательными.

Спасибо!

Коллеги такой вопрос, по 249 приказу МУ делается только для значимых объектов (для объектов кии не обязательно) соответственно в актах категорирования для  значимых объектах в сведениях об угрозах указываются угрозы из МУ, а что тогда указывать в сведениях об угрозах для объектов кии (тем кому категория не присвоена)? Откуда сведения об угрозах брать?

все проще. МУиН разрабатывается уже после внесения в Реестр ЗОКИИ, не требуется разрабатывать специально под категорирование. Но, если есть, то можно использовать.

На стадии категорирования делаете то, что называлось моделью угроз до сих пор ("хакеры могут взломать систему и причинить ущерба на стопиццит миллиардов", без объяснений, как именно они умудряются это сделать).

А вот на стадии создания системы защиты делается уже подробное моделирование с пошаговые разбором возможных действий нарушителей. Методической документ пока не утверждён, но будет. Для категорирования такая детализация не требуется.

Всем спасибо за ответы!

Коллеги, такой вопрос , ЗОКИИ может быть не ГИСом и не обрабатывать Пдн?

ЗОКИИ вообще может не быть ИС

это чем например он тогда может быть ?

АСУ и ли ИТКС

У меня это термовакуумная камера. Фстэк сказали, что все ок😂

понял спс

@blog_ruporsecurite поднял интересную тему: "Зачем подрядчику лицензия на ТЗКИ, если ЗОКИИ не обрабатывает конфиденциальную информацию" (https://valerykomarov.blogspot.com/2020/08/blog-post.html)

От себя добавлю. Видя в ТЗКИ словосочетание "конфиденциальной информация", люди ошибочно считают, что речь идет об обеспечении только конфиденциальности информации. На самом деле в положении о лицензировании говорится вообще об "информации, подлежащей защите", то есть об обеспечении любого из свойств (конфиденциальность, доступность, целостность, неотрекаемость и т. п.). Информация может быть общедоступной и при этом все равно подлежать защите (см. например, требования по защите информации органов власти, подлежащей обязательному опубликованию).

С ЗОКИИ все просто. Категорировав ИС как значимый объект, субъект заявляет, что  есть угрозы безопасности некоторой информации, обрабатываемой этой ИС. С этого момента закон обязывает его защищать эту информацию от этих угроз, что в случае привлечения подрядчика подпадает под положение о лицензировании.

В таком случае ФСТЭК имеет право применять п.6 ст.13.12. КоАП к субъектам ЗОКИИ, но они публично утверждают что это не так

Вот у меня вопрос лицензия, не лицензия, а много вообще объектов кии с неконфиденциальной информацией? Много ли из них требования к исполнителям должны выверять требования, чтобы столько спорить - ну в самом деле - в органах власти везде ПДн, за исключением Москвы с их обезличенными пдн и искусственным интеллектом по 123-фз, в остальных ис которые кии тоже либо коммерческая тайна, либо ПДн, либо на худой конец ДСП.

В асу там везде сложно, по 79 ПП РФ требования по Зи должны быть ФЗ, и только в нем а не в подзаконных актах, а таких немного. И зачастую там люди не парятся, а сами задают требования по лицензии ФСТЭК/ФСБ и имеют на это право