Коллеги, добрый день.
Подскажите порядок направления сведений  в ФСТЭК о пересмотре категории значимости или решения об отсутствии необходимости присвоения окии категории значимости.
Ситуация такая: есть не значимый ОКИИ и ТЗ на создание проекта по его модернизации, в результате которой ОКИИ будет обрабатывать новый процесс. Наличие этого нового процесса в ОКИИ приводит к появлению категории значимости, согласно критериям оценки.
В ПП 127 не вижу требований ни по количеству, ни по срокам направления сведений в случае изменения категории значимости.

Этот момент в законодательстве упущен. В разумные сроки🙈

Так вот очень интересно получается, сейчас имеем только ТЗ на проектирование, а сама модернизация не ранее 24 года. Если передать сведения сейчас, то получим категорию для объекта, который по факту еще несколько лет не будет управлять критическим процессом. А соблюдать требования будем уже обязаны :)

я про эту проблему писал https://valerykomarov.blogspot.com/2020/10/blog-post_9.html

Добрый день.Вопрос к участникам.
Можно ли считать ОКИИ прикладное ПО, использующеся в на АРМ сотрудников?
Можно ли считать ОКИИ ИС "Консультант плюс", если система развернута на нашем сервере? Вопросы, касающиеся собственности, на предприятии ПО в бухгалтерии проходит как расходы последующих периодов, но не как материальные активы, то есть когда нам продают ПО,  нам продают неисключительные права на него, и теоретически можно сказать, что ПО нам не принадлежит, а ИС, которая построена на нем, тоже нам не принадлежит.
Или я в чем то не прав???

А какой критический процесс выполняет консультант плюс в вашей организации?

Это я к примеру, полно других похожих систем.

В части прав на по все просто, есть же не только право собственности, есть "иные основания". Вот ваш сублицензионный договор и будет таким основанием

На заводе ПО SCADA тоже может принадлежать на правах неисключительноц лицензии. Это не значит что АСУ на базе этого ПО не принадлежит заводу.
Но нужно смотреть что за ПО, ИС или АСУ.

В законе дан четкий перечень того, что является ОКИИ.

Это понятно, а если каждое понятие ОКИИ расшифровать с помощью 149 фз и собственно 187фз, тогда могут возникнуть вопросы как у меня. Конечно, я наверное загоняюсь, но всё же...

А Вас не навела на определенные  мысли форма по своему содержанию, которая  предоставляется во ФСТЭК ?)

ПО не может быть ОКИИ.

А ПО вместе с АРМ может?

Если вы связку АРМ +ПО назовете ИС

Коллеги вопрос - есть ли на руках у кого либо  официальный ответ от ФСТЭК которым можно поделиться убрав лишнее которое отвечало бы на вопрос - какими требованиями по обеспечению информационной безопасности нужно руководствоваться для ОКИИ, которые не являются значимыми. Нужна именно позиция регулятора выраженная на бумаге

Полагаю, они могут не знать, какие ещё есть требования к вашему субъекту по обеспечению защиты объектов. Поэтому полный ответ дать не смогут.

Есть требования от Минкомсвязи, требования Минэнерго и пр. Это не их задача, не ФСТЭК

187фз не устанавливает требований по защите незначимых ОКИИ.

В курсе, но этот вопрос вытекает из всего процесса)