Это петлищщщаааа!

А ФСТЭК по фигу. Сегодня ВВП провел совещание с членами совбеза. Обсуждались вопросы противодействия в сфере компьютерных преступлений.
Ждемс очередных безумных идей ФСТЭК  и (или) ФСБ, как бы всех ото всего защитить)

Мне  интересна практика связанная с проверками и инцидентами. Если опять пойдет по пути "виноват ИБшник", то имеет смысл вообще сторонится работодателей с ОКИИ.

Я бы сказал, виноват КИИшник))) а кого ж ещё назначить крайним?!

Как же не встать на эту дорожку - иначе обладатель информации не озаботился защитой информации.  И в петлю по моему лезет тот, кто будет строить критический процесс субъекта КИИ с использованием облака. Так можно пытаться и ГТ в облаке начать обрабатывать. В мире все возможно, но дорого стоить будет.

Моделируем. Субъект КИИ в сфере транспорта Критический процесс – предоставление транспортных услуг в пределах региона РФ. ОС/ПО по подписке SaaS, инфраструктура до кучи тоже – IaaS. Вследствие КА на провайдера SaaS\IaaS с полной блокировкой информации (уничтожением - по наихудшему сценарию, как коллеги любят) субъекта КИИ к кому товарищ майор постучит? А если он это даже за ОКИИ не посчитал, то что его ждёт? Давайте порассуждаем.

к субъекту в транспортной сфере

не надо путать защиту информации и безопасность КИИ.

безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак

Да, прощу прощения, тут одно за другое потянул, сущности разные. Соглашусь с вами.

Я думал, что информация входит в состав информационной инфраструктуры, иначе для чего защищать простые железки или процессы. Процессы тоже в принципе без информации не живут...

ну вот пример из смежной области - Сергеев П.В. как должностное лицо, ответственное за обеспечение безопасности персональных данных в информационных системах <данные изъяты>», имеющий высшее юридическое образование, обязан был обеспечить выполнение в организации требований п. 13 Постановления № 1119 (нормативного правового акта прямого действия). Однако, в связи с ненадлежащим исполнением Сергеевым П.В. возложенных на него обязанностей, в <данные изъяты>» нарушались установленные требования к защите персональных данных при их обработке в информационных системах. В ходе производства по вышеуказанному административному делу факт нарушения требований о защите информации был доказан. При этом, согласно должностной инструкции, Специалист по защите персональных данных имеет право запрашивать и получать необходимые материалы для организации работ по вопросам обеспечения безопасности персональных данных (п. 3.1); готовит предложения о привлечении к проведению работ по защите информации на договорной основе организации, имеющих лицензии на право проведения работ в области защиты информации (п. 3.2), пользоваться необходимой помощью специалистов из числа сотрудников предприятия для проведения исследований, разработки решении, мероприятий и организационно – распорядительных документов по вопросам обеспечения безопасности персональных данных (п. 3.3) и в соответствии с п. 4.1 несет ответственность за правильность и объективность принимаемых решений и выполнение возложенных на него обязанностей. Сергеев П.В. доказательств выполнения своих должностных обязанностей не представил. https://valerykomarov.blogspot.com/2019/05/blog-post.html

информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам
Гост 53114

слова "защита информации" в 187-ФЗ встречаются? про это уже много спорили здесь.

Ясно, как то однобоко получается...

Причем тут испдн. Ответственность по 187ФЗ значительно выше, чем по 152ФЗ

И позиционируется типа как ответственность прежде всего руководителя СубКИИ

позиционировать они могут как угодно.  Руководителю светит только халатность по УК РФ и/или административка за невыполнение представления ФСБ о принятии мер по устранению причин, повлекших инцидент

В автоматизированной  системе  управления  объектами защиты  являются: информация  (данные)  о  параметрах  (состоянии)  управляемого  (контролируемого)  объекта или  процесса  (входная  (выходная)  информация,  управляющая  (командная)  информация, контрольно-измерительная  информация,  иная  критически  важная  (технологическая) информация); программно-технический  комплекс,  включающий  технические  средства  (в  том  числе автоматизированные  рабочие  места,  промышленные  серверы,  телекоммуникационное оборудование,  каналы  связи,  программируемые  логические  контроллеры,  исполнительные устройства),  программное  обеспечение  (в  том  числе  микропрограммное,  общесистемное, прикладное), а  также  средства защиты информации. 8.  Защита  информации  в  автоматизированной  системе  управления  является  составной частью  работ  по  созданию  (модернизации)  и  эксплуатации  автоматизированной  системы управления  и  обеспечивается  на всех  стадиях  (этапах)  ее  создания  и  в  ходе  эксплуатации.

Выдержка из 31 приказа по АСУ ТП. В 239 приказе как то об этом забыли

я про 187-ФЗ спрашивал.  Вот субъект КИИ с незначимым ОКИИ обязан информацию в ОКИИ защищать?