Я считаю, что под каждую из сторонних систем просто не нужно направлять форму во ФСТЭК по 236 приказу

"Прочие системы" - ОКИИ, подлежащие категорированию. Присвойте им категорию значимости или определите, что она не присваивается.

Определил без отправки формы по 236 приказу. Собрал перечень ИС, левое сразу отсеял.

С использованием п. 5 127 пп

У СуКИИ в областях определенных законом все системы ОКИИ. Категорирование не результат, категорирование - процесс. Категорируются все ОКИИ, либо присваивается категория значимости, либо нет

А Ваше юрлицо точно владелец этой информационной системы: не оператор, не пользователь? Проанализируйте ещё раз и более детально.

+

+

Кто как организовал обновление АВ? Поделитесь опытом! (АВ-антивирь)

Вам в другую ветку

Почему? Это один из компонентов реализации меры АВЗ

Все верно

Согласно НПА - категорированию подлежат все ИС/ИКТС/АСУ. А вот уже в ходе категорирования идёт отсев и разграничение. Но есть и своя методика - "я так вижу".

Да сколько ж можно то?

Пусть вы даже не работаете в энергетике (сервисная ИТ-компания, например). У вас есть ровно одна ИС в сфере энергетики, которую кто-то из энергетиков передал вам в оперативное управление. Вы - субъект КИИ.

У вас есть ERP. Если она надолго ляжет, вы сможете заниматься тем самым "оперативным управлением"? Без оплаты поставщикам, без опалты аренды вашего ЦОД, без оплаты каналов связи и т.п. ХЗ, никто вам на это не ответит, ответить должны вы сами. Категорирование - это процесс поиска ответа на эти вопросы.

Поэтому нет, закон не ограничивает обязанности субъекта только системами, используемыми в сакральных сферах. Если вы субъект КИИ даже только по одной из них, все ваши ИС, АСУ и ИТКС - объекты КИИ, и вы обязаны трезво посмотреть, без каких из них вы не сможете заниматься своей деятельностью в то самой сакральной сфере.

С таким же успехом можно здесь просить про этимологию слова антивирус, типа: ну в мере же АВЗ есть такое слово

Если одна из Ваших систем функционирует в одной из 13 сфер, то и Ваша организация осуществляет деятельность в этой сфере. И тогда - вы субъект КИИ и все ваши ИС, ИТКС, АСУ - объекты КИИ. Утверждение - Вы, как единое целое, не работаете в сфере, а часть Вас (одна из Ваших систем) - работает - как-то странно звучит.

Нет, все звучит вполне нормально. У владельца ЦОДа может быть сервер, который он сдает в аренду какому-нибудь пассажирскому перевозчику, а тот в сою очередь на этом сервере установил ПО для мониторинга за транспортными средствами (перемещение, а в условиях существования электромобилей еще и их удаленное управление (при необходимости, допустим), уровень заряда и т.д. - можно что угодно расписывать).
Несмотря на то, что ЦОД этот сервер сдает, он все равно принадлежит ему по праву собственности, но он не осуществляет деятельности в транспортной сфере.
Хоть ЦОД и является СУКИИ, но по другой сфере.

Это как первый пришедший мне в голову пример. Таких можно привести массу.

Ну если он сдает что-то в аренду, то и передает права владения арендатору и уже тот проводит категорирование и пр. По хорошему, арендодатель может и не знать - для чего конкретно используется переданный ресурс.

Шёл четвёртый год КИИ. Тема в чате не поменялась.