Перечни объектов КИИ подлежащих категорированию

Компании, индивидуальные предприниматели составляют перечни объектов КИИ, подлежащих категорированию (статьи 2 и 3 ПП-127, часть 4 статьи 7 187-ФЗ), и далее выбирают те объекты, которые обеспечивают критические процессы (ст.5 ПП-127, пункты б,в). Соответственно, включают их в список объектов КИИ, подлежащих категорированию, присваивают им категорию значимости или обосновывают неприсвоение такой категории. Но остаются ИС, ИТКС, АСУ, которые согласно статье 2 187-ФЗ относятся к объектам КИИ, но процессы, которыми они управляют и т.п. (статья 3, пункты б,в статьи 5 ПП-127), не являются критическими.
Правильно ли понимать, что если объекты КИИ не «обрабатывают информацию, необходимую для обеспечения критических процессов» и (или) не «осуществляют управление, контроль или мониторинг критических процессов», то они не попадают в перечень объектов КИИ, подлежащих категорированию?
Правильно ли понимать, что параллельно может получиться перечень объектов КИИ, не подлежащих категорированию (или обоснованию неприсвоения категории), но в отношении которых у субъекта КИИ есть обязанности по выявлению и учёту инцидентов, информировании о них и т.п. (часть 2 статьи 9 187-ФЗ)?
[Отметим, что пункт г) статьи 5 ПП-127 формально не следует из предыдущих пунктов этой же статьи (а,б,в)].
В.С. Лютиков заместитель директора ФСТЭК России 17.02.2022

Обратимся к федеральному закону, который определяет информационные системы и сети, которые обеспечивают функционирование субъекта КИИ в определенной сфере. То есть, если у вас транспортная сфера, то надо искать (выявлять) информационные системы и процессы, которые обеспечивают его транспортную деятельность. Если он в сфере здравоохранения, то надо искать (выявлять) информационные системы и процессы в сфере здравоохранения. Но если у него помимо здравоохранения есть другие системы, к примеру, бухгалтерские, кадровые и т.д., то это де-факто согласно закону к объектам КИИ не относится.

Согласно закону, субъекты КИИ — это те, кому принадлежат объекты КИИ, а объекты КИИ — это системы, функционирующие в сфере здравоохранения, транспорта, науки и т.д., таким образом, информационная система должна быть связана с процессом в сфере транспорта, науки и т.д.. Поэтому я и говорю, что не может быть ситуации, при которой нет критических процессов. 

Другие ответы этого автора
BIS SUMMIT 2025 — Хаятт Ридженси Москва Петровский Парк

Прямая линия с регулятором

Здесь Вы можете задать вопрос, который примут эксперты BISA и передадут в ведомство регулятора.

Вопрос можно задать анонимно, но, если Вы оставите email для связи, мы отправим на почту ответ из ведомства регулятора, а также дополним его экспертным мнением группы специалистов BISA.