Перечень КИИ. Значимые и незначимые - Форум по вопросам информационной безопасности

Добрый день! Подскажите пожалуйста.
Уже эти вопросы мусолили по 100 раз, но всё равно не разобраться. Каждый понимает по-своему...
Запускаем процесс категорирования КИИ.
Мы составили комиссию, приказ. Определили список ИС в организации. Определили бизнес-процессы в организации. Определили критические процессы (далее - КП). Поняли что мы субъект КИИ.
Вопрос №1: Все ИС автоматически становятся КИИ? (в 127 ПП если ИС хранит, мониторит, управляет, контролит КП, то ИС = КИИ).
Правильно ли я понимаю, не все ИС у субъекта КИИ являются КИИ, а лишь те, который так или иначе связаны с КП организации, которые в свою очередь вытекают из анализа перечня 127 ПП и бизнес-процессов в организации.
Вопрос №2: Во ФСТЭК сперва отправляем перечень КИИ. И не важно категорируемые они или незначимые. Или же им нужно отправлять перечень КИИ, которые потом уже будут иметь категорию?
Как я понимаю во ФСТЭК отправляем все КИИ, потом год даётся на категорирование. Во время категорирования решаем КИИ является 1,2,3-ей категории или является незначимым, так как его сбой и(или) выход из строя вообще не повлияет на выпуск продукции, жизни людей и т.д. Если КИИ незначимый, его просто ФСТЭК в ГосСопку и закончили с ним.

Приведу пример. Организация выполняет гособорот заказ(ГОЗ). Есть КИИ, на котором так или иначе связан КП. Если такой объект вышел из строя, но снижения объёмов продукции в рамках ГОЗ нет совсем,(смотрим в п. 13 перечня 127 ПП) то такой этот КИИ является незначимым КИИ, но в перечне во ФСТЭК отправиться.

Спасибо

to Алексей
Primo, субъект - это тот, у кого есть хотя бы один объект (во владении или в рамках пресловутого "обеспечения взаимодействия", хотя стоит добавить еще и оперативное управление, иначе логика нарушается)...
Secundo, согласно ПП 127 - да, объект КИИ - это объект, выполняющий или обеспечивающий какой-либо крит.процесс. Но важно помнить, что 187-ФЗ "о безопасности КИИ", а не "о КИИ". И под "безопасностью" понимается устойчивость к "компьютерным атакам" (заметьте, не "компьютерным инцидентам" - это скорее следствие, факт такой атаки). Т.е. если есть система, для которой в рамках компьютерной атаки снижение защищенности или нарушение функционирования невозможно принципиально (или непротиворечиво доказано) - это не объект КИИ вне зависимости от влияния на критические и прочие процессы...
Tertio, суды считают, что все ИС, ИТКС и АСУ у лица, признавшего себя субъектом, автоматически становятся объектами КИИ. И что их разделение на значимые/незначимые, явное декларирование конкретных ИС, АСУ, ИТКС в Перечне (который передается во ФСТЭК) и т.п. действия по ПП 127 - не имеет отношения к делу. Практика порочная и, возможно, в будущем... надеемся...
Quatro, во ФСТЭК направляется Перечень по всем ИС, АСУ и ИТКС, предварительно отнесенным к объектам КИИ. Далее, да, год на категорирование. По результатам - опять-таки по всем (значимым или без категории значимости) направляются Сведения...
Last, сам по себе факт выполнения ГОЗ и даже факт выполнения ГОЗ с использованием конкретной системы не делает ее объектом КИИ автоматически, и, следовательно, не делает контору субъектом КИИ. Однако, обосновать и доказать это крайне сложно (за исключением ряда явно противоречащих случаев)...

Алексею

Здесь на сайте в своё время выложили инфографику на эту тему. В ней всё достаточно наглядно показано, думаю вам поможет разобраться:
"Алгоритм реализации требований ФЗ-187"
https://www.itsec.ru/hubfs/Information_Security_KII.png

Спасибо большое!

В 127 ПП РФ есть п. 21
21. Субъект ...не реже чем один раз в 5 лет, .....осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости..... .
Означает ли, что если мы в 2018 году вынесли решение об отсутствии, то в 2023 году снова пересматриваем?