в рамках выполнения функций (полномочий) или осуществления видов деятельности субъектов критической информационной инфраструктуры.

Бухгалтерская система обеспечивает финансово-экономические процессы в рамках осуществления деятельности металлургического предприятия.

Обеспечивает? - да!
В рамках деятельности данного предприятия? - да!

В этом случае они все (в том числе информация о незначимых) окажутся в реестре ФСТЭК (см. п. 17 ПП-127) и более того потом они еще окажутся и у ФСБ, т.к. ФСТЭК всю информацию из реестра передает в в ГосСОПКУ. Выводы дальше делает каждый сам.

В реестре ФСТЭК оказываются ТОЛЬКО ЗОКИИ после того, как субъект направит во ФСТЭК информацию, предусмотренную п. 17 ПП-127.

Слабый аргумент. Не хватит дискового пространства для хранения? =)

В 187-ФЗ в главе про ГосСОПКУ нет и слова о значимых объектах, в контексте этой главы законодатель оперирует понятием информационные ресурсы.

Но согласно ФЗ-187 в ГосСОПКу они попадут: "10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры."

Да, я об этом и начал говорить выше.

Как я понимаю ФСТЭК речь про деятельность согласно, например ОКВЭД, в данном случае связанную с металлургией. Если система только начисляет зарплату сотрудникам, то она не связана непосредственно с металлургическим производством.

Но зачем тогда задается понятие критического процесса?  В моем понимании:
1. Определяем процессы из перечня (управленческие, финансовые) - отсеиваем лишние объекты
2. Понимаем, какие из них критические (могут привести к негативным последствиям) - правда пока не ясно, как именно это делать. - отсеиваем лишние объекты
3. Из оставшихся критических процессов выбираем объекты и им уже определяем значимость, так как не все объекты в процессе могут нанести негативные последствия

Логика понятна, но только что парой страниц выше указали на её противоречие смыслу ФЗ. Опять же: в ПП-127 есть и "управленческие" процессы, а что это за ОКВЭД, где основным видом деятельности является "управление"?

Не только. Согласно п.17:
з) категорию значимости, которая присвоена объекту критической информационной инфраструктуры, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости;

Несовершенство законодательства. Надеюсь, исправят. Пока же фактически п.1 = п.2

В 227-м приказе ФСТЭК про правила ведения реестра ФСТЭК информация об объектах, которым не присвоена категория, тоже фигурирует.

Перечитал и не нашёл. В каком пункте?

Ну не знаю.
Берём п. 1 только о значимых, п.2 - аналогично, в пункте 3 есть слова о всех объектах, но оно так и происходит, что субъект предоставляет сведения о всех объектах, а фстэк в реестр вносит только значимые, далее опять о значимых идёт речь.

Да, тоже перечитал, не нашел. В итоге субъект передает во ФСТЭК информацию о результатах категорирования, в том числе о незначимых объектах. Далее ФСТЭК согласно 227-му приказу хранит в реестре информацию только о ЗОКИИ, но при этом ФСТЭК должна передавать в ГосСОПКУ в том числе информацию о незначимых объектах. Получается ФСТЭК должна хранить эту информацию где-то в другом месте.

Павел, а что в этом хранении такого важного? Зачем его так долго обсуждать? ВСЕ получили -> ВСЕ передали -> ЗОКИИ сохранили -> НеЗОКИИ удалили.

За регулятора переживаю:)