Ваш оппонент приводит позицию ФСТЭК, которая определяет субъектов КИИ через ПП127.

Лучше 💯 раз прочитать с умным видом внимательно нормативку и понять для себя субъект или нет. Стать субъектом легко, да нелегко потом заднюю включить.

Для этого начать нужно с выписки из ЕГРЮЛ, которая доступна без ограничений на сайте фнс

Обкладываться документами не нужно для этого. Проводите инвентаризацию в организации, чтобы понять, какие ИС/ИТС/АСУ эксплуатируются. Затем надо определиться, какие из них находятся в собственности, аренде или может ещё какое основание найдёте. И уже на этот остаток проецируете сферы функционирования из 187-ФЗ.
Если есть совпадения и организация стала субъектом, то уже после этого переходите к чтению ПП-127.

Владелец систем определяет является он субъектом или нет. Мы можем только предположить.

Алгоритм упрощенно следующий:
1) выписать все ИС, АСУ, ИТКС которые тебе принадлежат
2) определить сферу(ы) функционирования каждой системы
3) определить есть ли пересечение сфер, которые вы определили, с 13 сферами из 187-фз

Если есть - вы субъект КИИ и все ваши системы объекты КИИ

Вроде все просто, но с моментом определения владельца систем (законных оснований владения) и определение сфер функционирования систем возникают сложности.

Ну этим не поспоришь. Я в курсе, можно и Уставчик почитать, если лень ЕГРЮЛ качать

Сфера не имеет границ, вчера об этом говорили. К этим сферам и областям можно до хрена чего притянуть)))

Об этом говорили не только вчера. Три года об этом говорим :(

Ну здесь я впервые вчера об этом прочитал. Я задавал об этом вопрос самому Лютикову-в ответ отговорки, что типа незачем так далеко рыть терминологию)))

Вот тут правда. По ЕГРЮЛ получалось, что мы не субьекты КИИ. Но вдруг по одном из ФЗ у нас оказались системы попадающие под одну из сфер.

Когда писался 187фз был другой оквэд. И виды экономической деятельности субъектов совсем по другому группировались. Замысел не совпал с реализацией

В итоге определение обьектов КИИ пошло наоборот, сперва искали ИС, потом определяли критические процессы.

В 187-ФЗ нет привязки к ОКВЭД.
Организация при регистрации сама определяет в каких сферах она будет осуществлять деятельность.
При создании систем, вводу в эксплуатации никто им сферу функционирования не назначает.
Отсюда возникает вопрос, будет ли сфера систем компании соответствовать ОКВЭД или нет?

А моем ответе оппоненту уже содержался ответ с учётом проведенного анализа😂. После него должен быть второй вопрос и самый главный - почему решили что МФЦ субъект КИИ? Сможете ответить ? Подсказку я дал в одном из ответов)

Не обязательно. Из нашего опыта точно нет)

и мне так кажется. Поэтому не вижу необходимость подгонять сферы систем под ОКВЭД или 187-ФЗ, если у тебя больше выходят "социальная сфера", "экономическая деятельность предприятия", "производство", "ИТ", "взаимодействие с контрагентами", "коммуникация", "кадры", "правовая сфера" и т.п.

Я уже ответил на вопрос, является ли МФЦ субъектом КИИ. Но повторюсь. При исходной информации, содержавшейся в вопросе, ответить на этот вопрос однозначно нельзя. Для большей конкретики вопрошающий должен уточнить, какие ИС/ИТС/АСУ находятся в собственности МФЦ, в каких сферах эти ИС/ИТС/АСУ функционируют.
Ваша же точка зрения, в соотвествии с контрой, как я понял, организации становятся субъектами КИИ, если к ним применимым показатели критериев значимости (хотя эти показатели должны быть применимы не к организации, а к объекту КИИ), определённых в Правилах категорирования (ПП-127), противоречит 187-ФЗ.

Ещё раз повторяю. Сначала организация читает 187-ФЗ - Федеральный закон, из которого организация идентифицирует (или нет) себя субъектом КИИ и определяет, что у неё является объектами КИИ. Если в результате чтения 187-ФЗ организация не может идентифицировать себя субъектом КИИ, то законодательство в области безопасности КИИ на неё не распространяется и выполнять 187-ФЗ и изданные в его исполнение подзаконные НПА такой организации не надо. Если организация идентифицировала себя субъектом КИИ, то она переходит к более детальному выполнению 187-ФЗ и чтению и выполнению изданных в его исполнение подзаконных нормативных правовых актов. 187-ФЗ предписывает провести категориррвание ОКИИ, ПП-127 описывает как это сделать. В ПП-127 нет норм, раскрывающих, что такое субъект КИИ и что такое объект КИИ. ПП-127 оперирует этими понятиями в том смысле, который был заложен в них 187-ФЗ.

Если дальше размышлять над ситуацией, когда организация не подпадает под определение субъекта кии, то сразу на ум приходят ещё системы, которые, на мой взгляд, являются важными (не буду говорить критичными), система 112 (региональный владелец ГИС-подвед ОИВа по ГОЧС), или СМЭВ (региональный владелец- минцифра)
Очень часто наблюдается халатное отношение, не принимаются все необходимые меры, как технические так и организационные, периодические выходы из строя, и максимум что они могут получить, это административка от ФСТЭК, и то, если их пойдут проверять и не факт, что найдут хоть какие-то косяки ( те ещё специалисты, ага)... при угрозе уголовной ответственности отношение работников, думаю, было бы иное

Нет уголовной ответственности за неисполнение 187-ФЗ, которая отличалась бы от неисполнения других законов. Стаья "халатность" одинаково работает

Уходите от ответа)