А он не должен разбираться в этом. Регулятор только щадает требования безопасности. Разбираются владелец объекта и прокуратура.

Это невозможно. Морские и воздушные суда - экстерриториальное недвижимое имущество. На борту судна действует законодательство страны приписки.

Потому что у коллеги на этом пунктик

А пунктик потому что вопросы противодействия внутреннему нарушителю давно изучены и прописаны и решаются режимом, госсопке ничего нового не дадут... Точнее дадут но только по результатам расследования инцидента.

Это не так. "Изучены" и "прописаны" методы обеспечения конфиденциальности в тепличных условиях ЗГТ. Они и в случае ЗГТ ни фига не работают, а уж в контексте  коммерческих компаний с  отсутствующей контролируемой зоной и вынужденными компромиссами между  защитой и юзабилити, этот совсем несерьезный разговор

Коллега, я с Вами отчасти согласен. Но регуятор будет направлять нам, в ответ на присланные документы о категорировании окии, свои резолюции, говорящие о том, верно или нет мы все выполнили и корректно ли мы все им предоставили. И если что-то "не так" - нам так же об этом должны сообщить. Не понятен именно этот аспект. Регулятор не должен разбираться, это да (систем много, сфер много, функционал и направленность той или иной системы - тоже одним словом не описать и под одно определение не подогнать-есть подводные камни, узкоспецифические моменты и т.д.) ,но как он сделает вывод что  что-то "не так"?!

Я это и имею в виду. ФСТЭК может ответить "так" или "не так" только на два вопроса:
1. Правильно ли вы применили к объекту критерии категорировпнич
2. Правильно ли вы поняли и применили требования приказа ФСТЭК.

Но, например, ФСТЭК не уполномочена отвечать на вопрос "является ли вот такая ИС объектом КИИ". Парни стараются отвечать, но эти ответы, но эти ответы ввходят за рамки их полномочий

Является или нет-это личная забота каждого, с этим согласен. Это конечно не всегда просто корректно определить, но всеже. Отчасти для этого мы все здесь и собрались.

Я именно об этом пункте и говорю 1. Правильно ли вы применили к объекту критерии категорировпния. Как он может  это определить? Ведь специфику объекта он не знает

Я некорректно сформулировал п. 1. По этому пункту они могут ответить только "в решении субъекта нет очевидных ошибок" :)

Т.е. регулятор - не арбитр. Он может сказать, что что-то сделано неправильно, но отсутствие замечаний со стороны регулятора еще не означает, что ошибок нет. В этом смысле "не должны разбираться".

Это как с ГИБДД. Техосмотр выявляет только очевидные нарушения, и наличие талона техосмотра не означает, что автомобиль исправен.

Теперь понятно, Дмитрий,что  Вы имели в виду. Тут я согласен. Но в определенной своей массе,конечно, вопрос остается открытым.

А вот на все эти вопросы в случае срабатывания риска ответит суд.

Так вот в том то и самая важная "задача" этого чата, получить четкий понятийный аппарат, который позволит как самому понять тонкости,   так и донести это понимание до коллег/руководства и хотя бы не избежать риски, но максимально их минимизировать. И по возможности избежать дальнейшего развития ситуации (серьезных последствий, суда и прочего)

А FAQ чата на эту тему уже есть где-нибудь?

Вы имеете в виду что? Какие-то общие сформированные и  структурированные по тем или иным категориям решения? Сам чат и есть FAQ, а все остальное -каждый выбирает для себя.

У кого есть возможность пишет посты в своих блогах, в том числе на основании обсуждений в этом чате. У Алексея Комарова в блоге есть ссылки на остальные блоги по теме КИИ. Единого FAQ по этому чату нет.

пора вводить хэштеги)

КИИ (банковская сфера) регламентируется

информировать о компьютерных инцидентах ФСБ России, а также Центральный Банк Российской Федерации, если организация осуществляет деятельность в банковской сфере и иных сферах финансового рынка;

Требуется ли для передачи категорирование своих инцидентов согласно категориям и типам НКЦКИ?

до КИИ формировали инциденты (категории) согласно СТО БР ИББС

Пока нет, ФинЦЕРТ - это не ГосСОПКА. Поэтому у ЦБ могут быть свои требования по форме сообщения об инциденте

Возможно Банкам и не придется ничего передавать в ГосСОПКА (либо только по значимым ОКИИ), а только в Финцерт. Была информация о том, что этот вопрос сейчас обсуждается между ФСБ и ЦБ.