все верно

по 6 можете подсказать еще кто-нибудь?

что именно?

как заполнять, ну лучше пример шаблона)

только в 8.2

Тут вы себя ограничиваете только абсолютными цифрами ущерба. Хотя можно обойтись и относительными.

Подскажите по пункту 6.2 пп236, что имеется ввиду, под "основными угрозами" здесь надо перечислять угрозы их модели угроз или что?

в качестве самого примитивного примера (берем из МУ):
Угрозы физического доступа к компьютерной технике – не актуальны, так как установлен пропускной режим. Доступ на территорию контролируется.
Угрозы непосредственного доступа в ОС компьютера или компьютерной сети с применением программных или программно-аппаратных средств.
Угрозы удаленного доступа в ОС компьютера или компьютерной сети с применением программных или программно-аппаратных средств.
Непреднамеренные антропогенные угрозы.
Угрозы утечки информации по техническим каналам — не актуальны, так как обрабатываемая на ОКИИ информация не имеет ценности, сопоставимой с затратами на ее перехват с использованием технических каналов).
Техногенные угрозы

а насколько ТКУИ и техногенные вообще входят в область 187-ФЗ? Там же речь о компьютерных атаках все-таки

исходим из определения КИ - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, В ТОМ ЧИСЛЕ произошедший в результате компьютерной атаки. То есть ТКУИ и техногенные лучше не списывать со счетов

Сергей, не совсем логично.
Статья 1. Сфера действия настоящего Федерального закона

 

Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Ну, коллизии никто не отменял

Право ваше, конечно. Но:
область действия ФЗ говорит о другом. Приведенная цитата сама не противоречит области, но ее расширение уже сомнительно. Хотя у нас в нормативке много нестыковок, чего уж там.
БДУ ФСТЭК не содержит явных угроз этих типов, насколько помню

в общем учесть можно - ругать не будут точно.

распостраненная ошибка ИМХО... нельзя признавать угрозу неактуальной только по причине того что она нейтрализована. Модель угроз это некий чек-лист для контроля принятых мер по нейтрализации. То есть угрозы присущие ИС исходя из ее структурно-функциональных харакеристик всегда актуальны.

тут вопрос понятий и целей. ФСТЭК говорит, что для выявленных актуальных угроз нужно принимать меры. И начинается карусель:

1. угроза актуальна
2. Приняли меры для ее нейтрализации
3. Она все еще актуальна
4. Приняли еще меры???
5. Она актуальна
....

тогда нужно говорить о вероятных угрозах и оценке рисков для данных угроз

Еще раз... угроза всегда актуальна! Просто для каждой угрозы у вас должен быть "живой" перечень мер по нейтрализации. Например увидели с утра оповещение мол новая уязвимость в таком то ПО, а оно у вас юзается. Пприняли меры по нейтрализации.. Но угрозы атак на ПО остаются актуальными вы просто Ждете новой уязвимости. И так по каждой угрозе. Хорошо это понимается на примере средств периметровой защиты.... угрозы атак всегда актуальны, а проверка что они нейтрализованы заключается в контроле актуальности правил или сигнатур и вообще контроле штатного функционирования СЗИ. Ежедневный рутинный контроль и обязательный после различных видов ослуживания - мастхэв

у ФСТЭК есть вообще то есть методика определения актуальных угроз, основанная на вероятности реализации угрозы и ее опасности. И судя по сообщению вы путаете понятия угроза и уязвимость.