Утверждение.

Согласен, многие нарушают

Блог Александра Веселова: VPN ГОСТ между несколькими организациями
http://alexanderveselov.blogspot.com/2017/06/vpn.html?m=1

Вот туда пара примеров и ссылки на мини-наказания

Четкого регламента не существует. Поэтому стоит действовать исходя из здравого смысла. Как вариант - отправить обновленный перечень или состав изменений по сравнению с исходным перечнем, при этом обосновать почему перечень изменился (открылись новые обстоятельства, произошли изменения и т.д.).

то есть сначала обновленный перечень с обоснованием в свободном формате, а за ним формы категорирования?

Тут тоже все на Ваше усмотрение. ИМХО, основной интерес регулятора - чтобы у него была полная картина по вашим объектам. Вообще конечно отправка обновленного перечня или изменений к нему при появлении каждого нового ОКИИ или изменении в существующих ОКИИ - выглядит избыточно, если учесть, что все равно все что необходимо регулятору он и так увидит в сведениях по результатам категорирования.

ок, понял, спасибо

Здесь ситуация непростая, т.к. ряд источников даёт различные определения термину "удаленный доступ" (НМД, ГОСТ и др.).

Если смотреть термин "удаленный доступ", введенный ФСТЭК России в Мерах для ГИС, то "Удаленный  доступ: процесс получения доступа (через  внешнюю сеть) к объектам  доступа ИС из другой ИС  (сети) или со средства  вычислительной техники, не  являющегося постоянно  (непосредственно) соединенным физически или логически с ИС, к которой он  получает доступ".
А "внешняя сеть: это сеть, взаимодействующая с ИС из-за пределов границ ИС".
А вот граница - это пределы, в  которой оператором обеспечивается защита  информации в соответствии  с едиными правилами и  процедурами, а также  контроль за реализованными  мерами защиты информации".

Таким образом, если в первом определении взять блок до союза "или", учесть, что в вашей (подконтрольной) VPN-сети обеспечивается защита (а тут уже по требованиям ФСБ России), то это это не будет доступом через внешнюю сеть.

сопроводительное письмо в духе "уведомляем, что произошли изменения: появились новые объекты: "список", из переданных ранее исчезли "список", в существующие внесены изменения, просим считать новую информацию актуальной"
Далее все те же отчетные формы по актуальным ОКИИ

да, скорее всего такой вариант будет выбран. Совсем без бумажки как то не айс :) Спасибо.

Факт, но ФСБ это считает нарушением (из опыта запросов на ввоз оборудования с указанием целей его использования на такие вещи просят лицензию)

Разумеется, без бумажки никак. ФСТЭК сетовали на то, что это и для них является проблемой, но, вместе с тем, заверили, что соответсвующие изменения, регламентирующие внесение изменений в ранее поданную информацию, постараются внести в ПП-127.

Спасибо!

Это на Ваш взгляд или где то закреплено документальнл?

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument там на странице 15 про компенсирующие меры. А вообще я логикой руководствуюсь. Если бы было все иначе и средствами защиты считалось бы все подряд, то зачем тогда вообще сертификация.

Кроме того ОКИИ просто не может не наследовать требования НПА предъявленные ранее к различным ИС, иначе будет куча коллизий

Давайте в вопросах ФЗ-187 руководствоваться не "я считаю", а нормативными документами. Ничего подобного в нормативных документах нет.

В соответствии с приказом 239 меры защиты могут реализовываться любыми средствами защиты, в том числе и не сертифицированными

Возможно моя точка зрения покажется кому то более благоразумной чем ваша. Для них и писал.

К сожалению, в этом чатике довольно много людей, не знакомых с нормативкой и готовых поверить знающему человеку на слово :)

Поэтому было бы честно по отношению к ним аргументировать личное мнение отсылками к конкретным нормам. Тогда к их решение действительно подойдет характеристика "благоразумный", а не "кто-то сказал" :)