Окончание категорирования, а защиты до 12.19

это по 152

Это не обязательно, но ФСТЭК в своем выступлении рекомендовал, если вы уже понимаете что у вас будут значимые объекты КИИ, то можно начинать планировать и принимать меры защиты уже сейчас. Особенно те которые малозатратные.

Откуда такая информация что к 12.19 надо реализовать защиту? Три года до проверки.

Всяко еще будут регламентирующие и дополняющие доки по КИИ. Пока и  кто толком ни чего не понимает.

Срок считается с момента направления перечня ОКИИ.

ФСТЭК на встрече с блогерами пояснял.

Ну да. Вы сначала прокатегорируетесь. Мол 1 категория. Потом сформируете сведения - Меры защиты не используются (в т.ч. даже планирования ИБ), средства не закуплены. И что, вот эту красоту отправите за подписью главного? А потом три года можно спать спокойно? Прям как в анекдоте.

указывать те меры, которые выполнены на момент категорирования. те которые не выполнены, не указывать.

из скана ответа складывается ощущение, что:
если по результатам категорирования понятен перечень требуемых мер, то они перечисляются и указывается какие реализованы, а какие нет
если по результатам категорирования или в соответствии с иными обоснованиями меры не требуются, то указывается данная информация

есть же еще пункт 5.4, где также указываются меры защиты реализованные

5.4 - СЗИ, а 9 - меры защиты - можно взять например из пункта 22 приказа ФТСЭК 239.      Я бы указывал только те которые реализованы на данный момент.  Если вообще никаких мер защиты не применяется - так и написать.

Мы взяли из 239 приказа и просто указали коды тех, что выполняются на текущий момент

Нет, это отдельно оговаривпется в последнем разделе 235 приказа.

Создание системы защиты - это бесконечный итерационный процесс (создали, поработали, оценили, поняли, что сделали фигню, сделали чуть по-другому, поработали,...) с ежегодным циклом планировпния. Поэтому у у него не может быть никакого "исполнить до"

В п. 9 указыааете те меры защиты, которые реализовали на момент категорирования. Можете приукрасить и включить меры защиты, котое планируете реализовать к первой плановой проверке.

Но я бы сделал честный роадмап по созданию системы защиты  (пусть даже раньше, чем за 10 лет с ним не управиться), и в п. 9 написал: "реализовано А, Б, В, реализация остальных мер для вот такой категории значимости организована в соответствии с разделом V (номер не помню точно, проверьте) приказа 235

На встрече с блогерами этого не было. Было про то, что после категорирования нужно сразу приступить к назначению ответственных и разработке регламентирующей документации. Рекомендуемые сроки внедрения техсредств ФСТЭК не озвучивал. Вот что говорила Е.Торбенко в своем выступлении на SOC-Форуме:

Организационные меры должны быть внедрены сразу после завершения категорирования – назначен ответственный персонал, создано подразделение, разработана необходимая документация. Внедрение технических мер необходимо соотнести с вашим технологическим процессом. Вам нужно определить когда вы сможете внедрить технические меры с минимальным ущербом для себя.

Коллеги, добрый день!
Возник вопрос, обращаюсь к экспертам)
Перед оценкой масштаба возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ (ПП 127), должна ли комиссия по категорированию составить модель угроз для объекта КИИ и выявить актуальные угрозы ИЛИ комиссия просто проводит анализ имеющихся сведений об угрозах и инцидентах на объекте (пункт 14 пп. Д ПП 127)?

Скорее всего да, однако прямого указания на модель угроз нет, но есть требование привести результаты анализа угроз безопасности ОКИИ, а от куда это можно почерпнуть, если не из модели угроз!?