Если в ЛВС есть система управления, которая может быть целью атакующего, то ее нужно категорировать как ИТС по тем же правилам, что и информационную систему.

Я про это.

Если вы включите ее в состав одной из систеи - пуркуа бы и не па. Но мой внутренний перфекционист ругается и топает ногами :)

А почему идет привязка к определению ЛВС?!  Почему не оттолкнуться от определений ИТС из 149? ЛВС - провода, оборудование, обеспечивающее связь и системы управления этим оборудованием (скажем так - коммутационный шкаф и провода). Но ИТС, в первую очередь система передачи данных по проводам, но доступ к данным происходит с использованием вычислительной техники (АРМ). И атака на эти АРМ, может привести к последствиям

Просто ИС (если отталкиваться от определений) - это в своей большей части  сервер (арм) с данными, и ПО, которое на нем стоит и позволяет эти данные обрабатывать. НО доступ к ИС происходит через ИТС. Если будет просто ЛВС, то вы не имея АРМ подключенного к этим проводам, не нанесете вреда. Провод сам по себе ничего не сделает.

В таком случае нужно категорировать 2 окии - ис и итс. Ну или брать объединять их одним пунктом, например просто ИС и категорировать одной позицией (но проводить полное описание всех составных частей), но защищать и то и то.

Статья Kaspersky ICS CERT: Моделирование угроз в условиях методической неопределенности. На примере типового объекта теплоэлектрогенерации с определением возможных киберфизических последствий
https://ics-cert.kaspersky.ru/reports/2018/12/11/modelirovanie-ugroz-v-usloviyakh-metodichskoy-neopredelennosti/

ну если у вас СКС и систеа управления ею является неотъемлемой частью ИС, то смысл ее выделять? Включаете в состав ИС и каналы передачи.
Как отдельный ОКИИ имеет смысл выделять в случаях, когда у вас есть явное пересечение, неудобное для рассмотрения кусками (IP-шный сегмент заводская сети, в который сваливаются потоки из всех АСУ для передачи вовне или агрегации) или когда это именно отдельная сетевая инфраструктура для транспорта типа ЛВС в ЦОД, в котором размещены ОКИИ нескольких субъектов или транспортная сеть между такими ЦОД и ОИВ (для госов такие вещи актуальны)

Да, если ИС одна. Но у наших заказчиков их обычно леаятки

принцип тот же - если это общий транспорт для многих ОКИИ, то смысл есть. Ну а что можно - сегментировать.

Не взлетит.

Вот стоит в ЦОД каскад коммутаторов на тысячу портов суммарно. Вы "попилили" этот каскад на сто ИС, опираясь на настройки VLAN. Категорируете одну ИС.

Этой ИС принадлежит "кусочек" коммутатора, поэтому для нее актуальна угроза "перехват всего трафика всей сети через атаку на STP" (из-за незафильтрованного на портах STP я могу убедить весь каскад, что вот этот сервер - на самом самая мощная циска, и весь трафик надо гнать через нее, она дальше виланы разрулит). Результат - угроза для каждой ИС, и в каждой ИС надо принимать свои меры зашиты. Учитывая, что инцидент в одной ИС может быть вызван угрозами совсем в другой ИС.

А так вы выделили ядро ЛВС в отдельную ИТС, защитили ее и моделируете угрозы для остальных ИС в предположении, что ЛВС от угроз защищена

я имел в виду, конечно же, сегментирование жесткое, не на vlan или виртуальных средах
Как в промышленных сетях многих. ну или, если про ЦОД, то бывают варианты, когда стойка своя под ИС и в ней есть свои выделенные коммутаторы например.

Без разницы, если у вас есть каскад коммутаторов - на нем работает компрометация STP. В случае VLAN при этом дополнительно будут игнорироваться номера VLAN

может иначе будет понятнее - вопрос в том можно ли очертить все информационные потоки в рамках одного этого сетевого сегмента.

здравствуйте, хотел бы узнать есть ли тут люди с минздрава(федеральный, региональный), который уже занимается вопросом КИИ. хотел бы побеседовать узнать для себя некоторые ньансы

По поводу категорировая операторов связи пока могу сказать, что процесс явно активизировался.

Это один из вариантов. Канал может быть шифрованным и у оператора связи.

Это вряд ли :) Даже у карманного оператора вряд ши

Почему нет? )

А зачем оператору связи заморочки с ФСБшным надзором? "Шифруйте сапи, мы передадим"

Тут вопрос скорее в экономику упирается, но не буду развивать офтоп ) С точки зрения субъекта КИИ это выглядит отличным решением, на мой взгляд.

Вы будете передавать оператору связи защищаемую информацию? А  персональные данные?  Так разве можно?🤔
Если вы доверяете провайдеру и он может соединить ваши "филиалы", передавая данные только внутри своей сети - можете вообще не шифровать ничего