Для операторов связи разработан проект методического документа по категорированию. Пока не утвержден - его в декабре только на рабочей группе рассматривали. Там именно методика выделения ИС и оценки показателей для них

Правильнее всего, наверное, запросить проект у АДЭ: http://www.rans.ru

спасибо. после его получения что вторым этапом?

Все остальное написано в 127м постановлении

Сформируйте комиссию (выпустите приказ), а в самое ближайшее время АДЭ опубликует соответвующий документ.

Сейчас документ на согласовании у регуляторов, скорее всего, проект не дадут, уже попросят дождаться.

Добрый день, подскажите пожалуйста, если организация попадает в сферы деятельности,указанные в фз187, но информац. Систем подпадающих под категории пп127 нет, необходимо ли включать систему в незначимые окии и отправлять сведения?

Добрый день. Категорирование объектов нужно произвести в любом случае (создать комиссию, признать объект КИИ не значимым). Отправлять в ФСТЭК нет необходимости. Вроде так.

Одно время ходили слухи, что для защиты КИИ можно будет использовать только Российские разработки, по этому вопросу известно что-то?

Проводите категорирование, признаёте системы незначимыми, заполняете форму из 236 приказа ФСТЭК, где это указываете, и наплавляете в ФСТЭК.

Ну вот уже 2 мнения по поводу отправлять или нет

В соответсвии с ПП-127 субъекты КИИ осуществляют ряд итераций. Например, комиссия по категорированию формирует перечень объектов КИИ, подлежащих категорированию, и направляет его в ФСТЭК. После этой итерации у субъекта КИИ есть срок не более года на проведение непосредственно категорирования и направления в ФСТЭК заполненной формы, где необходимо указать либо одну из категорий, либо указать, что нет необходимости в ее присвоении.
Т.е. если субъект уже отправил в ФСТЭК перечень ОКИИ, подлежащих категориованию, то уведомлять ФСТЭК о результатах категорирования необходимо. Если субъект КИИ принял решение, что у него нет систем, подлежащих включению в этот перечень, то уведомлять об этом не надо (надо просто промолчать).

Благодарю за разъяснение. Согласен с вами.

Для подключения к ГосСОПКЕ. Для защиты такого никогда не предполагалось

Коллеги. Хотелось бы обсудить такой вопрос. В приказе ФСТЭК 239  в п.31 сказано, что применяемые в ЗОКИИ средства защиты должны быть обеспечены гарантийной и/или технической поддержкой. Другой момент ФСТЭК говорит, что в первую очередь используйте встроенные средства защиты.
В цеху стоит контроллер. У Субъекта нет договора с вендором по гарантийной/тех поддержки (думаю я не один такой). На данный момент вендор еще осуществляет техноческую поддержку данной модели контроллера (выпускает прошивки на контроллер). Субъект использует штатные функции контроллера, по ограничению доступа к административным функциям контроллера (списки доступа и подсистема аутентификации/авторизации).  Если завтра вендор прекратит данную модель контроллера поддерживать, то субъект должен произвести замену?

Ну по идее, у оборудования тоже есть срок эксплуатации. Он может совпадать со сроком технической поддержки, и вы по-хорошему должны менять оборудование, что к сожаление многие игнорируют

Вопрос хороший. Как раз обозначал его среди подводных камней в статейке
https://www.anti-malware.ru/analytics/Technology_Analysis/Compliance-with-187-FZ
Но вот что с этим делать - до сих пор неясно

Обсуждали в ФСТЭК это. Засада в том, что ЛЮБОЕ средство, например, с аутентификацией админа, попадает под определение средства защиты информации. Хоть контроллер, хоть винда обычная, хоть apple watch с пин-кодом. Менять определение ФСТЭК не может/не хочет. Поэтому неформально они требование по гарантийной поддержке распространяют только на привчные средства защиты (МСЭ, СОВ, АВ и т.п.). К остальному они претензий иметь не должны (не будут).

Но это нигде не зафиксировано

Я бы сказал КСЗИ