10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).

П-235 ФСТЭК России

Или привлекается организация. Это в пункте ниже прописано.
А про знания прописано ещё ниже - в п. 12.

Спасибо

ГДе написано это "или"?

11. Для выполнения функций, предусмотренных пунктом 10 настоящих Требований, субъектами критической информационной инфраструктуры могут привлекаться организации, имеющие в зависимости от информации, обрабатываемой значимым объектом критической информационной инфраструктуры, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации (далее - лицензии в области защиты информации).

Тут нет никакого "или". Тут - "могут привлекаться", а не "могут привлекаться вместо"

Ага, тогда получится, что подразделение создали, а все его функции передали организации. Товарищи из созданного подразделения сидят и ничего не делают, ведь согласно п. 13 на них ничего другого и не возложишь. Красота.

Т.е. у человека должен быть диплом по специальности "Техническая защита информации"? Или хватит курсов по 187 ФЗ?

Да вообще откуда эта категоричность? "Полностью передали"? Нет, все вовлечены. Наоборот, должно быть отдельное подразделение, занимающееся именно ОБ ОКИИ

13. Не допускается возложение на структурное подразделение по безопасности, специалистов по безопасности функций, не связанных с обеспечением безопасности значимых объектов критической информационной инфраструктуры или обеспечением информационной безопасности субъекта критической информационной инфраструктуры в целом.

Если вы с СОКом заключите договор, то вы "привлекли организацию, имеющую лицензию", НО! это не "передали все обязанности в полном объёме"

Этот момент не раскрывается. Но знаний и навыков должно быть достаточно для обеспечения безопасности ЗОКИИ.

А если субъект решил все обязанности передать?
Здесь, КМК, регулятор даровал возможность либо своё подразделение создать, либо полностью или частично отдавать лицензиату.

вот я и спрашивал выше, если ли такие в данной группе???

Думаю, у него это не получится.
8. Руководитель субъекта критической информационной инфраструктуры или уполномоченное им лицо, на которое возложены функции обеспечения безопасности значимых объектов критической информационной инфраструктуры (далее - уполномоченное лицо), создает систему безопасности, организует и контролирует ее функционирование.

Тут нет варианта, "или всё отдаёт на аутсорс".

Пункт 3.4 заполняется же если только есть взаимодействие с Интернетом ?

В п. 8 и в п. 10 идёт речь о разных штатных единицах (или не знаю как это ещё назвать). В первом случае, кстати, опять же этого лица может и не быть, но тогда это будет сам руководитель, не так ли?

так

Да это пункты про разные сущности. Система безопасности - это не структурное подразделение. Это система.
Их сравнивать даже не корректно, чтобы не запутать себя и других. Система по п. 2 - это сущность, реализующая набор мер (правового, орг, тех характера), а структурное подразделение - это термин из кадровой деятельности.
Например, в систему безопасности (п. 8) может входить турникет, а также договор с ЧОПом на охрану и контроль людей на входе в организацию. А к созданию структурного подразделения (п. 10) это не имеет никакого отношения

Что-то по пунктам мы поднимаемся все выше и выше.
Я не призывают категорично отдавать функции  обеспечения безопасности ЗОКИИ куда-то на сторону. Или наоборот концентрировать их только в руках специально обученных работников субъекта КИИ. Я лишь привёл отсылки к пунктам приказа 235, посвящённым этой теме.
Предлагаю дождаться ещё мнений?

Кстати, если прикапываться к словам, то в том же пункте 11 нет однозначного понимания: можем ли мы все или только некоторые функции отдать организации-лицензиату? Но понятно, что функций, перечисленных в п. 10, должно быть несколько, ведь это слово там упоминается во множественном числе. Но я предлагаю не заниматься лишней бюрократией.

У субъекта обязательно должно быть подразделение, ответственное за безопасность ЗОКИИ. Аутсорс  - необязательная опция. Да и все задачи в области ИБ на аутсорс не передашь, да и глупо это.
Требования к штатным специалистам по ИБ не предъявляются

Вся ответственность по защите ЗОКИИ лежит на субъекте - поэтому свои специалисты обязаны быть, хотя бы для того чтобы контролировать работу аутсорсеров, ну и помогать им

В п. 10 четко говорится про структурное подразделение или работников, ответственных за обеспечение ИБ. Лицензиаты могут привлекаться, но в соответствии с п. 10 ответственность все равно на них