Форма такого документа ничем не регламентирована. Нужен он для личного успокоения организации, которая может оказаться потенциальным субъектом.
По опыту заметил, что готовится этот документ в двух случаях (возможно , их больше, но я столкнулся с двумя): когда организация хочет хочет обосновать, что она не субъект и когда организация-субъект хочет обосновать отсутсвие объектов КИИ, подлежащих включению в перечень, который надо направлять в ФСТЭК.
В первом случае с отсылками на 187-ФЗ обосновывалось, что организация по формальному признаку не есть субъект (например, что согласно Уставу функционирует в областях, не включённых в этот самый ФЗ или, другой пример, что организация не ни в каком виде не владеет ИС, функционирующими в областях из 187-ФЗ. Во втором случае организация-субъект обосновывала отсутсвие критических процессов, как основной фактор включения объектов в перечень (например, что в ходе работы установлено, что принадлежащие системы не обрабатывают и/или не обеспечивают обратку процессов, нарушение выполнения которых может привести к негативным последствиям).

Добрый вечер, не подскажете, легально ли с точки зрения 187-ФЗ использовать операционные системы, срок поддержки которых производителем истёк (обновлния выпускаться не будут)? В частности, поддержка ОС Microsoft Windows Server 2008 R2 закончится 14 января 2020 года, а windows xp уже давно не поддерживается. Можно ли их использовать в составе корпоративной сети, которая является объектом КИИ?

Прямых запретов нет. В приказах Фстэк (235 и 239) сказано что средства зашиты должны иметь поддержку (тех. и/или гарантийную)

Является  ли ОС средством защиты информации?

сертифицированная - да)

Если это будет вложено в цель эксплуатации ОС, то да, ОС может выступать СрЗИ (в некоторых (предусмотренных законом) случаях для этой цели ОС должна быть сертифицирована).

В качесте СрЗИ могут выступать лобые ПАК или софт главное соблюсти соответствующую процедуру

Можно, при условии, что вы научитесь сами устранять уязвимости в них (мера защиты АУД.2)

В том случае, если вы заявите ее встроенные механизмы в качестве соответствующих мер защиты (например управление доступом или регистрация событий), опишете соответствующим образом в документации на систему обеспечения безопасности ОКИИ и проведете оценку соответствия, испытания и ввод в эксплуатацию в соответствии с требованиями нормативки. Сертифицированой она быть не обязана, если это не гос орган

В противном случае нужно будет использовать иные соответствующие меры защиты

Непонятно откуда это следует? Я, конечно, не поддерживаю использование ос без оф. поддержки, но это утверждение следует из какой-то нормативки? И почему только АУД.2?

Это утверждение следует из приказа 239. Мера защиты "анализ и устранение уязвимостей" - базовая для всех категорий значимости. Отсутствие официальных патчей не освобождает от ее реализации

Добрый день, коллеги! На каком этапе следует разрабатывать модель угроз - категорирования или создания системы защиты?

Если следовать нормативке, то между категорированием и разработкой СиЗИ, так как ЧМУ необходима только для значимых объектов
На практике можно начинать сразу после того, как убедитесь в значимости объекта, а это происходит до завершения категорирования

В форме для не значимых объектов в полях с описанием нарушителей и угроз что писать и на основании чего?

Извините за плохое качество, но Водоканал пропал из примеров НЕ КИИ!

ФСТЭК не считает ОМСУ субъектами КИИ.

А какие примеры остались (просто не видно)?

ОМСУ