Вот, и все сразу стало на свои места. Не "только сертифицированные", а "29. В случае использования в значимом объекте сертифицированных" :)

В этом случае определяется, какой класс должен быть выбран

С маршрутизаторами тоже понятно стало: на внешнем периметре должны припеняться или сертифицированные МЭ или маршрутизаторы со встроенными функциями собственной безопасности, сертифицированные на соответствие ТУ

Или, при технической невозможности применятт сертифицированное, достаточно самостоятельной приемки

Ничего не понятно

Кому как, по мне, так все очевидно :)

Что именно непонятно?

Чем им слово «политика» не понравилось?

Есть довольно много безопасников старой закалки, для которых "политика" - это обзорный документ на 200+ страниц на тему "как много я знаю о...". Вот и уточнили, что подразумеваются документы прямого применения.

Коллеги из Банков, которые хотят отправлять информацию об инцидентах в ГосСОПКА через ФинЦЕРТ, возможно будет интересно. Скрин из смежного чата.

Президент РФ на ежегодном расширенном заседании коллегии ФСБ ещё раз акцентировал внимание на необходимости усиления защищённости КИИ и развития ГосСОПКА.

Доброе утро всем. Коллеги, подскажите пожалуйста по такому вопросу, во время процесса категорирования (после отправки перечня), какие необходимы внутренние документы и бумаги, утверждённые, возможно нужны будут при проверках, или другой отчётности, помимо документов на выходе - акта категорирования и сведений. Может перечень угроз, утверждённый план мероприятий или другие. Как у кого проходит данный процесс?

Или это все на усмотрение самого субъекта кии?

все в рамках законодательства. Планы проверок, планы реагирования, модели угроз и тд и тп

Ну модель угроз я так понимаю делается после утверждения акта категорирования, во время создания системы защиты значимого объекта кии, если таковые будут, но для самого процесса категорирования он не нужен, достаточно составить перечень угроз. Или модель угроз нужна обязательно на этом этапе?

Перечень угроз и модель угроз в вашем понимании разные вещи?)
Сам перечень есть в БДУ ФСТЭК. Угрозы, применимые к вам, описываются в моделе угроз

Да, в моем понимании перечень угроз и модель угроз это разные вещи)

Как вы составите перечень без моделирования?)

1. Разные от слова "совсем"
2. То, что в БДУ называется угрозами, на самом деле не совсем угрозы. Именно для категорирования они непригодны

Дело в том что в разных источниках я сталкивался с разными мнениями по этому поводу. Само категорирование делается по правилам ПП 127, и пункт 14 (г, д) я так понимаю говорит о том, что должен быть какой-то промежуточный документ (перечень угроз, или может назвать это частной моделью угроз), а вот после процесса категорирования, в случае имеющихся значимых объектов кии, обращаемся уже к приказу 239, там пункт 11 (а) гласит о создании модели угроз безопасности информации. Но в процессе категорирования, я же не знаю значимый это объект или нет, поэтому приказ 239 тут ещё не нужно применять. Этот вопрос возник когда читал интервью с сотрудником фстэк, где последний вопрос как раз и был задан про модель угроз, на что там ответили что не нужно путать перечень угроз, который нужен на этапе категорирования, и модель угроз, которая нужна при реализации требований приказа фстэк. (ссылка-  http://m.bis-expert.ru/blog/10451) я человек новый в этой сфере и только учусь, так что не ругайте сильно если я что то не так понимаю) а лучше помогите, хочу перенять опыт у вас, у опытных безопасников))