Коллеги. А кто как понял п. 14 со сноской 2 452 постановления?
по сути ФСТЭК ответил на вопрос, который задавали ранее субъекты про зависимость ОКИИ и последствий. Это нужно для варианта, когда есть компрометация смежной системы, а непосредственной компьютерной атаки на сам ОКИИ нет, например:
1. На предприятии есть какая-то АСУ ТП и верхнеуровневая SCADA. При оценке угроз и с учетом МЭ или иных мер считается, что направление несанкционированных команд на АСУ ТП не актуально, а вот SCADA у нас имеет подключения хитрые к ЛВС и туда хакеры добраться могут. В таком случае нужно считать, что и АСУ ТП будет подвержена соответствующим угрозам со стороны SCADA уже, если ее порутают хацкеры.
2. Банальный пример с ИС и ИТС. Если есть угрозы для ИТС, подразумевающие ее отказ или иные нарушения, то автоматически распространяем их на ИС в части функций, реализующихся ИТС
3. Связанные ИС/АСУ, реализующие общий процесс, где есть обработка и передача данных из одной в другую - по аналогии рассматриваем угрозу нарушения работы, если сломалась система с нижней ступени обработки, ну и компрометация - возможно будет подмененная информация на входном потоке например.