По идее, реализуется сканером безопасности. MP8, RedCheck и т.п.

Это реально реализовать и оргмерами, если объемы активов не конские, путем написания ОРД и вменением в обязанности определенных специалистов

Если подходить чисто формально, то очень многое можно организовать оргмерами. Вопрос в работоспособности такого подхода и наличии свободных специалистов, которых можно этим озадачить.

Вызывает сомнения уместность применения сканеров в случае когда объект КИИ это АСУТП

Вопрос в том , будут ли эти оргмеры выполняться, и как выполняться (выполняться полностью или для галочки)

В технологическое окно. Ну и плюс оргмеры "прикрыться". Т.е. чисто формально "смотрели, уязвимостей не увидели".

суть меры - избавить объект от известных уязвимостей, как их детектить, с помощью сканера или периодически исследуя базы - дело объема, персонала и нюансов (а ля АСУ ТП)

Большинство организаций останавливаются на выполнении для галочки. А специалисты которым в обязанности входит обеспечение ИБ зачастую не понимают что такое ИБ вообще

Под " специалистами" имею ввиду консультанта ака программист ака сис админ ака админ ИБ с должностью консультант, а остальное вменяно для галочки.

На самом деле, надо понимать, что если использовать оргмеры и специалистов не для галочки, а реально оценивать. То не факт, что такое решение выйдет дешевле сканера. Хорошие спецы ИБшники, которые будут реально руками/глазами все это обрабатывать влетят в коппечку. Друго дело для галочки - навесил на уборщицу бабу Машу анализ уязвимостей 1000 сетевых устройстви и 1500 серверов и, вроде, нормально, закон соблюден.

Технологическим окном в случае непрерывного производства представляется только кап ремонт , проводимый раз в год, а то и 2. Эффективность при такой частоте сканирования не велика

Эффективность даже такого сканирования может быть достаточной. Если в промежутке между такими окнами система изолирована, к ней никто не подключается, конфигурация там неизменна - то и пересканировать ее раз в месяц какой-то критичной необходимости нет.

Есть технические решения, но надо понимать, что с отчетами, которые они выдают, работать надо специалисту (а может, и нескольким, все зависит от масштабов), которые понимают и техническую часть (в том числе, програмиирование), и сам процесс, который реализуется этими техсредствами. Есть решения от positive technologies, kaspersky, gfi, tenable

Опять-же, предположим что Вы сможете сканировать вне окон или еще как-то получать информацию об уязвимостях, какой в этом смысл? Вы сможете остановить техпроцесс, если каким-то образом узнаете о наличии уязвимости? Уверен, что нет. Тогда какой смысл узнавать о них чаще, чем в момент, когда с ними можно что-то сделать (технологическое окно)?

Вы будете знать о наличии известной уязвимсоти, если нашли её сканером, такое ПО чаще всего предлагает варианты решений этой уязвимости, в организационных документах должен быть установлен срок устранения данной уязвимости (может специалист по ИБ найдет решение проблемы самостоятельно, например настройкой каких-либо ограничений штатными средствами ОС; или выйдет заплатка/обновление и т.д.)

Согласен, но выходит "галочку" ставить будем раз в 2 года

Пропишите в документах, что сканирование проводится 1 раз в месяц и сохраняется отчёт о проведенном сканировании.

Я не об этом писал. Я понимаю, что там решение будет. Вопрос в другом. Вот нашли Вы проблему, узнали решение и приходите к директору завода со словами "Михал Иваныч, вот тут надо производство тормознуть, миллионов на 50, заплатку на сервер поставить". Что Вам ответят догадываетесь, думаю.

Ну тут тоже смотря как вопрос поставить. Если сказать, что выявлена критическая уязвимость, которая при плохой ситуации вызовет остановку/аварию и повлечет за собой финансовые потери (бОльшие, чем на устранение данной уязвимости), то руководство может и задумается о поэтапном решении наличия уязвимости.

Коллеги, добрый день!
В решении Коллегии ФСТЭК России от 20.04.2018 № 59 указано, что создание системы защиты КИИ необходимо выполнить до 01.09.2019 г.
Подскажите, есть ли еще какой-либо официальный документ, который определяет сроки создания системы защиты КИИ?
Вроде бы раньше слышал, что срок создания СЗ КИИ 3 года от даты начала действия ФЗ-187.
Спасибо!