Берёте перечень мер из 239, убираете не актуальные в силу отсутствия конкретных угроз, убираете не актуальные в силу отсутствия технологий и средств в составе (например беспровод. и мобильн. техн.) получаете список необходимых мер. Открываете метод. Рек. По реализации 17 приказа и смотрите как предполагается реализовать те или иные меры. Отбрасываете нереализуемые в силу особенностей компонентов системы и требований документации. Оставшиеся меры закрываете бумажными процедурами.

Благодарю за ответ. О применении компенсационных мер, в основном организационных, я так и предполагал. По факту обеспечу защиту компьютера терминала. Смущает отсутствие возможности управлять процессами обновлений, управления с верхних звеньев. Да оттуда что то провалиться, журналы событий зафиксируют, а ответственность все равно на субъекте. Я так понял федеральный и региональный уровень ведомства не категорируют.

Вы РАСЦО кии признали ?

Так из определения 187 объект в собственности ЛСО ОПО, то есть субъект. Количество населения зашкаливает. А что есть вариант?

Ссылку на документ не дам, но было пояснение, что системы пожарной безопасности и т.п не нужно включать в перечень кии. Мы не включили)

А например, 112 вы включили ?

Про пожарку соглашусь, есть альтернатива, система дробна имеет сегменты. Оповещение муниципального образования ничем не решишь.

Сроки по категорированию не подскажите?

Сначала Вам надо определиться, есть ли системы, которые необходимо категорировать.
Потом направить информацию во фстэк.
И только после всего этого категорировать

Если вы Гос, то до 1 сентября 2019 перечень, 1 год со дня утверждения перечня - категорирование (т.е. до 1 сентября 2020). Если не Гос, то эти сроки рекомендуемые. Но полностью их игнорить тоже не стоит.

Спасибо.

А примерно можете подсказать, где такое поянение найти?

Я может что-то не так прочел, вы владелец системы или нет, меня смущает терминальное управление и обновления с верху, я еще раз дико извиняюсь , консольное управление вы осуществляете?

Тут и есть казус. Единая система оповещения имеет федеральный уровень, региональный, а так же все предприятия по классу опасности обязаны создать локальную систему оповещения. Применительно к 187 мы являемся владельцами обьекта. Передача сигналов с верхних уровней идёт через нашу систему. Имееться функционал оповещения своей территории. Информация об обновлении взята из руководства по эксплуатации.

коллеги, кто-нибудь консультировался со фстэк насколько подробно нужно описывать HW/SW в сведениях по форме 236? получается внушительный список....

Ну т.е. это вы создали эту систему и вы владелец. Просто мой опыт подобных федеральных систем подсказывает, что все как вы говорите но общий владелец этой системы другой, и тогда ему нужно задавать вопросы по защите. Поясню очень маловероятно что какую крупную систему отдали формироваться по принципу самоорганизации. Т.е. по правильному нужно вам выйти на владелец федерального уровня и задать им вопрос как вам поступать в рамках выполнения 239 приказа. По моему мнению ответ будет содержать информацию о том что системы принадлежит им , и они напишут вам требования по защите.

Спасибо за информацию. Но из моего опыта решения со стороны федералов не будет. Это же "памятник". Оборудование не имеет сертификатов, программно аппаратный комплекс прописан жёстко. Защитить со своей стороны сможем. Риски связанные с дистанционным управлением с верхних звеньв только по журналам событий.

Я про это и говорю если я все правильно понимаю то удаленный доступ как раз и запрещен как вы будете решать этот вопрос?

Единственное,что есть это подключение к абоненту верхнего звена vpn, зеркало на сопку.

Тогда нормально, но про vpn для удаленной работы помню были требования в отношении того что должен быть сертифицированный