Спасибо)

Вопрос про снижение категории объектов КИИ. Вот тут начиная с 10й минуты говорится об этом.
https://www.youtube.com/watch?v=DezK4s6MKmY
Заказчик не закончил категорирование своего КИИ по 127пп. Говорит готовится к 1й категории. Мне надо обеспечить безопасность одного энергоблока по ИБ. Если я делаю сегментацию с помощью МЭ, могу ли я в разрабатываемой модели угроз(на 1 энергоблок) написать, что в моем сегменте уровень значимости 3 и класс АСУ соответсвенно 3? Как вообще можно написать модель угроз для локальной системы? На всей станции аудит ИБ пройден. Т.е. та часть которую мы не реконструируем считается по ИБ защищенной.

Доброе утро! Нужно ли грифовать документы по категорированию ОКИИ для значимых и нужно ли для незначимых (Сведения во ФСТЭК, ОБОСНОВАНИЯ, РАСЧЁТЫ ПОКАЗАТЕЛЕЙ КРИТЕРИЕВ Акты). Электросетевая компания.

Если под пункты вашего перечня не подпадает, то нет.) А если Вы про пометку дсп, то ставьте, больше не меньше.

Про гриф "КТ", мы коммерческая организация и у нас ДСП как бы не должно быть

Понятно. передаваемая информация, если  подпадает под Ваш перечень КТ, то ставьте. Это Ваша же КТ

А ФСТЭК пусть обеспечивает у себя режим КТ😂

При категорировании вы не можете считать что-либо защищенным. В ходе атегорирования вы оцениваете, что плохого может произойти, если не защищаться должным образом. И только потом, после категорирования, становится понятно, реализованы ли на вашем объекте хотя бы нужные бащовые меры защиты.

Кроме того, специально для любителей сегментировать сети в ПП-127 добавили требование о необходимости рассматривать взаимодействие объекта с другими объектамм

почему мы не можем считать что-либо защищенным? если защита не связана с птк и есть орг меры?

Потому что категорирование -  это не оценка текущего уровня защищенности, а "что плохого может произойти, если не защищаться?"

На основании этой оценки выбирается категория, категория определяет базовый набор мер защиты, две трети которых - те самые "орг меры"

вот почему оценку "чтт плохого может произойти" по впшему мнению нужно делать без учета защит развязанных с птк и орг мер?

Потому что в момент категорирования никаких "птк и орг мер" в природе не существует. Сейчас вы делаете категорирование для существующих систем задним числом, но принцип тот же: сперва категория, потом меры защиты.

про задним числом можете показать пункт в нормативке?

зачем заднее число в нормативке? Дмитрий говорит о том, что если уже существуют какие-либо меры, а категорирования еще нет, то, соблюдая последовательность действий, должно быть сперва категорирование, а потом принятие мер

а не наоборот. если в ваших документах (орг.меры) уже стоит дата и Вы планируете их применять в этой области, то категорирование должно быть задним числом, т.е. до даты, указанной в орг.

меры применяются не только в чвсти иб кии

Это неважно. Смотрите внимательно п. 10 и 14 ПП-127. Сведения о реализованных мерах защиты среди исходных данных отсутствуют (п. 10) и в ходе работы комиссии не рассматриваются (п. 14)

Я имел в виду, что сейчас - вынужденный переходный период, в ходе которого приходится категорировать уже существующие системы. А так, в соответствиее с нормативкой, причинно-следственная связь однозначная: сперва категорирование, потом выбор мер щащиты.

разумеется