Вернусь к 282.
Предположения Лукацкого имеют место быть, но
В 236 форме есть п.7.1 и глядя, например, в согласованную с ФСБ методичку на сайте АДЭ - не эти ли инциденты нужны для 282 в первую очередь?

это важно, если технологич. обьект разработан так, что при любых действиях с асутп перейдет в безопасное состояние зачем ему завышать категорию?

Вроде ж можно учитывать физ средства защиты, которые в принципе не подвержены КА. Типа датчики и ещё что. Типа если есть автоматический механический тормоз на разводном мосту - то учитывать, а если он управляется компьютером - то не учитывать

читайте внимательно исходные данные - в уккзанных документах есть информация о применяемых мерах по безопасности

В рамках категориования субъекты КИИ строят экспертные предположения о том, какие негативные последствия могут наступить ввиду реализации таргетированных злонамеренных компьютерных атак. Т.е. строят предположения о том, какие максимальные негативные последствия могут наступить. Для этого категориование осуществляется в отрыве от уже реализованных мер защиты. В итоге устанавливается категория (предположим, что объект значимый). Далее субъект смотрит на то, как он защищался ранее. Не исключается ситуация, что объект уже защищается в соответсвии с тем или иным документом ФСТЭК (17,21,31 приказами). Вполне возможно, что на предполагаемом ЗОКИИ уже реализованы меры по К2, а категорию по КИИ установили 3. А значит, что приказы 235 и 239 выполнить придётся, но дополнительных мер защиты из 239 приказа реализовывать не надо.

Вам небесная канцелярия выдала справку с печатями, что АСУТП останется в безопасном состоянии вот прям при любых-любых действиях? Повезло :)

При категорировании вы обязаны рассматривать возможность уязвимости мер защиты. Вы не можете считать, что в любой аварийной ситуации сработает РЗА, потому что РЗА тоже ломается и перенастраивается. Вы не можете считать, что охрана не подпустит нарушителя к серверам - потому что охрана, она такая охрана. И т.п. Вы не можете при категорировании считать, что мера зашиты сработает

Вопрос был про меры безопасности ИБ, а не про меры промбезопасности. Меры ИБ при категорировании не учитываются

я же указал что меры развязаны с птк.. вопросами физ безопасности занимаются другие службы. Все меры на которые нельзя повлиять из асутп учитываются

Все написано в 127ПП, не надо додумывать. Про анализ мер защиты там нет. Вы в рамках категорирования делаете анализ угроз - определяете возможные. Если вы определили, что та или иная угроза возможна, то дальше смотрите макс последствия от нее. Если считаете, что она невозможна вообще, то обоснуйте почему (подсказкаи наличие антивируса не гарантирует невозможность вирусного заражения).
Дальше оцениваете последствия: вирус может залочить данные или (в случае направленной атаки сложной) вывести, скажем, турбину на нештатный режим. РЗА бывают цифровые и могут не спасти, если нарушитель их также взял в оборот. Если у вас есть электро-механические блокировки, которые не подвержены КА, то вы можете их учитывать при обосновании возможного ущерба

Во-первых, это неверно. Если на меру нельзя повлиять из АСУ ТП, это еще не значит, что на нее нельзя повлиять вообще. Вы обязаны учитывать уязвимость этих мер, и обосновывать снижение категории можно только теми мерами, в которые даже теоретически не подвержены действиям нарушителя.

Во-вторых, я отвечаю на заданный вопрос. В вопросе фигурировали меры ИБ. Меры ИБ при категорировании не учитываются.

В третьих, даже в промбезопасности сперва оцениваются последствия без учета мер (раздел 2 декларации промбезопасности) и только потом описываются меры, снижающие риск таких последствий (раздел 3 декларации). Подчеркиваю: снижающие риск последствий, а не исключающие эти последствия. При категорировании вы обязаны учитывать возможность таких последствий, несмотря на принятые меры промбезопасности.

это мнение или вы можете подтвердить каждый абзац?

Смешно, особенно учитывая, что это - позиция регулятора, которую тот высказывает на каждой конференции :) Я эту позицию слышу пару раз в месяц, выступая в тех же секциях тех же конференций :)

Уже несколько раз тподтвердил. Все, что учитывается, перечислено в п. 10 и 14 ПП-127. Мер ИБ там нет.

Примеры деклараций промбезопасности гуглятся - не верю, что вы их не видели. Содержание у них стандартное

из того что слышал от регулятора, это была более осторожная позиция. Главное чтоб это небыло выдаваемое желаемое за действительное..

Регулятор осторожно высказывается о том, что входит в компетенцию Ростехнадзора :) Но общий посыл: учитывайте, если уверены, что нарушитель не может на нее воздействовать :)

почему же тогда вы предлагаете не учитывать никакие меры? позиция регулятора бьется с нормативкой в этой трактовке, а вот ваша нет. Оставьте за собой последнее слово и давайте продолжим где-нибудь на конференции)

А, вот в из-за чего спор :)

"В общем случае", "в качестве общего правила" меры ИБ при категорировании не учитываются. Бывают исключения, когда меры защиты не могут не сработать, и тогда такие меры учитывать можно и нужно.

Но если это не сертифицированные СЗИ, то обязательно ли проходить испытания и приёмку  от фстек (по сути  существенно сложнее, дороже и дольше)?
Или, где поискатьзакрытый список  таких случаев "сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации"?

Если это ГИС, если это ИСУП, если организация попадает под пп-330

Испдн.