Коллеги, подскажите, пожалуйста, по одному моменту:
Если Субъектом КИИ во ФСТЭК был направлен огромный перечень ОКИИ, большинство из которых не является ЗОКИИ, можно ли по усмотрению субъекта перенаправить повторный список, который будет включать только ЗОКИИ?

Нет.
Точнее, то что тот или иной объект КИИ, заявленный на категориование, не стал значимым, не является основанием его исключения из ранее направленного перечня, так как регулятор держит на контроле и объекты без категории. Связано это с тем, что объект без категории может в любой момент стать значимым, так как пересматривать результаты категориования (в т.ч. Ям для незначимых ОКИИ) надо каждый раз при внесении изменений в показатели критериев значимости (приложение к Правилам категорирования).

Понял. Спасибо

Можно поработать с перечнем ОКИИ. Например, ряд объектов были выведены из эксплуатации, а ряд объектов больше не выполняют критические процессы (см. всё шаги по ПП РФ до отправления перечня), а ряд объектов теперь объединены в один (ведь модернизация и жизненные циклы объектов никуда не делись).
Всё это подтверждаем бумажками (акты ввода/вывода, решения Комиссии и пр.) и пробуем изменить перечень ОКИИ.

Да, то, что при реальном изменении условий, перечень меняется - в курсе.
Соответственно, вывод простой - изменений в объектах не было - перечень менять нельзя.
Были изменения - можно

Нет. При составлении перечня могли быть допущены ошибки, и их можно исправить, направив исправленный перечень с обоснованием исправлений.

Но если в исходном перечне действительно много ненужного, о правильнее будет категорировать ненужные объекты как незначимые. По трудозатратам так же, результат тот же, а гнморроя с объяснениями - меньше

Есть организация которая относится к субъекту КИИ, что она делает:
0. Создает комиссию по категорированию.
1. Определяет перечень объектов КИИ
2. Направляет утвержденный перечень оКИИ в ФСТЭК.
3. Проводит категорирование объектов.
4. Если у организации нет категории значимости все равно отправляет результаты в ФСТЭК

А дальше что?  Надо будет ставить системы по защите КИИ?

Да, все верно. А для этого необходимо разработать модель угроз, ЧТЗ и внедрить СЗИ

но ведь в рамках КИИ нарушение или прекращение функционирования должно быть в результате целенаправленной компьютерной атаки

В части ГосСОПКА.

Такое дело, что объекты КИИ, скорее всего, защищаются и без всяких 235-х и 239-х приказов ФСТЭК. Например, в части реализации мер по 21 или 17, или 31 приказам ФСТЭК.
Ещё такой момент, что если категория окажется меньше, чем тот же уровень защищённости ПДн или класс защищённости ГИС, то они перебивают, так сказать, категорию по КИИ.

А они только через Интернет реализуются?

Тем более, что оценка в соответсвии с перечнем показателей критериев значимости осуществляется путём рассмотрения последствий ввиду компьютерных инцидентов (см. определение из 187-ФЗ).

Т.е. если есть система ИБ по защите ПДн и категория выше или равна, то для оКИИ защита дополнительная не нужна.

Категории в для ПДн и КИИ равнозначны?

Если УЗ для ПДн выше установленной категории для ОКИИ, который является ИСПДн, то в соответсвии с п. 24 ПФ 239 реализуются меры по данному УЗ.

Кстати, подскажите, пожалуйста, есть ли методика определения в отношении испдн: является ли УЗ данной испдн выше или наоборот ниже категории по 187фз ? Чтобы в дальнейшем понять какие из мер предпочтительнее. Спасибо

В случае если испдн еще и окии

Не правильно.
Зачем субъекту брать на себя выполнение того же 282 приказа ФСБ на многом не нужном?

В 239 и 31 приказе ФСТЭК описана разработка модели угроз ИБ КИИ. У меня в ТЗ на АСУТП прописано соблюдение требований обоих приказов и 187 ФЗ. Чем отличается категорирование по обоим приказам? Т.е. Могу ли я при разработке модели угроз  присвоить для КИИ 1 категории значимости(по 127 ПП) 3й класс защищенности по 31 приказу? Как это связано между собой?

Отличия очень большие в категорировании/классификации по 127 и по 31 приказу, это разные процессы и нельзя их так провести.
Более того, если у вас АСУТП признана значимым объектом, то 31 приказ к ней применять не надо. А вот если это оказался незначимый объект, то вы можете по своему решению (но не обязаны реализовать защиту по 31 приказу) - это точка зрения регулятора, если что