Там нет полномочий Правительства по определение ЧТО категорировать, а только полномочия - установить показатели  и указать порядок того, как эти показатели применять. А так же сроки, когда это надо сделать. Ну вот нет у них прав указывать субъекту КИИ, к каким объектам КИИ применять эти показетели.

Категорировать (по закону) необходимо после определения перечня объектов.

Вот как определить эти самые объекты?

По 127 ппрф?

Путем выявления ИС/АСУ/ИТКС, функционирующих в 13 сферах и принадлежащих вам на законных основаниях.  ПП127 применяется уже после выявления объектов КИИ. Методика есть здесь https://valerykomarov.blogspot.com/2019/09/blog-post_24.html

Все-таки в 187-ФЗ указано, что Правительство устанавливает "порядок ... категорирования" объектов КИИ

да, порядок - это как показатели применять,а не к чему их применять

Неправда, объект КИИ в соответсвии с определением из 187-ФЗ необязательно должен функционировать в одной из 13 сфер.

То есть, по Вашему мнению, необходимо проводить процедуру категорирования в отношении всех систем субъекта и по каждой системе заполнять сведения и направить их во ФСТЭК?

моя позиция - не бывает ОКИИ, котоорые не требуется категорировать.

Если я правильно понял, то Валерий предлагает категорировать все объекты КИИ, но объектами КИИ могут быть только ИС/ИТС/АСУ, функционирующие в одной из 13 сфер (хотя такое трактование термина объект КИИ, на мой взгляд, прямо противоречит соответствующему определению из 187-ФЗ).

Валерий, это не первые НМД по теме ЗИ, где есть нестыковки. Желание заниматься буквоедством понятно, потому что так может рассматривать суд. Но давайте продолжим полную цепочку:
187-ФЗ устанавливает что категорироваться (все объекты), дальше нужно их категорировать в соответствии с 127ПП - 127ПП говорит, что "категорированию подлежат ОКИИ, которые..." - соответственно,  получается, что категорировать нужно вроде как все, а формально определена процедура только для указанного подмножества - получается некий вакуум. Будете ждать новые ПП, описывающие категорирование оставшихся объектов? Если следовать вашей же логике, то 127ПП нельзя для них использовать

нет, по 187-ФЗ ОКИИ - это все системы субъекта, а не только в сферах

Думаю, тогда следует разделить понятие "категорирование" на 1) фактическое установление требований к обеспечению безопасности (преимущественно, на основании качественной оценки рисков) и 2) выполнение формальных требований по документированию результатов категорирования и предоставление этих результатов регулятору. Фактически - действительно необходимо рассмотреть все системы (конечная ответственность все-таки предусмотрена на случай возникновения инцидента и тут уже нет оговорок, касающихся процессов, подмножеств ОКИИ и т.д.), но формально - все-таки следует руководтсвоваться 127ппрф и не оформлять лишней макулатуры и не заваливать ей ФСТЭК.

Я придерживаюсь этой же позиции. Так как сферы деятельности имеют место только в контексте определения субъекта КИИ, а для термина объект КИИ роли не играют.

P.S.: к сожалению, Валерий не сможет нам ответить, о чем он просил всех поинформировать, чтобы не было негодований.

примерно так. Как показывают судебные дела, система не обязательно должна быть критичной и откатегорированной, чтобы за нарушение ее ИБ можно было назначить срок. Также по 187-ФЗ остается обязанность реагировать на инциденты ИБ в отношении всех объектов и сообщать в НКЦКИ. То есть процесс управления инцидентами и некий режим (правила работы, в идеале еще и требования ИБ внутренние) все равно вводится относительно всех систем субъекта.

Исходя из полемики сделал для себя сл. выводы:

1. ВУЗ (с ОКВЭДом науки) однозначно относится к субъекту КИИ (187-ФЗ).
2. К ОКИИ относятся ИТКС, ИСПДн и прочие ИС ВУЗа (187-ФЗ).
3. Определил процессы, относящиеся к сфере науки (из положений о сруктурных подразделений, осуществляющие свою деятельность в сфере науки) (ППРФ 127).
4. Критических процессов, прекращение которых может оказать негативные последствия, по критериям значимости - нет (ППРФ 127).
5. Соответственно ОКИИ, подлежащих категорированию тоже нет(ППРФ 127).
6. Отправлять во ФСТЭК ничего не надо (инф. сообщение ФСТЭК).

Логика верна?

Лично я придерживался такой логики.

1. по косвенному признаку да, но дэ-юре субъектом он будет, если есть хотя бы одна система, функционирующая в сфере науки.
То есть если вы даже систем таких не найдете, то останавливаетесь на первом шаге и совсем никаких обязанностей не возникает

Проблема в том, что надо посчитать все критерии для каждого объекта КИИ. Это просто трата бумаги, но без нее есть шанс нарваться на предупреждение от прокурора

В целом, все так.
Если у Вас ВУЗ - можете проверить еще наличие, например, котельной - вдруг у вас есть котельная, которая обеспечивает теплоснабжение общежития. Если она автоматизирована - то АСУ котельной сразу попадет в Перечень ОКИИ, подлежащих категорированию по 127ППРФ.