274.1 говорит просто про воздействие на КИИ. Не делая никаких различий на значимые/не значимые. Важно группой/не группой, размер ущерба и т.п.

Всё зависит от задачи, которую пытаемся решить и с какой точки зрения мы рассматриваем регуляторный риск. В текущей ситуации повышения ответственности персонала ИТ и ИБ за "потемкинские деревни" является благом для всего рынка

Следователи не «классифицируют», а «квалифицируют» действия. В ст. 274.1 идёт речь о вообще объектах КИИ ;) категория значимости ни на что не влияет, но и нарушение или прекращение функционирования незначимого объекта КИИ может, в теории, привести к возникновению некоего ущерба, не учитываемого показателями критериев значимости, определенных ПП-127.

Кто должен настраивать, обслуживать создаваемые ИБ, устанавливать обновление, патчи и.т.д. если ОКИИ АСУТП? Штатные инженера АСУТП или специалисты по ИБ? Может есть определение в законах, приказах?

Это вечная война :)

Раньше были войны асутп-электрики, асутп-ИТ, асутп-кип, но там есть граница фактически физическая. А как быть с ИБ(!.

Всё точно также, ничего не изменилось :)

Определения нет и быть не может. Сказано даже формально, что могут и те и те:
14. Подразделения, эксплуатирующие значимые объекты критической информационной инфраструктуры, должны обеспечивать безопасность эксплуатируемых ими значимых объектов критической информационной инфраструктуры. Объем возлагаемых на подразделения задач определяется субъектом критической информационной инфраструктуры в организационно-распорядительных документах по безопасности значимых объектов.
По решению субъекта критической информационной инфраструктуры в подразделениях, эксплуатирующих значимые объекты критической информационной инфраструктуры, могут также назначаться работники, на которых возлагаются отдельные функции по обеспечению безопасности значимых объектов критической информационной инфраструктуры. Обязанности, возлагаемые на работников, должны быть определены в их должностных регламентах (инструкциях).

А как рассматривать п.12 приказа 235 фстэк, в редакции 64 приказа. который вступает в силу с 01.01.2021. О специально обученных работниках ИБ. Ведь обычный Асушник не в курсе дел по ИБ, это не основная задача. А также п. 13 о не допущении возложения функций не связанных с обеспечением безопасности.

В чем проблема написать, что ИБшник совместно с инженером проводит свои работы.

Хочется определиться с функционалом и понять границы ответственности между службами

Функционал и границы ответсвенности это специфика конкретно Ваша, кроме Вас самих ни кто на эти вопросы не ответит.

Ибешники будут делать только вот это (п.10 235 приказ):
разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.

АСУТП везде одинаковые, отличаются только объемами оборудования и рабочих станций, решение должно быть типовым для всех производств. Поэтому и ищу какое-то обоснование границ и функционала.

у вас будет проект по созданию системы безопасности АСУТП как ЗОКИИ. В нем будет предусмотрены средства защиты информации и требования к квалификации обслуживающего СЗИ персонала. На этом этапе и распределите зоны ответственности

И отвечать будут тоже ибешники... Для АСУшников ответственность за "компьютерные" инциденты особо не предусмотрена

вы про какую ответственность? дисциплинарну., гражданско-правовую, административную или уголовную?

ГП и уголовную

Исходя из формулировки: "обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации" Т.е. одной из задач ибэшников например: должна быть установка и обновление баз антивирусов на асушных станциях. Или под термином "Обеспечивать применение" и "Обеспечивать эксплуатацию" имеется другой смысл?

для уголовной вообще не важны компьютерные инциденты, никаких упоминаний про них или компьютерные атаки в ст.274.1 УКРФ нет. Никаким иммунитетом асушники не обладают