Без журнала тяжело прокуратуре доказать что КИ не было.

Это как?

Банально. Вот видите, не было у нас КИ, как только будет-оповестим нкцки. Аналогично, если были. Вот зафиксировали, вот оповестили, сроки выдержаны. Формализм и бумажная волокита, но жизнь облегчает.

Зачем субъекта вообще обсуждать с прокуратурой, были ли у него инциденты? Это не ее дело.

Затем, что прокуратура проверяет в том числе и выполнение требований приказов ФСБ.

Вот и пусть проверяет. "Не было, поэтому не сообщал. Не верите? Докажите обратное, тогда поговорим, а пока до свидания".

Легко вам говорить, не являясь субъектом :) каждый маленький помощник прокурора имеет свой взгляд на выполнение нормативных требований.

Иметь он может все, что угодно :) Он может даже знать, что субъект скрывает инциденты. Но "знать" и "мочь доказаьь" - это две большие разницы. Субъект ему ничего доказывать не обязан

пп.3 п.11.2 Приказ 239
з) определяются меры по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.

В случае если в ходе проектирования подсистемы безопасности значимого объекта предусмотрена разработка программного обеспечения, в том числе программного обеспечения средств защиты информации, такая разработка  проводится в соответствии со стандартами безопасной разработки программного обеспечения. (Приказ 131)

.....
В целях тестирования подсистемы безопасности значимого объекта в ходе проектирования может осуществляться ее макетирование или создание тестовой среды. Тестирование должно быть направлено на:

обеспечение работоспособности и совместимости выбранных средств защиты информации с программными и аппаратными средствами значимого объекта;

практическую отработку выполнения средствами защиты информации функций безопасности;

исключение влияния подсистемы безопасности на функционирование значимого объекта.

Макетирование подсистемы безопасности значимого объекта и ее тестирование может проводиться с использованием средств и методов моделирования, а также с использованием технологий виртуализации.

Последний пункт говорит "а также", т.е. "и". А перечень говорит о макетировании и целях, но там тоже не или

Может ли быть субъект Кии, который не имеет объектов. Например НИИ где нет ИС , а разработки ведут на бумаге с логарифмическими линейки?

Если вообще нет ис, асу и итс, то нет и субъекта.

Ну а если есть электронная почта, но она не задействована в сфере деятельности субъекта

Если электронная почта реализует критический процесс - она окии (или часть окии, если внимательно посмотреть). А иначе нет. Нет субъектов без объектов. Здесь это много раз обсуждали. Прямо по словосочетанию "без объектов" и поищите. Если переживаете, соберите комиссию и составьте акт, что деятельность в одной из сфер, но т.к. Кроме мозгов, бумаги и ручки ничего не имеем, то и не субъект.

Спасибо, я уточнить свою позицию хотел. Мы так и сделали

Добрый день, есть специалисты с донорских станций? Система службы крови АИСТ подлежит категорированию КИИ со стороны станции ?

Автоматизированная информационная система трансфузиологии (АИСТ) - определенно объект КИИ, выясняйте кто является субъектом. Он и обязан провести категорирование.

Коллеги, доброго дня! В приказе 235 ФСТЭК в том числе идёт речь об организационно-распорядительных док. по безопасности ЗОКИИ. Есть ли где-нибудь полный перечень таких док. Заранее благодарю за подсказку.

В первую очередь это таблица 239 приказе, в каждой группе как минимум первая строчка

Возможно эта статья поможет
https://www.securitylab.ru/blog/personal/sborisov/344938.php