Поправьте меня если я ошибаюсь:
в изменениях вносится исправление в 4ый абзац пункта 31.
Т.е. получается:
В значимом объекте не допускается (далее абзац со скрина).

Таким образом в видео-разборе ошибка о том, что теперь допускается удаленное подключение к ЗОКИИ со стороны лиц дочерних и зависимых обществ?

Это перечисление того что запрещено на ЗОКИИ

Запрещено для всех остальных, кроме сотрудников субъекта КИИ или дочерних и зависимым

🧐 просто я прочитал, что запрещено для всех кто не является работником субъекта КИИ в том числе работникам его дочерних и зависимых обществ.

То есть идея в том, чтобы в дочерних и зависимых обществах был свой админ, который занимался бы обновлением и управлением ПАК/ПО.

Имхо, ваш вариант не стыкуется с правилами русского языка.  Правильная трактовка - лиц, не являющихся (работниками субъекта & работниками дочерних и зависимых обществ)

Коллеги. А что такое зависимое общество?

В 106 статье ГК нашел ответ.

Согласен, чёт тупанул

Интересно, применение на практике новых требований по испытаниям(приемке) моделировалось? Вот к примеру берем объект: N конечных устройств разных типов автоматизирующих критический процесс, подключенных к ЛВС. Допустим ранее предполагались преимущественно встроенные в общесистемное ПО СЗИ и одно из них - 802.1x. Ну так изначально решили и подбирали устройства под Network Access Protection. Т.е. сами устройства имеют функцию, коммутаторы (разные) имеют, RADIUS-сервер имеется. Сколько программ-методик нужно написать и протоколов составить, чтобы всё это на этапе приёмки проверить? Они все однотипные, но разные. А если на этапе приёмки будут несоответствия (подрядчик так решит), то что? Менять требования или решения? Т.е. соответствие требованиям функций безопасности нужно прогонять заранее, уже на этапе проектирования, или иметь в виду уже на этапе формирования требований.

Вы сами-то поняли, что написали? :)

Заказчик выдвинул требования. Вы подобрали решения, которые, как вам кажется, этим требованиям соответствуют. На приемке выяснилось, что есть несоответствия. С фига ли заказчик должен менять свои требования?

Другое дело, что некоторые альтернативной одаренные интеграторы сперва выбирают решения, потом под них пишут от имени заказчика требования, потом выясняется, что требования написаны криво и выбранным решениям не соответствуют. Но этот цирк с конями не имеет никакого отношения ни к требованиям ФСТЭК, ни к элементарных правилам проектирования систем.

А так - да, соответствие предполагаемых решений требованиям проверяется и доказывается на ранних стадиях технического проектирования. А то и на стадии эскизного проектирования.

Никаких противоречий не вижу. Кроме заказчика и подрядчика еще свою толику вносят прикладники и производители, коих туча и от коих часто ничего добиться не можешь. А в части приведенного примера я вообще-то задал вопрос, как должна выглядеть программа испытаний ддя сквозной функции безопасности. А не накладной, хотя видимо с ней будет легче, для шашечек.

ФСТЭК все-таки пробила обязательную сертификацию средств защиты информации для всех объектов КИИ без исключения, а также запрет на зарубежные облака и сервера обновлений для ЗОКИИ не только 1-й, но теперь и 2-й категории. Ну хоть какая-то ясность наступила
— Alexey Lukatsky (@alukatsky) September 15, 2020

Сертификация все таки для всех окии или только зокии?

Ну кликбейт же, не ведитесь

Просто Алексей достаточно популярный специалист, который всегда публикует разъяснения нормативки. Так как не всегда можно понять что имел ввиду автор. Изменения коснулись только 239 приказа и тем, кто до категории не дотянул можно выдохнуть?

Вот поди разбирай когда он полезные вещи говорит, а когда люто троллит окружающих ) так что думать своей головой надо. Дополнительные требования для ЗОКИИ только.

Конкретно в этом разборе у Алексея есть несколько существенных ляпов (думаю не из невнимательности). Изменения в 239 приказ, его область действия - ЗОКИИ. Для незначимых актуальны только требования по взаимодействию с ГосСОПКА, ну и остальные нормодоки, которых без КИИ хватает

Подскажите, пожалуйста, в университете есть в уставе наука и проводятся научно-исследовательские работы, в том числе где заказчик государство. Они выполняются не в какой-то системе определенной, а просто за компьютерами разрозненными по локальной сети вуза и явно суммы далеки от значимых - имеет смысл категорировать кии и заявляться во ФСТЭК?

Здесь сквозит личная боль? Мне кажется, что:
1) рыба гниёт с головы
2) в описанном примере проблема в заказчике, который не глядя принимает кривое ТЗ написанное кривым подрядчиком. Если писать своё ТЗ самому или хотя бы проконтролировать или просто вменяемого исполнителя взять - описываемой проблемы не возникнет.

Разрозненные компьютеры в лвс, равно как и автономные компьютеры, вполне сопоставляются с определением информационная система в 149-ФЗ "ИС - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств". Самостоятельно уже определяете это у вас одна ИС под глобальную задачу учреждения или несколько автономных ИС под различные задачки.  И если вы субъект КИИ (работаете в сферах, определённых 187-ФЗ) и у вас имеются объекты КИИ (ИС, ИТКС или АСУ) - то в соответствии со ст.7 187-ФЗ используя ПП РФ 127 присваиваете им категорию значимости или отсутствие таковой.