В некоторых случаях обязан

в рамках 187-ФЗ или в рамках других законов? Тот же 239 приказ говорит, что ОКИИ которые ГИС,ИСПДн, ГТ защищаются и в рамках других законов, которые как раз о защите информации

В беседах с представителями ФСТЭК однозначно было ими сказано, что помимо железа, необходимо и информацию в нём защищать, в том числе и в рамках 187фз, например в тех же треклятых станках с ЧПУ

В рамках других законов естественно. Правда есть нюанс. Владельцам незначимых ОКИИ не стоит забывать про 282 приказ ФСБ)))

а спросите у них в следующий раз, почему тогда дополнительно требуется защищать по 21/17 приказу эти ЗОКИИ? разве 239 не защищает информацию, обрабатываемую в ЗОКИИ?

282 не имеет никакого отношения к ЗИ. И не имеет отношения к незначимым ОКИИ.  - "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

П4 приказа прочтите

про 24 часа и действия субъекта с незначимым ОКИИ есть другой приказ ФСБ

Обязательно спрошу

А разве в этих случаях не должны выполняться требования например 21+239 или ,17+239???

должны, я про это и пишу. Зачем защищать информацию в ЗОКИИ два раза? Разве 239 приказ не защитит ее? Раз требуют дополнительно применять приказы по ЗИ, значит КИИ это не про ЗИ, а про устойчивое функционирование КИИ в условиях КА

нашел слайд с презентации ФСТЭК по укрупнению ОКИИ

А я пишу о том, что обеспечивать безопасность ОКИИ значит не только защищать железо, но и информацию. А вы со мной не соглашаетесь.

239 про безопасность КИИ? Да. Если он уже защищает информацию в ЗОКИИ, то  зачем дополнительно применять специализированные приказы по защите информации 17 и 21?

и 239 приказ прямо указывает, что для него защита информации, обрабатываемого в ЗОКИИ в приоритете. "15. Целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации.

16. Задачами обеспечения безопасности значимого объекта являются:

а) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

б) недопущение информационного воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта;

в) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;

г) обеспечение возможности восстановления функционирования значимого объекта критической информационной инфраструктуры.

17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:

а) в информационных системах:

информация, обрабатываемая в информационной системе;

программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);

программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);

средства защиты информации;

архитектура и конфигурация информационной системы;

Давайте так, я задам этот вопрос Управлению ФСТЭК по ПФО, а вы ЦА. Потом сверим ответы)

Чтобы защитить всё ото всех на 200000%

Есть требование регулятора- выполняйте.

Где то я эту фразу уже читал недавно....

требования есть и в 17 приказе, который допускает не выполнять 21 приказ, если ГИС одновременно и ИСПДН. Что помешало регулятору выполнением 239 приказа закрыть требования 17/21 приказа?