Но в таком случае вопрос остается о разграничении ответственности и охвате системы ИБ.

Ответственности за что?

А ещё вопрос защиты каналов от серверной части до пользовательского устройства

как лица осуществляющего эксплуатацию систему ИБ ЗОКИИ

А в чем здесь вопрос? СуКИИ и отвечает )

Тут еще кроме этого вопрос: например система  территориально распределенная, т.е. для повышения надежности используется  территориально разнесенный кластер, компоненты которого взаимодействуют через общую сеть передачи данных. Если мы сеть выделяем ка ИТС в отдельный объект КИИ, то ИС на основе данного кластера, вообще распадается на отдельные территориально разнесенные компоненты. То есть ту границ объекта нет, а есть только его компоненты, тут его даже МЭ нельзя отделить от других объектов

Вопрос распределения ответственности среди персонала, уголовная ответственность возлагается не на СуКИИ, а на конкретное лицо

Ну, ваще. Смешались кони, люди

А так и есть - все тянет одно за другим

Есть уже сложившаяся инфраструктура, которая не совсем ложится под требования закона

надо идти от определения ИС в 149-ФЗ. Технология обработки информации - ключевое. Граница ИС проходит там, где полностью выполнено процесс обработки информации.

Границы системы есть в методике. Значит и определять эти границы надо исходя из понимании методики. То есть способности источника угрозы оказать негативное воздействие на объекты воздействия, посредством реализации сценариев

Смущает "полностью выполнено", а так да, согласен

Компоненты чего? МЭ зачем приплели? ничего не распадается ) не атомы же

в методике есть рис.1. Однозначно относящий пользовательский сегмент к ИС

Вот!

А пользователи бывают внутренние и внешние

С мобильного телефона, например

а еще ЦОД. И встает вопрос - а задействованное оборудование ЦОД тоже становится частью объекта КИИ?

Там в методике тоже это есть