Присоединяюсь к ответам Дмитрия и Андрея выше.
Суть в том, что если есть схожая деятельность при категорирование и при следующем этапе защиты - МУиН, почему бы эти две работы не сделать взаимоувязанными в явном виде?

А) зачем? Б) времени хватит на процедуру в 1 год? В) квалификация. Категорироваться лучше своими силами, без привлечения внешних сил.

Какой один год? Все уже давным давно должны были уйти от перечней :) Теперь нужно категорировать каждую создаваемую систему.

На категорирование какой срок по 187-фз?

Категория присваивается вместе с утверждением ТЗ.

Ну по сути оно так и есть, но ФСТЭК сама не пропустила через себя свои же документы и не проверила логику их применения. Поэтому работы по сути дублируются

👍

В большинстве случаев скорее всего это будет предварительная и на этапе реализации она скорректируется в ту или иную сторону

аа, предлагаете му для всех окии на этапе категорирования делать?)))

Мне кажется, небольшая путаница возникла. Нигде не сказано, что АКТЪ должен содержать сведения об угрозах. Сведения содержат "сведения" по приказу 236. Или я путаю. По ПП-127 дословно: Решение комиссии по категорированию оформляется актом, который должен содержать сведения об объекте критической информационной инфраструктуры, сведения о присвоенной объекту критической информационной инфраструктуры категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

И в этом случае сведения не раскрываются. Более того, допускается единый акт для всех ОКИИ

В состав Акта входит почти вся информация из Сведений.

а вот "Сведения" из приказа 236 - ФОРМЫ НАПРАВЛЕНИЯ СВЕДЕНИЙ О РЕЗУЛЬТАТАХ ПРИСВОЕНИЯ ОБЪЕКТУ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОДНОЙ ИЗ КАТЕГОРИЙ ЗНАЧИМОСТИ ЛИБО ОБ ОТСУТСТВИИ НЕОБХОДИМОСТИ ПРИСВОЕНИЯ ЕМУ ОДНОЙ ИЗ ТАКИХ КАТЕГОРИЙ в пункте 6 действительно содержат Сведения об угрозах безопасности информации и категориях нарушителей в отношении объекта критической информационной инфраструктуры



6.1.

Категория нарушителя (внешний или внутренний), краткая характеристика основных возможностей нарушителя по реализации угроз безопасности информации в части его оснащенности, знаний, мотивации или краткое обоснование невозможности нарушителем реализовать угрозы безопасности информации


6.2.

Основные угрозы безопасности информации или обоснование их неактуальности

Но и это не МУиН

А где это прямо написано?

То есть можно, конечно, сделать две копии, одну назвать актом...

а если акт один на всё?

Точно! В п.16 порядка внесли изменения и он сильно похудел :)

Вопрос насчет протокола , пилю курсовой проект с управлением системы через веб сервер протокол http