В обязательном порядке только ЗОКИИ, но опять же никто не запрещает все ОКИИ защитить если это имеет смысл

Тут уж "хозяин - барин", больше защиты никогда не помешает :)

В разумных пределах.

Да, ФСТЭК так и рекомендует на каждом мероприятии - руководствуйтесь здравым смыслом))

"Если ошибётесь - поправим", надеюсь

Пока не увидел противоречий со своей схемой

Противоречие в том, что не бывает ОКИИ не подлежащих категорированию

Бывает, что категория не присваевается

Да, весь спектр работ субъекту выполнить придется

А все таки любая ИС субъекта это ОКИИ или нет? Вы пишите что нет. Ибрагим пишет что любая.

потенциально - да

не априори

мы рассматриваем все ИС и по результатам фильтруем

то что прошло через фильтр - шлем коллегам, те смотрят и говорят правы мы или нет.

По каким принципам фильтруете, что получаете на выходе?

Вообще по тексту ПП 127 (я говорю о п. 14) не совсем понятно.
Да, комиссия определяет критичные процессы, да, выявляет ОКИИ, которые обрабатывают информацию этих критичных процессов, также указывается, что эта комиссия готовит предложения для включения в перечень ОКИИ.
Но что из этого выходит? Нигде не говорится, какие объекты включаются в перечень, а какие нет? Однако комиссия выдаёт некие предложения. Возможно, эти предложения по включению в перечень и должны основываться на здравом смысле и учитывать критичные процессы. Это было бы логично, но зачем такое глубокое, сложно воспринимаемое деление, тянущееся через два документа, да и рождающее правовые коллизии?🤔

ПП п.5. Категорирование включает в себя:
а. определение процессов
б. выявление критических процессов
в. определение ОКИИ
г. формирование перечня ОКИИ
д. оценка последствий при атаке на ОКИИ
е. присвоение категории ОКИИ

Вот это вот всё за вас никто делать не будет - это и есть фильтр.

Да, но в этом пункте не указывается, что наличие критического процесса влияет на включение ОКИИ в перечень.

По определению из закона - Да, все.