тогда я волен составить техпаспорт и включить в него что захочу? клиентские АРМ я туда включать не буду, опишу общей фразой. или есть требования их включать поименно?

В 17 приказе есть мера АНЗ.4 - Контроль состава технических средств, программного обеспечения и средств защиты информации. Когда-то спрашивал у знающих что это за чудо? Имеется ли под ним Техпаспорт или можно вести электронный журнал и ответ был такой "Лучше делать Техпаспорт, вопросов со стороны проверяющих будет меньше"

В исполение требований вообще много вольностей, все в ваших руках. Главное уметь отстаивать свою позицию у регуляторов.

А если открыть методический документ?

там про техпаспорт ничего нету. Только контроль периодичекий и все.

АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к реализации АНЗ.4: Оператором должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (инвентаризация).
При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется:
контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков;
контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.
Контроль состава технических средств, программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации.

В эксплутационной документации, как хотите документ назвайте

ну так тут не прописана детализация. я вправе указать серверный сегмент поименно, вплоть до последнего винтика, а клиентские части - общей фразой, тем более состав клиентских АРМ может меняться ежесекнудно...

сейчас этих ГИСов развелось, и учитывать каждый АРМ, который АРМ, подключенный к ГИС - это утопия

еще пример - ГИС ЕГАИС, насколько понимаю, к нему подключен каждый магазин, в которм продается алкоголь

Если у вас состав клиентских армов меняется ежесекундно, то это какойто странный ГИС, как вы все остальные организационные требования исполняете?

это живой процесс. пару ГИС я вам привел в пример

с заупками, так же как с госуслугами я вам уже ответил, там обычные пользователи, это внешние пользователи, они не входят в состав ГИС, для них выполняется мера:
ИАФ.6  Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

что там у ЕГАИСТ хз, наверно так же внешние пользователи, навряд-ли каждый магазин имеет доступ к продажам другова магазина и т.д.

ошибаетесь, в закупках есть личный кабинет, вход в который по сертификату. там работают все заказчики и их состав и состав их АРМ меняется постоянно

Ошибаюсь в чем? Я знаю как работают закупки

в закупках есть пользователи открытой части и закрытой. вы считаете пользователи закрытой части - не часть ГИС?

Это внешний пользователь, не являющийся работником оператора

продолжайте мысль

это же не исключает их из состава ГИС?