Не знаете - значит, не знаете, бывает. В реальности, у крупных заказчиков, это выглядит совсем по-другому. "У нас планируется большой бюджет под выполнение требований. Хотите, чтобы в нем нашлись деньги для вас - помогите его обосновать, т.е. прокатегорироваться  Не хотите - до свидания, другие желающие с утра в очередь записываются" :)

Ну тогда ждите 1 категории значимости )))). Там бюджеты побольше

Тут тоже мало общего с реальностью. В реальности все стпого наоборот: у интегратора (а часто - и у закащчика) в голове есть набор типовых решений под выполнение отдельных требований. Эти типовые решения и продаются. И меры зашиты, и требования ТЗ пишутся под них.

Согласен, но эти наборы идут под наборы классов, уровней и категорий. В общем рановато интеграторам работать. Сейчас для аналитиков работа и технологов.

"Я сумасшедший, а не дурак" (с) "Помочь" - это подогнать обоснования под некоторый компромиссный вариант.

Трижды наплевать (я про категории и классы) :) Есть набор мер, которые есть во всех трех категориях, а остальное - несущественные подробности :)

Возможно, но такой хоккей разве кому то нужен? По большому счету я уверен в том что НПА по КИИ это надстройка и не более того над действующей нормативкой по защите, то есть не новая тема, а уточняющая. 17 приказ гораздо более регламентирован в области выработки мер по защите объектов, он действующий, он разжеван в методичках, а главное он преусматривает ввод в эксплуатацию системы защиты через аттестацию, чего в 239 не наблюдается. 239 чем то 31 приказ напонимает, там тоже аттестации нет. Че то особо не кинулись его применять. Хотя по мерам он лучший. И интеграторы уже умеют работать с 17, 21 ,31.

Да, нужен, и именно такой.

В исполнении 17го приказа требовалось просто прикрыться бумажкой, поэтому он практически не исполняется. Защищать портал госуслуг SecretNet'ом - это верх бессмыслицы, но всем плевать - этого достаточно для аттестатции.

В 239м приказе наоборот, никому неинтересно наличие сертификатов и аттестатов - сажать будут за причиненный ущерб. Поэтому уже приходится думать, стоит ли покупать "джентльменский набор под аттестацию" или все же стоит потратиться на полноценную реалищацию мер защиты.

Грубо говоря, для реализации АНЗ.1 приказа 17 госы активно пркупали XSpider (только ради них он и выпускается фактически). И плевать, что он не может реализовать эту меру защиты - главное, что он САЗ и у него есть сертификат. Под 239й приказ те же госы переключились на MaxPatrol

Ну возможно кто-то и работал (исполнял и заказывал) ради бумажки, но не все далеко. Но вообще то и в 17 приказе не сошелся свет клином на сертифицированных средствах (есть такие меры - компенсирующие), а что касается САЗ - их вообще вредно использовать в сертифицированном исполнении. И 17 приказ позволяет использовать иные источники для анализа уязвимостей. Всегда считал и считаю допустимым использование последней kali и аналогов для официального анализа уязвимостей с включением результатов в протокол. Как вообще без metasploit можно что то там анализировать, сканеров не достаточно.

Я вам привел общую картину по МЦИ разных регионов. К слову, об этой картине знаю именно потому, что администрации субъектов федерации в унисон запели: "Под 17й приказ у нас все есть и все аттестовано, но использовать такую защиту для выполнения КИИшных требований стремно" :) Пришлось поездить с дружескими визитами, помочь парням оценить масштаб бедствия :)

А вы правда думаете, что эти же самые интеграторы в рамках 239 что то лучше сделают? Да все тоже самое будет. Я потому и говорю что интеграторам не место покачто в кии. Заказчик должен сам развиться в этом направлении

Интеграторы сделают то, что скажет и за что заплатит заказчик. Но заказчик сам не разовьется, ему нужно предложить готовое тезническое решение и объяснить, как это решение соответствует требованиям. Доя этого решение должно быть в эскизе еще до того, как заказчик до него дозреет.

В обратном направлении это не работает, к содалению

Ну вот, а я уверен что вся нормативка за последние пять лет направлена именно на разитие собственных подразделений по защите и в КИИ вижу тоже самое. Уверен что могут развится и сами. Как говорится лучше с умным потерять... )). Поэтому интеграторов даже лучше не привлекать сейчас.

17 приказ принят в 2013 году. Много толковых "собственных подразделений" за это время появилось в регионах? Сколько веков ждать будем?

Не много, но появились. Надеюсь что 239 породит финансирование ЗИ в корпоративной среде и толковых специалистов прибавится.

Это крайне маловероятно.

Толковые специалисты идут работать к вендорам и интеграторам - там работа интереснее и зарплата выше. Чем выше финансирование ЗИ, тем выше спрос на интеграторов и тем выше потребность в специалистах у них же.

Кроме того, для реальной защиты от атак нужны люди, которых субъект КИИ не в состоянии загрузить интересной им работой. Хорошему пентестеру в отдельной организации ("голову" холдинга не берем) делать нечего - ему там тупо скучно. "Кризисному менеджеру" по реагированию на инциденты - тупо скучно. Компьютерному криминалисту - скучно.  Даже хорошего менеджера удержать на стороне заказчика невероятно трудно  :)

Согласен. У меня просто не было шансов удержаться в местном и насквозь дырявом Департаменте образования (в сфере защиты ПДн). Ушёл в ФинТех в 2015.

Толковыми специалистами не рождаются же )) и из институтов таковыми не выходят. Именно собственные подразделения организаций их и воспитывают, ну дальше может быть и интегратор. Это ведь вопрос системы, жизненного цикла. Я думаю что создание системы взращивания специалистов в госсекторе было провалено, хоть и планировалось (ПП от 06.05.2016 N 399) решили через корпоративный сектор попробовать - отсюда и КИИ (хотя для грамотного построения системы защиты и действующей нормативки с головой хватало и хватает)

Поддерживаю идею создания системы взращивания специалистов.
Проблема в том, что она никому не нужна на местах.

Нужны бумажки и минимум накладок с регуляторами(
По крайней мере такова моя причина ухода в ФинТех

Чаще всего ни Заказчик ни Интегратор не знает что надо и за чем это надо...