В соответствии с методрекомендациями по 17му приказу, если мне не изменяет память, модель угроз и нарушителя не является основанием для исключения мер из базового набора мер. Но может являться основанием для дополнения базового набора мер. В кии, думаю, логика таже должна быть.

Речь не идет о базовом или не базовом наборе мер, речь идет о том что первично, моделирование угроз или ЧТЗ.. Так вот в ЧТЗ на проектирование не логично указывать меры (не только из базового набора а вообще вся совокупность) которые по каким либо причинам вам не подходят (СФХ или потенциал нарушителя)... А чтобы их исключить нужно ведь как то это оформить, вот в модели такое исключение и оформляется. Впрочем спорить я не хочу... каждый делает так как логично и понятно для него.

Ээээ, это в каком пункте такое?

Вы уже говорите про исключение мер на основании структурно-функциональных характеристик объекта. К модели угроз это уже не особо относится. Данная процедура по кии будет документирована актом категорирования.

Вы уже говорите про исключение мер на основании структурно-функциональных характеристик объекта. К модели угроз это уже не особо относится. Данная процедура по кии будет документирована актом категорирования.

Смотрите, у вас есть объект в отношении которого действует нарушитель только с базовым потенциалом, в модели угроз есть (например) Угроза использования слабых криптографических алгоритмов BIOS, которую реализует только нарушитель с выскоим потенциалом... Так вот я ее исключаю так как не предполагаю действий нарушителя с высоким потенциалом и пишу об этом в модели угроз называя это оценкой возможностей (потенциала) внешних и внутренних нарушителей... А по вашей логике эту угрозу нужно рассмотреть и выработать меры по защите, для вас же потенциал не основание для исключния - так ведь?

Мы про угрозы или меры говорим? До этого разговор шел про исключение мер, а не угроз.

Но в любом случае это делается до проектирования имхо и соотвественно до ЧТЗ на проектирование. Кто как формирует меры дело каждого в конце концов они должны нейтрализовать все угрозы

Без МУ прекрасно подбираются меры защиты на уровне ЧТЗ. Его может писать как лицензиат, так и заказчик. Простое. На уровне базового набора мер.
Потом МУ, потом в рамках ТП проводится уточнение и "обоснование" мер, типа "да, они и блочат все угрозы, покажем, какие меры - какие конкретно угрозы". Это и будет проектирование.
Если всё сделать, МУ, все меры аля ТП, а потом это оформить в виде ЧТЗ, то что делать в рамках проектирования?
В целом, ФСТЭК предложил четкую этапность и детализацию решений, соответствующую каждому. Там всё хорошо. Вы же предлагаете следовать некой другой этапности. Думаю, чатчанам можно делать так, как удобно, но во всех случаях не соответствующих П-239 готовить объяснения для возможной проверки. Возможно, комиссия ФСТЭК с пониманием отнесётся к игнорированию положений документа ФСТЭК в угоду личному мнению проверяемого

Вот текст на который я отвечал

Вообще не понятно как меры можно без МУ написать. Вот что вы напишите перечень мер из 239? Может ссылку поставте и все, какое это ЧТЗ, зная класс? И что зарядите себе подсистему управления событиями, а если там несколько офисов ? Или более 10 управлящих сигналов как вы поймете что писать в ТЗ, я же говорю максимум Технические требования. Не понимая , что и от кого защищать, делать что-то мягко говоря рискованно. Вы конечно можете скачать что делаете эскизный проект, тогда возможно, но МУ тогда должна быть там)