Регулятор эту процелуру так и называет: Задание требований. Результаты выполнения которой включаются в ТЗ.

Вот есть у меня ЗОКИИ, там нет виртуализации, а требование ЗИС 39 (Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных) есть, в ТЗ оно попадает или нет? Требование обязательное для всех КЗ. И если не попадает то в где вы пишите что данное требование исключено?

Там написано все правильно, но это общих ход, я видел пару раз случаи когда систему сделали, а теперь модель угроз пора и все ... а там ошибка архитектуры и ссылка на приказ не пойдет, т.к написано что меры должны быть не только внедрены, но и провести оценку их эффективности нужно. По этому я и говорю что не взлетит так.

В акте категорирования можете это указать.

По результатам моделирования угроз, если есть необходимость корректировки архитектуры объекта - можете скорректировать ТЗ.

Моделирование угроз нужно не для адаптации базового набора (т.е  исключения нереализуемых требовпний), а для дополнения адаптированного набора.

Базовые меры защиты вы должны реализовать независимо от модели угроз и потенциала нарушителя, приказ не разрешает вам исключать базовые меры только потому, что вам захотелось считать нарушителя неумехой.

При этом базовый набор мер может быть недостаточным для защиты от нарушителя с выбранным уровнем, поэтому вам нужна модель угроз, чтобы дополнить этот базовый набор недостающими мерами. А для этого можелироаание угроз нужно делать до ЧТЗ.

Другое дело, что на этой стадии вы еще не знаете, как будет выглядеть сама система, поэтому на стадии реализации модель угроз придется кточнить, а за ней - уточнить и ЧТЗ

А что значит пункт 25 приказа 17 тогда? Вы так рассуждаете, что становится непонятно, зачем ввели вообще термин потенциал нарушителя

Коллега. Это группа по КИИ. Вы тут зачем про 17 приказ спрашиваете? Сложности с пониманием - курсы или запрос в ЮФО

Я много раз повторял и еще раз скажу, есть буква закона а есть его дух - то есть понимание смысла. В плане смысла... 239 приказ расширяет 17 приказ и не могут они отдельно рассматриваться ибо мнгоие ЗОКИИ являются ГИСами. Если вы этого не понимаете - дело ваше

Дмитрий. Вы делаете необоснованные выводы. Пишете: "239 приказ расширят 17". Это безусловное утверждение с Вашей стороны. Далее в качестве доказательства Вы пишете, что только часть зокии является гисами. это условие не 100%. Значит Ваше утверждение ложно.
ПС И я не оскорблял Вас

Еще более многие неГИСы читают вас с недоумением.

А многие ГИСы являются ИСПДн и попадают под 21 приказ, и что? Не надо мешать все приказы ФСТЭК в одну кучу. UPD Обычно пытаются "скрестить" 239 с 31 и 17 с 21 приказы. "Связку" 239 с 17 вижу впервые.

В общем понятно, 239 приказ оменяет все остальные 😂

Интересный вывод. Правда, приказы ФСТЭК про разные вещи, мягко говоря.

Ага один про защиту информации и другой про тоже, только назвали по разному 😂

Странно было бы, если бы ведомство, одной из функций которого является ТЗКИ, издавало приказы, скажем, по коневодству. У них и остальные (21, 31) тоже про защиту информации. 😊 Впрочем, если Вам кажется что разницы нет - дело Ваше. Но надо быть готовым к тому, что регулятор с Вами не согласится. P.S. Надо эту тему закрывать, а то получим "жёлтые карточки" за оффтоп.

Да тему видимо лучше закрыть... Но я бы хотел отметить что в этом чате реально много представителей государственных и муниципальных органов (например здравоохранения), на их системы распространяются одновременно и 21 и 17 и 239 (иногда) приказы. Что касается не ГИСов но ОКИИ, то тут как раз все понятно..

Одновременно распространяются  - да, без вариантов. Никто с этим и не спорил.

п.5 приказа 17... а вообще дело в том что создание муниципальных и государственных ИС регламентировано полностью, законодателсьвто по КИИ по сути только надстраивает имеющуюся СЗИ ГИС в части противодействия компьютерным атакам путем усиления контроля и учета таких объектов (хотя и в рамках 17 приказа требовалось выявлять критические процессы и их "защищать") , напрмер орган власти не принимает решение о создании ОКИИ - это не установлено ни одним НПА, он всегда принимает решение о создании ГИС, а только потом определяется признак ОКИИ...ЗОКИИ, поэтому я не совсем понимаю собеседников. Если не следовать приказам 17 и 21, то до 239 просто не добраться )). В общем это хайп называется. Конечно тех кто не гос и не занимался никогда защитой информации ни по стрк ни по 21 приказу тема с КИИ захватила полностью, но я уверен что это далеко не все заинтересованые в информации лица.

Коллеги! После корректировки 127, 9 пункт критериев звучит как бюджеты РФ. До этого расчет делал по средней величине буджета РФ, муницип и фондов. Новая формулировка предполагает только федеральный или суммировать все три?