Мне не нужно ни в чем определяться.
Есть требования регулятора, который всеми способами продавливает ответственность/наказания.
По этим требованиям надо закрывать не 3-4 вектора. Надо сделать все.
И МУ, и ПД/РД/ЭЭ и систему защиты построить, и не просто , а из поделок отечественных вендоров, большая часть которых в разы дороже импортного и менее функционально, и испытания пройти.
И все эти законотворческие поделки не более, чем наследие подхода к защите ГТ. Навязать, заставить и не более того.

Люто+++++++

Какая же это крайность?

Есть субъект КИИ. Который никогда безопасностью не занимался, от слова "совсем".

Если он придет ко мне с просьбой написать ему всеобъемлющую модель угроз вплоть до защиты от аппаратных закладок злобной АНБ, я его вежливо пошлю. И предложу сконцентрироваться на трех вещах:
1. Защите веб-сервисов как очевилного пути проникновения в инфраструктуру.
2. Защите AD как ядра управления доступом
3. Защите от массированных вирусных атак

И пока он не научится решать эти три очевидные задачи, в "в комплексной ИБ" ему делать нечего, ему до нее, как до Китая ползком.

А этими тремя задачами вполне по силам заниматься грамотному молодому специалисту

Какое отношение этот подход имеет к выполнению требований ФСТЭК?
Регулятору плевать на этот постепенный подход. Даже ЦБ когда сто бр вводил не лютовал так.

Вы чатом ошиблись, тут про штрафы и КИИ :) А для них, как написал коллега выше, нужно все и сразу. Отсрочек нет.

Нужно.

Вы потратите кучку денег на СЗИ, и про проверке получите замечания первой категории за отсутствие защиты от актуальных угроз. Так как с актуальными угрозами вы не определились, ваши меры защиты ни от чего не защищают.

То есть деньги на СЗИ вы потратите без результата.

Дмитрий. Вот смотри. У нас сейчас в реестре ЗОКИИ - 10 000 объектов, по которым надо срочно написать МУ и строить систему безопасности. Сколь потребуется времени на реализацию этого? Твоя экспертная оценка. Вот сколько у нас в стране сейчас специалистов, готовых применить новую методику и сколько им потребуется времени

Так если штраф все равно будет, какой смысл из-за него переживать? :) К нему нужно относиться как к неизбежному злу и планировать долгосрочные действия, которые когда-нибудь приведут к соответствию требованиям нормативуми

Сюда прибавить ГИСы и ИСПДны нужно.

Штраф будет молодому и горячему, посмтрим потом на его энтузиазм. С административкой и без премии

Для организации с 500-1000 активных пользователей в инфраструктуре - 5-7 лет для защиты только от самых распространенных способов проведения атак. Еще лет 5 - на выстраивание полноценной защиты.

С какого перепуга?

и что, 7 лет у нас ЗОКИИ будет беззащитными?

а кого будут штрафовать за невыполненный 239 приказ? он штатный специалист безопасности СуКИИ

Не "7 лет", а "еще 7 лет". До того они тоже как-бы не в шоколаде были.

Организацию.

Вы не хотите слышать о чем я говорю.
Что касается предписаний. Исходя из мнения коллег в том кругу, где я нахожусь, первые же серьезные предписания приведут к уходу опытных специалистов.
Насчет заменить, пфф я бы посмотрел как это будет происходить в регионах ага.

с чего бы? руководитель все выполнил по 235 приказу. А вот специалист накосячил и не выполнил требования 239 приказа

Неа. Стрелочника, коим назначат молодого и горячего.

Вы смотрите КоАП а не домыслы