Вы же проводите аудиты ИБ, неужели были случаи когда
не нашли "нарушения требований к созданию систем безопасности"?
Введут изменят КоАП - будут штрафы.

До 50 спеца и до 500 организацию

Причем после штрафа в полляма спец вылетит гарантировано

Я слышу, о чем вы говорите. А еще я имею некоторое представление о содержании проверок и нарушениях, которые в ходе проверок будут выявляться. Сама по себе закупка  СЗИ не приведет вас к формальному соответствию, поэтому закупать их, пропуская нормальную процедуру проектирования, бессмысленно. А проектирование требует моделирования угроз

Не всегда. Иногда сакральная жертва потом премия. Главное чтоб служебное несоответствие не впаяли..
Все будут пытаться уйти от штрафа на первое лицо или организацию.

нет. За 239 приказ на организацию не более 100 000

Если штраф - неизбежность, значит, не нужно ставить перед собой задачу избежать его прямо сейчас. Есть такая штука, как долгосрочное планирование, и нынешние родовых травм безопасности без него не исправить.

В том то и дело не слышите. Я вам говорю, что ваш подход в части защиты основных направлений это бред, т.к. это не закрывает все требования по защите ОКИИ.  И не вы один проходили проверки регуляторов и имели общение с  ними

если штраф неизбежность, то он превращается в налог на ИБ. И руководство на ИБ забивает вообще.

Если проверки будут в форме пентеста, то всем труба. Принцип проверок в России - найти нарушение. Значит будут ломать до победного и все равно впаяют нарушения. Не смотря на МУ.

особенно с учетом того, что пентесты будет проводить ФСБ, а не ФСТЭК

Именно :) А у них опыт большой.  В модель угроз никто не хочет прописывать иностранную разведку.

Хочу посмотреть как будут ломать инфраструктуру хим.производств или нпз. Вот прям мечтаю.

Смотрите. Есть два подхода.
1. Давайте потихоньку выстраивать безопасность. Будем идентифицировать сперва самые очевидные угрозы и реализовывать меры защиты 239 приказа ровно в том объеме, чтобы защититься от них. Сколько-то лет проверяющие будут находить у нас несоответствия требованиям, но потом они сойдут на нет.
2. Давайте сейчас единовременно потратим большой бюджет на средства защиты, упомянутые в нормативных документах. Потом придет проверка и скажет нам, что эти СЗИ вообще не защищают нас от угроз, и нам придется вернуться к п. 1

Ощущаете разницу?

стандартное контрольно-техническое мероприятие, их ФСБ сотни в год проводит.

Вот с этого и нужно было начинать :) Пока своими глазами не посмотрите, так и будете считать, что первоочередное - закупить СЗИ :)

Нас спросили , мы ответили вопросом"кто понесёт ответственность в случае ЧС". Больше вопросов не было.

по 2 варианту есть хотя бы один пример, когда организация реализовала базовый набор мер из приказов и ей регулятор сказал, что зря реализовали? Что за выдумки такие

ты не в той аудитории это пишешь. Это на Басманной надо рассказывать

Не обязательно ломать. Можно найти неподдерживаему производителем систему, слабый пароль на коммутаторе и отсутствие блокировки уволенных работников. Возможность MiTM-атак. Да много всего...