Лично мне всегда было непонятно почему многие вместо того чтобы написать хоть какую-то по степени адекватности МУ, начинают фантазировать на тему ее необходимости, значимости, достаточности. Ссылаются на всё, что угодно, лишь бы только не делать МУ

А причина только одна - не могут

Наверное, в идеале, схема такая:
1. Модель угроз даёт полный перечень актуальных угроз.
2. Перечень мер с указанием того, какие угрозы какая мера закрывает, позволяет закрыть часть угроз.
3. Оставшиеся, не закрытые угрозы, закрываем дополнительными мерами и СЗИ.

Проблем две:
- многие делают МУ "чтобы была", показывать проверяющим;
- мало кто знает (помнит) зачем придумана та или иная мера из приказа 239 и какие угрозы она закрывает.

Не понимают - зачем и куда её потом приложить. "Адекватность" - отдельная тема для обсуждения

ФСТЭК уже давно всё придумал: базовый-адаптированный-уточненный, что не хватило - компенсирующие

Я так понимаю, что на приказы все ссылаются, но никто их не читает? )

По приказам мера достаточно абстрактное понятие. Наверное, есть смысл больше смотреть в методичку 2014 года по мерам для ГИС. Там ФСТЭК сделал попытку натянуть сову на глобус. Но учитывая количество способов реализации угроз, описать их в одном документе проблематично

Какие конкретно угрозы закрывает базовый?

адаптацию базового набора мер защиты информации применительно к структурнофункциональным характеристикам информационной системы, информационным технологиям,
особенностям функционирования информационной системы (в том числе предусматривающую
исключение из базового набора мер защиты информации мер, непосредственно связанных с
информационными технологиями, не используемыми в информационной системе, или
структурно-функциональными характеристиками, не свойственными информационной
системе);

22. В информационной системе соответствующего класса защищенности в рамках ее
системы защиты информации должны быть реализованы меры защиты информации,
выбранные в соответствии с пунктом 21 настоящих Требований и обеспечивающие
блокирование (нейтрализацию) всех угроз безопасности информации.
При этом в информационной системе должен быть, как минимум, реализован
адаптированный базовый набор мер защиты информации, соответствующий установленному
классу защищенности информационной системы.

Мне кажется, что пространства для фантазий ФСТЭК оставил очень мало. Надо просто сделать так, как написано

Вы для начала требования к этим мерам почитайте, пожалуйста. Вот, навскидку, УПД.2, базовая для всех систем

"Методы управления доступом реализуются в зависимости от особенностей функционирования информационной системы с учетом угроз безопасности информации и должны включать один или комбинацию следующих методов: <дискреционные, ролевой, мандатный>"

Теряюсь в догадках, как можно реализовать меру защиты "с учетом угроз"  без учета этих самых угроз. Особенно когла в приказе прямым текстом написано, что меры защиты вы обязаны реализовывать только после того, как вы их адаптируете к модели угроз.

Это все прекрасно. Но практика показывает другое. МУ на заказ сводится к реализации базовых мер и возможно тех мер, на которые есть деньги. А иногда и базовые меры отбрасывают.
Самостоятельно рожать МУ подавляющее большинство СКИИ не будет. Значит подход не поменяется. Все МУ будут штамповаться просто для прохождения проверок.
С другой стороны. Для обеспечения массового подъема защищённости подавляющего большинства СКИИ сейчас достаточно честной реализации базовых мер и лучших практик. На реализацию чего-то большего просто не хватит знаний и ресурсов.
Вот и возникает вопрос, зачем для массовой ИБ заставлять создавать МУ на первом этапе, если она все равно приведёт к базовым мерам? Деньги на ветер?

Истину глаголите. Андрей

Мне кажется, что не стоит выдавать собственную импотенцию за практику. Если кто-то конкретно не способен написать МУ, то это его проблемы. И для чего он пишет МУ, тоже его проблемы. Что достаточно для массового подъема защищенности - это частное мнение, идущее в разрез с требованиями ФСТЭК

И лозунг красивый. Пафосный 😉

Если для ИСПДн это было не так актуально, для ГИС не дожали, то для КИИ будет очень важно. Есть конкретная ответственность, начнут наказывать - начнут думать, как делать правильно

Ну, не без этого )

Вы несколько оторваны от реальности бытия новоиспеченных СКИИ. Например ЛПУ с их анализаторами мочи :)

Я работаю в электроэнергетике, не надо мне про оторванность 😂