🔴 Приказ ФСТЭК №117: как теперь обосновывать меры защиты С марта 2026 года действует Приказ ФСТЭК №117 вместо Приказа №17. Что изменилось и какие практические вопросы сегодня возникают у компаний при аттестации информационных систем. ❔: Как обосновывать выбор мер защиты, если из документа исчезли привычные таблицы с наборами мер для К1, К2 и К3. 🟠: Теперь универсальных наборов больше нет. Подход меняется: меры защиты нужно обосновывать исходя из модели угроз конкретной системы. Модель угроз становится ключевым инструментом. Она позволяет: 🟠связать меры защиты с конкретными угрозами 🟠доказать достаточность выбранных СЗИ 🟠учесть архитектуру системы, используемые технологии и условия эксплуатации Иногда может понадобиться и дополнительная внутренняя методика. Например, если система использует контейнерную инфраструктуру, технологии ИИ или работает в специфическом регуляторном поле. Такая методика помогает формализовать: 🟠порядок оценки рисков 🟠критерии выбора мер защиты 🟠требования к применяемым СЗИ Приказ №117 фактически переводит подход от типовых наборов мер к риск-ориентированной модели защиты, где ключевую роль играет качественно проработанная модель угроз. #Владислав_Крылов 💬Telegram | 💙VK | 🌐Сайт | 📹Подкаст