№117 — это не просто «перечень мер», а надстройка управления:
задаёт роли и ответственность, требует планирование → выполнение → оценка → улучшения (чтобы защита жила как процесс, а не «к проверке»);
вводит измеримость: показатели K_зи (защищённость) и P_зи (зрелость) — то есть появляется логика «как понять, что мы реально защищены»;
учитывает современную инфраструктуру (виртуализация/облака, контейнеры и оркестрация, API, IoT и т.д.) — меры сразу ориентированы на актуальные технологии;
привязывает требования к классам защищённости (1/2/3) и возможностям нарушителя (высокие/повышенные/базовые);
требует регулярного контроля (не реже 1 раза в 3 года и/или после инцидентов) и контур отчётности с направлением результатов в ФСТЭК.
Около минуты
13 марта