Кстати,  С учётом введенного прямого запрета обмена информацией , загрузка 0 семпла на вирустотал считается разглашением части инцидента западным партнёрам? :)

Коллеги. Хотелось бы обсудить такой вопрос. В приказе ФСТЭК 239  в п.31 сказано, что применяемые в ЗОКИИ средства защиты должны быть обеспечены гарантийной и/или технической поддержкой. Другой момент ФСТЭК говорит, что в первую очередь используйте встроенные средства защиты.
В цеху стоит контроллер. У Субъекта нет договора с вендором по гарантийной/тех поддержки (думаю я не один такой). На данный момент вендор еще осуществляет техноческую поддержку данной модели контроллера (выпускает прошивки на контроллер). Субъект использует штатные функции контроллера, по ограничению доступа к административным функциям контроллера (списки доступа и подсистема аутентификации/авторизации).  Если завтра вендор прекратит данную модель контроллера поддерживать, то субъект должен произвести замену?

Если я правильно помню то требования по поддержке от производителя есть в положении по сертификации, если увас нсд решение на контроллере не сертифицированные ( встроены) то можно пойти двумя путями 1) просто нигде не афишировать эти нсд, а закрывть требования скпжем поставив контроллеры в металический шкаф 2) есть возможность проводить собственно процедуры контроля и писать отчеты в которых отражать , что средства работают исправно

Правда Лютиков был недоволен как некоторые реализовывали это для ПэДэ эн. Именно в 21 приказе впервые отсутствовала обязательная сертификация сзи. Пока интеграторы окучивали клиентов баснями , что контроль соответствия это только сертификация. Часть народа закрылось через ввод в эксплуатацию ). Не исключено что хитрый фстэк собрав базу зокии, возмет и отменит свой легалайз, и бодро пойдёт по субъектам сшибать палки . "а что это у вас сзи без нашей бумажки, политика партии изменилась " :)

Очень сильно сомневаюсь. Вполне логично сертификацию оставить только для госвласти и гостайны.

Логично, но политически нецелесообразно

Объектов КИИ ооооочень много. Нужно еще смотреть на экономическую целесообразность. Вряд ли государству нужно чтобы средства, к примеру больничик и поликлиник, пошли на сертифицированные средства в ущерб повышения качества услуг,  ИТ-сервисов, закупки лекарств и т.п.  Денег на все не хватит (

Мы собираемся через пми прогнать и встроенные сов в комплексы сзи. Типа решений endpoint security у которых фстэк сертификат только av, но хостовый сов тоже есть.

Хорошо, с СОВ вопрос тонкий)
А если взять МСЭ pfsense, он опенсорс, но поддерживается  и развивается компанией netgate.
Какие подводные камни могут возникнуть при его использовании для защиты КИИ

Что вы напишите в пми по поводу проверки на уязвимости сейчас и наличия гарантий/проверки на появляющиеся во время последующей эксплуатации уязвимости?

Как (и сколько) атак вы собираетесь моделировать для проверки работоспособности СОВ? У вас есть методические наработки на эту тему?

Форма и содержание пми не определена. Поэтому Тестовая атака сканером уязвимостей и сканирование портов. Детект есть. Значит работает. 40 тысяч ежедневно пополняемых правил коммунити снорта конечно никто проверять не будет. И даже лаборатория лиценциата фстэка у какого нибудь vipnet ids все уникальные отечественные (от ЕТ ага) тысячи правил тестить не будет. Все на чесном слове. "А вот эта сигнатурка у нас ловит вот вот этот сплоит сетевой атаки на переполнение буфера, зуб даем"

Как другой вариант, написать себе ПМИ на основе профиля защиты СОВ, но это для только крепких духом любителей речевых оборотов, интересных сокращений и заковыристых протокольных фраз.:)

А зачем? Это же своя ПМИ, а не сдаваемая в ФСТЭК

Профиль защиты не определяет содержание функций СОВ, так что по нему ничего осмысленного написать не получится :)

Там много можно идей понабрать для текста пми, например (цитата) "возможность предоставлять возможность читать информацию из записей аудита" . Возможность возможности есть? Галочка в протокол готова! . )