Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

Если не ГИС, не ГОС орган с ИСПДн, то вообще особенно проблем нет. Нужно будет провести испытания по 184 ФЗ перед вводом СЗИ в экспликацию и проблем как таковых нет. Но помниться мне что было ,что было противоречие  п. "31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой." - а вот гарантии у свободного ПО нет. По этому есть два похода 1) пишем сами документы и делаем вид, что сами и сопровождаем это ПО 2) отказываемся от использования отрытого ПО, если есть бюджеты на что-то за деньги)

стоит выбор для АСУТП - российский какбы но сертифицированый файервол infowatch ARMA иди коднустуктор из свободного ПО

30. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией.
31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
При выборе программных и программно-аппаратных средств, в том числе средств защиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.

Если хватит компетенция, то можно и второе (это точно веселее и интереснее, но есть ряд особенностей)). Все как обычно или тратим на ФОТ,  дорогие люди, но которые смогут запилить все из opensorce и выполнить требования Регуляторов по бумагам или  покупаем все у вендора , который все это сделал за нас, тогда можно сотрудников менее дорогих брать. Тут решает каждый сам исходя из рисков и стратегии. Но нужно понимать, что если люди не очень подготовленные то реально есть риск завалить что то с помощью криво настроенных opensorce ( в моем понимании этот риски выше) чем при использовании вендорского продукта.

энергетика. 3 уровень у меня зокии

я так понимаю - нужно правильно и с размахом. я к тому что тогда в тендерной документации можно сразу прописать чтоб было только сертифицированное

Это ваше право, вы сами можете выбирать форму оценки соответствия по 184-ФЗ (сертификации, испытаний или приемки). Если вы выбираете сертификацию то это полностью соответствует требованиям посмотрите на что должно быть сертифицированно в 239 приказе (п.29)

спасибо всем...

есть еще такой вопрос. с момента категорирования, ну или занесения в реестр фстек - как дальше считается время? когда нужно начинать создавать систему безопасности кии. если до момента категорирования - все со сроками было понятно, то после я не могу найти четкого разделения

Формально сразу после присвоения категории ЗОКИИ должен соответствовать 235 и 239 приказам, но, судя по выступлениям регулятора, время на создание системы защиты будет в разумных пределах до момента наступления  государственного контроля. Другой момент в том, что как отнесётся регулятор, если будут основания для внепланового гос контроля, который может, не дай бог, случится раньше.

ФСТЭК заявляет, что их устроит утвержденный план по созданию СБ ЗОКИИ и деятельностьпо его реализации. На этот вопрос они отвечают " в разумные сроки"

3 года с момента включения в перечень. ну фстек сказал.

то есть через 3 года они начнут проверять соответствие ФЗ. только с ними созвонился

через 3 года у них появятся основания для проверки. Плановую раньше не провести.

По линии ФСТЭК никаких требований по срокам нет.

В соответствии с приказом 235 вы составляете годовой план реализации мер защиты, в конце года оцениваете, насколько эффективны реализованные меры защиты и на следующий год закладываете изменения.

Все, что ФСТЭК может проверить в ходе плановой проверки:
1. Что вы эту работу делаете.
2. Что ваша собственная оценка эффективности мер защиты соответствует экспертному мнению ФСТЭК об их эффективности.

Т.е. по факту во втором случае замечания могут появиться, только если вы решили, что мера защиты реализована хорошо, а у ФСТЭК об этом иное мнение.

фстек проверяет а карает фсб

по какой статье карает?

Это совсем другое.

Для 274.1 (ч.3-5) УК РФ нет никаких "сроков на приведение себя в порядок". К ответственности могут привлечь с момента вступления в силу документов, определяющих те самые "правила эксплуатации".

Вопрос, что именно следствие будет квалифицировать как "нарушение правил эксплуатации". В наихудшем сценарии суд решит, что к ним относятся базовые меры защиты из приказа 239 и что 2 года с момента их принятия - разумный срок, достаточный для их реализации.

это очень извращенная логика должна быть, что бы меры приказа отнести к правилам эксплуатации. Два года маловато. Год - заложить бюджет, второй год - конкурс, проектированиеи закупка, третий - реализация и подтверждение соответствия