Мы этот вариант рассматривали и даже переговоры вели с одной компанией. Но нам денег не дали. Думаю ещё раз стоит этот вопрос поднять

Есть вопрос с другой стороны баррикад:
у нас (опасный производственный обьект) намереваются заменить используемые коммутаторы на другие с возможностью зеркалирования траффика и установить пассивное TAP устройтво на каждый порт ПЛК.
Как быть с бумажным оформлением, т.е. требуется ли проводить повторную экспертизу ПБ для узаконивания изменений? Ведь данные замены и внедрения можно отнести к техническому перевооружению ОПО, а в данном случае экспертиза требуется.

В конце концов , если вы сами сможете увести креды  инженеров АСУ или показать что у вас есть дампы БД с хисториана или список тэгов со СКАДЫ то вопрос отпадет сам. То есть если вы сможете это сделать то значит все не идеально. В конце концов проведите сами разведку.

В любом случаи  коммутаторы должны будут удоволетворять требованиям предъявленных к ним. И да скорее всего придется повторная экспертиза или хотя бы чтобы проект прошел экспертизу (это же перевооружение , замена сетевого оборудования)

Спасибо за идею. Надо обдумать этот момент

А есть возможно хотя бы на категорирование деньги вытащить?))

Назначьте категорию, отправьте информацию во фстэк. Подучите письменные отказы от подразделения и руководства и ждите проверки

Это вопрос мне? Мы ещё в 2018 категорировались

И какую категорию определили?

2 и 3

Тогда сидите и ждите проверки со стороны регулятора))

Я уже с представителями ФСТЭК общался и получал от них подтверждение о том, что «Ай яй яй ребятки, надо бы что то с этим делать, а ни то предписание, а потом серьезно спросим» и передавал владельцам систем :) мы в рабочей группе по кии во фстэк состоим

Вопрос в том, как можно обойти или исполнить требования без использования самы очевидных способов :))

А кто будет сервисные услуги оказывать?

Если вы все организационными мероприятиями закроете.

Например?

Сами или на аутсорсинг?

Пока что сами справляемся. В части доков и существующих СЗИ. В части аудита и пентеста мы будем привлекать сторонние компании

А какие услуги то? Ну если они категорировались и у низ 3 категория, то все просто. Назначают ответственного руководителя и вперед, если он не боится присесть на реальный срок  то это в его интересах продвинуть проект по защите для 3 категории. Просто если до бизнеса не доходит, то очень хорошо помогает, когда приходишь и показываешь БД или креды, которые могут остановить бизнес.

Соглашусь, я про тоже