Конечно будет, если ацл правильно сваять.

Я ещё разок форвардну, чтобы не потерялся вопрос, а то эфир забили Уралом

Не надо физически. Пусть сидят физически в влане. Маршрутизацию между вланами сделайте на внешнем фв и не делайте в самом л3 свиче. Для верности можно еще врф использовать. Асутпшный влан поместите в доп. Врф, остальная сетка в дефолтовом. Между врфами ваш файрвол. Физически он будет, например, между двумя портами одного и того же свича стоять

"Маршрутизацию между вланами сделайте на внешнем фв и не делайте в самом л3 свич "
+

Я это понимаю. Так и предлагаем. Рогом уперлись просто воткнуться по физике в МЭ и ДМЗ исключительно по физике сделать🤷‍♂

+

или найдите доверенный/сертифицированный коммутатор :)

По уму они правы. Но я не вижу, что бы приказ этого требовал. От прыжков из влана в влан можно защититься правильной конфигурацией, почитав доки вендора. Исключить попадание из влана в влан по л3(если он л3) внутри свича - или вообще прибить маршрутизацию или врф.
Но это конечно все компромиссы. Да еще виртуализация, тоже риски через баг гипервизора из зоны в зону попасть. Как крайность от безвыходности.

Только пограничные сертифицируются вроде, нет? Да и то на 1 категорию. Да и то ... как бы не обязательно.

Да, в пункт испытаний включите прыжки, методику сделайте и вендорским способом настройте ВСЗИ коммутатора. Этого должно быть достаточно.

Запрета нет, значит разрешенно.
МЭ, реализующий сегментирование, должен пройти оценку соответствия согласно п. 29.2.

Если оценку соответствия этого СЗИ, реализуемого разными устройствами сети (протокол 802.1q), провести в соответствии с требованиями п. 29.2, то можно.

А чем он несертифицированного отличается?

Во второй половине 2020 года было обнаружено значительное увеличение количества уязвимостей в автоматизированных системах управления технологическим процессом. Как показали результаты исследования, проведенного специалистами из Claroty, за это время количество уязвимостей в АСУ ТП увеличилось на 25% по сравнению с аналогичным периодом прошлого года и на 33% больше, чем в первом полугодии 2020 года.
https://www.securitylab.ru/news/516257.php

И само исследование - https://security.claroty.com/biannual-ics-risk-vulnerability-report-2H-2020

В новой редакции федеральных норм и правил в области промышленной безопасности "Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств" (Утвержденных приказом Ростехнадзора от 15 декабря 2020 года N 533) кроме прочего, появилось такое требование

230. Системы ПАЗ функционируют независимо от системы управления технологическим процессом. Нарушение работы системы управления не должно влиять на работу системы ПАЗ.
Сети обмена информацией между элементами системы ПАЗ должны быть отдельными от сетей обмена информацией между элементами других систем АСУТП.

http://docs.cntd.ru/document/573200380?fbclid=IwAR3I4nw6_B1AL29n4v7JQPMxeNNRwx2ZxiOU3WIJeg_WcpHFMzeFaKhsvMg

Хорошо, допустим приняли такое решение. А требования  информационной безопасности к системам ПАЗ там есть? Раньше таких требований не было, что вызывало определённые вопросы.

Так их нет и согласно пункту 230 и не требуется. Всего лишь надо отделить ПАЗ от АСУ ТП

Тогда насколько гипотетически выглядит следующая атака: взламываем ПАЗ (т. к. в нем нет защиты) и инициируем передачу ему управления путем имитации сбоя (аварии)?

Гипотетически может быть почти все. Сегментация/разделение всегда безопаснее объединения. Ровно это и указано в п.230