сертифицированные СрЗИ от НСД нужны чтобы заместить функционал несертифицированной ОС в части реализации мер защиты, например, идентификации и аутентификации, разграничения доступа, регистрации событий безопасности и т.д. Надежнее и безопаснее код ОС наложенные средства не делают.

СЗИ от НСД в любом случае наложенные программы, которые в теории могут быть отключены/пройдены через использование НДВ самой ОС

При чем тут код ОС если наложенными средствами вы как раз управляете информационными потоками и разграничением доступа (в т.ч. системного ПО).

Приказ ФСТЭК № 21, п. 11:
В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

Дополнительно к мерам защиты, понимаете? Значит, мер защиты, реализуемых СрЗИ, не достаточно по мнению регулятора.

В общем, законных требований нет  😂😂

А причем тут разграничения доступа и закладки/баги в коде ПО?

При том, что они не будут работать т.к. разграничение доступа реализуется сертифицированными средствами

Как и чем вы можете ограничить ядро ОС? :) Его только дополнить можно.

МОГУТ применяться. А могут и не применяться.

куча аттестованных объектов, без сертифицированных ОС, проверенных регуляторами и ни у кого нет вопросов

и у них скорее всего неактуальны угрозы 1-ого и 2-ого типа...

Для этого и созданы сертифицированные средсва защиты.

На объектах с ГТ допускается использовать несертифицированные ОС.

Ещё раз - как вы собираетесь это делать вообще? Как можно ограничить ядро ОС, если вы не знаете как оно работает, т.е. что в нём нет НДВ?

👍👍👍 это и твержу, что или так, или эдак

Если вы/я/мы не знаем, то разработчик СЗИ гарантирует

Откройте РД по СВТ там все явно описано.

Надо не только "бумажную безопасность" изучать, но хоть изредка обычный институтский курс ОС\сетей почитывать.

сомневаюсь, что наложенные СЗИ могут внятно разграничивать информационные потоки системного ПО

При том, что такого понятия "информационные потоки" в системном ПО нету :) Это абстракция прикладного ПО.