Для Астры такие таблицы тоже разработаны

тут можно ссылаться на п.26 приказа 17 (последнее предложение):
В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований.


насколько я понимаю, однозначного соответствия между фунциями безопасности из ПЗ и мерами для систем нет

их бы в ЭД внести, в формуляр, например, чтоб вопросов не было

Нет

Это мое частное мнение.
Из-за того, что требования к СЗИ и требования к ИС не  синхронизированы между собой возникает такая полемика

конечно, ОС не должна выполнять требования к ИС

Ну да требования к клеткам человека и к самому человеку разные

Может кого заинтересует (мопед не мой) IR Challenges Discord server инвайт https://discord.gg/hdE676

Он правда думает, что это подходящий чятик?

Не уверен.  Например,как же тогда требования ПП1119 в части угроз 1го типа, т.е. наличие/отсутствие НДВ в системном ПО?

требования к ОС выполняет вендор ОС, требования к ИС выполняет ее архитектор.

в вашем примере вендор ОС проходит соответствующие проверки, а архитектор ИС берет продукт, который прошел такую проверку.

Но это не значит, что ОС выполнила требования к ИС. Это архитектор выполнил эти требования

Разговор  кто именно должен выполнять какие требования в нашей действительности не очень конструктивны. Например, ЦБ выставляет требования по ИБ к фин организациям, и ему по барабану, кто их будет выполнять, сами банки,  разработчики или, например, "заявители".
Мой меседж был о том, что требования к ИС, подразумевают, в том числе, требования и к системному ПО.

одни и те же лица везде сидят

Мир тесен 😊

или объём телеграма слишком переоценен.

или количество людей, связанных с темой ИБ

Возвращаясь к вопросу.
По телефону в ЦА ФСТЭК России сказали примерно следующее:
Нельзя.
Астра только часть требований по МЭ закрывает и очень небольшую поэтому должен быть нормальный МЭ, который по требованиям МЭ сертифицирован.
Поэтому меры типа УПД.3, ЗИС.3, ЗСВ.4 надо закрывать сертифицированными МЭ.

ЧТД

Сертифицированным по ФСТЭК если инфа в пределах КЗ и по ФСБ если смотрит в интернет