Просто получается следующая ситуация, что иностранный вендор может прити со встроенным в PLC шифрованием не по ГОСТ и тем самым закрыть данный вопрос и ему для этого максимум потребуется нотификация ФСБ, а вот если это отечественный производитель/разработчик, то он попадает на все плюшки получения лицензии и сертификации.... как то несправедливо...

бумагой можно закрыть.

?

написать, что сведения поступающие по каналу связи не относятся к информации ограниченного распространения и отправитель это признаёт, отсылая по открытому каналу связи

Проблема в том, что вам надо определить класс СКЗИ. Как это делать для не сертифицированных СКЗИ? по 239 приказу вы обязаны подтверждать соответствие системы безопасности зокии, так как вы своим скзи закрываете меру 239 приказа, то вы как то должны будете проверить.. Ну и т. Д

а как быть с атакой человек посередине? информация может быть не конфиденциальной, но критической

ну в целом получается что сам производитель должен иметь лицензию на деятельность по разработке поставке и обслуживанию СКЗИ, а если у него таковой нет, то приводить с собой в проект поставщика изготовителя СКЗИ, что бы он в дальнейшем сопровождал и обслуживал.  Не очень конечно, так как если использовать иностранных вендоров, то в целом оценку применяемых СЗИ в соответсвии с 239 приказом может сделать сам владелец.

получается наши правила немного играют против отечественных производителей АСУ ТП. и в целом увеличивают фин. нагрузку на владельцев.  Стоимость СКЗИ весьма велика.

Если у Вас нет такой лицензии привлекайте субподрядчика если это допустимо в рамках контракта.

Я не очень понял как страна происхождения срзи влияет на проведение оценки соответствия сб зокии.

если не требуется проводить оценку соответствия в установленном порядке, то решение о форме оценки принимает владелец, так ведь?

принять законопроект в первом чтении; представить поправки к законопроекту (Срок представления поправок в тридцатидневный срок со дня принятия постановления; 25.02.2021)  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/kogda-nachnut-shtrafovat-subektov-kii-uje-skoro-600b0b1ecdf9ab055a66b0d1

Ведь сам 239 приказ не устанавливает требований по использованию сертифицированных средств защиты по крайней мере для 3-й категории значимости

причем здесь страна происхождения? если вы про лицензию спрашиваете

При том что если критографическая функция такая как AES внедрена в устройсво за границей, то для его ввоза и использования поставщику достаточно получить нотификацию ФСБ

ввезти да, а вот продавать - нужна лицензия

вот здесь и есть основная идея, что мы покупаем маршрутизатор, без лицензии, но в нем есть такая фича.)

тоже и с plc. мы покупаем контроллер, но внем есть и такие функции. Сертификата ФСБ у них нет, соответственно и вести реестр по всей видимости обходимости нет

каких то документов про регламент учета продаваемой продукции подлежащей нотификации я не нашел по крайней мере.