Центрам ГосСОПКА главное своевременно выявлять инциденты для чего требуется эффективно выстроить соответствующие процессы. Выбор используемых технологий и средств важен, но вторичен. В приведенном выше сравнении центров ГосСОПКА отчетливо прослеживается, что используются одновременно как самописные решения и опенсорс, так и отечественные и иностранные продукты. Требования к центрам вполне допускают что наряду со средствами ГосСОПКА (которых в настоящий момент нет) будут использоваться и решения, не являющимися средствами ГосСОПКА (те же комрад, русием, макспортал, MISP, arcsight, qradar, zeek, suricata, jira и др.)

Не мешает. Есть ряд условий

)))))

Может каким-нибудь умельцам и это по плечам ))
Не видел я методик оценки соответствия средств по 196 приказу или методик испытаний, но думается обосновать (пункт 3.3), что отечественная компания может выкатить новый билд иностранного решения (модернизировать) будет трудновато.

Там ни слова про модернизировать. Давайте не будем фантазировать

Именно в свете билда

И критериев нет

Как раз слово модернизация там есть

Добавление правила корреляции - это модернизация?
А правка значения в реестре?
А смена иконки у линка?

А устранение уязвимости?

Где там про уязвимость?

Если найдена уязвимость ты должен иметь возможность ее устранить

Это там не прописано. Как и не прописан механизм. И сроки исполнения.

Т.е. устранить может и западный вендор, если sla позволяет (хотя они тоже не прописаны)

Я сразу оговорился что методик не видел и как будет оцениваться пункт 3.3 мне не известно.
Если вам удастся, например, arcsight или qradar сделать средством ГосСОПКА, многие будут вам только благодарны.

Нет. П.3.3 говорит о том, что это российское юрлицо должно делать

Устранять уязвимость? Ну тыкни меня носом.

То что хотели написать и то что написали - разные вещи)

Он про модернизацию говорит

Про какую?)