И, кстати, раз уж пошла такая пьянка... Не в первый

раз читаю о необходимости в ЗОКИИ менять софт на отечественный (как я писал выше - зачастую, а вернее - почти всегда, это потребует и замены железа). Подскажите, каким собственно законом/приказом/указом и каким пунктом какой статьи это регламентируется?

Указы 166 и 250

Бегло прочитал. 166 - это для "осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ", т.е. более 50% бюджетных разного уровня, или ещё... короче - все с госучастием. А если госучастия нет? В 250-м нашёл только запрет на "недружествнные" СЗИ - и уже для всех субъектов КИИ. Тут понятно, но про софт, не являющийся СЗИ, ничего нет.

Формально требования замены, действительно, относятся только к средствам защиты. Однако в прикладном софте встроено много механизмов, которые реализуют меры обеспечения безопасности: аутентификация, контроль доступа, контроль целостности и многое другое. Проверяющие из ФСТЭК могут спросить: а как у вас реализован контроль доступа? А вы такие: WinCC. А есть на неё сертификат по уровням доверия?..

Во-первых 223ФЗ это не только про гос.участие, во-вторых есть требования по БРПО для АСУТП в 239 приказе ФСТЭК. Формально доказать, что применяемые WinCC и Codesys-ы им удовлетворяют дело тонкое. Кто-то поверит, а кто-то полезет смотреть перечни уязвимостей и сравнивать версии.