Хотя, исключение можно будет найти если постараться.

Можно, только на фига это заказчику?  
1. Не факт, что суд не согласится с позицией ФАС.
2. К моменту принятия решения бюджетный год уже закончится.
3. Человек, знающий о существовании таких сертификатов и вставивший их в конкурсные требования, - далеко не первое лицо в организации и основное, что его волнует после решения ФАС - не огрести люлей :)

Добрый день, коллеги! Я новичок в ИБ АСУ ТП, поэтому вопрос может быть нелепым, прошу извинить.
Чем может быть обоснована установка fw между контроллерами (РСУ/ПАЗ) и рабочими станциями? (МУ, 31/239 приказы ФСТЭК, NIST или другие стандарты?
Если мы считаем, что ПЛК и рабочие станции расположены в одной контролируемой зоне, то имеет ли смысл устанавливать fw между ними?

Зависит от модели угроз.

Ну, вообще-то не отделять сегмент рабочих станций от серверов и прочих чувствительных объектов - это распространенная ошибка независимо от требований нормативки и моделей угроз. В этом сегменте еще и 802.1x с прочими port security крайне желательны.

Рабочие места - первая цель в случае атаки, а заполучив такой АРМ в несегментированной сети, нарушитель может больше ни в чем себе не отказыаать

Есть вендоры которые встраивают fw прямо в плк и без него просто незапустишь железку. Правда вендор криво реализовал управление мэ и можно сносить конфигу по условному щелчку пальцев но это уже другая история.

А если рабочие места отделены от корпоративной сети МЭ, и установлены различные СЗИ и выполнены орг меры?

Имхо рано или поздно вендоры начнут встраивать fw и лругие механизмы защиты повсеместно, отдельно в каждую железку.

Был уже всемирно известный  инцидент, за упоминание которого Антон скоро банить начнет. Говоря грубо, промышленный персонал имеет привычку этим СЗИ и оргмерам придавать вращенье на малопригодных для этого частях тела :)

+++ .. уже встраивают .. зарубежные

Так и есть, особенно в крупных компаниях. Лучший пруф - практика (с обезличенными своими материалами и достижениями), а на интервью, если спросят, практические действия (консоль и бумагу предоставят). Куча сертификатов и дипломов уже достаточно давно не показательны.

Проект надо смотреть, в тз должно быть написано)

В тз написано, что должны быть такие МЭ. Хотя рабочие станции (станции инженеров) и ПЛК находятся в одной КЗ. А у операторов права до минимума урезаны. Вот мне и стало интересно чем обусловлено такое требование? Ищу в каком стандарте это описано. Если подскажите где, то буду благодарен)

Не ищите, не написано. Это очевидная мера зашиты, направленная против очевидной угрозы. Как мытье рук после посещения общественного туалета :)

Ну если очевидная, то в NIST или ISA/IEC, или в лучших практиках от cisco, или еще где-нибудь должна же быть прописана?) я не спорю, мне любопытно))

Тогда в пз раздел меры по защите информации.

Сарказм?

Да нет, почему. Действительно не написано, и это действительно ошибка из серии "на фига руки мыть?".

В NIST SP 800-82 в разделе про сегментирование рекомендуется выделять в отдельный сегмент PLC вместе с HMI. Авторы, видимо, предполагают, что HMI - это что-то, работающее исключительно в kiosk-mode. И когда в качестве HMI используется обычный комп, возможны нюансы.

У меня в конце 90х дежурная смена повадилась заливать на компы игрушки. Полуночный Quake и порнуха на экранной стене 100 кв.м. смотрелись феерично. И их как-то мало волновало, что мэйнфреймы управления движением поездов в том же сетевом сегменте торчали

Сейчас за это и уволить могут. По крайней мере на заводах, которых я был у операторов нет такой возможности)