Верхнее

ФСТЭК России

Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП?

Федеральный закон «О безопасности КИИ» пока только прошёл первое чтение в Госдуме, но в технических заданиях на создание/модернизацию АСУ ТП и прошлого и уже этого года всё чаще можно можно встретить формулировку:

«АСУ ТП должна соответствовать требованиям к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденным приказом №31 ФСТЭК России от 14.03.2014 г.»

или аналогичную по смыслу.

Причина отсылки именно ко ФСТЭКовскому документу понятна — никаких других более конкретных требований к защите информации в АСУ ТП у нас пока нет. Однако, тут возникает резонный вопрос — должна ли организация, осуществляющая работы по защите информации в АСУ ТП в соответствии с требованиями ФСТЭК России быть лицензиатом ФСТЭК?

Несмотря на то, что вариантов ответов, по сути, два: да/нет. Вопрос этот при детальном рассмотрении оказался не таким простым.

С одной стороны, в самом приказе №31 ФСТЭК написано:

9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности»

По идее, ФСТЭК тут подразумевает, что все работы по защите информации может делать либо сам заказчик, либо лицензиат, но читается так, что может делать заказчик, оператор или разработчик, а также при необходимости можно привлечь лицензиата. Имеем двоякое прочтение.

Попробуем зайти с другой стороны. В «Положении о лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ)» (утверждено Постановлением Правительства РФ №79 от 03.02.2012) указано:

4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

д) проектирование в защищенном исполнении: средств и систем информатизации;

Т.е., если заказчик, оператор или разработчик сам проектирует систему защиты информации в АСУ ТП в соответствии с 31-м приказом, то он сам и должен иметь лицензию ФСТЭК России. Но в соответствии с приказом №31 он может привлечь подрядчика с нужной лицензией на эти работы и тогда ему лицензия, понятно, не нужна.

И финальный тезис. Если посмотреть внимательно, то в «Положении о лицензировании деятельности по ТЗКИ» говорится о защите конфиденциальной информации. Строго говоря,  в нашем законодательстве нет такого термина, однако, в самом этом «Положении…» есть уточнение:

Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)

Таким образом, к конфиденциальной относится любая информация, требования к защите которой установлены законодательно. Пока, как уже писал в самом начале, закона (ФЗ о безопасности КИИ), устанавливающего требования по защите информации в АСУ ТП нет, но в самом 31-ом Приказе ФСТЭК указано:

В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами […] от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Таким образом, получается, что в 31-ом Приказе ФСТЭК для информации в АСУ ТП установлены требования по её защите и с учётом «Положения о лицензировании деятельности по ТЗКИ» для такой деятельности нужна лицензия.

К такому выводу в итоге пришли в дискуссии с коллегами из УЦСБ (Антон, Николай, спасибо за ваши консультации!) согласно имеющегося опыта, но окончательную точку тут, видимо, может поставить только непосредственно ФСТЭК.

А как считаете вы?

Нужна ли лицензия ФСТЭК для осуществления деятельности по защите информации в АСУ ТП?

Просмотреть результаты

Загрузка ... Загрузка ...

, , , ,

6 Responses to Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП?

  1. Сергей Георгиевич 27.01.2017 at 09:09 #

    17/06/2017 вступает в силу постановление Правительства РФ от 15 июня 2016 г. N 541, которое вноситизменения в действующее положение о лицензировании (ПП № 79 от 03.02.2012). Наименование лицензируемых работ изложены в новой редакции: «работы и услуги по проектированию в защищенном исполнении….» Т.е. лицензия требуется, если оказывать услуги сторонним заказчикам.

  2. Sergey Borisov 27.01.2017 at 15:56 #

    Мое мнение:
    в пункте 9 приказа фстэк №31 кривая формулировка. При буквальном её прочтении: лицензия не нужна ни заказчику, ни оператору, ни разработчику при выполнении работ по ЗИ самостоятельно.

    Но положения приказа не могут отменить положений вышестоящих документов — ФЗ и постановлений правительства. Если там определена необходимость лицензирования деятельности, то всё.
    Так что ждем ФЗ, в котором будет определена необходимость защиты информации в АСУ ТП

    • Алексей Комаров 30.01.2017 at 11:58 #

      Для ТЭК такой ФЗ есть: Федеральный закон от 21.07.2011 г. №256-ФЗ «О безопасности объектов топливно-энергетического комплекса».

  3. Sergey Borisov 07.02.2017 at 19:56 #

    Думаю будет полезным ещё такое информационное сообщение ФСТЭК
    http://www.garant.ru/products/ipo/prime/doc/70104166/

    • Алексей Комаров 08.02.2017 at 08:53 #

      Да, на Facebook его тоже обсуждали:

      «Есть уже достаточно старое ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 30 мая 2012 г. N 240/22/2222, которое пыталось поставить точку в этом вопросе, но формулировки там такие, что путаницы стало только больше:
      «получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциально информации при ее обработке в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы». http://www.garant.ru/products/ipo/prime/doc/70104166/
      На практике недостатки устраняются ведь «для достижения целей деятельности, предусмотренных в учредительных документах юридического лица» — получается, лицензия нужна.»

Добавить комментарий

%d такие блоггеры, как: