Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП?

Аватар пользователя zlonov
Автор: Комаров Алексей,
(5)
()

Федеральный закон «О безопасности КИИ» пока только прошёл первое чтение в Госдуме, но в технических заданиях на создание/модернизацию АСУ ТП и прошлого и уже этого года всё чаще можно можно встретить формулировку:

«АСУ ТП должна соответствовать требованиям к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденным приказом №31 ФСТЭК России от 14.03.2014 г.»

или аналогичную по смыслу.

Причина отсылки именно ко ФСТЭКовскому документу понятна — никаких других более конкретных требований к защите информации в АСУ ТП у нас пока нет. Однако, тут возникает резонный вопрос — должна ли организация, осуществляющая работы по защите информации в АСУ ТП в соответствии с требованиями ФСТЭК России быть лицензиатом ФСТЭК?

Несмотря на то, что вариантов ответов, по сути, два: да/нет. Вопрос этот при детальном рассмотрении оказался не таким простым.

С одной стороны, в самом приказе №31 ФСТЭК написано:

9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности»

По идее, ФСТЭК тут подразумевает, что все работы по защите информации может делать либо сам заказчик, либо лицензиат, но читается так, что может делать заказчик, оператор или разработчик, а также при необходимости можно привлечь лицензиата. Имеем двоякое прочтение.

Попробуем зайти с другой стороны. В «Положении о лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ)» (утверждено Постановлением Правительства РФ №79 от 03.02.2012) указано:

4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

д) проектирование в защищенном исполнении: средств и систем информатизации;

Т.е., если заказчик, оператор или разработчик сам проектирует систему защиты информации в АСУ ТП в соответствии с 31-м приказом, то он сам и должен иметь лицензию ФСТЭК России. Но в соответствии с приказом №31 он может привлечь подрядчика с нужной лицензией на эти работы и тогда ему лицензия, понятно, не нужна.

И финальный тезис. Если посмотреть внимательно, то в «Положении о лицензировании деятельности по ТЗКИ» говорится о защите конфиденциальной информации. Строго говоря,  в нашем законодательстве нет такого термина, однако, в самом этом «Положении…» есть уточнение:

Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)

Таким образом, к конфиденциальной относится любая информация, требования к защите которой установлены законодательно. Пока, как уже писал в самом начале, закона (ФЗ о безопасности КИИ), устанавливающего требования по защите информации в АСУ ТП нет, но в самом 31-ом Приказе ФСТЭК указано:

В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами […] от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Таким образом, получается, что в 31-ом Приказе ФСТЭК для информации в АСУ ТП установлены требования по её защите и с учётом «Положения о лицензировании деятельности по ТЗКИ» для такой деятельности нужна лицензия.

К такому выводу в итоге пришли в дискуссии с коллегами из УЦСБ (Антон, Николай, спасибо за ваши консультации!) согласно имеющегося опыта, но окончательную точку тут, видимо, может поставить только непосредственно ФСТЭК.

А как считаете вы?
Примечание: когда опрос включен в запись, пожалуйста

Оригинал записи Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП? опубликован на сайте ZLONOV.ru. Подписка на RSS-ленту: http://bit.ly/zlonov-RSS

Оцените материал:
Total votes: 133
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП, не нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП, это науке неизвестно. :)) Хочется думать, что это и самой ФСТЭК пока что неизвестно. Иначе получается, что эти коллизии заложены специально?! Если так получилось случайно, то нужны не разъяснения (они не имеют юридической силы), а корректировки самих НПА. Подождём, увидим.

up
6 users have voted.
Аватар пользователя zlonov

Есть такие планы по корректировке - в блоге Сергей Георгиевич прокомментировал: "17/06/2017 вступает в силу постановление Правительства РФ от 15 июня 2016 г. N 541, которое вноситизменения в действующее положение о лицензировании (ПП № 79 от 03.02.2012). Наименование лицензируемых работ изложены в новой редакции: «работы и услуги по проектированию в защищенном исполнении….»"

up
5 users have voted.
Аватар пользователя Атаманов Геннадий

Прямо так и написано: "по проектированию в защищенном исполнении"?
"Проектирование в защищённом исполнении" - это как понимать? Это по-русски? Или это по-американски, только русскими словами? Может быть "информационных систем в защищённом исполнении"? А иначе когнитивный диссонанс обеспечен!

up
5 users have voted.
Аватар пользователя zlonov

Там просто перечисление, поэтому так фраза построена =)

http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=199737&fld=134&dst=1000000001,0&rnd=0.8185016710016726#0

 

up
5 users have voted.
Аватар пользователя Атаманов Геннадий

Посмотрел и в очередной раз ужаснулся: это ж надо так закрутить! Особенно это: по проектированию в защищенном исполнении ... защищаемых помещений. О чём речь: о "проектировании в защищённом исполнении" или о "защищаемых помещениях в защищённом исполнении"? И то, и другое - абракадабра: проктирование в исполнении. И это не единственный перл. Задорнов нервно курит, его обошли, как стоячего. :))

up
9 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.