27 Января, 2017

Нужна ли лицензия ФСТЭК для защиты информации в АСУ ТП?

Алексей Комаров

Федеральный закон «О безопасности КИИ» пока только прошёл первое чтение в Госдуме, но в технических заданиях на создание/модернизацию АСУ ТП и прошлого и уже этого года всё чаще можно можно встретить формулировку:

«АСУ ТП должна соответствовать требованиям к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденным приказом №31 ФСТЭК России от 14.03.2014 г.»

или аналогичную по смыслу.

Причина отсылки именно ко ФСТЭКовскому документу понятна — никаких других более конкретных требований к защите информации в АСУ ТП у нас пока нет. Однако, тут возникает резонный вопрос — должна ли организация, осуществляющая работы по защите информации в АСУ ТП в соответствии с требованиями ФСТЭК России быть лицензиатом ФСТЭК?

Несмотря на то, что вариантов ответов, по сути, два: да/нет. Вопрос этот при детальном рассмотрении оказался не таким простым.

С одной стороны, в самом приказе №31 ФСТЭК написано:

9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности»

По идее, ФСТЭК тут подразумевает, что все работы по защите информации может делать либо сам заказчик, либо лицензиат, но читается так, что может делать заказчик, оператор или разработчик, а также при необходимости можно привлечь лицензиата. Имеем двоякое прочтение.

Попробуем зайти с другой стороны. В «Положении о лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ)» (утверждено Постановлением Правительства РФ №79 от 03.02.2012) указано:

4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:

д) проектирование в защищенном исполнении: средств и систем информатизации;

Т.е., если заказчик, оператор или разработчик сам проектирует систему защиты информации в АСУ ТП в соответствии с 31-м приказом, то он сам и должен иметь лицензию ФСТЭК России. Но в соответствии с приказом №31 он может привлечь подрядчика с нужной лицензией на эти работы и тогда ему лицензия, понятно, не нужна.

И финальный тезис. Если посмотреть внимательно, то в «Положении о лицензировании деятельности по ТЗКИ» говорится о защите конфиденциальной информации. Строго говоря,  в нашем законодательстве нет такого термина, однако, в самом этом «Положении…» есть уточнение:

Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)

Таким образом, к конфиденциальной относится любая информация, требования к защите которой установлены законодательно. Пока, как уже писал в самом начале, закона (ФЗ о безопасности КИИ), устанавливающего требования по защите информации в АСУ ТП нет, но в самом 31-ом Приказе ФСТЭК указано:

В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами […] от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Таким образом, получается, что в 31-ом Приказе ФСТЭК для информации в АСУ ТП установлены требования по её защите и с учётом «Положения о лицензировании деятельности по ТЗКИ» для такой деятельности нужна лицензия.

К такому выводу в итоге пришли в дискуссии с коллегами из УЦСБ ( Антон , Николай , спасибо за ваши консультации!) согласно имеющегося опыта, но окончательную точку тут, видимо, может поставить только непосредственно ФСТЭК.

А как считаете вы?
Примечание: когда опрос включен в запись, пожалуйста

comments powered by Disqus