Нужно ли получение лицензии ФСТЭК для защиты информации
Федеральный закон «О безопасности КИИ» пока только прошёл первое чтение в Госдуме, но в технических заданиях на создание/модернизацию АСУ ТП и прошлого и уже этого года всё чаще можно можно встретить формулировку:
«АСУ ТП должна соответствовать требованиям к получение лицензии фстэк обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденным приказом №31 ФСТЭК России от 14.03.2014 г», или аналогичную по смыслу.
Причина отсылки именно ко ФСТЭКовскому документу понятна — никаких других более конкретных требований к защите информации в АСУ ТП у нас пока нет.
Причина отсылки именно ко ФСТЭКовскому документу понятна — никаких других более конкретных требований к защите информации в АСУ ТП у нас пока нет.
С одной стороны, в самом приказе №31 ФСТЭК написано:
«9. Проведение работ по защите информации в соответствии с настоящими Требованиями в ходе создания (модернизации) и эксплуатации автоматизированной системы управления осуществляется заказчиком, оператором и (или) разработчиком самостоятельно и (или) при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности»
По идее, ФСТЭК тут подразумевает, что все работы по защите информации может делать либо сам заказчик, либо лицензиат, но читается так, что может делать заказчик, оператор или разработчик, а также при необходимости можно привлечь лицензиата. Имеем двоякое прочтение.