Почему ФСБ требует аттестацию автоматизированной системы при получении лицензии?

При получении лицензии ФСБ на работы по внедрению и техническому обслуживанию криптографических средств (работы 12-14, 20, 25-28) ФСБ России требует наличия аттестованной по требованиям безопасности информации автоматизированной системы. Из каких именно нормативно-правовых актов это требование вытекает?

Обязанность соискателя лицензии ФСБ на работу с криптографией по подтверждению наличия условий для соблюдения конфиденциальности информации в соответствии с Федеральным законом от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (статья 9 - соблюдение конфиденциальности информации с ограниченным доступом) устанавливается в подпункте (в) пункта 6 постановления Правительства от 16.04.2012 года № 313 и подпункте (и) пункта 7 того же постановления Правительства № 313.


Есть вопросы по лицензированию ФСБ и ФСТЭК? Нужна аттестация автоматизированной системы или подбор персонала для лицензий?

Пишите на info@sovit.net или звоните +7 (495) 120-25-30. 

Расчет бюджета на получение лицензии, составление календарного плана для получения лицензии и аудит выполнения лицензионных требований бесплатно!


Соискатели лицензий ФСБ на криптографию обычно подтверждают наличие таких условий при получении/продлении лицензий в соответствии с требованиями постановления Правительства № 313. Логично отнести указанные требования только к тем информационным системам, которые используются для выполнения работ/оказания услуг в соответствии cперечнем, приведенным в приложении к постановлению Правительства № 313. Проще всего наличие вышеуказанных условий подтвердить аттестатом соответствия автоматизированной системы по требованиям безопасности информации (нормативно-методический документ ФСТЭК под названием СТР-К). Помимо аттестации указанные требования можно выполнить и за счет введения режима коммерческой тайны, осуществления организационных мер и т.п.

Таком образом, необходимость в аттестации автоматизированной системы может возникает у соискателя при получении или продлении лицензии ФСБ и будет доказывать наличие условий для соблюдения конфиденциальности информации в указанной автоматизированной системе в соответствии с требованиями Федерального закона от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" за счет предъявления регулятору аттестата соответствия, а не за счет соблюдения организационных мер.

Эти требования относятся ко всем автоматизированным системам, в которых хранится информация, доступ к которой ограничен Федеральными законами. А если эти автоматизированные системы используются для выполнения работ или оказания услуг в соответствии c перечнем, приведенным в приложении к ПП № 313, то аттестаты соответствия на такие автоматизированные системы проверит регулятор при выдаче или продлении лицензии ФСБ на работу с криптографией.

Полезные ссылки:

Анализ судебной практики по статье 13.13 КоАП РФ "Незаконная деятельность в области защиты информации" за деятельность с СКЗИ без лицензии ФСБ: часть 1, часть 2.

Распространенные ошибки при получении лицензии ФСБ

Получение лицензии ФСБ - презентация PDF

Подбор персонала для получения лицензии ФСБ - презентация PDF



СОВИТ

Аналитика

Архив

Новости

Архив