[Z+] IndustrialCyberSec: 2020

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так:

Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд?

Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так:

Те пункты, где фигурируют «работы» — нужна лицензия даже для собственных нужд, это пункты г) и д).
Те пункты, где фигурируют «услуги» — нужна лицензия только для оказания таких услуг сторонним организациям, для собственных нужд лицензия не требуется.

Кратко напомню сами эти пункты из п.4 ПП РФ №79:

4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам […];

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации […];

д) работы и услуги по проектированию в защищенном исполнении […];

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации […].