Законопроект о лицензировании принят

4 мая Президент Медведев подписал новую редакцию закона «О лицензировании отдельных видов деятельности«. Что интересного появилось в этом законе:
  • в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности.
  • должны быть разработаны новые постановления по лицензированию ТЗКИ и криптографии.
  • в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется.
  • в ст.12 перечислены все виды деятельности, подлежащие лицензированию. По «нашей» части там важны п.1.1, 1.4 и 1.5. П.1.1 требует лицензии на «разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)«. П.1.4 и 1.5 касаются разработки средств защиты конфиденциальной информации и деятельности по ТЗКИ. Серьезные изменения коснулись именно п.1.1 ст.12. Во-первых, лицензия на криптографию теперь одна. Во-вторых, спектр лицензируемых видов деятельности теперь расширился и на телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. В-третьих, теперь четко указано, что лицензия на криптографию для собственных нужд не нужна. Правда не сказано, что такое «собственные нужды», но все-таки прогресс. Также неплохо было бы иметь слова про собственные нужды и в п.1.5. Более детально это все должно быть расписано в новых положениях о лицензировании, которые придут на смену ПП-957 и ПП-504.
  • проверка лицензиатов может быть только в соответствие с ФЗ-294.
  • все уже выданные лицензии становятся бессрочными.

Все остальное (навроде возможности оформления лицензии в электронным виде при помощи ЭЦП) — мелочи.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

    1. exp001

      Мне показался интересным следующий пункт статьи 12:
      3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

      Значит ли это, что организации могут теперь сами проводить спецпроверку своих компьютеров ? Я понимаю, что оборудование стоит немеренных денег, но его же можно взять в аренду. Для крупных организций (газпром к примеру) это вполне возможный вариант.

      Ответить
    2. iv

      Кажется, теперь почти все встало на свои места в извечном вопросе "а нужна ли лицензая на ТЗКИ для защиты ПДн у себя"

      Ответить
    3. Иван

      Значит теперь не нужно банку получать лицензии на шифрование для удалённого банковского обслуживания?

      Ответить
    4. pushkinist

      "в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется."

      ну неверное же трактование.
      там написано про лицензионные требования — то что необходимо выполнить для получения лицензии, а не про необходимость лицензии.

      Ответить
    5. Unknown

      ОбсУждено и не возрАжено: http://anvolkov.blogspot.com/2011/04/17.html?showComment=1303201702248#c5919741974839347442

      Ответить
    6. Unknown

      (это для pushkinist) 🙂

      Ответить
    7. ansv

      Алексей Волков,
      МудрЁно расписано, но тем не менее — лицензионные требования, как следует из всей статьи 8 нового ФЗ, определяют можно ли выдавать лицензию, а не нужно ли ее получать, разве нет?

      Таким образом лично мне решительно непонятно как этим пунктом можно побороться с требованиями получения лицензии. Согласен с pushkinist'ом, при всем уважении, приведенная в посте трактовка видится несколько неверной.

      Алексей Н.

      Ответить
    8. Александр Бондаренко

      to Алексей Волков:

      Алексей, к сожалению для того, чтобы не было почвы для толкований, злоупотреблений и коррупции, необходимо чтобы на вопрос "нужна лицензия на ТЗКИ или нет" мог быть дан однозначный, обоснованный и юридически железобетонной ответ. Так вот обсуждения в твоем блоге в целом логичны, но не являются к сожалению "железобетонными". А значит и дальше будут истории вроде той, что была в прошлом году с письмом от ФСТЭК в адрес поликлинники о необходимости получения лицензии

      Ответить
    9. magicandy

      Скачав с офсайта текст законопроекта, обнаружил, что в посте и в тексте закона статьи не соответствуют друг другу???
      Например,
      третий пункт поста описывает статью 8, а в тексте статья 8: "Права, обязанности и ответственность должностных лиц лицензирующих органов". Непонятно где косяк?

      Ответить
    10. Алексей Лукацкий

      Ивану: Вы обслуживаете не себя, а клиентов.

      Ответить
    11. Алексей Лукацкий

      magicandy: Я брал текст закона, отправленный в Совет Федерации (с сайта Госдумы).

      Ответить
    12. Алексей Лукацкий

      pushkinist'у: Тут логика следующая. ФСТЭК от вас требует лицензию. Условием ее получения является выполнение лицензионных требований. А по новому закону к вам (как к оператору ПДн) их предъявлять нельзя. Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете 😉

      ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.

      Ответить
    13. Unknown

      etnos:

      > определяют можно ли выдавать лицензию, а не нужно ли ее получать

      Получающий лицензию движем двумя посылами — личным желанием либо обязательством, наложенным на него законодательством РФ. Именно это и есть первая часть термина "лицензионные требования", как СОВОКУПНОСТИ. То есть нужно ли ее получать. И если первой части нет (по закону все операторы должны ее получать), то нет и предпосылок к тому, чтобы можно было ее выдавать на этом основании.

      Ответить
    14. Unknown

      Александру Бондаренко:

      > не являются к сожалению "железобетонными"

      Согласен, потому и говорю — "довесок про собственные нужды этому пункту не помешал бы" 😉

      Ответить
    15. Unknown

      Алексею Лукацкому

      > ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.

      Вот в этом-то ЗЫ вся и загвоздка. Везде оно, это ЗЫ. Достало уже, если честно, ЗЫ это… 🙁

      Ответить
    16. Иван

      "в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности."

      Это лишь значит что для получения лицензий по основному виду деятельности этот закон читать не нужно. А вот для получения лицензий по отдельным видам деятельности нужно читать этот закон и банкам тоже!

      Ответить
    17. Евгений

      Господа, на мой взгляд, формулировка п.1 ст.8 "1. Лицензионные требования устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми _Правительством_Российской Федерации_" вполне четко говорит, что требования о которых вы рассуждаете, устанавливаются в положениях, а не в самом законе, и ограничения п.4 просто ограничивают фантазию авторов положений о лицензировании, а не являются причиной для не получения разрешений на занятия видами деятельности, указанными в ст.12.

      Мне другое интересно, как правовое управление Госдумы пропустило формулировку "конфиденциальная информация", определения которой не существует в современном законодательстве.

      Только прошу, не надо говорить про требование "обеспечение конфиденциальности информации", потому что это всего лишь требование к обеспечению определенной характеристики информации, а не нормативного установления ее вида.

      Ответить
    18. Анонимный

      Да, у нас часто путают понятие "Конфиденциальная информация".
      Изначально оно толковалось как характеристика как "Информация доступная ограниченному числу лиц".
      В какой то момент понятие начали использовать как элемент классификации КИ= это,это и это Но не то, не то, не то.

      Оба толкования не подходят для ФЗ.
      1 — потому что туманно
      2 — потому что нет классификации
      Оставить туманным — поползут мнения…
      Ввести классификацию — все не учесть…

      Ответить
    19. Анонимный

      хотя второй подход лучше…

      Ответить
    20. eugene

      Алексей Лукацкий: "Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете ;-)"
      Отказ в выдаче лицензии означает, что она вам больше не нужна, и можно заниматься лицензируемым видом деятельности без лицензии?

      Ответить
    21. Евгений

      КоАП:
      Статья 13.13. Занятие видами деятельности в области защиты информации … без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)
      влечет наложение административного штрафа … на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

      либо Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно влечет предупреждение или наложение административного штрафа … на юридических лиц — от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

      Ответить
    22. Евгений

      Евгений Родыгин Проблема (или наоборот, не проблема :)) состоит в том, что существует лицензируемый вид "деятельность по технической защите конфиденциальной информации". При этом не существует нормативного определения конфиденциальной информации, а значит это деятельность ни о чем (пока не определена), и не имеет отношения к защите персональных данных, коммерческой тайны, служебной тайны (буде такая когда-нибудь будет установлена ФЗ).

      Ответить
    23. Анонимный

      На уровне ФЗ я тоже не знаю. Немоного добавлю для повторения…

      Конфиденциальная информация (англ. Sensitive information) — информация, требующая защиты.
      Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.)

      +
      Указ Президента РФ от 23.09.2005 N 1111

      Ну и кто не читал http://goo.gl/4EqGw

      Ответить
    24. Анонимный

      Вот еще интересно прочитать в контексте обсуждения
      http://goo.gl/3LZs1

      Ответить
    25. Кирилл

      А ведь верно. А завтра потребуют получать лицензию на защиту "супер тайны"! 🙂

      Ответить
    26. Анонимный

      Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

      Статья 9. Ограничение доступа к информации

      4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

      9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

      Это я все к чему…
      По сути этот ФЗ говорит о том(не только в приведенных строках но и вообще), что конфиденциальность это именно свойство а не категория.
      В качестве категории предложено руководствоваться другими ФЗ и мне думается категориями *** тайн (служебная и т.п.). Например ясно сказано ПДн — читай соответствующий ФЗ.

      Ответить
    27. Алексей Лукацкий

      Дело ясное, что дело темное…

      Ответить
    28. Алексей Лукацкий

      es: Просто, когда вам отказывают в получении лицензии на основании невыполнения вами лицензионных требований, которые вы выполнять ПО ЗАКОНУ не обязаны — это совсем другая ситуация по сравнению с обычным отказом от получения лицензии по причине "не хочется".

      Joky: ФСТЭК ни разу еще эти статьи не применял. А вот ФСБ уже применяло, но по ст.171 УК "Незаконное предпринимательство".

      Joky: Что касается неотнесения ПДн к КИ, то вы не правы — есть 188-й Указ Президента (и его обновление в виде 1111 Указа), который как раз и относит ПДн к КИ.

      Ответить
    29. Анонимный

      "Об утверждении перечня сведений конфиденциального характера"

      Конфиденциальный характер и Конфиденциальная информация это две вселенные местами пересекающиеся? или это одно и тоже?

      Получается любое упоминание в любом ФЗ о том, что какая то информация/сведения является конфиденциальной или доступ к ней ограничен — тут же превращает такую информацию/сведения в конфиденциальную.
      ИМХО логика проста.

      Ответить
    30. Michael

      Из редакции неочевидно, что кредитным организациям не надо получать лицензию связанную с криптографией. Очевидно только то, что профильные лицензии должны получать по другим законам, а вот все остальное, похоже, как и раньше…

      Ответить
    31. Michael

      Не вставилось, сразу за перечислением в части 2 видов деятельности не подлежащих лицензированию по данному закону, есть часть 3:

      3. Лицензирование указанных в части 2 настоящей статьи видов
      деятельности осуществляется в порядке, установленном федеральными
      законами, регулирующими отношения в соответствующих сферах
      деятельности.

      Ответить
    32. AnsNet

      Думаю, что тут имели в виду другое. В лицензионные требования (устанавливаемые в соответствующих положениях) нельзя тупо переписывать положения законов.

      Ответить
    33. AnsNet

      Евгению.
      А там, наверное, на соответствующих должностях сидят бывшие модели. А для начальства — не царское дело в такие "мелочи" вчитываться. Глазки жалко.

      Ответить
    34. AnsNet

      на сегодня конфиденциальную информацию определяют по указу президента 188, утвердившему ПЕРЕЧЕНЬ
      сведений конфиденциального характера
      (с изменениями на 23 сентября 2005 года). неувязка есть,конечно.

      Ответить
    35. Алексей Лукацкий

      Вот этой неувязкой и пользуются грамотные юристы 😉

      Ответить