ФСТЭК определилась с тем, что такое ТЗКИ

3-го февраля Правительство подписало Постановление №79 «О лицензировании деятельности по технической защите конфиденциальной информации», попутно отменив предыдущее 504-е свое Постановление.

Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин «конфиденциальная информация», от которого законодатели постепенно отказываются. Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках — «(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)«, а не в виде отдельного определения. Считать, что это и есть определение КИ, — достаточно спорная позиция.

Уточнился и термин ТЗКИ. Теперь ФСТЭК четко зафиксировала, что речь идет либо о выполнении работ по защите (а не какой-то мифический комплекс мероприятий из ПП-504), либо об оказании услуг; либо об обоих видах вместе. Причем в тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ. Тем самым ФСТЭК остается при своем мнении, что лицензия нужна всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации. А это, как мы помним, обязанность любого оператора ПДн, коих в России насчитывается свыше 5 миллионов (т.е. все юрлица и индивидуальные предприниматели).

При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы. Если задача лицензирования — повысить уровень защищенности и ответственности тех, кто занимается защитой, то почему лицензируется только первые этапы в создании системы защиты — проектирование системы защиты и установка средств защиты? Почему ежедневная работа служб ИБ не подпадает под лицензирование? Ведь она не менее важна, чем и создание системы защиты? Логика регулятора для меня непонятна.

Можно ли уйти от лицензирования деятельности по ТЗКИ? Если не играть в казуистику с отсутствием «конфиденциальной информации», то оснований теперь практически нет ;-( Рекомендации заключать договора с лицензиатами ФСТЭК, которые даются теми же представителями регулятора, неспособны решить проблему. Во-первых, у нас в России просто нет такого количества лицензиатов, которые могли бы покрыть потребности нескольких миллионов организаций. А во-вторых, договор с лицензиатом обычно заключается на определенный срок или на определенный объем работ. Внедрение системы защиты? Пожалуйста. Регулярный контроль защищенности? Пожалуйста. Но что делать, если у меня вышел компьютер из строя или появляется новый сотрудник и я должен поставить ему новый ПК со средством защиты? Это уже установка СЗИ, т.е. лицензируемый вид деятельности. А т.к. он не предсказуем, то и привлечь лицензиата мы заранее не можем. В итоге мы приходим к тому, что лицензия должна быть все равно у всех.

Какие последствия могут быть у данного Постановления? Сложно предсказывать. При неизменности позиции ФСТЭК большинство организаций как не приобретало так и не планирует приобретать лицензии на деятельности по ТЗКИ. Наказаний по данной статье по линии ФСТЭК нет и что-то я не верю в то, что она будет отстаивать свою позицию в суде на регулярной основе. Да и суды по разному трактуют эти нормы. Статьи КоАП за отсутствие лицензий также могут отменить (я писал про это тут и тут). Правда, останется 19.20 КоАП и 171 УК.

В итоге все как в поговоре — «строгость наших законов компенсируется необязательностью их исполнения». Каждая организация должна для себя принять решение — получать такую лицензию или нет.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. arkanoid

    Мне вот сказали, что де факто обрабатывающие ПД в рамках трудовых отношений (собственная бухгалтерия) операторами ПД не считаются. То есть в теории, докопаться могут и к ним, а на практике — не трогали и трогать не будут. Интересная идея.

    Ответить
  2. arkanoid

    (но похоже на правду)

    Ответить
  3. Алексей Лукацкий

    Неверно. Де факто и де юре они операторы ПДн. И их также проверяют. Но там как раз вопросы проще всего решаются. И если РКН оценивают по количеству нарушений, то, конечно, тех, у кого нарушений будет мало, не трогают

    Ответить
  4. arkanoid

    а пример таких проверок за последний год в отношении тех, кто НЕ подавал на запись в реестр операторов ПД? Там сейчас 232 тысячи организаций всего, остальные не торопятся.

    Ответить
  5. Алексей Лукацкий

    Если ты посмотришь на план проверок РКН, то он на 70% состоит из тех, кто не в реестре операторов

    Ответить
  6. Сергей Борисов

    Алексей, какой-то у вас двойственный подход.
    В случае СКЗИ выговорите что вариант один — сертифицировать.

    А тут предлагаете — нарушать. И смотреть какие будут последствия.

    Я бы сказал что варианты такие:
    — либо придумываем законное обоснование не получать лицензию
    — либо получаем лицензию

    Ответить
  7. Алексей Лукацкий

    Не, не так. Во-первых, сертификация и лицензирование — это две разных задачи. Я считаю, что лицензирование коммерческого предприятия, не обрабатывающего гостайну или госзаказ, избыточно и не нужно. Поэтому я поддержу твой тезис о том, что надо либо искать законные методы не получать лицензию, либо эту лицензию получать.

    А по сертификации ситуация иная. То, что сделано в России — это глупость. Ни в одной стране мира такого нет. Сама же оценка соответствия нужна, но не в том виде, как это сделано ФСТЭК. У ФСБ подход иной — там посторонних просто нет — поэтому контроль жестче и никаких единичных экземпляров. Хотя и там есть законные сценарии использования несертифицированной криптографии и их немало.

    Ответить
  8. Д.Никитин

    Алексей и ко*!.. Я искринне снимаю шляпу пред вашим идиалистическим представлением о ПОЛИТИКЕ государства в интересующей нас области… Вы, принимая непосредственное участие в формировании документов отраслевого и ФЕДЕРАЛЬНОГО уровня до сих пор сохранили иллюзии, что созидательные мотивы превалируют над …???

    Ответить
  9. Сергей

    Решая вопрос получать-неполучать обратите внимание на лицензионные требования: аттестовать помещения,
    автоматизированные системы и СЗИ: оценка соответствия для АС — аттестация, для СЗИ — сертификация, без вариантов. Средства контроля — сертификация.
    С оборудованием тоже засада — вроде бы если ПЭМИН не актуальна и не проводишь аттестацию и сертификацию, но причем тут установка — е) п. 4? Да, за что боролись, на то и напоролись…

    Ответить
  10. wsolow

    В ?9 постановлении идет речь о "работах и услугах" по ТЗКИ. Если работы и услуги понимать как категории гражданского кодекса, то они предполагаю наличие правоотношений продавец-покупатель (заказчик-исполнитель). В случае же деятельности по ТЗКИ без привлечения продавца (исполнителя) правоотношения отсутствуют и, следовательно, отсутствуют "работы и услуги", а значит и лицензировать
    нечего!
    М.б. именно так все и понимается в 79 постановлении?
    Обратите внимание на требования постановления к индивидуальному предпринимателю — ведь если он не занимается деятельностью по ТЗКИ на "заказ" (например торговец или риелтор), то требовать от него квалификации специалиста по защите информации невозможно!

    Ответить
  11. Сергей Борисов

    Алексей Лукацкий: в перечне работ попадающих под лицензирование есть ремонт СЗИ.

    Могут ли инженеры Cisco Systems ремонтировать сертифицированные МЭ ASA 5500?
    Если допустим у заказчика куплена поддержка 8×5 Onsite.

    Ответить
  12. Void Z7

    wsolow мне кажется вы правы потому, что неоднократно "боролся" со своими юристами на тему использования термина "работ" так вот они их всегда трактуют как некие правоотношения, но! есть еще возможность осуществления деятельности хоз. способом, а это как раз распространяется на эксплуаиацию и т.д.

    Ответить
  13. ser-storchak

    Этот комментарий был удален автором.

    Ответить
  14. West

    По поводу лицензии ТЗКИ для выполнения работ необходимых по требованиям ФЗ № 152.
    Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"
    П.4 Ст. 8
    К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.
    Это понятно, что ФСТЭК должен уважать.
    а так же…
    Согласно п 1.3 приказа ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или ответственное лицо (про лицензию речи нет).
    Отдельным предложением: -//- организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации (а здесь есть).
    Соответственно или или…
    А это уже их слова…
    Лицензироваться для выполнения обязательных требований не нужно.
    Только если оказывать услуги сторонней организации.

    Ответить
  15. West

    скажите качество работ по ЗИ будет плохим, если оператор сам выполняет работы?да, но это не от лицензии зависит, а от того какой специалист занимается..По части лицензировании, ФСТЭКу надо одеяло натянуть потеплей, пока есть возможность..Вместо того, что бы внести на рассмотрение поправки в законодательство, что работы должны проводится квалифицированными специалистами с образованием по защите информации.пусть с доп. курсами (опять же ФСТЭК приложился) Ужесточить наказание, РКН и ФСТЭК принять активное участие в проверке.
    С лицензиями выигрывать будут лицензиаты, коих по стране не так уж много. и рабочих мест у них вобщем мало. а молодым специалистам хоть и с интересом к работе, сложно устроиться, как и самим развивать данное направление. лучше бы поспособствовали четким и ясным текстом в законодательстве на востребованность специалистов по ИБ в организациях. Закон должен выполняться, должен качественно, значит иметь в штате специалистов. Хотя бы крупному бизнесу. сколько со мной училось людей по данной специальности.большая часть не нашли пристанища.востребованность именно ИБшников, а не ИТшников мало кому понятна и нужна, по крайней мере в Приволжском округе. И от такого развития, толчка, выйграли бы все. Развитие информационного сообщества, технологий, продаж, рабочие места для специалистов, наконец понимание в стране на средних и крупных уровнях, что обеспечение ИБ это есть новая ступень в управлении бизнесом, менеджменте персоналом, скорости, качестве работы и соответственно количестве прибыли.
    Иначе все это маленький глухой пук, на фоне заявленной бомбежки.

    Ответить
  16. Алексей Лукацкий

    Уже обсуждали по поводу "лицензионных требований". Это именно лицензионные требования, а не требование получения лицензии.

    Ответить
  17. West

    Соглашусь с вами, в ходе разбора потерял смысл. Лицензионные требования и требование получения лицензии вещи разные по смыслу. Но не могут не влиять друг на друга. ТК и НК РФ обязывают стать оператором ПД любой хозяйствующий субъект, следовательно не обязан выполнять лицензионные требования (не получить лицензию) так как проведение мероприятий требует ФЗ 152, значит лицензию на ТЗКИ не обязательно? Таким способом правомерно будет защитить отсутствие лицензии и аттестатов соответствия при выполненных мероприятиях, как вы считайте?может есть иной подход?

    Ответить
  18. Виктория

    вопрос по лицензированию..опять..

    п.4. ст. 8 ФЗ 99 К лицензионным требованиям не могут быть отнесены требования .. законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта…

    ? можно ли отнести в соответствие к данному пункту п. 4 ст. 6 ФЗ 149: "4. Обладатель информации при осуществлении своих прав обязан:

    2) принимать меры по защите информации;
    …"

    Ответить
  19. Алексей Лукацкий

    Виктория, а у вас при лицензировании не особо проверяют, как вы защищаетесь. Но поворот интересный.

    Ответить
  20. Виктория

    Этот комментарий был удален автором.

    Ответить
  21. Виктория

    прошу прощения за занудство — просто не могу никак понять:
    п. 1. ст. 16 того же фз 149 "Защита информации представляет собой принятие правовых, организационных и технических мер.."
    и в то же время
    п. 1. ст. 12 ФЗ 99 "В соответствии с настоящим Федеральным законом лицензированию подлежат… 5) деятельность по технической защите конфиденциальной информации.."

    получается, сначала мы обязаны лицензировать деятельность по ТЗИ, после чего к нам не могут предъявлять лицензионные требования по этой самой ТЗИ?

    или принятие технических мер по ЗИ ≠ деятельности по технической ЗИ?

    Спасибо за внимание к вопросу!

    Ответить
  22. Алексей Лукацкий

    Виктория, в принципе в Вашей логике я серьезных пробелов не вижу. Но это с точки зрения регулятора это неправильно 😉

    Ответить
  23. Алексей Лукацкий

    Виктория, а вообще Вы не правы 😉 Вспомнил, что я на теже грабли уже наступал 😉 Требование получения лицензии — это не тоже, что лицензионные требования

    Ответить