Уже на протяжении многих лет не утихают споры о том, в каком случае требуется получение лицензий на осуществление деятельности в области технической защиты конфиденциальной информации (ТЗКИ), а в каком нет. После выхода ФЗ-152 “О персональных данных”, подогревшего интерес к вопросам защиты информации вообще и к вопросам лицензирования этой деятельности, в частности, возникла необходимость выразить свою точку зрения по данному вопросу на страницах блога.
Поскольку, по причинам изложенным ниже, мы не можем давать своим клиентам совершенно определенного совета по вопросу лицензирования деятельности в области защиты информации, мол, вам надо получать лицензию, а вам, мол, нет. Любой подобный односложный совет может только навредить. Поэтому мы вынуждены каждый раз объяснять существующее положение дел, сложившуюся практику, узкие места законодательства и какие есть позиции по данному вопросу. В силу своего характера, я ненавижу с умным видом талдычить по многу раз одно и тоже. Я лучше изложу свою субъективную позицию в этом блоге, и всех интересующихся буду сюда направлять.
Прежде всего подчеркну, что, как и все статьи в данном блоге, данная статья отражает мою сугубо личную позицию и не является официальной точкой зрения каких-либо инстанций, юридических лиц, либо призывом получать или не получать лицензии на ТЗКИ. Моя точка зрения базируется на моем опыте. У других специалистов может быть несколько иной опыт и иная точка зрения.
Я не собираюсь здесь сколь-нибудь подробно освещать предысторию данного вопроса, разнообразные позиции, которые могут здесь существовать, заниматься трактовками законодательных актов или вдаваться в терминологические споры, однако, если мои доводы покажутся вам неубедительными, то я готов поспорить, привести дополнительные аргументы или просто ответить на вопросы.
Вот только несколько последних тем в нашем форуме, где обсуждаются вопросы лицензирования ТЗКИ:
http://www.iso27000.ru/zforum/view_topic?topic_id=379
http://www.iso27000.ru/zforum/view_topic?topic_id=444
http://www.iso27000.ru/zforum/view_topic?topic_id=389
Помимо этого, данные вопросы обсуждаются еще на множестве сайтов и форумов. Поэтому спорщикам есть где поразвлечься.
Если вопрос получения лицензии на ТЗКИ является для вас решенным, тогда вам следует сразу перейти к прочтению полезной статьи из блога Олега Безопасника под названием “Получение лицензий ФСТЭК на практике“, написанной к тому же по горячим следам. Для остальных кратко изложим позиции сторон по обсуждаемому вопросу.
Можно также рассматривать дальнейшее изложение как продолжение темы “Чего не требует от операторов закон “О персональных данных”, тогда очередное заблуждение формулируется следующим образом:
Заблуждение 4: Операторы ПДн обязаны получать лицензию ФСТЭК на деятельность в области ТЗКИ
В РД ФСТЭК ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ было написано буквально следующее:
“3.14. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке”.
Однако данный РД просуществовал недолго. Не прошло и года, как его отменили. В документе, пришедшем ему на смену, пункт о лицензировании ТКЗИ операторами ПДн уже не встречается. Впрочем на позиции сторон ни принятие ни отмена данного документа никак не повлияли. Просто раньше юристы большинства уважаемых компаний, чья деятельность не была связана с защитой информации, не обращали внимания на постановление №504, априори (из названия постановления и согласно духу закона о лицензировании) считая, что к их компаниям оно относится не может в принципе.
Позиция же регуляторов по данному вопросу не нова. Они не раз ее выражали и в письменной и в устной форме. Сколько бы вы не писали официальные запросы на эту тему в ФСТЭК, вам всегда ответят, что лицензия нужна и без нее никак. Этой позиции соответствуют и формулировки постановления №504 о лицензировании деятельности в области ТЗКИ, которое не уточняет ни понятия “деятельность”, ни понятия ТЗКИ, оставляя широкое поле для дискуссий и судебных разбирательств по данному вопросу.
При таком положении дел, стороны, которые затрагивает данная проблема, предпочитают трактовать закон в свою пользу. Регуляторам, во-первых, выгодно всеобщее лицензирование, а во-вторых, при существующем состоянии законодательства, никто из должностных лиц регуляторов просто не возьмет на себя ответственности заявить, что лицензия для собственных нужд не требуется. Тем более, что в среде военных вообще не принято брать на себя ответственность. (В смутное время начала 90-х по воинским частям регулятно объявляли режим “усиления”, однако никто из военных не сможет припомнить, чтобы режим “усиления” хоть раз отменили. “Усиление” всегда заканчивается как бы само собой, без официальных распоряжений, т.к. просто некому взять на себя ответственность за его отмену).
Если принять за основу позицию регуляторов, заключающуюся в обязательном получении лицензии на ТЗКИ, независимо от того, оказывает ли компания услуги в области ТЗКИ или проводит мероприятия по ТЗКИ для собственных нужд, тогда возникает следующая ситуация. Представьте себе торговца арбузами на рынке (на индивидуальных предпринимателей постановление №504 также распространяется), который ведет учет проданных арбузов, бухгалтерию, поставщиков и т.п. на ноутбуке, оснащенном антивирусным пакетом и персональным брандмауэром. С точки зрения регуляторов выходит, что каждый такой арбузник, должен получить лицензию на ТКЗИ, что в обязательном порядке включает в себя наличие в штате двух дипломированных специалистов в области защиты информации, аттестованных помещений и рабочих мест, а также закупку СЗИ, нормативных документов, приобретение в собственность или аренду дорогостоящего оборудования для выявления и блокирования технических каналов утечки информации и противодействия ПЭМИН. Общая стоимость данных мероприятий в наше время оценивается уже в районе полумиллиона рублей. У арбузника есть и другой выход – заключение договора на создание и техническое сопровождение системы защиты информации с лицензиатом ФСТЭК. Для арбузника и небольшой компании второй путь – более гуманный, для больших и средних компаний – дешевле получить лицензию.
Если бы только данный подход можно было реализовать практике, какой вкусный рынок защиты информации получился бы в России! Лицензия на ТЗКИ давала бы ее обладателю не меньше преимуществ, чем лицензия на нефтедобычу, а список Forbes пополнился бы новыми именами. Возьмите общее количество реально функционировающих компаний в России и умножте это на стоимость получения лицензии ТЗКИ, либо на стоимость годового обслуживания у лицензиата ФСТЭК. Получается многомиллиардный рынок.
Однако большинство практикующих юристов почему-то считают по другому, а именно, что получение лицензии на ТЗКИ для собственных нужд не требуется. Руководителям же компаний, чья деятельность не связана с оказанием услуг в области технической защиты информации, даже и в голову не приходит получать лицензии на ТЗКИ, а если им кто-то об этом и скажет – они все-равно не поверят.
Последнее слово в данном вопросе, как водится, за судами. Суды же считают, что получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае, если деятельность рассматривается как элемент основной производственной деятельности и именно от ее осуществления не происходит извлечение прибыли, получение лицензии на нее не требуется. Подробнее об этом можно почитать в юридической справке, которая готовилась к прошлогодним парламентским слушаниям:
http://iso27000.ru/informacionnye-rubriki/zaschita-personalnyh-dannyh/spravka-o-licenzirovanii-deyatelnosti-po-tehnicheskoi-zaschite-konfidencialnoi-informacii/
Вывод: пока в постановление №504 не внесены соответствующие уточнения, тема получения лицензии на ТЗКИ для собственных нужд остается открытой, также как и вопрос о том, какие виды деятельности относятся к ТЗКИ, а какие нет. Обе позиции имеют под собой основания. Сами решайте какия позиция вам ближе.
Comments (6)
Tiger 30-01-2011 10:19
ТЗКИ
> Сколько бы вы не писали официальные запросы на эту тему в ФСТЭК, вам всегда ответят, что лицензия нужна и без нее никак.
Справедливости ради, отмечу, что на самом деле существуют ответы ФСТЭК о том, что лицензия не нужна. Примеры приводились, например, в блоге Волкова http://anvolkov.blogspot.com
Однако, это ничего не меняет в общей вашей оценке. Даже в приведенном выше блоге приведен пример ответа уже другого ФСТЭК с обратным смыслом.
> (В смутное время начала 90-х по воинским частям регулятно объявляли режим “усиления”, однако никто из военных не сможет припомнить, чтобы режим “усиления” хоть раз отменили. “Усиление” всегда заканчивается как бы само собой, без официальных распоряжений, т.к. просто некому взять на себя ответственность за его отмену).
Вы в каком полку служили? (с) ;-). Александр, неужели вы были в армии? Когда там был я на срочной службе у нас усиление было к примеру с 19 по 25 февраля.
> Представьте себе торговца арбузами на рынке (на индивидуальных предпринимателей постановление №504 также распространяется), который ведет учет проданных арбузов, бухгалтерию, поставщиков и т.п. на ноутбуке, оснащенном антивирусным пакетом и персональным брандмауэром.
Согласен с вашими выводами.
От себя добавлю – пусть наш торговец нанял интегратора и исполнил закон, однако в это время в федеральной миграционной службе (ну или во всероссийском союзе продавцов арбузов) произошла крупная утечка ПДн ВСЕХ продавцов страны.. А затем их и вовсе разместили в Интернете.
Вопрос – зачем знакомый уже нам с вами продавец арбузов защищал свои данные и тратил деньги, если все равно их конфиденциальность нарушена?
Я к чему.. Продавец конечно тоже должен исполнять закон, но с него ли надо начинать? Не государство ли наше должно показать нам всем пример и исполнить закон первым?
Александр Астахов 30-01-2011 10:33
лицензия ТЗКИ
В ФСТЭК тоже люди работают, поэтому не удивительно, что и среди них нет единой позиции по столь мутному вопросу как получения лицензии ТЗКИ для собственных нужд.
На срочной службе я не был, т.к. оканчивал военный ВУЗ. Может быть это особенность нашей очень особой в/ч, но усиления у нас официально никогда не отменяли.
Меня всегда немного коробит, когда государство отделяется от народа и рассматривается как некая отдельная субстанция. Государство – это и есть народ, организованный определенным образом в некую далекую от совершенства систему. Поэтому государство, в данном случае, может показать пример, разве что, другим государствам, но нам с вами государство не может никакого примера показать, т.к. нельзя показать примера самому себе.
Tiger 31-01-2011 03:28
Государство и народ
>Государство – это и есть народ
>но нам с вами государство не может никакого примера показать, т.к. нельзя показать примера самому себе.
Тут не соглашусь, т.к. у нас все таки народ это отдельно, а государство отдельно. Об этом еще Жванецкий говорил. Советую;-)
>http://www.gorod.cn.ua/blogs/Figlyar_4647.html
>http://www.youtube.com/watch?v=V6pH0U6VitQ
Потому, я в принципе о том, что кроме как проверить коммерса и заставить его исполнять, можно было бы и подумать властям всех уровней о том, как созданные “для нужд государственности” организации будут исполнять хоть бы этот же самый 152ФЗ..
Ну а то, что в госпредприятиях наш же народ работает – кто ж спорит 😉
Александр Астахов 31-01-2011 04:27
государство и народ
Жванецкий иронизирует, т.к. его задача – рассмешить народ. А если разбирать вопрос не с юмористической точки зрения, а так как оно есть, то можно заметить, что в состав государства входят как юр. лица различных форм собственности и различные гос. структуры, так и все живущие в стране физ. лица, занимающие различные должности как в частных компаниях, так и в гос. структурах. Интересы всех этих субъектов переплетены очень сложным образом. Для защиты своих интересов они объединяются в различные формальные и неформальные образования, явные и тайные организации, которые поддерживают одних и противоречат другим. Любой принимаемый закон – это плод борьбы и комромиса между интересами различных групп. Любой закон кому-то выгоден, кому-то не очень, а кому-то не выгоден совсем. Помимо огромного количества “писаных” законов, которые в основном никто не знает и не может знать, т.к. имя им легион и все они очень запутаны, существует еще большее количество “неписаных” законов и правил поведения, которыми руководствуется общество.
Обращение “к властям всех уровней” – это обращение впустоту, бесполезная риторика и сотрясание воздуха. Обращения всегда должны быть адресными, постановки вопросов должны быть конкретными и обращены именно к тем должностным лицам или группам лиц, которые имеют полномочия и интерес данные вопросы решать.
Нагнетания страстей вокруг ФЗ-152 выгодно тем, кто зарабатывает на этой неразберихе. Можете привести конкретные примеры того, как регуляторы “закошмарили” какой-то бизнес из-за невыполнения требований по защите ПДн, предъявляя невыполнимые и необоснованные требования? Мне, например, об этом неизвестно.
Tiger 01-02-2011 07:01
Otvet
>Для защиты своих интересов они объединяются в различные формальные и неформальные образования, явные и тайные организации, которые поддерживают одних и противоречат другим.
Это и есть государство 😉 Эти формальные и неформальные 😉
>Обращение “к властям всех уровней”
Я не ко всех уровней.. Более конкретно можно сказать.. сайт Госуслуги.ру создан государственной структурой- Министерством связи и массовых коммуникаций Российской Федерации.. Так вот эта структура должна обеспечить защиту ПДн размещенных там.. показать, что она это сделала.. У течки там уже были..
И таких историй масса.. вот тут можно найти хоть на каждый день по истории 😉
http://community.livejournal.com/personal_data/
Люди собирают 😉 И в основном эти истории касаются именно различных органов власти.. к этим самым образованиям 😉
>Можете привести конкретные примеры того, как регуляторы “закошмарили” какой-то бизнес из-за невыполнения требований по защите ПДн
Не могу. Потому как регуляторы сами не понимают многих положений закона (что очень объяснимо) и наказывают только за то в чем уверены точно, например не подачу уведомлений.
Однако “интересные” истории имеют место быть.. вот например – требование РКН к закрытию ресурса ..
http://travkin333.livejournal.com/27367.html
А может для кого то это и бизнес.. я ж не знаю 😉
Таких и более ярких историй можно массу найти на самом деле.
Александр Астахов 01-02-2011 07:59
лицензия ТЗКИ
То, что в государственных структурах неразберихи больше, чем в частных, в том числе и с ПДн, наверное мало кто сомневается. Там деньги если и выделяются на ИБ, то тратятся они на “бумажную” безопасность, т.е. на получение (продление) всевозможных лицензий, сертификатов и аттестатов. Бюрократическая система работает сама на себя. Любые рационализаторские предложения рождают лишь новые груды бумаги. Что здесь может удивлять?