Казалось бы некорректна сама постановка вопроса. Какая может быть связь между государственным лицензированием в области защиты информации и присоединением к тем или иным стандартам? В законодательных и нормативных актах по лицензированию действительно нет никаких требований насчет обязательного внедрения каких-либо стандартов. Регуляторы лишь требуют от лицензиатов, чтобы у них имелись в наличии тексты определенных государственных стандартов и нормативных документов.
Международные стандарты всегда были нейтральны по отношению к законодательству и нормативной базе. Это и понятно, ведь в каждой стране существуют свои требования в области защиты информации, к тому же и довольно изменчивые.
Стандарт Банка России СТО БР ИББС не сохраняет нейтралитета по отношению к законодательству, свойственного международным стандартам, включая в себя, в частности, требования из отдельных нормативных документов регуляторов в области персональных данных, а также содержит трактовки определенных нормативных требований и даже определяет порядок их применения в банках. Поскольку законодательные и нормативные требования в области защиты информации в нашей стране, мягко говоря, несовершенны и содержат много неоднозначностей, то включение в банковский стандарт определенного руководства по применению этих требований, по-идее, должно помочь банкам справиться с возникающими трудностями. Посмотрим что происходит на практике, на примере, требований по лицензированию в области ТЗКИ.
В новую версию стандарта СТО БР ИББС-1.0-2010 был добавлен п. 9.6 сделующего содержания:
“В настоящем стандарте требование на получение лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются… “
Не мудрено. Требования по лицензированию и аттестации, если и устанавливаются, то отнюдь не в стандартах. Констатация данного факта на мой взгляд является здесь излишней и сбивающей с толку.
“В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ.”
Здесь имеется целый ряд утверждений, от которых у любого специалиста в области защиты информации должен происходить полный вынос мозга. Требования по лицензированию и сертификации не являются обязательными при условии:
- введения в действие стандарта СТО БР
- при проведении комплекса мероприятий по обеспечению безопасности персональных данных
- в специальных ИСПДн
Подобная формулировка сразу порождает кучу вопросов:
- а если СТО БР не вводится, то лицензирование и аттестация являются обязательными?
- а при проведении мероприятий по защите информации, не относящейся к персональным данных (при защите банковской, коммерческой тайны), требования по лицензированию и аттестации являются обязательными?
- а при проведении мероприятий по защите ПДн не в специальных ИСПДн, а, скажем, в АБС, которые, согласно, СТО БР не относятся к ИСПДн, лицензии и аттестаты получать обязательно?
Если ответы на эти вопросы положительные, тогда п. 9.6 не имеет смысла, ведь, в этом случае, лицензию на ТЗКИ для собственных нужд банку все-равно надо иметь. Если ответы отрицательные, тогда смысл данного пункта также полностью теряется, т.к. банку, в этом случае, не надо иметь лицензию на ТЗКИ для собственных нужд и без всяких условий.
Требования по обязательной аттестации ИСПДн, о котором говорится в п. 9.6 СТО БР ИББС-1.0-2010 вообще не существует. Соответствующий нормативный документ ФСТЭК “Основные мероприятия по организации и техническому обеспечению безопасности ПДн…” давно отменен.
Абсурдна и сама идея определения в стандарте условий для получения лицензий, а также определения обязательности или необязательности получения лицензий.
Лицензирование деятельности в области защиты конфиденциальной информации, как известно, регулируется соответствующим федеральным законом и постановлениями Правительства РФ, которые и устанавливают кому, в каких случаях, на какие виды деятельности и какие лицензии надо получать. Делают они это пока не очень хорошо и, в частности, вопрос с получением лицензий ФСТЭК на ТЗКИ для собственных нужд (также как и перечень самих видов деятельности и условия получения лицензий) до сих пор остается достаточно спорным, создавая почву для многочисленных конфликтов в данной области. Эту проблему мы уже подробно разбирали в статье “Когда необходимо получать лицензию ФСТЭК по ТЗКИ?“
Каким образом введение в действие того или иного стандарта в организации может повлиять на применение ФЗ и ПП РФ в области лицензирования, даже если этот стандарт согласован с регуляторами? Если постановление Правительства РФ требует получения лицензии, а согласованный с регуляторами стандарт говорит, что при определенных условиях эту лицензию можно не получать, то насколько это правомочно? Как вообще могут стандарты, являющиеся сборниками необязательных для выполнения рекомендаций, определять вопросы, относящиеся к компетенции Правительства РФ, в частности, устанавливать при каких условиях и кому необходимо получать лицензии? Согласована данная позиция с Правительством РФ? Закреплена ли она в соответствующих постановлениях и нормативных актах? Тогда что это такое и как к этому относится?
Из всего сказанного получается, что п. 9.6 СТО БР ИББС-1.0-2010 вообще лишен какого-либо смысла. Зачем он тогда? И зачем мы здесь так долго рассуждаем о том, что не имеет смысла?
Все дело в том, что СТО БР, включающий данный бессмысленный на первый взгляд пункт, согласован с регуляторами. Этим самым для всей отрасли ИБ был создан важный прецедент, пользу из которого могут извлечь не только все банки, но все прочие операторы ПДн, раздумывающие над тем, надо ли им получать лицензии ТЗКИ. Ведь признав, что для защиты ИСПДн для собственных нужд не надо получать лицензии на ТЗКИ, регуляторам придется признать, что и для защиты АБС и других систем и не только банкам, присоединившихся с СТО БР, и не только банкам вообще не надо получать лицензии на ТЗКИ для собственных нужд. (Кто бы сомневался?)
Comments (3)
Tiger 27-01-2011 09:42
Вопрос №1
Александр, а вы считаете, что любая конторка независимо даже от размера должна получать лицензии на ТЗКИ для собственных нужд?
Этот вывод я из вашего последнего вопроса в статье делаю, т.к. вы любите обычно спрашивать С чего вы взяли 😉
Мне по прошлым статьям казалось, что вы против излишнего технического регулирования со стороны государства.
Александр Астахов 27-01-2011 09:51
лицензирование ТЗКИ
Была бы моя воля, я бы отменил лицензирование в области защиты информации для любых нужд за исключение защиты гостайны и критичных объектов государственной инфраструктуры.
Tiger 28-01-2011 03:41
ТЗКИ
> Требования по лицензированию и аттестации, если и устанавливаются, то отнюдь не в стандартах. Констатация данного факта на мой взгляд является здесь излишней и сбивающей с толку.
Согласен с вами. Но возможно банки не знали как им обойти это .. не могут же они постановление как правительство написать или документ как ФСТЭК выпустить. )
Получилось криво конечно и с этим согласен
> Каким образом введение в действие того или иного стандарта в организации может повлиять на применение ФЗ и ПП РФ в области лицензирования, даже если этот стандарт согласован с регуляторами? Если постановление Правительства РФ требует получения лицензии, а согласованный с регуляторами стандарт говорит, что при определенных условиях эту лицензию можно не получать, то насколько это правомочно? Как вообще могут стандарты, являющиеся сборниками необязательных для выполнения рекомендаций, определять вопросы, относящиеся к компетенции Правительства РФ, в частности, устанавливать при каких условиях и кому необходимо получать лицензии? Согласована данная позиция с Правительством РФ? Закреплена ли она в соответствующих постановлениях и нормативных актах?