Когда необходимо получать лицензию ФСТЭК по ТКЗИ?

Уже на протяжении многих лет не утихают споры о том, в каком случае требуется получение лицензий на осуществление деятельности в области технической защиты конфиденциальной информации (ТЗКИ), а в каком нет. После выхода ФЗ-152 "О персональных данных", подогревшего интерес к вопросам защиты информации вообще и к вопросам лицензирования этой деятельности, в частности, возникла необходимость выразить свою точку зрения по данному вопросу на страницах блога.

Поскольку, по причинам изложенным ниже, мы не можем давать своим клиентам совершенно определенного совета по вопросу лицензирования деятельности в области защиты информации, мол, вам надо получать лицензию, а вам, мол, нет. Любой подобный односложный совет может только навредить. Поэтому мы вынуждены каждый раз объяснять существующее положение дел, сложившуюся практику, узкие места законодательства и какие есть позиции по данному вопросу. В силу своего характера, я ненавижу с умным видом талдычить по многу раз одно и тоже. Я лучше изложу свою субъективную позицию в этом блоге, и всех интересующихся буду сюда направлять.

Прежде всего подчеркну, что, как и все статьи в данном блоге, данная статья отражает мою сугубо личную позицию и не является официальной точкой зрения каких-либо инстанций, юридических лиц, либо призывом получать или не получать лицензии на ТЗКИ. Моя точка зрения базируется на моем опыте. У других специалистов может быть несколько иной опыт и иная точка зрения.

Я не собираюсь здесь сколь-нибудь подробно освещать предысторию данного вопроса, разнообразные позиции, которые могут здесь существовать, заниматься трактовками законодательных актов или вдаваться в терминологические споры, однако, если мои доводы покажутся вам неубедительными, то я готов поспорить, привести дополнительные аргументы или просто ответить на вопросы.

Вот только несколько последних тем в нашем форуме, где обсуждаются вопросы лицензирования ТЗКИ:

http://www.iso27000.ru/zforum/view_topic?topic_id=379

http://www.iso27000.ru/zforum/view_topic?topic_id=444

http://www.iso27000.ru/zforum/view_topic?topic_id=389

Помимо этого, данные вопросы обсуждаются еще на множестве сайтов и форумов. Поэтому спорщикам есть где поразвлечься.

Если вопрос получения лицензии на ТЗКИ является для вас решенным, тогда вам следует сразу перейти к прочтению полезной статьи из блога Олега Безопасника под названием "Получение лицензий ФСТЭК на практике", написанной к тому же по горячим следам. Для остальных кратко изложим позиции сторон по обсуждаемому вопросу.

Можно также рассматривать дальнейшее изложение как продолжение темы "Чего не требует от операторов закон "О персональных данных", тогда очередное заблуждение формулируется следующим образом:

Заблуждение 4: Операторы ПДн обязаны получать лицензию ФСТЭК на деятельность в области ТЗКИ

В РД ФСТЭК ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ было написано буквально следующее:

"3.14. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке".

Однако данный РД просуществовал недолго. Не прошло и года, как его отменили. В документе, пришедшем ему на смену, пункт о лицензировании ТКЗИ операторами ПДн уже не встречается. Впрочем на позиции сторон ни принятие ни отмена данного документа никак не повлияли. Просто раньше юристы большинства уважаемых компаний, чья деятельность не была связана с защитой информации, не обращали внимания на постановление №504, априори (из названия постановления и согласно духу закона о лицензировании) считая, что к их компаниям оно относится не может в принципе.

Позиция же регуляторов по данному вопросу не нова. Они не раз ее выражали и в письменной и в устной форме. Сколько бы вы не писали официальные запросы на эту тему в ФСТЭК, вам всегда ответят, что лицензия нужна и без нее никак. Этой позиции соответствуют и формулировки постановления №504 о лицензировании деятельности в области ТЗКИ, которое не уточняет ни понятия "деятельность", ни понятия ТЗКИ, оставляя широкое поле для дискуссий и судебных разбирательств по данному вопросу.

При таком положении дел, стороны, которые затрагивает данная проблема, предпочитают трактовать закон в свою пользу. Регуляторам, во-первых, выгодно всеобщее лицензирование, а во-вторых, при существующем состоянии законодательства, никто из должностных лиц регуляторов просто не возьмет на себя ответственности заявить, что лицензия для собственных нужд не требуется. Тем более, что в среде военных вообще не принято брать на себя ответственность. (В смутное время начала 90-х по воинским частям регулятно объявляли режим "усиления", однако никто из военных не сможет припомнить, чтобы режим "усиления" хоть раз отменили. "Усиление" всегда заканчивается как бы само собой, без официальных распоряжений, т.к. просто некому взять на себя ответственность за его отмену).

Если принять за основу позицию регуляторов, заключающуюся в обязательном получении лицензии на ТЗКИ, независимо от того, оказывает ли компания услуги в области ТЗКИ или проводит мероприятия по ТЗКИ для собственных нужд, тогда возникает следующая ситуация. Представьте себе торговца арбузами на рынке (на индивидуальных предпринимателей постановление №504 также распространяется), который ведет учет проданных арбузов, бухгалтерию, поставщиков и т.п. на ноутбуке, оснащенном антивирусным пакетом и персональным брандмауэром. С точки зрения регуляторов выходит, что каждый такой арбузник, должен получить лицензию на ТКЗИ, что в обязательном порядке включает в себя наличие в штате двух дипломированных специалистов в области защиты информации, аттестованных помещений и рабочих мест, а также закупку СЗИ, нормативных документов, приобретение в собственность или аренду дорогостоящего оборудования для выявления и блокирования технических каналов утечки информации и противодействия ПЭМИН. Общая стоимость данных мероприятий в наше время оценивается уже в районе полумиллиона рублей. У арбузника есть и другой выход - заключение договора на создание и техническое сопровождение системы защиты информации с лицензиатом ФСТЭК. Для арбузника и небольшой компании второй путь - более гуманный, для больших и средних компаний - дешевле получить лицензию.

Если бы только данный подход можно было реализовать практике, какой вкусный рынок защиты информации получился бы в России! Лицензия на ТЗКИ давала бы ее обладателю не меньше преимуществ, чем лицензия на нефтедобычу, а список Forbes пополнился бы новыми именами. Возьмите общее количество реально функционировающих компаний в России и умножте это на стоимость получения лицензии ТЗКИ, либо на стоимость годового обслуживания у лицензиата ФСТЭК. Получается многомиллиардный рынок.

Однако большинство практикующих юристов почему-то считают по другому, а именно, что получение лицензии на ТЗКИ для собственных нужд не требуется. Руководителям же компаний, чья деятельность не связана с оказанием услуг в области технической защиты информации, даже и в голову не приходит получать лицензии на ТЗКИ, а если им кто-то об этом и скажет - они все-равно не поверят.

Последнее слово в данном вопросе, как водится, за судами. Суды же считают, что получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае, если деятельность рассматривается как элемент основной производственной деятельности и именно от ее осуществления не происходит извлечение прибыли, получение лицензии на нее не требуется. Подробнее об этом можно почитать в юридической справке, которая готовилась к прошлогодним парламентским слушаниям:
http://iso27000.ru/informacionnye-rubriki/zaschita-personalnyh-dannyh/spravka-o-licenzirovanii-deyatelnosti-po-tehnicheskoi-zaschite-konfidencialnoi-informacii/

Вывод: пока в постановление №504 не внесены соответствующие уточнения, тема получения лицензии на ТЗКИ для собственных нужд остается открытой, также как и вопрос о том, какие виды деятельности относятся к ТЗКИ, а какие нет. Обе позиции имеют под собой основания. Сами решайте какия позиция вам ближе.

_____
tags: ФЗ-152| лицензирование по ТЗКИ

05-07-2010 | Permalink | Comments (0)