необходимость лицензии на ТЗКИ
Операции с документом

доброго дня
прочитали в сети следующее:
Нужна ли нам лицензия ФТЭК на деятельность по технической защите конфиденциальной информации?
"Тут возможны варианты. Первый - наиболее распространённый - мы защищаем только свои ПДн (т.е. своих сотрудников и / или своих клиентов), которые обрабатываются для собственных нужд. В этом случае нам на первом шаге потребуется спроектировать всю систему защиты ИСПДн, составить модель угроз, определить актуальные угрозы и т.д.. Делать это придётся, т.к. этого требует Постановление Правительтства №1119 от 01.11.2012 и Приказ ФСТЭК №21 от 18.02.2013, в которых кругом фигурируют термины "актуальные угрозы". Обосновать актуальность без составления модели угроз с позиции Роскомнадзора и ФСТЭКа (а именно они придут к Вам на проверку) невозможно. Это разумно и с простой бытовой точки зрения. Таким образом, проектировать систему защиты ИСПДн хоть и для собственных нужд нам нужно, а это, в соответствии с п.5 ст. 12 99-ФЗ "О лицензировании ..." от 04.05.2011 попадает под обязательное получение лицензии на техническую защиту конфиденциальной информации (выдаёт её ФСТЭК России). Одновременно, работа по эксплуатации налаженной ИСПДн и техническому обслуживанию всех функционирующих в её составе средств защиты информации, включая и криптографию, в соответствии с тем же законом (и даже той же статьёй 12) не попадает под лицензируемые виды деятельности (т.к. осуществляется эта эксплуатация и обслуживание "для собственных нужд юридического лица"). Такие вот дела.
Какой же вывод из ситуации и что делать рядовым операторам ПДн? Всё очень просто: на этапе построения системы нанять того, кто лицензию по ТЗКИ имеет: он вам за 1 раз и одну фиксированную разовую плату всё сделает и далее вы пользуетесь, налаживаете и переоборудуете всё своё хозяйство по своему усмотрению и главное, совершенно бесплатно и законно. Подробнее я всё это дело описал в отдельной статье здесь.
можно ли узнать Ваше мнение на этот счет?
Приведенный фрагмент статьи содержит следующие противоречия:
- Утверждается, что оператор ПДн обязан получать лицензию ФСТЭК на ТКЗИ для собственных нужд, хотя это не обязательно
- Утверждается что оператору ПДн для создания СЗПДн надо привлекать лицензиата ФСТЭК по ТКЗИ, хотя это не обязательно
- Утверждается, что после создания СЗПДн оператор может ее эксплуатировать собственными силами. Это правда, но противоречит тезису в п. 2, т.к. если автор считает, что для создания СЗПДн для собственных нужд нужна лицензия на ТКЗИ, то и для ее эксплуатации нужна та же лицензия.
Вот здесь подробно расписано про "Заблуждение 4: Операторы ПДн обязаны получать лицензию ФСТЭК на деятельность в области ТЗКИ"
http://iso27000.ru/blogi/aleksandr-astahov/kogda-neobhodimo-poluchat-licenziyu-po-tkzi
Это старое заблуждение, по которому суды считают следующее:
"получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае, если деятельность рассматривается как элемент основной производственной деятельности и именно от ее осуществления не происходит извлечение прибыли, получение лицензии на нее не требуется".
Другими словами оператор ПДн может создавать и эксплуатировать свою ИСПДн собственными силами или с привлечением подрядчиков лицензиатов ФСТЭК и ФСБ. Самому оператору лицензии иметь не обязательно, если он не занимается оказанием услуг в области защиты информации или криптографии, подрядчикам - обязательно.