Security Lab

Письма лично на почту ношу...

Письма лично на почту ношу...
Вселенная развивается по спирали. Вместе с ней по спирали развивается все, что есть во Вселенной, включая галактику Млечный путь, Солнечную систему, планету Земля, континент Евразия, страну Российская Федерация и ее государственные структуры - ФСТЭК и ФСБ. Хотя порой мне кажется, что витки спирали развития этих структур какие-то особенные: как в известной песне Константина Кинчева "Тоталитарный рэп", на один шаг вперед приходится два шага назад. То ли летняя жара сыграла свою роль, то ли поговорить больше не о чем, но популярные блоггеры вновьвозвращаются к теме необходимости получения лицензий ФСБ на СКЗИ и ФСТЭК на ТЗКИ для собственных нужд. Как и всегда, умы профессионалов снова и снова будоражат письма, то и дело всплывающие, как по весне, на поверхность интернета, в котором, как известно, ничто уже не утонет. На этот раз поводом помусолить старину стали два письма. Первое - официальный ответ центра лицензирования ФСБ на запрос, сформулированный приблизительно следующим образом: "Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации. Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?"   Ответ выглядит так:   Что ж, новизна очевидна. Оказывается, лицензия необходима в ЛЮБОМ случае, вне зависимости от чего бы то ни было, и даже вне зависимости от Гражданского кодекса, являющегося определяющим документом в отношении 128-ФЗ... Теперь еще один интересный документ, размещенный на сайте Минздравсоцразвития : Здесь, помимо 128-ФЗ, появляется еще ссылка на Гражданский кодекс, являющийся "верхнеуровневым" документом для федерального закона, однако, в отличие от документа ФСБ, ничего конкретного не написано. Замечу, что многим ранее - в 2002 году, когда о защите персональных данных не велось и речи, Центральным банком РФ было получено аналогичное письмо следующего содержания:     Таким образом, концепция регуляторов изменилась: если в 2002 году можно было смело заявить о том, что лицензия для своих нужд не нужна, то сейчас, в 2010-м, этого уже не делают. Оно и понятно - кто же будет отказываться от такого куска пирога. К счастью, статьи 2 и 49 Гражданского кодекса РФ значительных изменений за это время не претерпели, а это значит, что логика применения 128-ФЗ осталась прежней: как не маскировали бы регуляторы истину, она очень четко отражена в письме ФСТЭК 2002 года: "...получение соответствующей лицензии необходимо только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации." Поясню суть ответа. Основным законом РФ является, как известно, Конституция. Согласно правовой системы РФ , далее идут Федеральные кодификационные законы, иначе именуемые Кодексами, следующие за ними - Федеральные (некодификационные) законы, затем - подзаконные акты и т.д. Кодекс представляет собой "отраслевой" федеральный закон, положения которого могут раскрываться в некодификационных федеральных законах. Именно этот случай применим в отношении проблемы получения лицензии ФСТЭК и ФСБ на "осуществление деятельности". Следует понимать, что термин "деятельность", в понятии обывателя означающий осуществление каких-либо действий, в законодательстве РФ звучит совсем по-другому. Поскольку 128-ФЗ является законом, раскрывающим п. 1 ст. 49 Гражданского кодекса (это красной нитью идет во всех письмах), давайте обратимся к первоисточнику - ГК - и посмотрим, что же такое "деятельность" в рамках этого документа? На этот вопрос нам ответит статья 2 ГК, которая называется "Отношения, регулируемые гражданским законодательством". В пункте 1 ст. 2 ГК РФ сказано: "Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке." Таким образом, действие ВСЕГО Гражданского кодекса распространяется на "деятельность" как исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ. Никакого другого определения "деятельности" в ГК нет. А стало быть, и в ст. 49 ГК РФ, и в 128-ФЗ между словами "деятельность" и "предпринимательская деятельность" нужно ставить знак равенства. Эта тема не раз обсуждалась на многих ресурсах - я рекомендую в продолжение посетить вот этот .   В качестве заключения хочется сказать одну замечательную, на мой взгляд, фразу: "Бабло побеждает зло". К сожалению, судя по тенденции, "злом" в глазах регуляторов является здравый смысл и законодательство РФ. А бабло... оно везде бабло. Успехов в борьбе, товарищи!
бизнес персональные данные государство
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться