11 Марта, 2014

О лицензировании деятельности по защите информации и криптографии

Алексей Лукацкий
О лицензировании деятельности я пишу  регулярно и решил снова обратиться к этой теме, тем более, что повод более чем хороший. На днях прошло заседание рабочей группы при Минкомсвязи (в т. ч. и с участием представителей ФСБ), которое было посвящено вопросу внесения поправок в законодательство о лицензировании отдельных видов деятельности с целью приведения вопросов лицензирования ТЗКИ и криптографии в соответствующее реалиям русло.

Была недлинная дискуссия, на которой пришли к мнению, что текущие формулировки слишком расплывчаты и под них попадают избыточное количество организаций, которые занимаются защитой информацией или видами деятельности по шифрованию (исключая разработку и распространение) для собственных нужд. Но если обиходное понятие "для собственных нужд" не вызывает ни у кого вопросов, то с его юридическим значением все не так просто. Что такое собственные нужды предприятия? Защита ПДн сотрудников - это чьи нужды, предприятия или сотрудника? А защита канала до клиента в рамках ДБО? А межофисное взаимодействие по каналам связи общего пользования? Вопросов много, а официальных ответов нет. ФСТЭК свою позицию озвучила ; правда, к ней тоже есть вопросы, но в целом подход регулятора по ТЗКИ понятен. А вот ФСБ молчит. Иногда выплеснут что-нибудь вроде "выход за пределы ЛВС в сеть общего пользования требует лицензии" или "телефонные консультации по применению СКЗИ требуют лицензии", но обычно молчат.

Тоже самое и с понятием "техническое обслуживание". Что это? Обновление версии СКЗИ - это техническое обслуживание или модернизация? Если второе, то будьте добры получить  лицензию на гостайну. Опять вопросы, вопросы, вопросы... И все без ответа, т.к. неоднократные попытки официально запросить ФСБ так и не увенчались успехом.

Вот это все мы и обсуждали на рабочей группе при Минкомсвязи и пришли к мнению, что надо найти правильные формулировки 1-го и 5-го пунктов части 1 статьи 12 закона "О лицензировании отдельных видов деятельности". Первая попытка пока успехом не увенчалась и мы разошлись с домашним задание - подумать над формулировками, которые с одной стороны не отпустят во все тяжкие разработчиков средств защиты, интеграторов, консультантов, аудиторов и т.п. лиц, извлекающих из своей деятельности вполне конкретную прибыль, а с другой - вывести из под формулировки обычных юрлиц и индивидуальных предпринимателей, занимающихся деятельностью по защите для собственных нужд.

Зная, что блог читает немалое количество специалистов, имеющих опыт нормотворчества, решил домашнее задание разделить с общественностью. Помогите сформулировать 1-й и 5-й пункты правильно! Коллективный разум лучше одиночного.

ЗЫ. 5-й пункт сейчас звучит следующим образом - "деятельность по технической защите конфиденциальной информации", а 1-й - "разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

ЗЗЫ. Совсем отказаться от лицензирования не предлагать :-)
comments powered by Disqus