3-го февраля Правительство подписало Постановление №79 "О лицензировании деятельности по технической защите конфиденциальной информации", попутно отменив предыдущее 504-е свое Постановление.
Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются . Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках - "(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)", а не в виде отдельного определения. Считать, что это и есть определение КИ, - достаточно спорная позиция.
Уточнился и термин ТЗКИ. Теперь ФСТЭК четко зафиксировала, что речь идет либо о выполнении работ по защите (а не какой-то мифический комплекс мероприятий из ПП-504), либо об оказании услуг; либо об обоих видах вместе. Причем в тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ. Тем самым ФСТЭК остается при своем мнении, что лицензия нужна всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации. А это, как мы помним, обязанность любого оператора ПДн, коих в России насчитывается свыше 5 миллионов (т.е. все юрлица и индивидуальные предприниматели).
При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы. Если задача лицензирования - повысить уровень защищенности и ответственности тех, кто занимается защитой, то почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа служб ИБ не подпадает под лицензирование? Ведь она не менее важна, чем и создание системы защиты? Логика регулятора для меня непонятна.
Можно ли уйти от лицензирования деятельности по ТЗКИ? Если не играть в казуистику с отсутствием "конфиденциальной информации", то оснований теперь практически нет ;-( Рекомендации заключать договора с лицензиатами ФСТЭК, которые даются теми же представителями регулятора, неспособны решить проблему. Во-первых, у нас в России просто нет такого количества лицензиатов, которые могли бы покрыть потребности нескольких миллионов организаций. А во-вторых, договор с лицензиатом обычно заключается на определенный срок или на определенный объем работ. Внедрение системы защиты? Пожалуйста. Регулярный контроль защищенности? Пожалуйста. Но что делать, если у меня вышел компьютер из строя или появляется новый сотрудник и я должен поставить ему новый ПК со средством защиты? Это уже установка СЗИ, т.е. лицензируемый вид деятельности. А т.к. он не предсказуем, то и привлечь лицензиата мы заранее не можем. В итоге мы приходим к тому, что лицензия должна быть все равно у всех.
Какие последствия могут быть у данного Постановления? Сложно предсказывать. При неизменности позиции ФСТЭК большинство организаций как не приобретало так и не планирует приобретать лицензии на деятельности по ТЗКИ. Наказаний по данной статье по линии ФСТЭК нет и что-то я не верю в то, что она будет отстаивать свою позицию в суде на регулярной основе. Да и суды по разному трактуют эти нормы. Статьи КоАП за отсутствие лицензий также могут отменить (я писал про это тут и тут ). Правда, останется 19.20 КоАП и 171 УК.
В итоге все как в поговоре - "строгость наших законов компенсируется необязательностью их исполнения". Каждая организация должна для себя принять решение - получать такую лицензию или нет.
Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются . Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках - "(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)", а не в виде отдельного определения. Считать, что это и есть определение КИ, - достаточно спорная позиция.
Уточнился и термин ТЗКИ. Теперь ФСТЭК четко зафиксировала, что речь идет либо о выполнении работ по защите (а не какой-то мифический комплекс мероприятий из ПП-504), либо об оказании услуг; либо об обоих видах вместе. Причем в тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ. Тем самым ФСТЭК остается при своем мнении, что лицензия нужна всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации. А это, как мы помним, обязанность любого оператора ПДн, коих в России насчитывается свыше 5 миллионов (т.е. все юрлица и индивидуальные предприниматели).
При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы. Если задача лицензирования - повысить уровень защищенности и ответственности тех, кто занимается защитой, то почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа служб ИБ не подпадает под лицензирование? Ведь она не менее важна, чем и создание системы защиты? Логика регулятора для меня непонятна.
Можно ли уйти от лицензирования деятельности по ТЗКИ? Если не играть в казуистику с отсутствием "конфиденциальной информации", то оснований теперь практически нет ;-( Рекомендации заключать договора с лицензиатами ФСТЭК, которые даются теми же представителями регулятора, неспособны решить проблему. Во-первых, у нас в России просто нет такого количества лицензиатов, которые могли бы покрыть потребности нескольких миллионов организаций. А во-вторых, договор с лицензиатом обычно заключается на определенный срок или на определенный объем работ. Внедрение системы защиты? Пожалуйста. Регулярный контроль защищенности? Пожалуйста. Но что делать, если у меня вышел компьютер из строя или появляется новый сотрудник и я должен поставить ему новый ПК со средством защиты? Это уже установка СЗИ, т.е. лицензируемый вид деятельности. А т.к. он не предсказуем, то и привлечь лицензиата мы заранее не можем. В итоге мы приходим к тому, что лицензия должна быть все равно у всех.
Какие последствия могут быть у данного Постановления? Сложно предсказывать. При неизменности позиции ФСТЭК большинство организаций как не приобретало так и не планирует приобретать лицензии на деятельности по ТЗКИ. Наказаний по данной статье по линии ФСТЭК нет и что-то я не верю в то, что она будет отстаивать свою позицию в суде на регулярной основе. Да и суды по разному трактуют эти нормы. Статьи КоАП за отсутствие лицензий также могут отменить (я писал про это тут и тут ). Правда, останется 19.20 КоАП и 171 УК.
В итоге все как в поговоре - "строгость наших законов компенсируется необязательностью их исполнения". Каждая организация должна для себя принять решение - получать такую лицензию или нет.
