11 Сентября, 2014

Всем лицензиатам ФСТЭК и ФСБ, а также операторам ПДн пора напрячься

Алексей Лукацкий
5-го мая 2014-го года был подписан ФЗ-99, вносящий существенные изменения в 4-ю часть Гражданского Кодекса, а именно в вопросы организационно-правовых норм юридических лиц. Согласно сделанным поправкам, вступившим в силу с 1-го сентября 2014-го года, у нас теперь не будет ЗАО и ОАО - им на смену придут публичные и непубличные акционерные общества (чем-то мне это напомнило переименование милиции в полицию). Но дело не в самом изменении, а в его последствиях для отрасли ИБ. А они следующие:

1. Закон с тем же номером (99-ФЗ), но изданный 3-мя годами ранее, "О лицензировании отдельных видов деятельности", в статье 18 указывает случаи переоформления лицензий на лицензируемые виды деятельности. Согласно данной статье получается, что реорганизация, а также смена наименования юридического лица (а с 1-го сентября у нас именно это и произошло), требует переоформления ранее выданной лицензии. Иными словами, все лицензиаты ФСТЭК и ФСБ обязаны переоформить полученные ранее документы. Правда, 99-ФЗ от 2014-го года говорит, что наименования и учредительные документы юридических лиц, созданных до вступления в силу 99-ФЗ, должны быть приведены в соответствие с принятыми изменениями при первом изменении учредительных документов таких юридических лиц. Поэтому можно пока не торопиться. Если не будет прямого запроса от лицензирующих органов или если вы не кредитная организация.

2. Если вы кредитная организация, то на вас распространяется положение Банка России о внутреннем контроле 242-П, последнее изменение которого произошло 24-го апреля 2014-го года. Согласно новой редакции п.4.1 в кредитной организации помимо СВК должна быть создана еще и служба внутреннего аудита, что должно быть отражено в уставе кредитной организации. А так как раньше такой службы в банках не существовало, то это новация потребует изменения учредительных документов, что в свою очередь приведет к необходимости взаимодействия с ФСБ и ФСТЭК по поводу переоформления лицензии.

3. Согласно приказу Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" в уведомлении необходимо указывать наименование оператора ПДн и его организационно-правовую форму. Изменение этой информации (как и иной в ранее поданном уведомлении) требует посылки обновленного уведомления в Роскомнадзор. Так как 99-ФЗ от 2014-го года коснется очень многих юридических лиц, то всем им потребуется вновь напомнить о себе уполномоченному органу по защите прав субъектов персональных данных.

4. Ну и до кучи также потребуется переоформление аттестата аккредитации ФСТЭК, если он у вас есть (именно аттестата аккредитации, а не аттестата на объект информатизации).

А вот сертификаты на средства защиты, в которых упомянут заявитель или испытательная лаборатория, изменения не требуют и это хорошо :-)