30.06.2010

Лицензия на ТО СКЗИ "для себя" нужна!

На днях ознакомился с документом ФСБ, в которым четко отвечено на вопрос - надо или нет получать лицензию на техобслуживание шифровальных средств для собственных нужд. И хотя г-н Баранов и другие сотрудники 8-ки регулярно на мероприятих (даже не парламентских слушаниях) утверждают, что лицензия на техобслуживания "для себя" не нужна, у Центра по лицензированию мнению совсем иное ;-(


ЗЫ. И правая рука не значет, что делает левая ;-(

32 коммент.:

Spanky комментирует...

Алексей, а что это за документ? Название можете привести?

Алексей Лукацкий комментирует...

Официальный ответ ЦЛС на официальный запрос по данному вопросу.

Baevsky комментирует...

Но "официальный ответ... на официальный запрос..." ссылается на закон о лицензировании. А там такого нет.:)
Думаю, если не решат законодатели, тогда решать в суде.

Алексей Лукацкий комментирует...

Есть. В ФЗ-128 написано, что деятельность по шифрованию лицензируется. А 957-ПП разработано во исполнение 128-ФЗ.

Konst комментирует...

Мало того,
на днях представитель нижегородского ФСБ заявил, что при использовании СКЗИ для работы с ПДн сторонних лиц нужна лицензия на предоставление услуг по криптографии.
Логика такова: т.к. оператор защищает ПДн субъектов,используя при этом СКЗИ, значит он оказывает субъектам ПДн услуги по шифрованию информации. На платной или бесплатной основе - не имеет значения.

Алексей Волков комментирует...

>В ФЗ-128 написано, что деятельность по шифрованию лицензируется.

В ГК написано, что деятельность - это извлечение прибыли.

И вновь продолжается бой...

Алексей Волков комментирует...

> Логика такова: т.к. оператор защищает ПДн субъектов,используя при этом СКЗИ, значит он оказывает субъектам ПДн услуги по шифрованию информации. На платной или бесплатной основе - не имеет значения.

Вот это вообще круть! Я знал, что когда-нибудь кто-нибудь до этого додумается, и вот наконец - свершилось! Ура!!!

Barbarossa комментирует...

В Постановлении №957 есть замечательный пункт 1.к, который отметает необходимость лицензирования. Правда, это касается только построения VPN:
"Настоящее Положение не распространяется на деятельность по распространению (техническому обслуживанию, предоставление услуг в области шифрования информации с использованием)... шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам".

Анонимный комментирует...

>Логика такова: т.к. оператор защищает ПДн субъектов,используя при этом СКЗИ, значит он оказывает субъектам ПДн услуги по шифрованию информации.

Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) информации и информационной системы. Субъект таковым не является. Так что товарищ путает тепло с мягким.

>Правда, это касается только построения VPN:" ... используемых для защиты технологических каналов ..."

Опять же не надо вводить людей в заблуждение. Под технологическими каналами имеются в виду каналы управления средствами и системами, а уж никак не каналы передачи данных. Уж в этом то у ФСБ неопределенности нет.

По теме, очень грустно, что этот вопрос ФСБ повела в эту сторону.

Алексей Волков комментирует...

to Анонимный: Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) информации и информационной системы. Субъект таковым не является.

Что-то, воля Ваша, Вы сами перепутали. Кто ж еще, как не субъект ПДн, является владельцем своих собственных ПДн?

Саша комментирует...

Этот ответ не есть истина, в региональном ФСБ придерживаются простому правилу: "Получил денежную выгоду с услуг шифрования, лицензируйся, если нет то нет"

ну подумайте, лицензировать шифрование между отделами внутри организации нет смысла, ибо если произойдет утечка/компрометация и т.п. что приведет к убыткам. убыток понесет только сама организация а не третье лицо, соответственно смысла в надзоре нет.

"внутри себя" стройте что хотите и как хотите, лишь бы себе не во вред

Александр Шелипов комментирует...

>Услуги по защите информации криптографическими средствами оказываются владельцу (обладателю, оператору) информации и информационной системы. Субъект таковым не является. Так что товарищ путает тепло с мягким.

Вот если оказываются услуги по защите информации, тогда получается оказание услуг субъекту ПДн.
А если осуществляется защита информационной системы, тогда получается мы работаем сами для себя.

Какую формулировку писать в своих документах каждый решает сам для себя)))

pushkinist комментирует...

а как запрос был сформулирован?

Алексей Лукацкий комментирует...

Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации.

Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?

pushkinist комментирует...

ну генерация ключей не входит в техобслуживание.
обычно если ключи генерятся (или например сертификат выдается) для себя, то это считается экплуатацией, и лицензия не нужна.
а если это же самое делается для других, то это подпадает под оказание услуг, поэтому нужна лицензия на оказание услуг.

а техническим обслуживанием считается то, что входит в регламентные работы, предусмотренные документацией: например, монтаж, диагностика, профилактика, ремонт и т.д.
тут независимо от того, для кого это все делается, нужна якобы лицензия.

установку можно взвалить на поставщика, "ремонт скзи" вряд ли кто-то делает "для себя", но вот под диагностику много чего можно подогнать.
имхо тут все достаточно индивидуально, но есть одна штука, которая называется устав организации, где прописывается деятельность, которой организация занимается.
если в уставе не написано: "техобслуживание шифровальных средств", то лицензия не нужна.
сомневаюсь, что для своих нужд кто-то такое включает в устав.


а что касается персональных данных и криптографии, то тут есть ведь административный регламент фсб по надзору в испдн, который ничего не упоминает по поводу того, что при проверке будут затребованы лицензии на осуществление деятельности, связанной с криптосредствами, а в списке нормативных документов с требованиями ни пп 957, ни инструкция 152 фапси не упоминаются.
так что "оказание услуг субъектам по защите пдн" - это бред и выдумки.

xchg ax,ax комментирует...


ну подумайте, лицензировать шифрование между отделами внутри организации нет смысла, ибо если произойдет утечка/компрометация и т.п. что приведет к убыткам. убыток понесет только сама организация а не третье лицо, соответственно смысла в надзоре нет.


Никак нет : в случае утечки персональных данных ущерб несет субъект ПДн, поэтому и раскрутился маховик машины госрегулирования в этой области.

Лео Харанен комментирует...

По ходу дела вопрос становится несколько шире. Вот здесь про ответ ФСТЭКа на запрос Минздравсоцразвития о необходимости получения лицензии на деятельность по ТЗКИ учреждениями здравоохранения, социальной сферы, труда и занятости, когда технические мероприятия осуществляются для собственных нужд
Опубликовано на днях http://www.minzdravsoc.ru/docs/others/15
странно, но видимо теперь всем, по мнению ФСТЭК, необходимо получать лицензию...

Алексей Лукацкий комментирует...

У ФСТЭК всегда было такое мнение

Svidin комментирует...

>В ГК написано, что деятельность - это извлечение прибыли.

И где в ГК такое написано? Там речь идет о предпринимательской деятельности.

exp001 комментирует...

Алексей, будте добры. подскажите, где можно ознакомиться с этим официальным ответом ?? На fsb.ru не нашел.

Алексей Волков комментирует...

to Svidin: ГК регулирует как раз предпринимательскую деятельность - см. ст. 2 - что попадает под область действия ГК. "Деятельность" в понимании обывателя в терминах ГК дается более конкретное определение: "Предпринимательская деятельность" = "деятельность направленная на извлечение прибыли". Необходимость получения лицензий на отдельные виды "деятельности" = "деятельности направленной на извлечение прибыли" определяется ст. 49 того же ГК, и отсюда же вытекает требование получения лицензий ФСТЭК и ФСБ. Такая логика.

Алексей Волков комментирует...

to Svidin: ответ написал здесь: http://anvolkov.blogspot.com/2010/07/blog-post_06.html.

Алексей Лукацкий комментирует...

На сайте и не будет. Это официальный запрос и официальный ответ был.

Анонимный комментирует...

to Алексей Волков: Если бы хотели лицензировать только деятельность, направленную на извлечение прибыли, то так бы и написали в 128-ФЗ "О лицензировании отдельных видов предпринимательской деятельности".
Нет?

pushkinist комментирует...

нет

Алексей Волков комментирует...

> to Алексей Волков: Если бы хотели лицензировать только деятельность, направленную на извлечение прибыли, то так бы и написали в 128-ФЗ "О лицензировании отдельных видов предпринимательской деятельности".
Нет?

Нет, потому как законодательство у нас в стране - чудная (ударение поставьте сами) вещь. Например, ведутся споры, что формулировка "сведения о частной жизни" = "сведения об интимной жизни"... Так что все решает суд. Если, когда ФСТЭК предъявит отсутствие лицензии, Вы убедите судью, что "деятельность" = "предпринимательская деятельность" и потому лицензия Вам не нужна, значит так оно и есть. Пока никаких прецедентов разбирательства по этому поводу мне не известно.

Алексей Волков комментирует...

Консолидированное мнение (из нескольких источников) получается таким, что раз все операторы "оказывают услуги субъектам ПДн по защите их ПДн", то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ. При этом, операторы-коммерсанты доджны при регистрации (перерегистрации) вносить в учредительные документы основные виды деятельности, связанные с ТЗКИ и СКЗИ, и получать соответствующие лицензии - без этого никакой коммерческой деятельности. "А для операторов-муниципалов есть СТРК и много чего еще". То есть - тотальное, поголовное лицензирование. Как вам такая точка зрения, господа? :)

Сергей комментирует...

При осуществлении предпринимательской деятельности лицензия НУЖНА.
Если юр. лицо осуществляет какие то операции ДЛЯ СЕБЯ, то это не является деятельностью.
Это всё равно, что для того чтобы проводить внутренний аудит в организации ей сначала нужно получить лицензию. Бери да проводи, для этого лицензия не нужна.
А то что в письмах там пишется это всё не имеет отношения к законодательству, они могут писать всё что угодно. Письмами можно получать разъяснения по тем или иным ОТРАСЛЕВЫМ операциям, а как конкретно ФСБ вам может разъяснить суть того или иного нормативного акта. Обращайтесь в СУД.
Так что друзья не бойтесь :-))))

Алексей Лукацкий комментирует...

Также примерно думали руководители 15 банков, против которых ФСБ возбудила уголовные дела за отсутствие лицензий на криптографию...

max7253 комментирует...

Не нужно придираться к термину "деятельность". В Законе "О лицензировании..." определены критерии отнесения той или иной деятельности к лицензируемой. Это возможность нанесения ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию...

Например, хранение взрывчатых материалов промышленного назначения - лицензируемый вид деятельности, т.к. если вы храните неправильно, могут погибнуть люди. И неважно, прописана ли эта деятельность у вас в уставе или нет и храните вы для собственных нужд или нет.

Алексей Лукацкий комментирует...

И? Каково резюме?

Матроскin комментирует...

в отношении пункта "К" положения - понятие технологический канал информационно-телекоммуникационной системы отсутствует в законодательстве, может он в госте есть но найти не получается, по всему любую ЛВС можно к данному пункту притянуть