11.05.2011

Законопроект о лицензировании принят

4 мая Президент Медведев подписал новую редакцию закона "О лицензировании отдельных видов деятельности". Что интересного появилось в этом законе:
  • в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности.
  • должны быть разработаны новые постановления по лицензированию ТЗКИ и криптографии.
  • в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется.
  • в ст.12 перечислены все виды деятельности, подлежащие лицензированию. По "нашей" части там важны п.1.1, 1.4 и 1.5. П.1.1 требует лицензии на "разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)". П.1.4 и 1.5 касаются разработки средств защиты конфиденциальной информации и деятельности по ТЗКИ. Серьезные изменения коснулись именно п.1.1 ст.12. Во-первых, лицензия на криптографию теперь одна. Во-вторых, спектр лицензируемых видов деятельности теперь расширился и на телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. В-третьих, теперь четко указано, что лицензия на криптографию для собственных нужд не нужна. Правда не сказано, что такое "собственные нужды", но все-таки прогресс. Также неплохо было бы иметь слова про собственные нужды и в п.1.5. Более детально это все должно быть расписано в новых положениях о лицензировании, которые придут на смену ПП-957 и ПП-504.
  • проверка лицензиатов может быть только в соответствие с ФЗ-294.
  • все уже выданные лицензии становятся бессрочными.

Все остальное (навроде возможности оформления лицензии в электронным виде при помощи ЭЦП) - мелочи.

    35 коммент.:

    exp001 комментирует...

    Мне показался интересным следующий пункт статьи 12:
    3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

    Значит ли это, что организации могут теперь сами проводить спецпроверку своих компьютеров ? Я понимаю, что оборудование стоит немеренных денег, но его же можно взять в аренду. Для крупных организций (газпром к примеру) это вполне возможный вариант.

    iv комментирует...

    Кажется, теперь почти все встало на свои места в извечном вопросе "а нужна ли лицензая на ТЗКИ для защиты ПДн у себя"

    Иван комментирует...

    Значит теперь не нужно банку получать лицензии на шифрование для удалённого банковского обслуживания?

    pushkinist комментирует...

    "в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется."

    ну неверное же трактование.
    там написано про лицензионные требования - то что необходимо выполнить для получения лицензии, а не про необходимость лицензии.

    Алексей Волков комментирует...

    ОбсУждено и не возрАжено: http://anvolkov.blogspot.com/2011/04/17.html?showComment=1303201702248#c5919741974839347442

    Алексей Волков комментирует...

    (это для pushkinist) :)

    etnos комментирует...

    Алексей Волков,
    МудрЁно расписано, но тем не менее - лицензионные требования, как следует из всей статьи 8 нового ФЗ, определяют можно ли выдавать лицензию, а не нужно ли ее получать, разве нет?

    Таким образом лично мне решительно непонятно как этим пунктом можно побороться с требованиями получения лицензии. Согласен с pushkinist'ом, при всем уважении, приведенная в посте трактовка видится несколько неверной.

    Алексей Н.

    Александр Бондаренко комментирует...

    to Алексей Волков:

    Алексей, к сожалению для того, чтобы не было почвы для толкований, злоупотреблений и коррупции, необходимо чтобы на вопрос "нужна лицензия на ТЗКИ или нет" мог быть дан однозначный, обоснованный и юридически железобетонной ответ. Так вот обсуждения в твоем блоге в целом логичны, но не являются к сожалению "железобетонными". А значит и дальше будут истории вроде той, что была в прошлом году с письмом от ФСТЭК в адрес поликлинники о необходимости получения лицензии

    magicandy комментирует...

    Скачав с офсайта текст законопроекта, обнаружил, что в посте и в тексте закона статьи не соответствуют друг другу???
    Например,
    третий пункт поста описывает статью 8, а в тексте статья 8: "Права, обязанности и ответственность должностных лиц лицензирующих органов". Непонятно где косяк?

    Алексей Лукацкий комментирует...

    Ивану: Вы обслуживаете не себя, а клиентов.

    Алексей Лукацкий комментирует...

    magicandy: Я брал текст закона, отправленный в Совет Федерации (с сайта Госдумы).

    Алексей Лукацкий комментирует...

    pushkinist'у: Тут логика следующая. ФСТЭК от вас требует лицензию. Условием ее получения является выполнение лицензионных требований. А по новому закону к вам (как к оператору ПДн) их предъявлять нельзя. Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете ;-)

    ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.

    Алексей Волков комментирует...

    etnos:

    > определяют можно ли выдавать лицензию, а не нужно ли ее получать

    Получающий лицензию движем двумя посылами - личным желанием либо обязательством, наложенным на него законодательством РФ. Именно это и есть первая часть термина "лицензионные требования", как СОВОКУПНОСТИ. То есть нужно ли ее получать. И если первой части нет (по закону все операторы должны ее получать), то нет и предпосылок к тому, чтобы можно было ее выдавать на этом основании.

    Алексей Волков комментирует...

    Александру Бондаренко:

    > не являются к сожалению "железобетонными"

    Согласен, потому и говорю - "довесок про собственные нужды этому пункту не помешал бы" ;)

    Алексей Волков комментирует...

    Алексею Лукацкому

    > ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.

    Вот в этом-то ЗЫ вся и загвоздка. Везде оно, это ЗЫ. Достало уже, если честно, ЗЫ это... :(

    Иван комментирует...

    "в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности."

    Это лишь значит что для получения лицензий по основному виду деятельности этот закон читать не нужно. А вот для получения лицензий по отдельным видам деятельности нужно читать этот закон и банкам тоже!

    Евгений комментирует...

    Господа, на мой взгляд, формулировка п.1 ст.8 "1. Лицензионные требования устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми _Правительством_Российской Федерации_" вполне четко говорит, что требования о которых вы рассуждаете, устанавливаются в положениях, а не в самом законе, и ограничения п.4 просто ограничивают фантазию авторов положений о лицензировании, а не являются причиной для не получения разрешений на занятия видами деятельности, указанными в ст.12.

    Мне другое интересно, как правовое управление Госдумы пропустило формулировку "конфиденциальная информация", определения которой не существует в современном законодательстве.

    Только прошу, не надо говорить про требование "обеспечение конфиденциальности информации", потому что это всего лишь требование к обеспечению определенной характеристики информации, а не нормативного установления ее вида.

    Евгений Родыгин комментирует...

    Да, у нас часто путают понятие "Конфиденциальная информация".
    Изначально оно толковалось как характеристика как "Информация доступная ограниченному числу лиц".
    В какой то момент понятие начали использовать как элемент классификации КИ= это,это и это Но не то, не то, не то.

    Оба толкования не подходят для ФЗ.
    1 - потому что туманно
    2 - потому что нет классификации
    Оставить туманным - поползут мнения...
    Ввести классификацию - все не учесть...

    Евгений Родыгин комментирует...

    хотя второй подход лучше...

    es комментирует...

    Алексей Лукацкий: "Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете ;-)"
    Отказ в выдаче лицензии означает, что она вам больше не нужна, и можно заниматься лицензируемым видом деятельности без лицензии?

    Евгений комментирует...

    КоАП:
    Статья 13.13. Занятие видами деятельности в области защиты информации ... без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)
    влечет наложение административного штрафа ... на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

    либо Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно влечет предупреждение или наложение административного штрафа ... на юридических лиц - от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

    Евгений комментирует...

    Евгений Родыгин Проблема (или наоборот, не проблема :)) состоит в том, что существует лицензируемый вид "деятельность по технической защите конфиденциальной информации". При этом не существует нормативного определения конфиденциальной информации, а значит это деятельность ни о чем (пока не определена), и не имеет отношения к защите персональных данных, коммерческой тайны, служебной тайны (буде такая когда-нибудь будет установлена ФЗ).

    Евгений Родыгин комментирует...

    На уровне ФЗ я тоже не знаю. Немоного добавлю для повторения...

    Конфиденциальная информация (англ. Sensitive information) - информация, требующая защиты.
    Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.)

    +
    Указ Президента РФ от 23.09.2005 N 1111

    Ну и кто не читал http://goo.gl/4EqGw

    Евгений Родыгин комментирует...

    Вот еще интересно прочитать в контексте обсуждения
    http://goo.gl/3LZs1

    Кирилл комментирует...

    А ведь верно. А завтра потребуют получать лицензию на защиту "супер тайны"! :)

    Евгений Родыгин комментирует...

    Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

    Статья 9. Ограничение доступа к информации

    4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

    9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

    Это я все к чему...
    По сути этот ФЗ говорит о том(не только в приведенных строках но и вообще), что конфиденциальность это именно свойство а не категория.
    В качестве категории предложено руководствоваться другими ФЗ и мне думается категориями *** тайн (служебная и т.п.). Например ясно сказано ПДн - читай соответствующий ФЗ.

    Алексей Лукацкий комментирует...

    Дело ясное, что дело темное...

    Алексей Лукацкий комментирует...

    es: Просто, когда вам отказывают в получении лицензии на основании невыполнения вами лицензионных требований, которые вы выполнять ПО ЗАКОНУ не обязаны - это совсем другая ситуация по сравнению с обычным отказом от получения лицензии по причине "не хочется".

    Joky: ФСТЭК ни разу еще эти статьи не применял. А вот ФСБ уже применяло, но по ст.171 УК "Незаконное предпринимательство".

    Joky: Что касается неотнесения ПДн к КИ, то вы не правы - есть 188-й Указ Президента (и его обновление в виде 1111 Указа), который как раз и относит ПДн к КИ.

    Евгений Родыгин комментирует...

    "Об утверждении перечня сведений конфиденциального характера"

    Конфиденциальный характер и Конфиденциальная информация это две вселенные местами пересекающиеся? или это одно и тоже?

    Получается любое упоминание в любом ФЗ о том, что какая то информация/сведения является конфиденциальной или доступ к ней ограничен - тут же превращает такую информацию/сведения в конфиденциальную.
    ИМХО логика проста.

    Michael комментирует...

    Из редакции неочевидно, что кредитным организациям не надо получать лицензию связанную с криптографией. Очевидно только то, что профильные лицензии должны получать по другим законам, а вот все остальное, похоже, как и раньше...

    Michael комментирует...

    Не вставилось, сразу за перечислением в части 2 видов деятельности не подлежащих лицензированию по данному закону, есть часть 3:

    3. Лицензирование указанных в части 2 настоящей статьи видов
    деятельности осуществляется в порядке, установленном федеральными
    законами, регулирующими отношения в соответствующих сферах
    деятельности.

    AnsNet комментирует...

    Думаю, что тут имели в виду другое. В лицензионные требования (устанавливаемые в соответствующих положениях) нельзя тупо переписывать положения законов.

    AnsNet комментирует...

    Евгению.
    А там, наверное, на соответствующих должностях сидят бывшие модели. А для начальства - не царское дело в такие "мелочи" вчитываться. Глазки жалко.

    AnsNet комментирует...

    на сегодня конфиденциальную информацию определяют по указу президента 188, утвердившему ПЕРЕЧЕНЬ
    сведений конфиденциального характера
    (с изменениями на 23 сентября 2005 года). неувязка есть,конечно.

    Алексей Лукацкий комментирует...

    Вот этой неувязкой и пользуются грамотные юристы ;-)