08.02.2012

ФСТЭК определилась с тем, что такое ТЗКИ

3-го февраля Правительство подписало Постановление №79 "О лицензировании деятельности по технической защите конфиденциальной информации", попутно отменив предыдущее 504-е свое Постановление.

Если честно, то мне не совсем понятно упорство ФСТЭК, которая продолжает цепляться за термин "конфиденциальная информация", от которого законодатели постепенно отказываются. Ну нет такого понятия в законодательстве. Как лицензировать деятельность, которой нет? Не понимаю. Даже фрагмент попытка дать разъяснение в п.1 Постановления не очень удачная. Разъяснение дано в скобках - "(не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации)", а не в виде отдельного определения. Считать, что это и есть определение КИ, - достаточно спорная позиция.

Уточнился и термин ТЗКИ. Теперь ФСТЭК четко зафиксировала, что речь идет либо о выполнении работ по защите (а не какой-то мифический комплекс мероприятий из ПП-504), либо об оказании услуг; либо об обоих видах вместе. Причем в тексте нигде не говорится о собственных нуждах или об извлечении прибыли при выполнении работ. Тем самым ФСТЭК остается при своем мнении, что лицензия нужна всем, кто занимается контролем защищенности конфиденциальной информации или установкой средств защиты информации. А это, как мы помним, обязанность любого оператора ПДн, коих в России насчитывается свыше 5 миллионов (т.е. все юрлица и индивидуальные предприниматели).

При этом эксплуатация СЗИ к лицензируемому виду деятельности не относится, что также подтверждает не раз высказанную позицию ФСТЭК. Правда, эта позиция вызывает вопросы. Если задача лицензирования - повысить уровень защищенности и ответственности тех, кто занимается защитой, то почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа служб ИБ не подпадает под лицензирование? Ведь она не менее важна, чем и создание системы защиты? Логика регулятора для меня непонятна.

Можно ли уйти от лицензирования деятельности по ТЗКИ? Если не играть в казуистику с отсутствием "конфиденциальной информации", то оснований теперь практически нет ;-( Рекомендации заключать договора с лицензиатами ФСТЭК, которые даются теми же представителями регулятора, неспособны решить проблему. Во-первых, у нас в России просто нет такого количества лицензиатов, которые могли бы покрыть потребности нескольких миллионов организаций. А во-вторых, договор с лицензиатом обычно заключается на определенный срок или на определенный объем работ. Внедрение системы защиты? Пожалуйста. Регулярный контроль защищенности? Пожалуйста. Но что делать, если у меня вышел компьютер из строя или появляется новый сотрудник и я должен поставить ему новый ПК со средством защиты? Это уже установка СЗИ, т.е. лицензируемый вид деятельности. А т.к. он не предсказуем, то и привлечь лицензиата мы заранее не можем. В итоге мы приходим к тому, что лицензия должна быть все равно у всех.

Какие последствия могут быть у данного Постановления? Сложно предсказывать. При неизменности позиции ФСТЭК большинство организаций как не приобретало так и не планирует приобретать лицензии на деятельности по ТЗКИ. Наказаний по данной статье по линии ФСТЭК нет и что-то я не верю в то, что она будет отстаивать свою позицию в суде на регулярной основе. Да и суды по разному трактуют эти нормы. Статьи КоАП за отсутствие лицензий также могут отменить (я писал про это тут и тут). Правда, останется 19.20 КоАП и 171 УК.

В итоге все как в поговоре - "строгость наших законов компенсируется необязательностью их исполнения". Каждая организация должна для себя принять решение - получать такую лицензию или нет.

23 коммент.:

arkanoid комментирует...

Мне вот сказали, что де факто обрабатывающие ПД в рамках трудовых отношений (собственная бухгалтерия) операторами ПД не считаются. То есть в теории, докопаться могут и к ним, а на практике -- не трогали и трогать не будут. Интересная идея.

arkanoid комментирует...

(но похоже на правду)

Алексей Лукацкий комментирует...

Неверно. Де факто и де юре они операторы ПДн. И их также проверяют. Но там как раз вопросы проще всего решаются. И если РКН оценивают по количеству нарушений, то, конечно, тех, у кого нарушений будет мало, не трогают

arkanoid комментирует...

а пример таких проверок за последний год в отношении тех, кто НЕ подавал на запись в реестр операторов ПД? Там сейчас 232 тысячи организаций всего, остальные не торопятся.

Алексей Лукацкий комментирует...

Если ты посмотришь на план проверок РКН, то он на 70% состоит из тех, кто не в реестре операторов

Сергей Борисов комментирует...

Алексей, какой-то у вас двойственный подход.
В случае СКЗИ выговорите что вариант один - сертифицировать.

А тут предлагаете - нарушать. И смотреть какие будут последствия.

Я бы сказал что варианты такие:
- либо придумываем законное обоснование не получать лицензию
- либо получаем лицензию

Алексей Лукацкий комментирует...

Не, не так. Во-первых, сертификация и лицензирование - это две разных задачи. Я считаю, что лицензирование коммерческого предприятия, не обрабатывающего гостайну или госзаказ, избыточно и не нужно. Поэтому я поддержу твой тезис о том, что надо либо искать законные методы не получать лицензию, либо эту лицензию получать.

А по сертификации ситуация иная. То, что сделано в России - это глупость. Ни в одной стране мира такого нет. Сама же оценка соответствия нужна, но не в том виде, как это сделано ФСТЭК. У ФСБ подход иной - там посторонних просто нет - поэтому контроль жестче и никаких единичных экземпляров. Хотя и там есть законные сценарии использования несертифицированной криптографии и их немало.

Д.Никитин комментирует...

Алексей и ко*!.. Я искринне снимаю шляпу пред вашим идиалистическим представлением о ПОЛИТИКЕ государства в интересующей нас области... Вы, принимая непосредственное участие в формировании документов отраслевого и ФЕДЕРАЛЬНОГО уровня до сих пор сохранили иллюзии, что созидательные мотивы превалируют над ...???

Сергей комментирует...

Решая вопрос получать-неполучать обратите внимание на лицензионные требования: аттестовать помещения,
автоматизированные системы и СЗИ: оценка соответствия для АС - аттестация, для СЗИ - сертификация, без вариантов. Средства контроля - сертификация.
С оборудованием тоже засада - вроде бы если ПЭМИН не актуальна и не проводишь аттестацию и сертификацию, но причем тут установка - е) п. 4? Да, за что боролись, на то и напоролись...

wsolow комментирует...

В ?9 постановлении идет речь о "работах и услугах" по ТЗКИ. Если работы и услуги понимать как категории гражданского кодекса, то они предполагаю наличие правоотношений продавец-покупатель (заказчик-исполнитель). В случае же деятельности по ТЗКИ без привлечения продавца (исполнителя) правоотношения отсутствуют и, следовательно, отсутствуют "работы и услуги", а значит и лицензировать
нечего!
М.б. именно так все и понимается в 79 постановлении?
Обратите внимание на требования постановления к индивидуальному предпринимателю - ведь если он не занимается деятельностью по ТЗКИ на "заказ" (например торговец или риелтор), то требовать от него квалификации специалиста по защите информации невозможно!

Сергей Борисов комментирует...

Алексей Лукацкий: в перечне работ попадающих под лицензирование есть ремонт СЗИ.

Могут ли инженеры Cisco Systems ремонтировать сертифицированные МЭ ASA 5500?
Если допустим у заказчика куплена поддержка 8x5 Onsite.

Void Z7 комментирует...

wsolow мне кажется вы правы потому, что неоднократно "боролся" со своими юристами на тему использования термина "работ" так вот они их всегда трактуют как некие правоотношения, но! есть еще возможность осуществления деятельности хоз. способом, а это как раз распространяется на эксплуаиацию и т.д.

ser-storchak комментирует...
Этот комментарий был удален автором.
West комментирует...

По поводу лицензии ТЗКИ для выполнения работ необходимых по требованиям ФЗ № 152.
Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"
П.4 Ст. 8
К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции.
Это понятно, что ФСТЭК должен уважать.
а так же...
Согласно п 1.3 приказа ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или ответственное лицо (про лицензию речи нет).
Отдельным предложением: -//- организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации (а здесь есть).
Соответственно или или...
А это уже их слова...
Лицензироваться для выполнения обязательных требований не нужно.
Только если оказывать услуги сторонней организации.

West комментирует...

скажите качество работ по ЗИ будет плохим, если оператор сам выполняет работы?да, но это не от лицензии зависит, а от того какой специалист занимается..По части лицензировании, ФСТЭКу надо одеяло натянуть потеплей, пока есть возможность..Вместо того, что бы внести на рассмотрение поправки в законодательство, что работы должны проводится квалифицированными специалистами с образованием по защите информации.пусть с доп. курсами (опять же ФСТЭК приложился) Ужесточить наказание, РКН и ФСТЭК принять активное участие в проверке.
С лицензиями выигрывать будут лицензиаты, коих по стране не так уж много. и рабочих мест у них вобщем мало. а молодым специалистам хоть и с интересом к работе, сложно устроиться, как и самим развивать данное направление. лучше бы поспособствовали четким и ясным текстом в законодательстве на востребованность специалистов по ИБ в организациях. Закон должен выполняться, должен качественно, значит иметь в штате специалистов. Хотя бы крупному бизнесу. сколько со мной училось людей по данной специальности.большая часть не нашли пристанища.востребованность именно ИБшников, а не ИТшников мало кому понятна и нужна, по крайней мере в Приволжском округе. И от такого развития, толчка, выйграли бы все. Развитие информационного сообщества, технологий, продаж, рабочие места для специалистов, наконец понимание в стране на средних и крупных уровнях, что обеспечение ИБ это есть новая ступень в управлении бизнесом, менеджменте персоналом, скорости, качестве работы и соответственно количестве прибыли.
Иначе все это маленький глухой пук, на фоне заявленной бомбежки.

Алексей Лукацкий комментирует...

Уже обсуждали по поводу "лицензионных требований". Это именно лицензионные требования, а не требование получения лицензии.

West комментирует...

Соглашусь с вами, в ходе разбора потерял смысл. Лицензионные требования и требование получения лицензии вещи разные по смыслу. Но не могут не влиять друг на друга. ТК и НК РФ обязывают стать оператором ПД любой хозяйствующий субъект, следовательно не обязан выполнять лицензионные требования (не получить лицензию) так как проведение мероприятий требует ФЗ 152, значит лицензию на ТЗКИ не обязательно? Таким способом правомерно будет защитить отсутствие лицензии и аттестатов соответствия при выполненных мероприятиях, как вы считайте?может есть иной подход?

Виктория комментирует...

вопрос по лицензированию..опять..

п.4. ст. 8 ФЗ 99 К лицензионным требованиям не могут быть отнесены требования .. законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта...

? можно ли отнести в соответствие к данному пункту п. 4 ст. 6 ФЗ 149: "4. Обладатель информации при осуществлении своих прав обязан:
...
2) принимать меры по защите информации;
..."

Алексей Лукацкий комментирует...

Виктория, а у вас при лицензировании не особо проверяют, как вы защищаетесь. Но поворот интересный.

Виктория комментирует...
Этот комментарий был удален автором.
Виктория комментирует...

прошу прощения за занудство - просто не могу никак понять:
п. 1. ст. 16 того же фз 149 "Защита информации представляет собой принятие правовых, организационных и технических мер.."
и в то же время
п. 1. ст. 12 ФЗ 99 "В соответствии с настоящим Федеральным законом лицензированию подлежат... 5) деятельность по технической защите конфиденциальной информации.."

получается, сначала мы обязаны лицензировать деятельность по ТЗИ, после чего к нам не могут предъявлять лицензионные требования по этой самой ТЗИ?

или принятие технических мер по ЗИ ≠ деятельности по технической ЗИ?

Спасибо за внимание к вопросу!

Алексей Лукацкий комментирует...

Виктория, в принципе в Вашей логике я серьезных пробелов не вижу. Но это с точки зрения регулятора это неправильно ;-)

Алексей Лукацкий комментирует...

Виктория, а вообще Вы не правы ;-) Вспомнил, что я на теже грабли уже наступал ;-) Требование получения лицензии - это не тоже, что лицензионные требования