11.03.2014

О лицензировании деятельности по защите информации и криптографии

О лицензировании деятельности я пишу регулярно и решил снова обратиться к этой теме, тем более, что повод более чем хороший. На днях прошло заседание рабочей группы при Минкомсвязи (в т. ч. и с участием представителей ФСБ), которое было посвящено вопросу внесения поправок в законодательство о лицензировании отдельных видов деятельности с целью приведения вопросов лицензирования ТЗКИ и криптографии в соответствующее реалиям русло.

Была недлинная дискуссия, на которой пришли к мнению, что текущие формулировки слишком расплывчаты и под них попадают избыточное количество организаций, которые занимаются защитой информацией или видами деятельности по шифрованию (исключая разработку и распространение) для собственных нужд. Но если обиходное понятие "для собственных нужд" не вызывает ни у кого вопросов, то с его юридическим значением все не так просто. Что такое собственные нужды предприятия? Защита ПДн сотрудников - это чьи нужды, предприятия или сотрудника? А защита канала до клиента в рамках ДБО? А межофисное взаимодействие по каналам связи общего пользования? Вопросов много, а официальных ответов нет. ФСТЭК свою позицию озвучила; правда, к ней тоже есть вопросы, но в целом подход регулятора по ТЗКИ понятен. А вот ФСБ молчит. Иногда выплеснут что-нибудь вроде "выход за пределы ЛВС в сеть общего пользования требует лицензии" или "телефонные консультации по применению СКЗИ требуют лицензии", но обычно молчат.

Тоже самое и с понятием "техническое обслуживание". Что это? Обновление версии СКЗИ - это техническое обслуживание или модернизация? Если второе, то будьте добры получить лицензию на гостайну. Опять вопросы, вопросы, вопросы... И все без ответа, т.к. неоднократные попытки официально запросить ФСБ так и не увенчались успехом.

Вот это все мы и обсуждали на рабочей группе при Минкомсвязи и пришли к мнению, что надо найти правильные формулировки 1-го и 5-го пунктов части 1 статьи 12 закона "О лицензировании отдельных видов деятельности". Первая попытка пока успехом не увенчалась и мы разошлись с домашним задание - подумать над формулировками, которые с одной стороны не отпустят во все тяжкие разработчиков средств защиты, интеграторов, консультантов, аудиторов и т.п. лиц, извлекающих из своей деятельности вполне конкретную прибыль, а с другой - вывести из под формулировки обычных юрлиц и индивидуальных предпринимателей, занимающихся деятельностью по защите для собственных нужд.

Зная, что блог читает немалое количество специалистов, имеющих опыт нормотворчества, решил домашнее задание разделить с общественностью. Помогите сформулировать 1-й и 5-й пункты правильно! Коллективный разум лучше одиночного.

ЗЫ. 5-й пункт сейчас звучит следующим образом - "деятельность по технической защите конфиденциальной информации", а 1-й - "разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"

ЗЗЫ. Совсем отказаться от лицензирования не предлагать :-)

22 коммент.:

Tomas комментирует...

Было бы не плохо сначала понятие "конфиденциальная информация" определить...
"Деятельность по технической защите конфиденциальной информации, принадлежащей данному юридическому лицу, индивидуальному предпринимателю", но сразу встает вопрос о ПДн работников, это же КИ их, а не работодателя.

Alexander комментирует...

п. 1 расписан в ПП 313. И если что-то и менять, то там.
п. 5 имеет смысл дополнить теми же собственными нуждами.

Собственные нужды обозначить, как не связанные с передачей конфиденциальной информации юр. лицом от/к другиим юр. или физ. лицам, и разумеется. не предоставляемые, как услуга.

Сергей Борисов комментирует...

В формулировке должно быть "возмездное оказание услуг по технической защите ..." или "предпринимательская деятельность по защите ..."
2 мин. назад · Нравится

Только вот должно распространяются на защиту не любой информации, а "информации ограниченного доступа" или "ИС, обязанность обеспечивать безопасность информации в которых установлена законодательством"

Tomas комментирует...

Alexander, если "собственные нужды" = хранение КИ юр.лица у себя без передачи другому лицу, то работа встанет, ИМХО.

Алексей Лукацкий комментирует...

Tomas: ФЗ выше по статусу. Если поменять ФЗ, то и ПП-313 придется менять.

Вадим комментирует...

по п. 1 однозначно менять в соответствии с трендом термин "КИ" на "информацию ограниченного доступа, не содержащую сведений, составляющих гостайну"

по п. 5 согласен с Сергеем - необходимо подчеркнуть, что если услуга третьим лицам за деньги - получи лицензию, если бесплатно для собственных нужд - не надо. Моё мнение - защита ПДн сотрудников - это нужды и предприятия, и сотрудника; защита канала до клиента в рамках ДБО - и клиента, и банка. Здесь нет незаинтересованных сторон. А межофисное взаимодействие по каналам связи общего пользования - зависит от взаимодействия офисов, вариантов несколько.

Tomas комментирует...

Коллеги, если критерий получать лицензию или нет = бесплатно, то просто все будут писать, что это бесплатно, а деньги брать за другие услуги. Так лицензиатов не останется :)

Вадим комментирует...

Получается примерно следующее:

п. 1 "деятельность по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну"

п. 5 ...(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется на безвозмездной основе для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

Алексей Лукацкий комментирует...

От КИ уйти не удастся пока. Это потребует изменения формулировок и относительно ФСТЭК, а это уже сложно

Вадим комментирует...

Алексей, мне вспоминается, что Лютиков как раз на одном из форумов пару лет назад ссылался именно на закон о лицензировании, дескать, именно из-за него ФСТЭКу приходится упоминать этот атавизм (КИ). Поэтому более удобного случая навести порядок в терминологии и привести всё к общему знаменателю может больше не представиться. Вы уж постарайтесь :)

Павловский Антон комментирует...

А может как-то зайти с позиции того, что это не собственная нужда, а обязанность, возложенная законодательством?
Соответственно формулировка примерно следующая:
"...за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется в целях выполнения требований, возложенных законодательством на юридическое лицо или индивидуального предпринимателя, в зоне его ответственности в соответствии с положениями законодательства "

Tomas комментирует...

Антон, тогда все будет притянуто к законодательству... аутстафинг специалистов, вместо услуг интегратора.

Александр Германович комментирует...

Вадим,
"Поэтому более удобного случая навести порядок в терминологии и привести всё к общему знаменателю может больше не представиться".

Мне вот тоже хочется ясности в вопросе "а есть ли конфиденциальная информация?". Но боюсь, что изменения в ФЗ-99 просто приведут к необходимости переоформления "бессрочных" лицензий на ТЗКИ и на разработку и производство СЗКИ.

Вадим комментирует...

Александр, ясность в вопросе "а есть ли конфиденциальная информация?" уже обсуждался в этом блоге после выхода 200-фз, в котором законотворцы пытались привести терминологию в единое русло.

Вадим комментирует...
Этот комментарий был удален автором.
Павловский Антон комментирует...

Tomas, Я как Петька нутром чувствую, а по полкам разложить не могу, чем плохо притягивать к законодательству. Конкретные примеры проблем? Оператор в зоне своей ответственности обеспечивает шифрование каналов связи и, соответственно поддержку оборудования. Ему на то не требуется лицензия. Инфа защищается, оператору облегчение, интегратор отдыхает. Чего я не учел?

Tomas комментирует...

Антон, лицензия нужна как доказательство того, что компания обладает необходимым оборудованием, специалистами и т.д., для выполнения работ по ЗИ.
Если нужно соответствовать законодательству по ПДн (152-ФЗ), КТ (98-ФЗ) и т.д. то не нужно иметь ни оборудование, ни специалистов? У нас штрафы смешные, гораздо проще закрыть юр.лицо и открыть новое (я про мелкие компании, крупные лицензии имеют и так, либо интеграторов нанимают)и не нести никакой ответственности ни за что, все ж в собственных нуждах.
Тогда нужно добавить, что в случае собственных нужд, при наличии компетентных специалистов (так как этого требования в 152-ФЗ или 98-ФЗ нет), для выполнения требований законодательства. Но мне кажется, это слишком мудрено...

Павловский Антон комментирует...

Tomas, Уловил. Вы рассуждаете исходя из того, что оператор стремится уйти от исполнения закона.
Мои же рассуждения были направлены на то, как облегчить жизнь честному оператору. Небольшой компании или ИП, которым на интегратора денег выделить сложно. Скажем, для реализации проекта по защите ИСПДн денег наскребут, но получать лицензию для обслуживания СКЗИ или нанимать для этого аутсорсера уже сложно. При этом аутсорсер, учитывая масштабы заказчика, должен быть недорогим. А имея лицензию ФСБ он наверное таковым вряд ли будет.
Думаю, что обе точки зрения не идеальны.
Кстати, как раз для получения лицензии операторы могут номинально нанять в штат специалиста с профильным образованием. В реале он ИП-шнику или маленькой конторке не нужен.
Замкнутый круг прям...

Алексей Лукацкий комментирует...

Коллеги, всем спасибо. Мысли собрал, идеи уловил. Пошел думать над формулировками

Юля Ильющенко комментирует...

Подскажите пожалуйста, в случае, если Банк получил такую лицензию от ФСБ, имеет ли он право получать прибыль от деятельности с СКЗИ по данной лицензии. Например изготавливать ЭП для сторонних организаций с целью получения прибыли.

Алексей Лукацкий комментирует...

Мне кажется ФЗ о банках запрещает получать прибыль от непрофильной деятельности

Nikita Gololobov комментирует...

Собтвенные нужды оператора можно привязать к его ИСПДн: для нужд защиты информации, обрабатываемой в ИСПДн оператора