В продолжение темы про лицензию ФСБ на ТО СКЗИ. Читатель "Лео Харанен" подкинул ссылку на официальный ответ ФСТЭК на запрос Минздравсоцразвития.
Подписаться на:
Комментарии к сообщению (Atom)
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
35 коммент.:
В ответе есть нестыковка.
Сделан вывод, что если если организация хочет заниматься отдельным видом деятельности, а именно "технической защитой информации", то ей требуется получение лицензии.
Но нет обоснования, что учреждениям социальной сферы, труда и занятости для обеспечения безопасности ПДн требуется заниматься таким видом деятельности.
А с этим что?
http://imageshost.ru/photo/292747/id10977.html
Комментарий в форму не помещался. Написал все здесь: http://anvolkov.blogspot.com/2010/07/blog-post_06.html. Успехов в борьбе, товарищи! :)
называется РЖУНИМАГУ. :-) Один говорит - не нужна, другой говорит - нужна!
D переводе с канцерлярского на русский:
"Уважаемый Владимир Сергеевич!
Ну че пристали? Мы не можем дать однозначного ответа, поскольку не знаем, что считать деятельностью."
Вопрос о том, нужно ли считать защиту собственной конфиденциальной информации видом деятельности организации, поднимается с момента выхода первых положений о лицензировании. Однозначного ответа на него ФСТЭК не знает, подменять собой законодателя не готов. Вот и отписывается. И при лицензировании подстраховыввается - требует от соискателя внести изменения в Устав, явно обозначив защиту конфиденциальной информации одним из основных видов деятельности.
Что комментарии убились ;-( Видимо у Гугла был сбой.
Это бомба)
Пардон за флуд - с каментами действительно были траблы :(
malotavr: ЛУЧШИЙ! :)
Странный ответ. Где вывод, да или нет, как и в каком порядке. Просто отписка.
Странный ответ. Где вывод, да или нет, как и в каком порядке. Просто отписка.
да можно не обращать внимание на такой ответ.
им проще ответить так, на всякий случай.
коммерческая тайна тоже конфиденциальная инфа, но никто не считает ее защиту деятельностью по техзащите.
если в учредительных документах не указано, что организация занимается деятельностью по техзащите конфиденциальной инфы, то лицензия и не нужна.
Согласна с pushkinist, письмо не о чем. А какой лицензии на ТКЗИ для медиков может идти речь? У них нет даже нормальных ИТ-специалистов, знание экселя считается высшей нормой. Сначала бы вытачили мед учреждения из каменного века, а потом про безопасность и лицензии говорили.
to Анна: сначала бы лучше вытащили медицину в принципе из одного места, а потом уж и об автоматизации можно подумать.
Вообще лучше все сразу делать!
Автоматизация может поспособствовать вытаскиванию медицины... Но вообще обсуждать это можно очень долго
Дело не в том, что оно ни о чем, а в том, что позиция у них такая же как у ФСБ - абсолютно неконкретная. Одно управление говорит - надо, другое - нет. И оба ответа - вполне себе официальные ;-(
to Лео Харанен
> Автоматизация может поспособствовать вытаскиванию медицины...
Получается навешать на лопату числовое программное управление :)
> Но вообще обсуждать это можно очень долго
Эт точно.
Консолидированное мнение (из нескольких источников) получается таким, что раз все операторы "оказывают услуги субъектам ПДн по защите их ПДн", то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ. При этом, операторы-коммерсанты доджны при регистрации (перерегистрации) вносить в учредительные документы основные виды деятельности, связанные с ТЗКИ и СКЗИ, и получать соответствующие лицензии - без этого никакой коммерческой деятельности. "А для операторов-муниципалов есть СТРК и много чего еще". То есть - тотальное, поголовное лицензирование. Как вам такая точка зрения, господа? :)
re: Алексей Волков . Я считаю, лицензирование просто лишний головняк для бизнеса. Наверно кто то на сертификатах наварится хочет. Не проще предоставить готовый на рынке список готовых(рекомендуемых) сертифицированных средств защиты и требовать его наличие. Иначе просто создаются сложности.
to ЕвгенийКР: есть две проблемы. Первая проблема - в лицензировании: получается, что либо все должны получать лицензии, либо только те, кто действительно из наличия лицензий извлекает прибыль. В первом случае любой бизнес, даже по производству веников со штатом сотрудников 10 человек, должен получать лицензию. Что дает ее наличие? Для веников - ничего. Для субъектов ПДн - тоже ничего. Возникает вопрос: зачем?
Вторая проблема - сертифицированные средства ЗИ. Очень много организаций используют с давних времен хорошие, но несертифицированные СЗИ. И никто их не гнобил до 2008 года. В этой связи либо все без исключения средства, продаваемые на территории РФ, должны сертифицироваться, а несертифицированные должны быть запрещены для продажи, либо для новых ИСПДн должны применяться сертифицированные СЗИ, а для существующих объявлена какая-то амнистия. Предлагаемый компромисс в виде оценки соответстви по ТУ - это нонсенс, так как стоимость такой процедуры под час превышает стоимость самих СЗИ.
Поэтому бардак выгоден всем: у кого есть деньги - раскошелятся, у кого нет - "проедут зайцами". Всем, кроме операторов.
Алексей Волков пишет...
...раз все операторы "оказывают услуги субъектам ПДн по защите их ПДн", то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ
А раз добросовестные налогоплательщики оказывают услуги налоговым полицейским, то деятельность по уплате налогов тоже следует лицензировать! ;)
to Andrew: да, да, конечно! Давайте на все получать лицензии! Хочешь ребенка - лицензию, хочешь в Интернет - лицензию, воздухом дышишь - лицензия где? :) А ведь Интернет, воздух, дети - это "товары двойного назначения" :) Да и все что делаешь вообще по жизни - все это "деятельность"! ЛИЦЕНЗИРОВАТЬ ВСЕ!!!!!! :):):)
обсуждение превратилось в абсурд.
вопрос о необходимости лицензии индивидуален.
общего случая нет.
вот и все.
to pushkinist: этого и следовало ожидать, ибо абсурдом является сам предмет обсуждения.
По букве закона.
Ст.17 Закона 128-ФЗ, который регулирует отношения, между органами власти, юридиче-скими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования, относит деятельность по ТЗКИ к лицензируемым. Это аксиома, которая не обсуждается. Порядок получения лицензии определяется Постановлением Правительства РФ № 504. Оно дает определе-ние, что такое ТЗКИ: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа. Ст.7 Закона № 152-ФЗ возлагает на операторов ПДн и третьих лиц обязанность обеспече-ния их конфиденциальности. Кроме того, в соответствии со ст.19, оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты. Таким обра-зом получается, что ВСЕ операторы ПДн, при обработке персональных данных ОБЯЗАНЫ реализо-вывать комплекс мероприятий по защите, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬ-НОСТИ. По букве закона действительно каждый оператор ПДн должен иметь Лицензию на ТЗКИ.
По духу закона.
Обратимся к п. 1.3 Приказа директора ФСТЭК России № 58. Согласно этому пункту для вы-бора и реализации методов и способов защиты информации в ИС оператором может назначаться структурное подразделение, ответственные за обеспечение безопасности ПДн, а может привле-каться организация, имеющая Лицензию ТЗКИ. Видно, что Приказ считает равнозначным и нали-чие специального структурного подразделения, и наличие внешней, организации с Лицензией ТЗКИ, которая, действуя в интересах оператора ПДн, выбирает и реализует методы и способы за-щиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное струк-турное подразделение, которое отвечает за выбор и реализацию (и это, наверное ключевое сло-во) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Ли-цензия ТЗКИ требуется тому, кто отвечает за ВЫБОР И РЕАЛИЗАЦИЮ защиты ПДн. А когда она уже реализована и только эксплуатируется, лицензия не требуется. То есть, Лицензия ТЗКИ – это га-рантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую ква-лификацию и удовлетворяет условиям лицензирования данного вида деятельности.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов за-щиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетво-рять лицензионным требованиям и условиям, изложенным в п. 4 Постановления № 504: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое произ-водственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализа-ции, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реа-лизованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Об ответственности.
Надо помнить, что ответственность за организацию защиты информации всегда лежит на операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору ПДн решать по какому пути идти. От этого будет зависеть надо или не надо ему получать Лицензию ТЗКИ.
По букве закона.
Ст.17 Закона 128-ФЗ, который регулирует отношения, между органами власти, юридиче-скими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования, относит деятельность по ТЗКИ к лицензируемым. Это аксиома, которая не обсуждается. Порядок получения лицензии определяется Постановлением Правительства РФ № 504. Оно дает определе-ние, что такое ТЗКИ: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа. Ст.7 Закона № 152-ФЗ возлагает на операторов ПДн и третьих лиц обязанность обеспече-ния их конфиденциальности. Кроме того, в соответствии со ст.19, оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты. Таким обра-зом получается, что ВСЕ операторы ПДн, при обработке персональных данных ОБЯЗАНЫ реализо-вывать комплекс мероприятий по защите, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬ-НОСТИ. По букве закона действительно каждый оператор ПДн должен иметь Лицензию на ТЗКИ.
По духу закона.
Обратимся к п. 1.3 Приказа директора ФСТЭК России № 58. Согласно этому пункту для вы-бора и реализации методов и способов защиты информации в ИС оператором может назначаться структурное подразделение, ответственные за обеспечение безопасности ПДн, а может привле-каться организация, имеющая Лицензию ТЗКИ. Видно, что Приказ считает равнозначным и нали-чие специального структурного подразделения, и наличие внешней, организации с Лицензией ТЗКИ, которая, действуя в интересах оператора ПДн, выбирает и реализует методы и способы за-щиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное струк-турное подразделение, которое отвечает за выбор и реализацию (и это, наверное ключевое сло-во) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Ли-цензия ТЗКИ требуется тому, кто отвечает за ВЫБОР И РЕАЛИЗАЦИЮ защиты ПДн. А когда она уже реализована и только эксплуатируется, лицензия не требуется. То есть, Лицензия ТЗКИ – это га-рантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую ква-лификацию и удовлетворяет условиям лицензирования данного вида деятельности.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов за-щиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетво-рять лицензионным требованиям и условиям, изложенным в п. 4 Постановления № 504: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое произ-водственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализа-ции, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реа-лизованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Об ответственности.
Надо помнить, что ответственность за организацию защиты информации всегда лежит на операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору ПДн решать по какому пути идти. От этого будет зависеть надо или не надо ему получать Лицензию ТЗКИ.
По букве закона.
Ст.17 Закона 128-ФЗ, который регулирует отношения, между органами власти, юридиче-скими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования, относит деятельность по ТЗКИ к лицензируемым. Это аксиома, которая не обсуждается. Порядок получения лицензии определяется Постановлением Правительства РФ № 504. Оно дает определе-ние, что такое ТЗКИ: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа. Ст.7 Закона № 152-ФЗ возлагает на операторов ПДн и третьих лиц обязанность обеспече-ния их конфиденциальности. Кроме того, в соответствии со ст.19, оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты. Таким обра-зом получается, что ВСЕ операторы ПДн, при обработке персональных данных ОБЯЗАНЫ реализо-вывать комплекс мероприятий по защите, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬ-НОСТИ. По букве закона действительно каждый оператор ПДн должен иметь Лицензию на ТЗКИ.
По духу закона.
Обратимся к п. 1.3 Приказа директора ФСТЭК России № 58. Согласно этому пункту для вы-бора и реализации методов и способов защиты информации в ИС оператором может назначаться структурное подразделение, ответственные за обеспечение безопасности ПДн, а может привле-каться организация, имеющая Лицензию ТЗКИ. Видно, что Приказ считает равнозначным и нали-чие специального структурного подразделения, и наличие внешней, организации с Лицензией ТЗКИ, которая, действуя в интересах оператора ПДн, выбирает и реализует методы и способы за-щиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное струк-турное подразделение, которое отвечает за выбор и реализацию (и это, наверное ключевое сло-во) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Ли-цензия ТЗКИ требуется тому, кто отвечает за ВЫБОР И РЕАЛИЗАЦИЮ защиты ПДн. А когда она уже реализована и только эксплуатируется, лицензия не требуется. То есть, Лицензия ТЗКИ – это га-рантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую ква-лификацию и удовлетворяет условиям лицензирования данного вида деятельности.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов за-щиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетво-рять лицензионным требованиям и условиям, изложенным в п. 4 Постановления № 504: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое произ-водственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализа-ции, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реа-лизованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Об ответственности.
Надо помнить, что ответственность за организацию защиты информации всегда лежит на операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору ПДн решать по какому пути идти. От этого будет зависеть надо или не надо ему получать Лицензию ТЗКИ.
По букве закона.
Ст.17 Закона 128-ФЗ, который регулирует отношения, между органами власти, юридиче-скими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования, относит деятельность по ТЗКИ к лицензируемым. Это аксиома, которая не обсуждается. Порядок получения лицензии определяется Постановлением Правительства РФ № 504. Оно дает определе-ние, что такое ТЗКИ: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа. Ст.7 Закона № 152-ФЗ возлагает на операторов ПДн и третьих лиц обязанность обеспече-ния их конфиденциальности. Кроме того, в соответствии со ст.19, оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты. Таким обра-зом получается, что ВСЕ операторы ПДн, при обработке персональных данных ОБЯЗАНЫ реализо-вывать комплекс мероприятий по защите, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬ-НОСТИ. По букве закона действительно каждый оператор ПДн должен иметь Лицензию на ТЗКИ.
По духу закона.
Обратимся к п. 1.3 Приказа директора ФСТЭК России № 58. Согласно этому пункту для вы-бора и реализации методов и способов защиты информации в ИС оператором может назначаться структурное подразделение, ответственные за обеспечение безопасности ПДн, а может привле-каться организация, имеющая Лицензию ТЗКИ. Видно, что Приказ считает равнозначным и нали-чие специального структурного подразделения, и наличие внешней, организации с Лицензией ТЗКИ, которая, действуя в интересах оператора ПДн, выбирает и реализует методы и способы за-щиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное струк-турное подразделение, которое отвечает за выбор и реализацию (и это, наверное ключевое сло-во) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Ли-цензия ТЗКИ требуется тому, кто отвечает за ВЫБОР И РЕАЛИЗАЦИЮ защиты ПДн. А когда она уже реализована и только эксплуатируется, лицензия не требуется. То есть, Лицензия ТЗКИ – это га-рантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую ква-лификацию и удовлетворяет условиям лицензирования данного вида деятельности.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов за-щиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетво-рять лицензионным требованиям и условиям, изложенным в п. 4 Постановления № 504: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое произ-водственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализа-ции, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реа-лизованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Об ответственности.
Надо помнить, что ответственность за организацию защиты информации всегда лежит на операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору ПДн решать по какому пути идти. От этого будет зависеть надо или не надо ему получать Лицензию ТЗКИ.
Эта позиция спорна как минимум по 4-м пунктам:
1. ФЗ-128 распространяется не на все организации. В ст.1 есть исключения на кого ФЗ не распространяется.
2. Защита ПДн - это обязанность, а лицензия - это право заниматься отдельными видами деятельности. В то же время, обязывая вам защитать ПДн закон не указал никаких допусловий для этого. Если посмотреть на ФЗ о гостайне, то мы увидим, что там ГТ может обрабатывать любой, но обязательным условием этого является наличие лицензии. Таже логика может быть применена и к ПДн.
3. Комитет ГД по безопасности запрашивал Комитет ГД по собственности (автора ФЗ-128) о том, нужна ли лицензия на ТЗКИ для собственных нужд. Комитет ГД по собственности ответил "не нужна".
4. Свердловская ФАС приняла в прошлом году решение, что лицензия на ТЗКИ не является обязательной.
Все эти моменты говорят о том, что требование наличия лицензии не такое уж непротиворечивое, как утверждается. Да и здравый смысл говорит, что ожидать способность ФСТЭК выдать 7 миллионов лицензий - это из области не утопии даже, а фантастики. И затеянная реформа системы лицензирования говорит о том же.
Алексей, безусловно, вопрос о получении лицензии - спорный и неоднозначный! Но все-таки по комментариям.
По п.1. Если говорить о ФЗ-128 то это утверждение не совсем верное. Ст.1 этого закона делает исключения для ВИДОВ ДЕЯТЕЛЬНОСТИ, а не для субъектов отношений.
По п. 2. Не надо подменять понятия. ст. 7.1 ФЗ-155 гласит: "Операторами и третьими лицами, получающими доступ к ПДн, ДОЛЖНА обеспечиваться конфиденциальность таких данных", а ст. 19.1 гласит: "Оператор при обработке ПДн ОБЯЗАН ПРИНИМАТЬ необходимые организационные и технические МЕРЫ". Следовательно, оператор обязан не ЗАЩИЩАТЬ, а ПРИНИМАТЬ МЕРЫ. Но в законе не сказано КАК он должен ПРИНИМАТЬ эти меры. Логично будет так: если в государстве существует определенный порядок принятия таких мер, то оператор, как законопослушное лицо, должен ему следовать, то есть получать лицензию и потом принимать меры. По-моему, это логично.
По п. 3. Замечательно! Но не ясно для КАКИХ собственных нужд? Если для себя, дорогого (физ. лицо), то соглашусь - не надо, если для юр. лица, то КАКИЕ ПДн есть у юр. лица? Он ведь может только обрабатывать ЧУЖИЕ, принадлежащие физ. лицу, а это уже другая песня. Да и потом, если комитет по собственности такой умный, то почему он не внес соотвествующие изменения в ФЗ-128?
По п. 4 - ничего не скажу - не видел решения ФАС, надо почитать....
Ну а в целом, мои комментарии как раз и были направлены на то, что бы показать, что лицензия ТЗКИ нужна далеко не в каждом случае! Более того, чаще она вообще не нужна!
Алексей, безусловно, вопрос о получении лицензии - спорный и неоднозначный! Но все-таки по комментариям.
По п.1. Если говорить о ФЗ-128 то это утверждение не совсем верное. Ст.1 этого закона делает исключения для ВИДОВ ДЕЯТЕЛЬНОСТИ, а не для субъектов отношений.
По п. 2. Не надо подменять понятия. ст. 7.1 ФЗ-155 гласит: "Операторами и третьими лицами, получающими доступ к ПДн, ДОЛЖНА обеспечиваться конфиденциальность таких данных", а ст. 19.1 гласит: "Оператор при обработке ПДн ОБЯЗАН ПРИНИМАТЬ необходимые организационные и технические МЕРЫ". Следовательно, оператор обязан не ЗАЩИЩАТЬ, а ПРИНИМАТЬ МЕРЫ. Но в законе не сказано КАК он должен ПРИНИМАТЬ эти меры. Логично будет так: если в государстве существует определенный порядок принятия таких мер, то оператор, как законопослушное лицо, должен ему следовать, то есть получать лицензию и потом принимать меры. По-моему, это логично.
По п. 3. Замечательно! Но не ясно для КАКИХ собственных нужд? Если для себя, дорогого (физ. лицо), то соглашусь - не надо, если для юр. лица, то КАКИЕ ПДн есть у юр. лица? Он ведь может только обрабатывать ЧУЖИЕ, принадлежащие физ. лицу, а это уже другая песня. Да и потом, если комитет по собственности такой умный, то почему он не внес соотвествующие изменения в ФЗ-128?
По п. 4 - ничего не скажу - не видел решения ФАС, надо почитать....
Ну а в целом, мои комментарии как раз и были направлены на то, что бы показать, что лицензия ТЗКИ нужна далеко не в каждом случае! Более того, чаще она вообще не нужна!
Но у ФСТЭК-то позиция (сейчас) четкая - нужна всем. Но если вы с лицензиатом, то не надо. Причем с лицензиатом только на этапе создания системы, а на этапе эксплуатации вообще не надо. И это с выходом ПП-504. А для ПП-290 позиция ФСТЭК была иной - лицензируется только предпринимательская деятельность. И официальный ответ Гапонова в блоге говорит об этом же. Т.е. с точки зрения защищаемой информации не поменялось ничего, а точка зрения регулятора - кардинально.
Отправить комментарий