4 мая Президент Медведев подписал новую редакцию закона "О лицензировании отдельных видов деятельности". Что интересного появилось в этом законе:
Все остальное (навроде возможности оформления лицензии в электронным виде при помощи ЭЦП) - мелочи.
- в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности.
- должны быть разработаны новые постановления по лицензированию ТЗКИ и криптографии.
- в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется.
- в ст.12 перечислены все виды деятельности, подлежащие лицензированию. По "нашей" части там важны п.1.1, 1.4 и 1.5. П.1.1 требует лицензии на "разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)". П.1.4 и 1.5 касаются разработки средств защиты конфиденциальной информации и деятельности по ТЗКИ. Серьезные изменения коснулись именно п.1.1 ст.12. Во-первых, лицензия на криптографию теперь одна. Во-вторых, спектр лицензируемых видов деятельности теперь расширился и на телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. В-третьих, теперь четко указано, что лицензия на криптографию для собственных нужд не нужна. Правда не сказано, что такое "собственные нужды", но все-таки прогресс. Также неплохо было бы иметь слова про собственные нужды и в п.1.5. Более детально это все должно быть расписано в новых положениях о лицензировании, которые придут на смену ПП-957 и ПП-504.
- проверка лицензиатов может быть только в соответствие с ФЗ-294.
- все уже выданные лицензии становятся бессрочными.
Все остальное (навроде возможности оформления лицензии в электронным виде при помощи ЭЦП) - мелочи.
35 коммент.:
Мне показался интересным следующий пункт статьи 12:
3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
Значит ли это, что организации могут теперь сами проводить спецпроверку своих компьютеров ? Я понимаю, что оборудование стоит немеренных денег, но его же можно взять в аренду. Для крупных организций (газпром к примеру) это вполне возможный вариант.
Кажется, теперь почти все встало на свои места в извечном вопросе "а нужна ли лицензая на ТЗКИ для защиты ПДн у себя"
Значит теперь не нужно банку получать лицензии на шифрование для удалённого банковского обслуживания?
"в ст.8 написано, что к лицензионным требованиям не могут быть отнесены требования о соблюдении требований законодательства, соблюдение которых является обязанностью любого хозяйствующего субъекта. Иными словами, ФСТЭК уже не может требовать наличия лицензии только на том основании, что операторы ПДн обязаны защищать ПДн. Они обязаны защищать по закону и никакой дополнительной лицензии на это не требуется."
ну неверное же трактование.
там написано про лицензионные требования - то что необходимо выполнить для получения лицензии, а не про необходимость лицензии.
ОбсУждено и не возрАжено: http://anvolkov.blogspot.com/2011/04/17.html?showComment=1303201702248#c5919741974839347442
(это для pushkinist) :)
Алексей Волков,
МудрЁно расписано, но тем не менее - лицензионные требования, как следует из всей статьи 8 нового ФЗ, определяют можно ли выдавать лицензию, а не нужно ли ее получать, разве нет?
Таким образом лично мне решительно непонятно как этим пунктом можно побороться с требованиями получения лицензии. Согласен с pushkinist'ом, при всем уважении, приведенная в посте трактовка видится несколько неверной.
Алексей Н.
to Алексей Волков:
Алексей, к сожалению для того, чтобы не было почвы для толкований, злоупотреблений и коррупции, необходимо чтобы на вопрос "нужна лицензия на ТЗКИ или нет" мог быть дан однозначный, обоснованный и юридически железобетонной ответ. Так вот обсуждения в твоем блоге в целом логичны, но не являются к сожалению "железобетонными". А значит и дальше будут истории вроде той, что была в прошлом году с письмом от ФСТЭК в адрес поликлинники о необходимости получения лицензии
Скачав с офсайта текст законопроекта, обнаружил, что в посте и в тексте закона статьи не соответствуют друг другу???
Например,
третий пункт поста описывает статью 8, а в тексте статья 8: "Права, обязанности и ответственность должностных лиц лицензирующих органов". Непонятно где косяк?
Ивану: Вы обслуживаете не себя, а клиентов.
magicandy: Я брал текст закона, отправленный в Совет Федерации (с сайта Госдумы).
pushkinist'у: Тут логика следующая. ФСТЭК от вас требует лицензию. Условием ее получения является выполнение лицензионных требований. А по новому закону к вам (как к оператору ПДн) их предъявлять нельзя. Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете ;-)
ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.
etnos:
> определяют можно ли выдавать лицензию, а не нужно ли ее получать
Получающий лицензию движем двумя посылами - личным желанием либо обязательством, наложенным на него законодательством РФ. Именно это и есть первая часть термина "лицензионные требования", как СОВОКУПНОСТИ. То есть нужно ли ее получать. И если первой части нет (по закону все операторы должны ее получать), то нет и предпосылок к тому, чтобы можно было ее выдавать на этом основании.
Александру Бондаренко:
> не являются к сожалению "железобетонными"
Согласен, потому и говорю - "довесок про собственные нужды этому пункту не помешал бы" ;)
Алексею Лукацкому
> ЗЫ. Если юристы готовы отстаивать такую позицию, конечно.
Вот в этом-то ЗЫ вся и загвоздка. Везде оно, это ЗЫ. Достало уже, если честно, ЗЫ это... :(
"в ст.1 четко зафиксировано, что есть 11 видов организаций (среди них банки и т.д.), на которые закон не распространяется, но только потому, что на них распространяются отдельные законы по лицензированию основного вида деятельности."
Это лишь значит что для получения лицензий по основному виду деятельности этот закон читать не нужно. А вот для получения лицензий по отдельным видам деятельности нужно читать этот закон и банкам тоже!
Господа, на мой взгляд, формулировка п.1 ст.8 "1. Лицензионные требования устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми _Правительством_Российской Федерации_" вполне четко говорит, что требования о которых вы рассуждаете, устанавливаются в положениях, а не в самом законе, и ограничения п.4 просто ограничивают фантазию авторов положений о лицензировании, а не являются причиной для не получения разрешений на занятия видами деятельности, указанными в ст.12.
Мне другое интересно, как правовое управление Госдумы пропустило формулировку "конфиденциальная информация", определения которой не существует в современном законодательстве.
Только прошу, не надо говорить про требование "обеспечение конфиденциальности информации", потому что это всего лишь требование к обеспечению определенной характеристики информации, а не нормативного установления ее вида.
Да, у нас часто путают понятие "Конфиденциальная информация".
Изначально оно толковалось как характеристика как "Информация доступная ограниченному числу лиц".
В какой то момент понятие начали использовать как элемент классификации КИ= это,это и это Но не то, не то, не то.
Оба толкования не подходят для ФЗ.
1 - потому что туманно
2 - потому что нет классификации
Оставить туманным - поползут мнения...
Ввести классификацию - все не учесть...
хотя второй подход лучше...
Алексей Лукацкий: "Вы, на законных основаниях, требования не выполняете. ФСТЭК вам отказывает в получении лицензии и с этим отказом вы спокойно существуете ;-)"
Отказ в выдаче лицензии означает, что она вам больше не нужна, и можно заниматься лицензируемым видом деятельности без лицензии?
КоАП:
Статья 13.13. Занятие видами деятельности в области защиты информации ... без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)
влечет наложение административного штрафа ... на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.
либо Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно влечет предупреждение или наложение административного штрафа ... на юридических лиц - от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Евгений Родыгин Проблема (или наоборот, не проблема :)) состоит в том, что существует лицензируемый вид "деятельность по технической защите конфиденциальной информации". При этом не существует нормативного определения конфиденциальной информации, а значит это деятельность ни о чем (пока не определена), и не имеет отношения к защите персональных данных, коммерческой тайны, служебной тайны (буде такая когда-нибудь будет установлена ФЗ).
На уровне ФЗ я тоже не знаю. Немоного добавлю для повторения...
Конфиденциальная информация (англ. Sensitive information) - информация, требующая защиты.
Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.)
+
Указ Президента РФ от 23.09.2005 N 1111
Ну и кто не читал http://goo.gl/4EqGw
Вот еще интересно прочитать в контексте обсуждения
http://goo.gl/3LZs1
А ведь верно. А завтра потребуют получать лицензию на защиту "супер тайны"! :)
Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
Статья 9. Ограничение доступа к информации
4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Это я все к чему...
По сути этот ФЗ говорит о том(не только в приведенных строках но и вообще), что конфиденциальность это именно свойство а не категория.
В качестве категории предложено руководствоваться другими ФЗ и мне думается категориями *** тайн (служебная и т.п.). Например ясно сказано ПДн - читай соответствующий ФЗ.
Дело ясное, что дело темное...
es: Просто, когда вам отказывают в получении лицензии на основании невыполнения вами лицензионных требований, которые вы выполнять ПО ЗАКОНУ не обязаны - это совсем другая ситуация по сравнению с обычным отказом от получения лицензии по причине "не хочется".
Joky: ФСТЭК ни разу еще эти статьи не применял. А вот ФСБ уже применяло, но по ст.171 УК "Незаконное предпринимательство".
Joky: Что касается неотнесения ПДн к КИ, то вы не правы - есть 188-й Указ Президента (и его обновление в виде 1111 Указа), который как раз и относит ПДн к КИ.
"Об утверждении перечня сведений конфиденциального характера"
Конфиденциальный характер и Конфиденциальная информация это две вселенные местами пересекающиеся? или это одно и тоже?
Получается любое упоминание в любом ФЗ о том, что какая то информация/сведения является конфиденциальной или доступ к ней ограничен - тут же превращает такую информацию/сведения в конфиденциальную.
ИМХО логика проста.
Из редакции неочевидно, что кредитным организациям не надо получать лицензию связанную с криптографией. Очевидно только то, что профильные лицензии должны получать по другим законам, а вот все остальное, похоже, как и раньше...
Не вставилось, сразу за перечислением в части 2 видов деятельности не подлежащих лицензированию по данному закону, есть часть 3:
3. Лицензирование указанных в части 2 настоящей статьи видов
деятельности осуществляется в порядке, установленном федеральными
законами, регулирующими отношения в соответствующих сферах
деятельности.
Думаю, что тут имели в виду другое. В лицензионные требования (устанавливаемые в соответствующих положениях) нельзя тупо переписывать положения законов.
Евгению.
А там, наверное, на соответствующих должностях сидят бывшие модели. А для начальства - не царское дело в такие "мелочи" вчитываться. Глазки жалко.
на сегодня конфиденциальную информацию определяют по указу президента 188, утвердившему ПЕРЕЧЕНЬ
сведений конфиденциального характера
(с изменениями на 23 сентября 2005 года). неувязка есть,конечно.
Вот этой неувязкой и пользуются грамотные юристы ;-)
Отправить комментарий