26.1.12

Об отмене наказания за отсутствие лицензий ФСТЭК

После сегодняшнего поста коллеги стали утверждать, что отмена частей 1 и 5 ст.13.13 не меняет ситуации и даже ухудшает ее, т.к. будут применять статью 14.1 "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Так ли это?

Давайте вспомним, что согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 применяется только к тем, кто зарабатывает на безопасности, т.е. лицензиаты ФСТЭК и ФСБ, продающие средства защиты или предлагающие услуги в области защиты информации.

К подавляющему большинству тех организаций (99%), на которых распространялась статья 13.13, статья 14.1 отношения уже не имеет. Иными словами мы возвращаемся к состоянию дел, которое было до принятия 504-го Постановления Правительства, когда лицензировалась именно деятельность разработчиков и интеграторов, получающих прибыль от защиты информации. И это правильно. Нечего пытаться заставить лицензироваться 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, которые виноваты лишь в том, что обрабатывают персональные данные своих сотрудников или клиентов.

Кстати, ФСТЭК также стала отступать от своей позиции в данном вопросе, несмотря на то, что ее представители регулярно заявляли о необходимости получения лицензии на ТЗКИ любому оператору ПДн. Все это было частное мнение представителей ФСТЭК. На прямой вопрос начальнику 2-го Управления ФСТЭК г-ну Куцу его ответ выглядит так:


Обратите внимание на последнее предложение - "наличие указанной лицензии у оператора обязательным требованием не является". Можно только приветствовать такую позицию регулятора, который наконец-то повернулся лицом к хозяйствующим субъектам и снял неопределенность в в таком непростом вопросе.

9 коммент.:

pLuto комментирует...

Было бы интересно посмотреть первую часть письма г-на Куца. Поскольку из процитированного абзаца логически вытекает только один вывод: "В случае, если оператор делегирует обработку уполномоченному лицу, у уполномоченного лица должна быть лицензия на деятельность по ТЗКИ, а у оператора - нет". Но только в этом случае. А для случае, когда деятельность не делегируется и оператор обрабатывает ПДн сам - ничего в процитированном хорошего нет.

Алексей Лукацкий комментирует...

Остальное относится к оценке соответствия и аттестации

Алексей Лукацкий комментирует...

Кстати, прочитать можно и по другому ;-)

Анонимный комментирует...

to pLuto:
в процитированном абзаце говорится, если оператор _безопасность_ обработки в ИСПДн делегирует уполномоченному лицу, то упол.лицо обязано иметь лицензию, оператор - нет.
В остальном соглашусь: если оператор безопасность не делегирует, то ничего хорошего нет (насчет получения/неполучения лицензии).
Надо ждать, чем закончится законодательная инициатива по КоАП

Иванов Иван комментирует...

Алексей, уполномоченным лицом может быть любая компания, которой на основании договора оператор поручает обработку ПДн. Суть письма, на мой взгляд, еще больше "мутит воду", ведь таким уполномоченным лицом, как правило, не часто выступает компания, которая имет лицензии по защите информации!

pushkinist комментирует...

а что, кого-нибудь привлекли когда-либо за отсутствие лицензии на тзки при обработке персданных?

ansv комментирует...

Обожаю письма ФСТЭК. Как обычно, процитировали закон, а дальше каждый может понимать как хочет...

Как прочитал я: "поручать защиту ПДн можно только лицензиатам, тогда оператор сам не защищает и лицензия не нужна.". То есть, как и было - можно привлечь интегратора (с лицензией) и пусть защищает он...

Про случай "никого не привлеку, сам буду защищать" - ни слова.

Sergey Barmin комментирует...

Соглашусь с коллегами выше, речь о том, что получение лицензии не является обязательным в случае привлечения сторонней организации.
А жаль!

Анонимный комментирует...

Э-э, еще ст.171 УК РФ.