21.6.12

ФСТЭК определилась с позицией по лицензированию ТЗКИ

Вчера в 16.30 ФСТЭК опубликовала на своем сайте информационное сообщение, датированное 30-м мая и номером №240/22/2222, по вопросу необходимости получения лицензии ФСТЭК России на деятельность по ТЗКИ.

Идея ФСТЭК проста и была озвучена еще на межотраслевом форуме директоров по ИБ Виталием Сергеевичем Лютиковым. Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика информационной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ организации не нужна. Иными словами, абсолютному большинству организаций, теперь не требуется искать основания и заниматься юридическим крючкотворством, чтобы обосновать отсутствие лицензии ФСТЭК на ТЗКИ.

Эта официальная позиция, вновь вернулась к тому, что было изложено еще в 290-м Постановлении Правительства от 30.04.2002. 6 лет и справедливость восторжествовала. ФСТЭК можно только похвалить за такую позицию, которая должно быть доведена до всех региональных инспекций ФСТЭК.

14 коммент.:

Алексей комментирует...

А если организация за деньги антивирусы ставит?

doom комментирует...

Вот что-то у меня такой оптимистической мысли не сформировалось по прочтению:
Исходя из вышеизложенного, получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность ... необходима для достижения целей деятельности, предусмотренных в учредительных документах
Если цель предполагает необходимость обработки информации, подлежащей защите в соответствии с законодательством РФ, то? Я бы это прочитал, что всем операторам ПДн, банкам и проч. придется получать лицензии...

Unknown комментирует...

Вот у меня такое впечатление сложилось:
если защита тех же ПДн не прописана в Уставе организации, осуществляется для собственных, то получать лицензию на ТЗКИ не обязательно, но в таком случае нужно привлечь лицензиата. Либо, осуществляя работы по ЗПДн самостоятельно, организация всё же должна получить лицензию.
И наоборот:
если ЗПДн, скажем, осуществляется с целью получения прибыли, или же прописана в Уставе, то, даже если для этих работ организация привлекает лицензиата (скажем, по договору субподряда), то, тем не менее эта организация обязана иметь лицензию на ТЗКИ.
Не так ли?

-)гоист комментирует...

Дмитрий, что-то больно сильно путанно. Не так.

Unknown комментирует...

Почему?
В любом случае деятельность по ТЗКИ является лицензируемой согласно 99-ФЗ. А указанное информационное сообщение лишь разъясняет, кому обязательно необходимо получить лицензию, а кто может и не получать, а привлечь лицензиата.

CMiheev комментирует...

Если Банк продаёт USB-токены в рамках работы системы ДБО. Это деятельность по технической защите конфиденциальной информации?

Д.Никитин комментирует...

Дмитрий! что за бред? зачем тому, у кого уже есть лицензия, привлекать лицензиата?!!


CMiheev: да

toparenko комментирует...

>если эта деятельности не осуществляется по поручению обладателя информации

Ну и сразу все работодатели "попали" на поручения:
- ФНС по обработке ПДн работников в вопросах налогообложения (налоговые агенты)
- Росстата по Т2 и связанной с ней в 1С
- ПФР - по ПДн в пенсионных отчислениях (и опять в 1С)
- ФОМС
- Минобороны - по военнообязанным
- ...

Els комментирует...

А как быть с поручением обработки ПДн? С одной стороны согласно Инф. письму №5 Консультационного центра АРБ поручением обработки должна сопровождаться любая передача ПДн (по договору или разовая). С другой стороны, по Инф. сообщению ФСТЭК, тому, кому поручается обработка нужна лицензия. А лицензии есть мало у кого из тех, кому передаются ПДн.

-)гоист комментирует...

"Ну и сразу все работодатели "попали" на поручения:..."
Написано конечно красиво...

А 971 статья ГК РФ?
Какие еще поручения от госорганов? Организация (если предполагается, что она может быть поверенным) в праве отказаться заключать такой договор поручения. В случае с госорганами я что-то не вижу такой возможности.

Анонимный комментирует...

Уже отписался у Волкова: ФСТЭК как всегда в своем духе. Хотя все понятно. Извлекаешь прибыль или работаешь по поручению оператора (даже бесплатно), прописано в уставе (это похоже для некоммерческих и госов) - лицензия обязательна, в ином случае решай сам по закону, а по закону - либо получаешь лицензию, либо нанимаешь лицензиата (о чем ФСТЭК скромно умолчал)

Алексей Лукацкий комментирует...

Да не так все ;-) С первой частью согласен, со второй нет - не было у ФСТЭК такой задней мысли ;-)

Давайте ждать практики проверок.

Unknown комментирует...

Добрый день!
Прошу пощения за поднятие столь старой темы.
Снова поднялся вопрос лицензирования ТЗКИ для собственных нужд. В частности: ФСТЭК сказал (устно), что обновление программного обеспечения на аттестованном по ГИС информационной системе должна проводится только лицензиатом, самостоятельно, они не могут ни обновлять ПО, ни обновлять ТЗИ!
Практика проверок уже имеется?

Алексей Лукацкий комментирует...

Не в курсе. Лучше официально ФСТЭК запрашивать