Логотип компании

Телефон: 8-800-775-0968

Остались вопросы?

Если у Вас возникли вопросы, звоните по тел. (495) 640-2968 (Москва), 8-800-775-09-68 (Россия).

Главная \ Лицензия ФСТЭК \ «Собственные нужды оператора ПДн» - миф или реальность?

«Собственные нужды оператора ПДн» - миф или реальность?

Снопова Людмила Сергеевна

 

Многие положения Федерального закона «О персональных данных» до настоящего времени являются предметом оживленных дискуссий и споров в профессиональной среде. Процесс «встраивания» требований закона в существующие бизнес-процесс протекает для многих операторов весьма болезненно, и в большинстве случаев это связано с необходимостью выделения весьма значительных ресурсов. Вполне оправданно операторы пытаются сократить издержки при приведении свой деятельности в соответствие с требованиями ФЗ 152, используя при этом все возможные способы. Очевидно, что эти способы, в чем бы они ни заключались, не должны противоречить закону.

Одним из сомнительных с точки зрения права является тезис об отсутствии обязанности обладания лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) у лица, осуществляющего деятельность по ТЗКИ ИСПДн, если мероприятия по обеспечению безопасности ПДн проводятся для «собственных нужд» оператора. Попробуем рассмотреть этот вопрос более подробно.

Часть 1 ст. 19 ФЗ 152 говорит о том, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Постановление Правительства РФ № 781 от 17.11.2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (ПП 781) устанавливает требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Среди этих требований (п. 12 Положения) – ряд мероприятий, реализация которых связана с деятельностью по ТЗКИ. ФЗ «О лицензировании отдельных видов деятельности» от 08.08.2007.2001 № 128 ФЗ устанавливает (ст.17) , что к числу видов деятельности, подлежащих обязательному лицензированию, относится деятельность по технической защите конфиденциальной информации. Постановление Правительства РФ № 504 от 15.08.2006г. «О лицензировании деятельности по технической защите конфиденциальной информации» (ПП504) дает определение (п.2 Положения) ТЗКИ - под ТЗКИ «понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».

П. 12 ПП781 указывает десять мероприятий, и многие из них носят характер организационно-административных решений, контрольных функций, управленческих действий и, бесспорно, не являются деятельностью, подлежащей обязательному лицензированию. В то же время часть мероприятий из пункта 12 ПП 781 (например, установка и ввод в эксплуатацию СЗИ) действительно являются деятельностью по ТЗКИ, и, в соответствии с ФЗ 128 эта деятельность лицензируется. Следовательно, выполнение мероприятий, предусмотренных ПП781 в полном объеме и лицом, не обладающем лицензией ФСТЭК на деятельность по ТЗКИ являлось бы незаконным.

На заре активной проработки «альтернативных» путей защиты ПДн некоторыми операторами выдвигался тезис о том, что лицензироваться должна только деятельность, направленная на извлечение прибыли. Однако внимательное прочтение ПП 504 (ТЗКИ есть мероприятия или услуги) опровергает это утверждение.

Подавляющее большинство операторов не обладают лицензией ФСТЭК на деятельность ТЗКИ. Точно также большинство организаций не обладают лицензиями на образовательную деятельность, оказание медицинских услуг, обязательное медицинское страхование, выполнение работ по монтажу средств пожарной сигнализации и т.п. В том случае, когда организации требуется повысить квалификацию своих работников, провести медицинских осмотров работников, застраховать их или выполнить требования норм пожарной безопасности – организация привлекает для выполнения соответствующих работ компании, обладающие необходимыми лицензиями или свидетельствами. Таким образом, логика законодателя, обычаи делового оборота в других сферах деятельности (образование, здравоохранение, пожарная безопасность и т.п.), а также многократно звучавшая в публичных выступлениях позиция ФСТЭК России приводят к следующему выводу. Лицом, осуществляющим ТЗКИ, может быть, помимо оператора ПДн, и лицо (лицензиат), привлекаемое оператором к выполнению таких работ на договорной основе.

Однако сейчас многими операторами ПДн усиленно обсуждается и продвигается другая совокупность тезисов, призванных аргументировать отсутствие у операторов необходимости в получении лицензии на ТЗКИ или в привлечении для соответствующих работ лицензиата. Смысл этих тезисов заключается в том, что лицензии на ТЗКИ не требуется, если выполнение мероприятий по обеспечению безопасности ПДн осуществляется для «обеспечения собственных нужд» юридического лица. Имеются предложения закрепить такое положение законодательно. Термин «собственные нужды» относительно деятельности по ТЗКИ использован и в стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» СТО БР ИБСС -1.0-2010 от 21.06.2010 г. (далее СТО БР ИББС-1.0-2010). Принятие и введение в действие данного стандарта было анонсировано совместным письмом ЦБ РФ, Ассоциации Российских банков, Ассоциации региональных банков (Ассоциация «Россия»). Документы комплекса БР ИБСС согласованы ФСБ РФ, Роскомнадзором РФ, ФСТЭК России, что подтверждается подписями должностных лиц указанных органов. Указанное письмо получило название «письмо шестерых».

Так, в п. 9.6 СТО БР ИБСС-1.0-2010 указано следующее: «В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС БР указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ».

Заранее скажем, что по нашему мнению термин «собственные нужны оператора» (собственные нужды юридического лица, ИП) в тех случаях, когда речь идет о безопасности ПДн, не имеет права на существование. Сторонников иной точки зрения для удобства будем называть «оппонентами».

На наш взгляд, оператору недостаточно заявить о наличии «собственных нужд» (как в БС РФ так и в какой-либо другой сфере). Необходимо обосновать их существование, в противном случае будут созданы предпосылки для нарушения принципов обработки ПДн (ст. 5 ФЗ 152) и конституционных прав человека. Откуда же взялся термин «собственные нужды», к кому и в каких сферах деятельности его следует применять?

ФЗ 128 оперирует этим термином, делая исключения для юридических лиц и ИП в части лицензирования определенных видов деятельности. Указанные ниже виды деятельности не подлежит лицензированию, если осуществляются для собственных нужд юридического лица и индивидуального предпринимателя:

  1. Термин «собственные нужды оператора ПДн по выполнению мероприятий по обеспечению безопасности ПДн при их обработке» лишен смысла и не основан на законе. «Собственных нужд» по обеспечению безопасности ПДн у оператора ПДн не существует.
  2. Декларирование операторами ПДн наличия «собственных нужд» при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн в качестве основания при отказе от требований по обязательному лицензированию деятельности по ТЗКИ противоречит Конституции РФ, ФЗ 152, ФЗ 128.
  3. Проведение работ по ТЗКИ лицом, не обладающим лицензией на деятельность по ТЗКИ, является правонарушением.
  4. Убеждение в том, что какой-либо стандарт (письмо) может дополнить, уточнить или изменить требования ФЗ128 в части лицензировании деятельности по ТЗКИ является ошибочным, хотя, к сожалению, и неочевидным для многих. Такое допущение абсурдно, так как отмена или изменение федеральных законов находится в ведении Российской Федерации (ст. 71 Конституции РФ). Не является исключением и деятельность организаций БС РФ, функционирование которых не более важно для личности и общества и государства, нежели деятельность, например, системы здравоохранения.
  5. До настоящего времени многие отраслевые стандарты, проекты отраслевых стандартов, а также предложения о внесении изменений в ФЗ 152 являются непроработанными, дезориентируют участников информационных правоотношений, создают предпосылки для создания заведомого неравного положения операторов ПДн и нарушения прав субъектов ПДн.
Новости
20.10.2017
Изменения видов деятельности МЧС

С 16 октября 2017 года вступило в силу Постановление Правительства РФ № 1219
от 06 октября 2017 года, которым утверждаются изменения по вопросам лицензирования отдельных видов деятельности.

10.04.2017
10 марта вступили в силу изменения в критерии аккредитации!
07.03.2017
"Ряды наших клиентов пополнились!"

Недавно, ряды наших клиентов пополнились новыми компаниями.

Телефон:
8-800-775-09-68

E-mail: 
vinser@centro.ru