Лицензия на ТЗКИ: нужна ли она оператору ПДн?
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 06.10.2014 12:50
Доброго дня, уважаемые читатели!
Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.
А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.
Итак. Нужна ли нам лицензия ФТЭК на деятельность по технической защите конфиденциальной информации, осуществлять которую нас фактически обязывает весь 152-ФЗ "О ПДн"? Ответить на этот вопрос однозначно для всех возможных ситуаций нельзя. Потому разберём конкретные варианты.
Для начала попробуем понять, откуда вообще взялось требование лицензирования деятельности по ТЗКИ? Дело всё в пункте 5 части 1 статьи 12 99-ФЗ "О лицензировании отдельных видов деятельности", который прямо говорит о том, что деятельность по дословно "технической защите конфиденциальной информации" подлежит лицензированию. Далее, а почему ПДн вообще являются таковой? Во-первых, есть статья 7 152-ФЗ, одно название которой ("конфиденциальность персональных данных") уже говорит о многом. А есть ещё Указ Президента №188 "Об утверждении перечня сведениц конфиденциального характера" от 06.03.1997, первый пункт в котором гласит: "любые сведения о частной жизни гражданина, а также те, что позволяют идентифицировать его личность, - это ПДн", и они входят в рассматриваемый перечень. Ясно. И последнее: почему деятельность оператора подпадает под ТЗКИ? Потому что делать его это обязывает 152-ФЗ. Вот, собственно, и всё. Казалось бы, вопросов тут быть не может. Вся логика закона чётко прослежена, но не всё так печально как кажетеся на первый взгляд. Перейдём к тем самым вариантам.
Варинт первый и наиболее распространённый - мы защищаем ПДн для собственных нужд (т.е. своих сотрудников и / или своих клиентов), которые обрабатываются исключительно для собственных нужд (или в интересах субъекта ПДн). К нашему великому счастью, 30 мая 2012 года у ФСТЭК на сайте появилось Информационное сообщение № 240/22/2222 "По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации". Его текст доступен, к примеру, в Консультанте. Приводить его здесь не буду (кому интересно, перейдёт по ссылке в предыдущем предложении), скажу лишь смысл: если юр. лицо осуществляет деятельность по ТЗКИ, которая не направлено на получение прибыли, оказание услуг и не содержится в учредительных документах, то получать соответствующую лицензию не обязательно. Соответственно, вариант "для собственных нужд" не требует обязательного получения таковой лицензии. Однако тут есть нюансы.
Что делать, если мы не хотим применять сертифицированные СКЗИ, если пункт 3 части 2 ст. 19 152-ФЗ этого требует? Также этого требует и п.13.г в ПП №1119 : "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Эту самую "необходимость" может определить только тот, кто является экспертом в сфере защиты информации, т.е. имеет лицензию по ТЗКИ. ;) Кроме того, в ПП-1119 содержится требование по составлению модели угроз, в котором есть понятие актуальных угроз 3 типов. Разница в типах - наличие угроз, связанных с недекларированными возможностями в разного рода ПО. Если посмотреть правде в глаза, то НДВ как в прикладном, так и в системном ПО актуальны всегда и для всех. А ведь 1 тип угроз делает нашу ИСПДн неимоверно высокого класса, что влечёт выполнение целой кучи требование по защите. Как же можно решить проблему ухода от 1 и 2 типов актуальных угроз? Варианта два: либо использовать всё системное / прикладное ПО сертифицированное на НДВ (что малореально), либо получить лицензию на ТЗКИ, которая даёт право на проведение таких экспертных оценок. Во всех иных случаях могут возникнуть длительные и малоприятные прерии с регулятором. Как же быть? Всё очень просто. Можно обратиться к лицензиату ФСТЭК по ТЗКИ и попросить их оказать услуги в данном конкретном вопросе (анализе актуальных угроз). Как говорится, дёшево и сердито. :) Вопрос с сертифицированными криптосредствами решается аналогично.
Вариант второй - мы защищаем / обрабатываем ПДн другого юр. лица (его клиентов / сотрудников). Вот тут всё хуже. В соответстии с тем же информационным сообщением ФСТЭК, а также общими юридическими рассуждениями выше, лицензия будет нужна. И вариантов тут нет: либо получать, либо отдать обработку персданных на аутсорсинг лицензиату.
Вариант третий - мы оказываем услуги по защите ПДн (или по ТЗКИ), либо деятельность по защите ПДн прописано в учредительных докуметах. Дуамю, исходя из текста выше, всё понятно. Что касается учредительных документов, то проще, конечно, просто их переделать, чем мучиться со всем вышесказанным. ;)
Важный момент: деятельность по ТЗКИ - это именно проектирование системы защиты (ИС персональных даннных или чего-либо ещё - неважно), т.е. составление модели угроз, выбор элементов СЗИ и т.д.! Сама эксплуатация уже работающей готовой системы, для которой уже всё выбрано и составлены все модели, защитой не является и под лицензируемую деятельность не подпадает! Потому вариант с привлечением лицензиата для проектирования защищённой ИСПДн в "максимально дешёвом" варианте - это, как правило, наиболее выгодно и удобно (если, конечно, говорить об обработке ПДн для собственных нужд).
Вот, собственно, и всё. Думаю, что теперь вопросов по необходимости получения лицензии, дорогие читатели, у Вас больше не возникнет.
С уважением,
Лысяк Александр