8 февраля 2012 г.

Снова про лицензии на ТЗКИ

Получилось многобукв :-(.
Как многие, наверное, знают, 3 ноября 2011 г. вступил в силу Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности». Для деятельности в области информационной безопасности в законе, напомню, было две новости. Как обычно, одна хорошая и одна плохая. Хорошая заключалась в том, что в отношении деятельности по  техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств появилась приписка «за исключением случая, если техническое обслуживание… осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя». А плохая – в том, что для деятельности по технической защите конфиденциальной информации такой приписки не появилось.
Расстроило то, что единственным законом, в котором сохранился термин «конфиденциальная информация», похоже, остался закон о лицензировании. Во всех остальных актах 200-ФЗ 2011 года выжег эти слова каленым железом, заменив на «информацию, в отношении которой установлено требование об обеспечении ее конфиденциальности» и «информацию ограниченного доступа». Правда, не пояснив, чем эти понятия отличаются. Порадовало в 99-ФЗ то, что лицензии стали бессрочными.
Весьма оперативно ФСТЭК подготовила, а Правительство Постановлением от 03.02.2012 № 79 утвердило новое «Положение о лицензировании деятельности по технической защите конфиденциальной информации», заменившее положение 2004 г., утвержденное Постановлением Правительства № 504. По этому поводу уже отпостились А.Лукацкий и А.Бондаренко.
Весьма кстати 7 февраля на пленарке 14-го Инфофорума начальник управления ФСТЭК И.Г.Назаров прокомментировал как новый закон, так и постановление.
Комментарий вкратце сводился к тому, что:
  1. Лицензии теперь бессрочные, но тем, кто получил их до 03.11.2011, по истечении срока действия срочные лицензии придется переоформить.
  2. Переоформление потребуется и при изменении перечня лицензируемых видов деятельности в отношении тех, которые в имеющейся лицензии не указаны. Видами деятельности, указанными в лицензии, можно будет заниматься и без получения новой даже при изменении перечня.
  3. С 1 июля 2012 г. заявку на получение лицензии можно будет направлять в электронном виде.
  4. ФСТЭК разрабатывает новый административный регламент деятельности по лицензированию.
Про собственные нужды и изменение понятия деятельности по ТЗКИ комментариев не было. Как обычно на пленарках Инфофорума, вопросы из зала предусмотрены не были.
Несколько соображений об изменениях в Положении.
В п.1 в скобках дано пояснение, что же такое конфиденциальная информация: не содержащая сведения, составляющие государственную тайну, но защищаемая в соответствии с законодательством Российской Федерации. Таким образом, формально техническая защита сведений с грифом ДСП не лицензируется. Из ГК РФ понятие служебной тайны ушло вместе с исключенной статьей 139, ФЗ «О служебной тайне» Госдумой с рассмотрения снят, а 8-ФЗ 2009 г. категорично и четко определяет (ст.5):
1. Доступ к информации о деятельности госорганов… ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.
2. Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.
Нет закона – нет ограничений. А закона нет.
В определении ТЗКИ «комплекс мероприятий» заменен на «выполнение работ».
В п.4 появился исчерпывающий перечень видов работ и услуг, требующих лицензирования. Сжато:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам (вопросов нет);
б) контроль защищенности конфиденциальной информации от НСД и ее модификации в средствах и системах информатизации (поскольку про собственные нужды нигде нет ни слова, похоже, речь идет о деятельности в рамках эксплуатации ИС – см., например, п.9 части 2 ст.19 ФЗ-152: контроль за принимаемыми мерами по обеспечению безопасности персональных данных);
в) сертификационные испытания;
г) аттестационные испытания и аттестация;
д) проектирование всякого в защищенном исполнении (по пунктам в)-д)), ИМХО, тоже без вопросов);
и самое интересное - пункт
е) установка, монтаж, испытания, ремонт СЗИ (технических СЗИ, защищенных ТСОИ, технических средств контроля эффективности мер защиты информации, программных (программно-технических) СЗИ, защищенных программных (программно-технических) СОИ, программных (программно-технических) средств контроля защищенности информации).
Жирным выделено мною. Получается «Установка программных СЗИ». То бишь, как справедливо пишет А.Бондаренко, антивируса в офисе. И, как справедливо пишет А.Лукацкий, на писюк или ноут вновь принятого на работу. Каждого. Т.е. надо звать лицензиата, чтобы в своей сети негромко чихнуть.
Лицензионные требования изменились незначительно, но знаково.
Индивидуальному предпринимателю, решившему на свой комп поставить антивирус, теперь надо иметь высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование при условии прохождения им переподготовки или повышения квалификации по вопросам технической защиты информации.
Наличие контрольно-измерительного оборудования (прошедшего метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования, соответствующего требованиям по техническим характеристикам и параметрам, устанавливаемым ФСТЭК, теперь требуется не вообще, а для некоторых видов деятельности, но упомянутый пункт е) по-прежнему обуславливается приобретением оборудования.
Контроль защищенности от НСД требует наличия у лицензиата средств контроля, сертифицированных по требованиям безопасности информации, в соответствии с перечнем, утверждаемым ФСТЭК.
Если честно, не понял. Похоже, ФСТЭК утвердит перечень средств контроля, без которых проверять ничего будет нельзя. А может, речь идет просто о существующем перечне сертифицированных СЗИ, но он ведь не утверждается…
Сохранилось требование о наличии автоматизированных систем, аттестованных и (или) сертифицированных по требованиям безопасности информации. Но аттестовать можно только объект информатизации, а не систему. Опять загадка.
Вместо «нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации» теперь требуется техническая документация, национальные стандарты (!) и методические документы, необходимые для выполнения работ и (или) оказания услуг, по-прежнему, в соответствии с перечнем ФСТЭК.
В качестве требования добавилось наличие системы производственного контроля в соответствии с установленными стандартами.
Про стандарты, как в области ИБ, так и производственного контроля, наверное, придется запостить как-нибудь отдельно. Там история, похоже, веселая – см. главу закона «О техническом регулировании».
Добавился порядок переоформления лицензии на новые виды работ и услуг и оказание услуг по адресу, не указанному в лицензии.
Исключены положения, вошедшие в новый закон о лицензировании.
Вроде бы все.
Будем ждать и смотреть. Опять.
Особенно интересна практика правоприменения нового положения в отношении юрлиц, которые никаких услуг по ТЗКИ не оказывают, но защищать информацию должны по закону. Пикантность ситуации в том, что видов информации, в отношении которой законами ограничен доступ, по разным оценкам у нас от 30 до 50. В том числе всякие там адвокатские, аудиторские, нотариальные и прочие тайны, тайны связи в телекоме и т.д. Ну, и конечно, персональные данные. 

4 комментария:

  1. Если дойдет до выкручивания рук и угрозы приостановления деятельности или принято решение получать лицензию, то лучше учредить ООО "Лицензиат" - услуги по ТЗКИ без пункта д), но можно и с ним. Из минусов вижу только затраты на офрмление. Плюсы:
    - ч.5 п. д) - я не обрабатываю КИ и таких систем у меня нет, я оказываю услуги, а если даже потребуется, то аттестовать ОИ из одного компа попроще, чем сложную систему;
    - появится возможность покупать несертифицированные продукты и сертифицировать у себя, то же с аттестацией - экономия;
    - могу оказывать услуги на стороне - отбиваю затраты на лицензирование;
    - невозможно приостановить основную деятельность за нарушения в области ЗИ.
    В общем сам себе аутсорсер.

    ОтветитьУдалить
  2. Да, нормальный путь. Им идут многие крупные холдинги.

    ОтветитьУдалить
  3. А как же п.4 99-ФЗ?
    "К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции".

    ОтветитьУдалить
  4. Не знаю. Это к законодателям и регуляторам

    ОтветитьУдалить