Я думаю эта тема будет интересна многим, так как встречается достаточно много вопросов по поводу необходимости лицензии на проведение мероприятий по защите персональных данных.
Многие думают что лицензия на ТЗКИ не нужна, если все работы по защите конф. информации делаются так сказать для "себя". Но это ошибка, лицензия необходима.
|
|
||
|
|
|
|
Сообщений в теме: 61
#3
Отправлено 17 August 2010 - 17:25
1. Персональные данные - конфиденциальная информация (Указ Президента РФ №188 от 6 марта 1997).
2. Техническая защита конфиденциальной информации - лицензируемый вид деятельности (Закон РФ №128 "О лицензировании отдельных видов деятельности) от 8 августа 2001 года).
3. Оператор ПДн может не быть лицензиатом по ТЗКИ, если он не оказывает услуги и не разрабатывает. Для разработки защиты ИСПДн требуется лицензия по ТЗКИ (ПП 504 от 15 августа 2006 "О лицензировании деятельности по технической защите конфиденциальной информации").
Так что оператору ПДн надо определиться либо самому получить лицензию, либо привлечь лицензиата.
Добавлено немного позже:
Вообще очень подробно об этом есть в этой статье.
2. Техническая защита конфиденциальной информации - лицензируемый вид деятельности (Закон РФ №128 "О лицензировании отдельных видов деятельности) от 8 августа 2001 года).
3. Оператор ПДн может не быть лицензиатом по ТЗКИ, если он не оказывает услуги и не разрабатывает. Для разработки защиты ИСПДн требуется лицензия по ТЗКИ (ПП 504 от 15 августа 2006 "О лицензировании деятельности по технической защите конфиденциальной информации").
Так что оператору ПДн надо определиться либо самому получить лицензию, либо привлечь лицензиата.
Добавлено немного позже:
Вообще очень подробно об этом есть в этой статье.
#4
Отправлено 18 August 2010 - 12:34
alexforce
Персональные данные - конфиденциальная информация
Небольшая накладка - по 188 Указу не "конфиденциальная информация", а "информация конфиденциального характера"
И с 2006 года в РФ нет законодательно закрепленного термина "конфиденциальная информация" - есть "информация ограниченного распространения" (куда входит в том числе ГТ)
Т.ч. как можно вообще лицензировать защиту того, чего нет
#5
Отправлено 18 August 2010 - 13:42
1. Персональные данные - конфиденциальная информация (Указ Президента РФ №188 от 6 марта 1997).
2. Техническая защита конфиденциальной информации - лицензируемый вид деятельности (Закон РФ №128 "О лицензировании отдельных видов деятельности) от 8 августа 2001 года).
3. Оператор ПДн может не быть лицензиатом по ТЗКИ, если он не оказывает услуги и не разрабатывает. Для разработки защиты ИСПДн требуется лицензия по ТЗКИ (ПП 504 от 15 августа 2006 "О лицензировании деятельности по технической защите конфиденциальной информации").
Так что оператору ПДн надо определиться либо самому получить лицензию, либо привлечь лицензиата.
Добавлено немного позже:
Вообще очень подробно об этом есть в этой статье.
Г-н Шмелев, вы и до этого форума добрались? Проявляете завидную активность. Я, конечно, понимаю, что перевод с должности начальника отдела защиты информации на должность директора по развитию обязывает развить имитацию бурной деятельности, но две статьи и три флэйма в трех профессиональных форумах за неполных две рабочие недели - это чересчур. Рискуете перенапрячь пиарную железу
Для начала рекомендую изучить матчасть и убедиться, что, согласно ФЗ-152, ПД могут быть как конфиденциальными, так и общедоступными, а защита ПД не сводится к обеспечению их конфиденциальности. Поэтому ваша ссылка на указ Президента несостоятельна, что, в свою очередь, делает несостоятельными остальные ваши выводы.
З.Ы. "Я не злопамятный, я просто злой, и память у меня хорошая" © В следующий раз советую как следует подумать, прежде чем употреблять выражения "любопытствующие IT-специалисты, безработные выпускники факультетов защиты информации, да и просто «прохожие»" в адрес своих оппонентов.
Сообщение отредактировал malotavr: 18 August 2010 - 13:50
#6
Отправлено 18 August 2010 - 15:38
бросте мне в личку пожалуйста ссылки на эти ресурсыВ следующий раз советую как следует подумать, прежде чем употреблять выражения "любопытствующие IT-специалисты, безработные выпускники факультетов защиты информации, да и просто «прохожие»" в адрес своих оппонентов.
) с удовольствием поитаю.
#7
Отправлено 19 August 2010 - 15:32
Г-н Шмелев, вы и до этого форума добрались?
Дмитрий, Вы же статью прочли невнимательно. Упускаете ключевые вещи. Ну да, Вам же некогда, надо руководить коллективом из 11-100 человек... Статью же писал профессиональный юрист со специализацией в сфере информационного права. Вам, кстати, эти знания тоже не помешали бы.
Начальником отдела я был еще тогда, когда Вы стали обладателем девстенно чистой зачетки.... А директором по развитию четвертый год.
#8
Отправлено 19 August 2010 - 19:53
1:1
Совсем другое дело. Вы, когда дискуссию на форуме провоцируете, не стесняйтесь делать это от своего имени. Безымянный alexforce - не та фигура, с которой стоит обсуждать нестыковки в вашей статье. Ваши оппоненты, во всяком случае, предпринимают определенные усилия для того, чтобы не быть анонимными. Мой профиль в МоемКруге вы нашли без труда, Toparenko, Лукацкий, Травкин, Волчинская - тоже вполне определенные личности. А вы их всех скопом в дилетанты определили.
Я так понимаю, что под специализацией в сфере информационного права вы имеете в виду службу в УСТМ? Но мы с вами прекрасно знаем, что деятельность УСТМ и порождаемые ею знания и опыт крайне слабо пересекаются с обсуждаемыми вопросами. А правоприменительная практика показывает полную несостоятельность ваших выводов.
Федеральными законами установлено множество видов конфиденциальной информации. К примеру, статья 10 ФЗ "О бухгалтерском учете" относит к конфиденциальной информации сведения, содержащиеся в регистрах бухгалтерского учета, причем не просто к конфиденциальной информации, а к сведениям, составляющим коммерческую тайну организации. ФЗ "О коммерческой тайне", как мы с вами помним, устанавливает обязанность организации принять определенные меры защиты от несанкционированного доступа, исключающие случайное ознакомление с охраняемыми сведениями.
Следуя вашим умозаключениям, начиная с 2006 года, все без исключения юридические лица обязаны получать лицензии на ТЗКИ для приведения своих бухгналтерских систем в соответствие с требованиями по защите коммерческой тайны. Однако за неполные 4 года существования этого вида лицензирования ни одна проверка, проводимая территориальными управлениями ФСТЭК, не указала на отсутствие подобной лицензии как на нарушение законродательства. Это как бы намекает нам на то, что и в части лицензирования защиты персональных данных ваши выводы не соответствуют правоприменительной практике.
И найти ошибку в вашей статье не так сложно. Лицензия есть специальное разрешение, на основании которого лицо получает право заниматься определенной деятельностью. Это общее правило, распространяющееся, в частности, на деятельность по защите конфиденциальной информации. Но есть специальные нормы, которые касаются отдельных видов конфиденциальной информации - государственной тайны, персональных данных и т.п. Эти императивые нормы устанавливают безусловную (в том числе - не зависящую от дополнительных разрешений) обязанность соответствующих лиц осуществлять деятельность по защите информации, и в случае этих видов конфиденциальной информации применяются именно они, а не общие нормы ФЗ "О лицензировании...".
Кстати, очень забавно выглядит утверждение о том, что инспекционный контроль выполнения лицензионных требований "гарантирует надлежащую защиту конфиденциальной информации". Это неправда, и вы это знаете. ФЗ-152 предусматривает отдельную процедуру контроля исполнения требований по защите ПД, этот контроль выполняется отдельным структурным подразделением ФСТЭК России, регулируется отдельным набором нормативных документов и никак не связан с контролем лицензируемой деятельности.
Совсем другое дело. Вы, когда дискуссию на форуме провоцируете, не стесняйтесь делать это от своего имени. Безымянный alexforce - не та фигура, с которой стоит обсуждать нестыковки в вашей статье. Ваши оппоненты, во всяком случае, предпринимают определенные усилия для того, чтобы не быть анонимными. Мой профиль в МоемКруге вы нашли без труда, Toparenko, Лукацкий, Травкин, Волчинская - тоже вполне определенные личности. А вы их всех скопом в дилетанты определили.
Статью же писал профессиональный юрист со специализацией в сфере информационного права.
Я так понимаю, что под специализацией в сфере информационного права вы имеете в виду службу в УСТМ? Но мы с вами прекрасно знаем, что деятельность УСТМ и порождаемые ею знания и опыт крайне слабо пересекаются с обсуждаемыми вопросами. А правоприменительная практика показывает полную несостоятельность ваших выводов.
Федеральными законами установлено множество видов конфиденциальной информации. К примеру, статья 10 ФЗ "О бухгалтерском учете" относит к конфиденциальной информации сведения, содержащиеся в регистрах бухгалтерского учета, причем не просто к конфиденциальной информации, а к сведениям, составляющим коммерческую тайну организации. ФЗ "О коммерческой тайне", как мы с вами помним, устанавливает обязанность организации принять определенные меры защиты от несанкционированного доступа, исключающие случайное ознакомление с охраняемыми сведениями.
Следуя вашим умозаключениям, начиная с 2006 года, все без исключения юридические лица обязаны получать лицензии на ТЗКИ для приведения своих бухгналтерских систем в соответствие с требованиями по защите коммерческой тайны. Однако за неполные 4 года существования этого вида лицензирования ни одна проверка, проводимая территориальными управлениями ФСТЭК, не указала на отсутствие подобной лицензии как на нарушение законродательства. Это как бы намекает нам на то, что и в части лицензирования защиты персональных данных ваши выводы не соответствуют правоприменительной практике.
И найти ошибку в вашей статье не так сложно. Лицензия есть специальное разрешение, на основании которого лицо получает право заниматься определенной деятельностью. Это общее правило, распространяющееся, в частности, на деятельность по защите конфиденциальной информации. Но есть специальные нормы, которые касаются отдельных видов конфиденциальной информации - государственной тайны, персональных данных и т.п. Эти императивые нормы устанавливают безусловную (в том числе - не зависящую от дополнительных разрешений) обязанность соответствующих лиц осуществлять деятельность по защите информации, и в случае этих видов конфиденциальной информации применяются именно они, а не общие нормы ФЗ "О лицензировании...".
Кстати, очень забавно выглядит утверждение о том, что инспекционный контроль выполнения лицензионных требований "гарантирует надлежащую защиту конфиденциальной информации". Это неправда, и вы это знаете. ФЗ-152 предусматривает отдельную процедуру контроля исполнения требований по защите ПД, этот контроль выполняется отдельным структурным подразделением ФСТЭК России, регулируется отдельным набором нормативных документов и никак не связан с контролем лицензируемой деятельности.
Сообщение отредактировал malotavr: 19 August 2010 - 19:59
#9
Отправлено 19 August 2010 - 20:21
malotavr
Вы считаете, что лицензия на ТЗКИ не нужна, если обработка ПД осуществляется "для себя"?
Вы считаете, что лицензия на ТЗКИ не нужна, если обработка ПД осуществляется "для себя"?
#10
Отправлено 19 August 2010 - 20:38
1:1
Совсем другое дело. Вы, когда дискуссию на форуме провоцируете, не стесняйтесь делать это от своего имени. Безымянный alexforce - не та фигура, с которой стоит обсуждать нестыковки в вашей статье. Ваши оппоненты, во всяком случае, предпринимают определенные усилия для того, чтобы не быть анонимными.
Прелестно. Алексей - вполне вменяемый, живой человек. Специалист по ЗИ. Аспирант. Под специализацией в сфере информационного права я имею ввиду высшее юридическое образование и соответствующий опыт работы. Не мой, хотя в этом вопросе и моего бы хватило. Я то знаю, какие знания и опыт порождает госслужба, в т.ч. в УСТМ. Вам то откуда это знать? "МЫ ЗНАЕМ..." Нуну. "Дед, ты на войне был?" "Ну." "Что НУ?". "Ну.. не был..."
Елена Константиновна со мной в трактовке норм согласна, кстати, и это мы с ней решили давным-давно. А давайте ее спросим в Сочи 7 сентября? И тут вот изложим ее точку зрения? Моим умозаключениям можно не следовать, достаточно простой, внятной, явной связки - ФЗ128, ПП 504. ПРо бухучет я ничего не говорил, а способность делать совершенно нелогичные выводы из логичных предпосылок - это признак гениальности, поздравляю Вас.
Относительно неправильности в статье - что ж, пусть Вам ответит юрист но я догадываюсь о том, что он скажет. Вы бы и правда.. это... подучились? Человек без ВО в профессиональной сфере (юриспруденция) напоминает женщину, которая пришла в театр без трусиков. Стремно, неловко, вроде никто не видит, а она то сама комплексует.
Опыта госслужбы вам тоже не хватает. Да и опыта участия в процессе. Сходите в процесс? Узнаете много нового :-)
Кстати, а зачем Вам эти форумы, дискуссии? Вы же все знаете? А.. Да.. недавно назначены.. надо зарекомендовать...
Добавлено немного позже:
Это не мне вопрос был, но удержаться не могу. И догадываюсь о подтексте Вашего вопроса. Я бы его расширил, вопрос. Что это такое "для СЕБЯ", "для СВОИХ нужд"? что это за НУЖДЫ? Чем они вызваны? Иначе ответ покатится по прежней натоптанной колее.Вы считаете, что лицензия на ТЗКИ не нужна, если обработка ПД осуществляется "для себя"?
Сообщение отредактировал Шмелев: 19 August 2010 - 20:35
#11
Отправлено 19 August 2010 - 20:57
И найти ошибку в вашей статье не так сложно.
Кстати, очень забавно выглядит утверждение о том, что инспекционный контроль выполнения лицензионных требований "гарантирует надлежащую защиту конфиденциальной информации".
Еще раз проверил. Где Вы вообще нашли в статье слова "инспекционный контроль" и "гарантирует"? Почему Вам стало ЗАБАВНО от утверждений, которых нет в статье?
Если Вы не употребляете никаких препаратов, СРОЧНО советую начинать их употреблять.
#12
Отправлено 19 August 2010 - 21:03
Елена Константиновна со мной в трактовке норм согласна, кстати, и это мы с ней решили давным-давно. А давайте ее спросим в Сочи 7 сентября? И тут вот изложим ее точку зрения?
Вас в детстве не учили, что обманывать нехорошо?
"Регулирующие органы, руководствуясь таким определением лицензируемого вида деятельности, выдвигают требование получения потенциальными операторами лицензии на техническую защиту конфиденциальной информации даже в тех случаях, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений), что не вытекает из положений Закона о персональных данных и не соответствует духу Федерального закона «О лицензировании отдельных видов деятельности»." (Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2).
ПРо бухучет я ничего не говорил, а способность делать совершенно нелогичные выводы из логичных предпосылок - это признак гениальности, поздравляю Вас.
Что-нибудь по существу ответить можете? Можете привести пример, котором на лицо было наложено взыскание за исполнение обязанности по защите конфиденциальной информации без наличия лицензии на ТЗКИ?
Относительно неправильности в статье - что ж, пусть Вам ответит юрист но я догадываюсь о том, что он скажет.
Учитывая процитированный выше ответ, от встречного выпада воздержуcь
Кстати, а зачем Вам эти форумы, дискуссии? Вы же все знаете? А.. Да.. недавно назначены.. надо зарекомендовать...
Вилите ли, я очень хорошо осознаю пределы своей компетенции. Дискуссии в форумах позволяют понять и устранить ошибки в собственных представлениях о предметной области. При условии, что оппонент действительно объективно разбирается в этой области, а не занимается подгоном задачи под ответ, исполняя свою трудовую функцию
Что это такое "для СЕБЯ", "для СВОИХ нужд"? что это за НУЖДЫ? Чем они вызваны? Иначе ответ покатится по прежней натоптанной колее.
Вот в Сочи у Елены Константиновны и спросите, что она имела в виду под "для собственных нужд"
#13
Отправлено 19 August 2010 - 21:03
Шмелев и malotavr
Пожалуйста, прекратите мелкие выпады в адрес друг друга... или по существу аргументированно или вообще не нужно, а то не только читать противно, но еще и форум засоряете.
Пожалуйста, прекратите мелкие выпады в адрес друг друга... или по существу аргументированно или вообще не нужно, а то не только читать противно, но еще и форум засоряете.
#14
Отправлено 19 August 2010 - 21:23
Еще раз проверил. Где Вы вообще нашли в статье слова "инспекционный контроль" и "гарантирует"? Почему Вам стало ЗАБАВНО от утверждений, которых нет в статье?
Если Вы не употребляете никаких препаратов, СРОЧНО советую начинать их употреблять.
Цитирую: "Именно наличие лицензии на деятельность по ТЗКИ является ... и гарантирует надлежащую защиту конфиденциальной информации."
1. Если что-то и гарантирует надлежащую защиту, то не наличие лицензии (сиречь разрешения), а выполнение лицензионных требований, под которые это разрешение дается. Так вот Правительство почему-то не считает наличие такого разрешения гарантией и предусматривает лицензионный (да, я тоже иногда ошибаюсь, лицензионный, а не инспекционный) контроль - правда ли лицензиат надлежащим образом осуществляет свою деятельность.
2. Законодатель считает, что лицензий и существующего лицензионного контроля недостаточно для гарантий надлежащей защиты ПД, и в части 3 статьи 19 ФЗ-142 отдельно поручил ФСТЭК и ФСБ осуществлять еще контроль выполнения требований безопасности всеми операторами - и лицензиатами в том числе. Во ФСТЭК за лицензионный и инспекционный контроль отвечают два разных подразделения.
Сообщение отредактировал malotavr: 19 August 2010 - 21:26
#15
Отправлено 19 August 2010 - 21:39
Да, Дмитрий, тут вот Платоша нас останавливает, вполне справедливо.
Да, я тоже усовестился.
цитаты из моей статьи Вы взяли не из моей статьи, но на это мое недоумение не прореагировали;
http://www.fz152.ru/...article003.html
"Необходимость лицензии ФСТЭК на ТЗКИ при выполнении работ по защите ПДн"
Шмелев Павел Владимирович
директор по развитию ООО «НИЦ «ФОРС»
свою позицию Е.К излагала мне устно
Я далек от мысли о том, что Елена Константиновна пишет одно, а вслух говорит другое. Неправомерность требования об обязательном лицензирования ТЗКИ прослеживается в ее публикациях как минимум с 2006 г., собственно с ее статей я и начал разбираться. Кроме того, она не единственный советник аппарата госдумы, придерживающийся той же позиции.
(а, кстати, я и не знал, что Вы верите всему что НАПИСАНО в несуществующих изданиях);
Электронный журнал "Персональные данные"
http://www.privacy-journal.ru/
Свидетельство о регистрации средства массовой информации. Эл №ФС77-33721 от 26 сентября 2008 г.
Зная, как СМИ согласовывают текст авторских публикаций, не вижу оснований сомневаться в авторстве и неизменности авторского текста.
меня научили, что обманывать - нужно учиться, это наука (иногда и профессия)!
Ню-ню
#16
Отправлено 19 August 2010 - 21:42
Я тут подумал, и удалил свое предыдущее сообщение как не выдержанное. Дмитрий, мне нравится логика и ход Ваших мыслей. Платоша нас справедливо призывает отделить зерна от плевел.
Я поясню по статье. Задача статьи (этой, другой, ЛЮБОЙ) - это побуждение к размышлению. В ней и должны быть спорные тезисы. Это точка зрения (тезис), ожидающая антитезис. Слившись в пароксизме, они порождают СИНТЕЗ (прошу прощение за остатки университетских познаний в философии).
Предполагается (по мнению государства) что через институт лицензирования оно (государство) и обеспечивает контроль и надзор, гарантируя (это слово такое, а не документ с печатью) то, что должно (в соответствии с Конституцией) гарантировать. Право на труд, образование, на защиту личной тайны и пр. И через процедуру выдачи лицензий, и через контроль лицензиатов (что, в общем то, одно и то же). Если это не работает через институт лицензирования - то не надо пинать лицензиатов, надо пинать механизмы лицензирования, контроля и надзора.
Я поясню по статье. Задача статьи (этой, другой, ЛЮБОЙ) - это побуждение к размышлению. В ней и должны быть спорные тезисы. Это точка зрения (тезис), ожидающая антитезис. Слившись в пароксизме, они порождают СИНТЕЗ (прошу прощение за остатки университетских познаний в философии).
Предполагается (по мнению государства) что через институт лицензирования оно (государство) и обеспечивает контроль и надзор, гарантируя (это слово такое, а не документ с печатью) то, что должно (в соответствии с Конституцией) гарантировать. Право на труд, образование, на защиту личной тайны и пр. И через процедуру выдачи лицензий, и через контроль лицензиатов (что, в общем то, одно и то же). Если это не работает через институт лицензирования - то не надо пинать лицензиатов, надо пинать механизмы лицензирования, контроля и надзора.
#17
Отправлено 19 August 2010 - 21:52
malotavr
Прочитал, но только не увидел никаких правовых доводов в защиту позиции, озвученной г-жой Волчинской. Может Вам они известны?Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2
#18
Отправлено 19 August 2010 - 22:03
Она отважный человек, который практически в одиночку сражается от имени Комитета со всей ГД. Оставим это, т.к. она все же - госслужба, а это, "как МЫ знаем..." Она высказалась. Значит, мы имеем вот этакую ситуацию. Регуляторы требуют, но это "противоречит духу". На что должны ориентироваться операторы? На "дух"? Или на требования регуляторов? Вы что бы посоветовали широкому кругу лиц (доверчивых операторов)?Я далек от мысли о том, что Елена Константиновна пишет одно, а вслух говорит другое.
Добавлено немного позже:
Мне - нет. Статья слишком экстрактная. Я думаю, что Е.К. дает так понять законодателю (и регуляторам), что он уж слишком перемудрил, и надо дать вздохнуть операторам, у которых не набиты карманы деньгами. Никто же не сомневается, что Е.К. не просто юрист, а лицо, консультирующее политиков?Прочитал, но только не увидел никаких правовых доводов в защиту позиции, озвученной г-жой Волчинской. Может Вам они известны?
#19
Отправлено 19 August 2010 - 22:19
malotavr
Вы считаете, что лицензия на ТЗКИ не нужна, если обработка ПД осуществляется "для себя"?
Это непростой вопрос. Например, я однозначно считаю, что лицензия на ТЗКИ не нужна. если даже сама обработка ПД является обязаностью оператора (кадровый учет, бухгалтерский учет, банковские операции и т.п.). Но есть спорные ситуации, например, когда сама обработка ПД является возмездным оказанием услуг. В подобной ситуации я бы сказал, что лицензия скорее нужна, чем нет, хотя ряд экспертов считает, что даже в этом случае она не нужна.
Но в трактовке Павла Владимировича лицензию на ТЗКИ должны получить все без исключения юидические лица, а на эту тему я полностью согласен с Волчинской.
#20
Отправлено 19 August 2010 - 22:44
Заметьте - не на эксплуатацию ИСПДн, не на эксплуатацию СЗ ИСПДн, а на деятельность по ТЗКИ при реализации ст. 19 ФЗ. Да, пока оно (по моему мнению) обстоит так. НЕ утверждаю, что это логично, справедливо и (что главное) экономически целесообразно. Утверждаю лишь, что вот так оцениваю в совокупности все нормы. Правильным бы было ввести иной порядок (но - ВВЕСТИ, внятно, недвусмысленно) - основываясь на практике СРО, или придумав иные виды лицензий с облегченным порядком получения, или разграничив контроль над государственными и иными инфоресурсами, или установив понятные механизмы (и контроль за ними) декларирования соответствия, или еще как то.Но в трактовке Павла Владимировича лицензию на ТЗКИ должны получить все без исключения юидические лица, а на эту тему я полностью согласен с Волчинской.
#21
Отправлено 19 August 2010 - 23:09
Я поясню по статье. Задача статьи (этой, другой, ЛЮБОЙ) - это побуждение к размышлению. В ней и должны быть спорные тезисы. Это точка зрения (тезис), ожидающая антитезис. Слившись в пароксизме, они порождают СИНТЕЗ (прошу прощение за остатки университетских познаний в философии).
Полностью с вами согласен. Собственно, ради этого я и встреваю в дискуссии по интересующим меня вопросам.
Предполагается (по мнению государства) что через институт лицензирования оно (государство) и обеспечивает контроль и надзор, гарантируя (это слово такое, а не документ с печатью) то, что должно (в соответствии с Конституцией) гарантировать. Право на труд, образование, на защиту личной тайны и пр. И через процедуру выдачи лицензий, и через контроль лицензиатов (что, в общем то, одно и то же).
Минутку. Вы ушли в принципы регулирования. Ради бога, но это уведет нас от существа обсуждаемого вопроса.
Лицензирование - инструмент государственного регулирования, имеющий ограничение, явно указанное в статье 4 ФЗ:
К лицензируемым видам деятельности относятся виды деятельности, ... регулирование которых не может осуществляться иными методами, кроме как лицензированием.
Регулирование деятельности по защите конфиденциальной информации вообще действительно подпадает под это ограничение, поскольку защита большинства конфиденциальных (в терминах 149-ФЗ) сведений никак не регулируется. Однако деятельность по защите персональных данных регулируется, как минимум, одним ФЗ и двумя принятыми в его исполнение постановлениями правительства. При этом ФЗ устанавливает и порядок разработки требований, и порядок контроля их выполнения.
Поэтому на этом уровне рассмотрения проблемы считаю несостоятельным тезис о сущности лицензирования как государственной гарантии прав субъектов персональных данных, установленных федеральным законом и международными договорами РФ.
Антитезисом является является широко распространенное мнение о том, что лицензирование в рамках ФЗ-128 является инструментом регулирования исключительно предпринимательской деятельности. По утверждению Елены Константиновны, такой позиции в своих разъяснениях придерживается комитет государственной думы по собственности. Однако я этих разъяснений не читал, а собственных правовых доводов в защиту этой позиции не имею.
Так что, если мы стремимся к синтезу, придется признать, что ни одно из двух полярных мнений не является безусловно правильным, и вопрос отнюдь не так однозначен и очевиден, как вы утверждаете в статье.
Добавлено немного позже:
malotavr
Прочитал, но только не увидел никаких правовых доводов в защиту позиции, озвученной г-жой Волчинской. Может Вам они известны?Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2
Правовые доводы изложены здесь
Волчинская Е.К. Роль государства в обеспечении информационной безопасности // Информационное право. 2008. N 4
Эти доводы, в свою очередь, растут отсюда
Волчинская Е.К. Замечания к Федеральному закону "О лицензировании отдельных видов деятельности" // Юридический мир. - М.: Дело и Право, 1998, № 7
Добавлено немного позже:
Заметьте - не на эксплуатацию ИСПДн, не на эксплуатацию СЗ ИСПДн, а на деятельность по ТЗКИ при реализации ст. 19 ФЗ.
Я бы с радостью поддержал это утверждение, но оно не соответствует определению ТЗКИ, данному в трижды проклятом всеми, кем только можно, 504-ом постановлении.
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите...
На некорректность выделенной формулировки пеняют все, включая сотрудников 2-го управления ФСТЭК. Из формулировки следует, что эксплуатация средств защиты (обновление антивирусов и их установка на новые рабочие места, перенатройка файрволов, анализ защищенности информационных ресурсов и даже анализ журналов аудита) являются частью лицензируемого вида деятельности как мероприятия по защите.
Поэтому, если мы говорим "а", то мы вынуждены сказать и "б"
Да, пока оно (по моему мнению) обстоит так. НЕ утверждаю, что это логично, справедливо и (что главное) экономически целесообразно. Утверждаю лишь, что вот так оцениваю в совокупности все нормы. Правильным бы было ввести иной порядок (но - ВВЕСТИ, внятно, недвусмысленно) - основываясь на практике СРО, или придумав иные виды лицензий с облегченным порядком получения, или разграничив контроль над государственными и иными инфоресурсами, или установив понятные механизмы (и контроль за ними) декларирования соответствия, или еще как то.
Именно в этом направлении коллегами и ведется работа, как в части Резниковского законопроекта, так и в части совершенствования нормативной и методической базы информационной безопасности.
Сообщение отредактировал malotavr: 19 August 2010 - 23:10
#22
Отправлено 19 August 2010 - 23:54
Статью же писал профессиональный юрист со специализацией в сфере информационного права. Вам, кстати, эти знания тоже не помешали бы.
Г=н Шмелев, а на вс литературные рабы работают? В соавторах юриста вроде как и нет. Так может вы зря с Malotavrom рубитесь и пеняете что он не юрист. Вы вроде тоже. Так может и вы находитесь под влиянием чужого видения проблемы, в едь как "автору" приходится все это защищать.
#23
Отправлено 20 August 2010 - 00:36
Почитал я вот эту дискуссию. По моему это разговор слепого с глухим.
Все же прекрасно понимают, что работа по ТЗКИ это бизнес. Поэтому бесполезно спорить с лицензиатами, какие бы убедительные аргументы не приводились бы.
Пока государство КОНКРЕТНО не установит правила игры, такие споры будут продолжаться.
Надеюсь на здравый смысл государства (немного оптимизма все же осталось ). Ну не потянет просто большинство предприятий услуги лицензиатов и тем более получеине лицензии. Ну зачем булочной анализатор спектра или Ревизор. А ведь надо, ПДн работников наверное во всех организациях обрабатывается.
Да и что лицензиаты, которые даже при 100% аутсорсе гарантию конфиденциальности защищаемых сведений не дадут. Зачем тогда все это (если только не считать это просто бизнесом).
Забота о субъектах ПДн? Да бросте вы. Все прекрасно все понимают.
И если работодатель заинтересован в защите своей информации, то он просто наймет хорошего спеца, который сделает все не хуже, а может и лучше лицензиата.
Аудит состояния защиты (не проверка регулятора), тут я согласен, вещь может быть полезной, когда твой труд оценят (и проверят) сторонние спецы.
Все же прекрасно понимают, что работа по ТЗКИ это бизнес. Поэтому бесполезно спорить с лицензиатами, какие бы убедительные аргументы не приводились бы.
Пока государство КОНКРЕТНО не установит правила игры, такие споры будут продолжаться.
Надеюсь на здравый смысл государства (немного оптимизма все же осталось ). Ну не потянет просто большинство предприятий услуги лицензиатов и тем более получеине лицензии. Ну зачем булочной анализатор спектра или Ревизор. А ведь надо, ПДн работников наверное во всех организациях обрабатывается.
Да и что лицензиаты, которые даже при 100% аутсорсе гарантию конфиденциальности защищаемых сведений не дадут. Зачем тогда все это (если только не считать это просто бизнесом).
Забота о субъектах ПДн? Да бросте вы. Все прекрасно все понимают.
И если работодатель заинтересован в защите своей информации, то он просто наймет хорошего спеца, который сделает все не хуже, а может и лучше лицензиата.
Аудит состояния защиты (не проверка регулятора), тут я согласен, вещь может быть полезной, когда твой труд оценят (и проверят) сторонние спецы.
#24
Отправлено 20 August 2010 - 15:43
malotavr
Я правильно понял позицию г-жи Волчинской, что ПД не являются конфиденциальной информацией, а потому их защита не попадает под "деятельность по технической защите конфиденциальной информации"?Правовые доводы изложены здесь
Волчинская Е.К. Роль государства в обеспечении информационной безопасности // Информационное право. 2008. N 4
#25
Отправлено 20 August 2010 - 16:30
Я правильно понял позицию г-жи Волчинской, что ПД не являются конфиденциальной информацией, а потому их защита не попадает под "деятельность по технической защите конфиденциальной информации"?
Нет, конфиденциальность персональных данных (право их обладателя требовать их нераспространения) никто не отрицает. Она видит проблему в том, что буква постановления правительства противоречит букве и духу федеральных законов. И это противооречие приводит к различного рода колизиям законодательством. Орингинал:
"Хотелось бы остановиться на одной из позиций перечня: «деятельность по технической защите конфиденциальной информации», под которой, согласно Постановлению Правительства РФ от 15 августа 2006 г. N 504, понимается «комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней». Указанная в постановлении конкретизация лицензируемого вида деятельности позволяет предъявлять соответствующие требования не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, например, информацию, составляющую коммерческую тайну. Таким образом, требования данного постановления могут распространяться на всех юридических лиц, занимающихся предпринимательской деятельностью, что противоречит положениям статьи 4 Федерального закона «О лицензировании отдельных видов деятельности», устанавливающей критерии определения лицензируемых видов деятельности. В соответствии со ст. 4 «к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием». Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю коммерческой тайны." (Е.К. Волчинская, "Роль государства в обеспечении информационной безопасности").
В приведенном ею примере коммерческой тайны некоректно сформулированная норма постановления Правительства ограничивает установленое ГК и ФЗ "О коммерческой тайне" право предпринимателя защищать свою коммерческую тайну (не можете защищать, пока не получите лицензию), и ограничивает установленную ФЗ "Об информации, информационных сехнологиях и о защите информации" свободу выбора не противоречащих законодательству методов ограничения доступа к ней (вы обязаны следовать лицензионным требованиям, обязывающим вас выполнять требования архаичных методических документов ФСТЭК, при наличии альтернативных, правомерных и более эффективных методов защиты).
В случае с ПД и государственной тайной эта же норма вступает в противоречие со статьей 4 ФЗ "О лицензировании отдельных видов деятельности", согласно которому лицензирование применяется только в отсутствие иных механизмов государственного регулирования.
При этом в обоих случаях буквальное применение этой нормы сужает установленные статьей 49 ГК РФ пределы правоспособности юридического лица, запрещая ему ведение хозяйственной деятельности и не требующей лицензирования предпринимательской деятельности до получения лицензии на ТЗКИ.
Сообщение отредактировал malotavr: 20 August 2010 - 16:40
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
