Сижу изучаю вопрос о лицензирования деятельности по технической защите конфиденциальной информации.
И не могу понять, на кого он распространяется.
Допустим мы банк, который сам хочет защитить свою инфу и инфу о своих клиентах.
Нужно ли ему для этого получать лицензию?
Объясню, что меня смущает.
Лицензируется обычно какой-либо вид деятельности. В моем случае назвать это каким-либо отдельным видом деятельности язык не поворачиается, потому как эти мероприятия направлены вовнутрь банка, а не вне его.
Если все же кому-либо кажется, что это отдельный вид деятельности, то по такому пути можно прийти к выводу о том, что разговор с потенциальным клиентом по телефону - тоже отдельный вид деятельности. Короче, это не входит в перечень видов деятельности банка.
Но формулировки постановления правительства от 30.04.2002 №290 и фз о лицензировании ответа на эти вопросы не дают.
Помогите разобраться, пжлст
|
|
||
|
|
|
|
Сообщений в теме: 18
#2
-Гость-
Отправлено 17 August 2006 - 15:22
Как вы думаете, если вы будете строить для себя дома, то необходима ли вам будет лицензия на строительство и проектирование.
#3
Отправлено 17 August 2006 - 15:48
Вопрос интересный.
Чтобы ответить на него, необходимо проанализировать весь Закон, и установить общий подход к проблеме "собственных нужд", из которого исходит законодатель.
Если посмотреть на то, как сформулированы другие виды деятельности, подлежащие лицензированию, то станет понятно, что по умолчанию деятельность для собственных нужд также подледжит лицензированию. См., например, пп.71 и 84, где специально оговорено, что не подлежит лицензированию деятельность для собственных нужд.
Исходя из этого, получается, что деятельность по технической защите конфиденциальной информации, для каких бы нужд она не осуществлялась, подлежит лицензированию.
Здесь, кстати, обращает на себя внимание тот факт, что в постановлении Правительства РФ текст закона "передернут". Вместо "деятельности по технической защите конфиденциальной информации" там говориться о "деятельности по разработке и (или) производству средств защиты конфиденциальной информации". Таким образом, постановление сужает сферу применения закона (правомерно ли?), и лицу не требуется лицензии для установления технической защиты, а только для разработки и/или производству средств этой защиты. Иными словами, применять кем-то разработанные и произведенные средства защиты можно без лицензии (что, в общем-то, справедливо).
В таком узком смысле лицу, которое само разрабатывает средства защиты, и само же их применяет, лицензия все-таки потребуется.
Это, что касается формальной стороны дела. Но есть и не формальная сторона. Дело в том, что не всякая деятельность может быть признана лицензируемой:
Статья 4. Критерии определения лицензируемых видов деятельности
К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.
В связи с этим возниает вопрос: а может ли разработка средств защиты к.и. для собственных нужд повлечь нанесение ущерба правам и законным интересам граждан? Ведь, например, перевозка собственных работников не подлежит лицензированию, хотя, казалось бы, риск причинения ущерба - на лицо...
Вполне возможно, что рассуждая в этом направлении, удасться прийти к обоснованию того, что данный вид деятельности обременен лицензированием необоснованно в той части, в которой это затрагивает деятельность для собственных нужд. И, на этом основании, обратиться в КС.
Чтобы ответить на него, необходимо проанализировать весь Закон, и установить общий подход к проблеме "собственных нужд", из которого исходит законодатель.
Если посмотреть на то, как сформулированы другие виды деятельности, подлежащие лицензированию, то станет понятно, что по умолчанию деятельность для собственных нужд также подледжит лицензированию. См., например, пп.71 и 84, где специально оговорено, что не подлежит лицензированию деятельность для собственных нужд.
Исходя из этого, получается, что деятельность по технической защите конфиденциальной информации, для каких бы нужд она не осуществлялась, подлежит лицензированию.
Здесь, кстати, обращает на себя внимание тот факт, что в постановлении Правительства РФ текст закона "передернут". Вместо "деятельности по технической защите конфиденциальной информации" там говориться о "деятельности по разработке и (или) производству средств защиты конфиденциальной информации". Таким образом, постановление сужает сферу применения закона (правомерно ли?), и лицу не требуется лицензии для установления технической защиты, а только для разработки и/или производству средств этой защиты. Иными словами, применять кем-то разработанные и произведенные средства защиты можно без лицензии (что, в общем-то, справедливо).
В таком узком смысле лицу, которое само разрабатывает средства защиты, и само же их применяет, лицензия все-таки потребуется.
Это, что касается формальной стороны дела. Но есть и не формальная сторона. Дело в том, что не всякая деятельность может быть признана лицензируемой:
Статья 4. Критерии определения лицензируемых видов деятельности
К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.
В связи с этим возниает вопрос: а может ли разработка средств защиты к.и. для собственных нужд повлечь нанесение ущерба правам и законным интересам граждан? Ведь, например, перевозка собственных работников не подлежит лицензированию, хотя, казалось бы, риск причинения ущерба - на лицо...
Вполне возможно, что рассуждая в этом направлении, удасться прийти к обоснованию того, что данный вид деятельности обременен лицензированием необоснованно в той части, в которой это затрагивает деятельность для собственных нужд. И, на этом основании, обратиться в КС.
#4
Отправлено 17 August 2006 - 18:55
Вы, IMHO, говорите о постановлении №348 от 27.05.2002, а 11-й подпункт раскрывает (точнее, не очень-то раскрывает) №290 от 30.04.2002.текст закона "передернут". Вместо "деятельности по технической защите конфиденциальной информации" там говориться о "деятельности по разработке и (или) производству средств защиты конфиденциальной информации"
#5
Отправлено 17 August 2006 - 21:09
Тут действительно странность имеется
очень близкая деятельность по выявлению электронных устройств ("жуков" каналов утечки информации), для своих нужд НЕ лицензируется...
Использование криптосредств внутри организации (без оказания услуг) - НЕ лицензируется
а здесь - наверное реликт прошлого.
Любой пользователь ставящий пароль на комп фактически осуществляет эту самую деятельность..... подлежащую лицензированию
очень близкая деятельность по выявлению электронных устройств ("жуков" каналов утечки информации), для своих нужд НЕ лицензируется...
Использование криптосредств внутри организации (без оказания услуг) - НЕ лицензируется
а здесь - наверное реликт прошлого.
Любой пользователь ставящий пароль на комп фактически осуществляет эту самую деятельность..... подлежащую лицензированию
Сообщение отредактировал Mono: 17 August 2006 - 21:13
#6
Отправлено 18 August 2006 - 08:51
говорят, что ЦБ тож в непонятках и пытается с этим бороться
В КС обратиться конечно можно, но это все пока не к месту
В ФЗ о лицензировании действительно есть несколько видов деятельности, осуществляемых для собственных нужд, но подлежащих лицензированию
Но все это ближе не к лицензированию, а к какой-то аттестации или сертифицированию средств, не зря же перед выдачей лицензии на эти дела осуществляется аттестация.
Ну что ж, спасибо, что просветили
В КС обратиться конечно можно, но это все пока не к месту
В ФЗ о лицензировании действительно есть несколько видов деятельности, осуществляемых для собственных нужд, но подлежащих лицензированию
Но все это ближе не к лицензированию, а к какой-то аттестации или сертифицированию средств, не зря же перед выдачей лицензии на эти дела осуществляется аттестация.
Ну что ж, спасибо, что просветили
#7
Отправлено 18 August 2006 - 12:34
Думаю что учитывая относительную вменяемость лицензирующего органа (ФСТЭК) и неопределенность нормативной базы, до тех пор пока юрлицо не начнет заниматься этим в плане оказания услуг "на стороне" - проблем возникнуть не должно.
#8
Отправлено 18 August 2006 - 13:52
Если аттестация осуществляется в рамках выдачи другой лицензии (на банковские операции — не помню точно название), то это сильное доказательство того, что аттестуемая деятельность сама по себе не лицензируется. Её не было бы смысла аттестовывать, в рамках процесса получения другой лицензии, если бы она лицензировалась самостоятельно.не зря же перед выдачей лицензии на эти дела осуществляется аттестация
ИМХО.
#9
Отправлено 22 August 2006 - 17:36
Вышло новое ППРФ на эту тему
http://www.telecomne...ws/article/596/
Изучаем свежатинку.... может что прояснится
полный текст что в Консультанте не найду ---
http://www.telecomne...ws/article/596/
Изучаем свежатинку.... может что прояснится
полный текст что в Консультанте не найду ---
Сообщение отредактировал Mono: 22 August 2006 - 18:20
#10
Отправлено 23 August 2006 - 19:31
Привет,
Полный текст здесь: http://www.garant.ru...dt=federal.
Согласно постановлению № 504 лицензированию подлежат мероприятия и/или оказание услуг, то есть охрана конфиденциальности для собственных целей получается тоже требует лицензии. Вопрос для меня пока не очень понятный, что значит техническая защита? Точного определения пока не нашел. В качестве бреда, если в компании установлено, что необходимо устанавливать пароль на все файлы, содержащие конфиденциальную инфу, то является ли это комплексом мероприятий (для комплекса еще что-нибудь добавить по вкусу).....может я пока чего-то не понимаю, но пока ИМХО - бредовое постановление....
Полный текст здесь: http://www.garant.ru...dt=federal.
Согласно постановлению № 504 лицензированию подлежат мероприятия и/или оказание услуг, то есть охрана конфиденциальности для собственных целей получается тоже требует лицензии. Вопрос для меня пока не очень понятный, что значит техническая защита? Точного определения пока не нашел. В качестве бреда, если в компании установлено, что необходимо устанавливать пароль на все файлы, содержащие конфиденциальную инфу, то является ли это комплексом мероприятий (для комплекса еще что-нибудь добавить по вкусу).....может я пока чего-то не понимаю, но пока ИМХО - бредовое постановление....
#11
Отправлено 23 August 2006 - 20:16
Да уж. С новым постановлением стало, по моему, еще менее понятно, что такое деятельность по технической защите КИ...
1. Настоящее Положение определяет порядок лицензирования
деятельности по технической защите конфиденциальной информации,
осуществляемой юридическими лицами и индивидуальными предпринимателями.
2. Под технической защитой конфиденциальной информации понимается
комплекс мероприятий и (или) услуг по ее защите от несанкционированного
доступа, в том числе и по техническим каналам, а также от специальных
воздействий на такую информацию в целях ее уничтожения, искажения или
блокирования доступа к ней.
Согласен с тем, что деятельность для собственных нужд из под лицензирования явным образом не выведена.
1. Настоящее Положение определяет порядок лицензирования
деятельности по технической защите конфиденциальной информации,
осуществляемой юридическими лицами и индивидуальными предпринимателями.
2. Под технической защитой конфиденциальной информации понимается
комплекс мероприятий и (или) услуг по ее защите от несанкционированного
доступа, в том числе и по техническим каналам, а также от специальных
воздействий на такую информацию в целях ее уничтожения, искажения или
блокирования доступа к ней.
Согласен с тем, что деятельность для собственных нужд из под лицензирования явным образом не выведена.
В порядке еще большего бреда: если приставить к носителю КИ крепкого парня, "шоб ни пущал"!, - это тоже мероприятие по защите КИ? :)В качестве бреда, если в компании установлено, что необходимо устанавливать пароль на все файлы, содержащие конфиденциальную инфу, то является ли это комплексом мероприятий
#12
Отправлено 23 August 2006 - 21:02
А как иначе ?В порядке еще большего бреда: если приставить к носителю КИ крепкого парня, "шоб ни пущал"!, - это тоже мероприятие по защите КИ?
и систему ПРО тоже можно отнести к ней
Я все же думаю, что данное постановление нужно применять в корреспонденции с "Законом об Информации, информационных технологиях и о защите информации".
#13
Отправлено 23 August 2006 - 21:12
pavelser
Поясните, плз. Я вот закон перечитал и не нашел норму, которая бы свидетельствовало о том, что государство не может установить, что определенные действия можно выполнять только при наличии лицензии.
там только рассказано о том, что собственник информации вправе самостоятельно определять меры защиты, но это же не значит, что после того как он определит он не должен получить лицензию? 
В порядке еще большего бреда: если приставить к носителю КИ крепкого парня, "шоб ни пущал"!, - это тоже мероприятие по защите КИ?
это не техническая мера
Я все же думаю, что данное постановление нужно применять в корреспонденции с "Законом об Информации, информационных технологиях и о защите информации".
Поясните, плз. Я вот закон перечитал и не нашел норму, которая бы свидетельствовало о том, что государство не может установить, что определенные действия можно выполнять только при наличии лицензии.
там только рассказано о том, что собственник информации вправе самостоятельно определять меры защиты, но это же не значит, что после того как он определит он не должен получить лицензию? В порядке еще большего бреда: если приставить к носителю КИ крепкого парня, "шоб ни пущал"!, - это тоже мероприятие по защите КИ?
это не техническая мера
Сообщение отредактировал idle: 23 August 2006 - 21:13
#14
Отправлено 24 August 2006 - 13:28
Хоть я и не юрист (о чем жалею), но смею предположить, что обращать внимание надо на эту часть определения: "деятельность юр.лица или ИП".
Если пользователь установил пароль на компьютере - это деятельность физ.лица. То, что он может являться работиком юр.лица не играет роли. И даже если происходит организованная (по ОРД и ВНД) деятельность работников юр.лица она не будет являеться деятельностью юр.лица до тех пор, пока эти работники не станут в рамках этой деятельности действовать от имени юр.лица (например, по договору или в его рамках, по доверенности и т.д.).
Господа юристы, прокомментируйте, пожалуйста, прав ли я в своих выводах?
Проблемы на мой взгляд могут возникнуть в организациях, которые "взаимодействуют" со своими контрагентами и при этом взаимодействии производят деятельность по ТЕХНИЧЕСКОЙ защите информации. Например, организация VPN-каналов между юр.лицами или обмен шифрованой почтой (грубо говоря).
Кстати, в постановлении используется понятие "конфиденциальная информация". Мне интересно, куда нас "посылают" за поиском его определения? С учетом того, что в новом "трехглавом" такого понятия уже нет.
Если пользователь установил пароль на компьютере - это деятельность физ.лица. То, что он может являться работиком юр.лица не играет роли. И даже если происходит организованная (по ОРД и ВНД) деятельность работников юр.лица она не будет являеться деятельностью юр.лица до тех пор, пока эти работники не станут в рамках этой деятельности действовать от имени юр.лица (например, по договору или в его рамках, по доверенности и т.д.).
Господа юристы, прокомментируйте, пожалуйста, прав ли я в своих выводах?
Проблемы на мой взгляд могут возникнуть в организациях, которые "взаимодействуют" со своими контрагентами и при этом взаимодействии производят деятельность по ТЕХНИЧЕСКОЙ защите информации. Например, организация VPN-каналов между юр.лицами или обмен шифрованой почтой (грубо говоря).
Кстати, в постановлении используется понятие "конфиденциальная информация". Мне интересно, куда нас "посылают" за поиском его определения? С учетом того, что в новом "трехглавом" такого понятия уже нет.
#15
Отправлено 24 August 2006 - 19:50
ikor
у меня была фраза "если в компании установлено..." - сие означает, что физлицо не само решило и установило пароль (тыды 100 % не подпадает под постановление), а сделало это в соответствии с локальным актом, то есть исполняя свои трудовые обязанности. Конечно, может не устанавливать актом, но тогда за несоблюдение работы с конфиденциальными документами и не привлечь.
термин употребляетс в законе о коммерческой тайне, правда, насколько я знаю там не определен.
Если пользователь установил пароль на компьютере - это деятельность физ.лица. То, что он может являться работиком юр.лица не играет роли
у меня была фраза "если в компании установлено..." - сие означает, что физлицо не само решило и установило пароль (тыды 100 % не подпадает под постановление), а сделало это в соответствии с локальным актом, то есть исполняя свои трудовые обязанности. Конечно, может не устанавливать актом, но тогда за несоблюдение работы с конфиденциальными документами и не привлечь.
Кстати, в постановлении используется понятие "конфиденциальная информация".
термин употребляетс в законе о коммерческой тайне, правда, насколько я знаю там не определен.
#16
Отправлено 25 August 2006 - 01:05
Это я и имел ввиду когда говорил о ВНД (внутренние нормативные документы). Они действуют только "внутри" организации, распространяя свое действие в рамках трудовых отношений (пытаюсь говорить умными словами). Для внешнего наблюдателя (тот же ФСТЭК) их нет. Физ.лицо ставит пароль. Даже если это входит в его трудовые обязанности. Это не деятельность юр.лица.у меня была фраза "если в компании установлено..." - сие означает, что физлицо не само решило и установило пароль (тыды 100 % не подпадает под постановление), а сделало это в соответствии с локальным актом, то есть исполняя свои трудовые обязанности.
Не понял.Конечно, может не устанавливать актом, но тогда за несоблюдение работы с конфиденциальными документами и не привлечь.
Как раз ФЗоКТ был первым законом, который стал использовать "конфиденциальность информации" вместо "конфиденциальной информации". Новый "трехглавый" - был вторым и он же определил, что это понятие означает. Это требование о неразглашении. Так как я много работаю с ВНД, я нашел, что теперь гораздо удобнее (и терминологически правильнее) использовать фразу "соблюдение конфиденциальности информации" (в том же ТД), чем "охрана/защита конфиденциальной информации", "охрана/обеспечение конфиденциальности информации" и другие аналогичные этому, расплывчатые анахронизмы.термин употребляетс в законе о коммерческой тайне, правда, насколько я знаю там не определен.Кстати, в постановлении используется понятие "конфиденциальная информация".
ИМХО, намечается очень положительная тенденция в законодательстве об информационной безопасности.
#17
Отправлено 25 August 2006 - 12:57
намечается очень положительная тенденция в законодательстве об информационной безопасности.
По моему мнению эта "положительность" стремится к следующему - обязать
использовать только родное-отечественное + то что разработано ФАПСИ (сейчас ФСБ), создано на предприятиях "фапсишных" дочках, и имеет полную прозрачность для этих ведомств.
#18
Отправлено 25 August 2006 - 13:41
следуя Вашей логике, юр.лицо вообще деятельности вести не может, т.к. все действия осуществляются так или иначе физ.лицами.Физ.лицо ставит пароль. Даже если это входит в его трудовые обязанности. Это не деятельность юр.лица.
#19
Отправлено 25 August 2006 - 15:43
To Renewer
Как то вот так...деятельность работников юр.лица она не будет являеться деятельностью юр.лица до тех пор, пока эти работники не станут в рамках этой деятельности действовать от имени юр.лица (например, по договору или в его рамках, по доверенности и т.д.).
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных
