Комментарий к вопросу о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации при организации защиты персональных данных. (внесено 16.07.10)
В последнее время достаточно часто задается вопрос о необходимости получения операторами персональных данных лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (Лицензия ТЗКИ) при организации защиты персональных данных. Особенно этот вопрос актуален когда речь заходит о выполнении комплекса мероприятий по защите для собственных нужд или в организациях холдингового типа, когда имеется разветвленная периферийная сеть подотчетных организаций. Попробуем разобраться в этой проблеме.
По букве закона.
Статья 17 Федерального Закона № 128-ФЗ «О лицензировании отдельных видов деятельности», который по своему предназначению регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности, относит деятельность по технической защите конфиденциальной информации к лицензируемым видам деятельности. Это аксиома, которая не обсуждается.
Порядок получения такой лицензии определяется Постановлением Правительства Российской Федерации от 15.08.2006 года № 504 «Положение о лицензировании деятельности по технической защите конфиденциальной информации». Это Постановление, в частности дает определение, что такое техническая защита конфиденциальной информации: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Статья 7 Федерального Закона № 152-ФЗ «О персональных данных» возлагает на операторов персональных данных и третьих лиц, получающих доступ к персональным данным, обязанность обеспечения их конфиденциальности, за исключением случаев обработки обезличенных или общедоступных персональных данных. Кроме того, в соответствии со статьей 19 этого же Закона, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Таким образом получается, что ВСЕ операторы связи, при обработке персональных данных ОБЯЗАНЫ реализовывать комплекс мероприятий по защите персональных данных, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬНОСТИ. Получается, что по букве закона действительно каждый оператор персональных данных должен иметь Лицензию на техническую защиту конфиденциальной информации (Лицензия ТЗКИ).
По духу закона.
Рассуждения, приведенные выше – правильные. Но, попробуем обратиться к п. 1.3 «Положения о методах и способах защиты информации в информационных системах персональных данных» (Приказ директора ФСТЭК России от 05.02.2010 года № 58). Согласно этому пункту для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или должностное лицо, ответственные за обеспечение безопасности персональных данных, а может привлекаться организация, имеющая оформленную в установленном порядке Лицензию ТЗКИ. Видно, что данное Положение считает равнозначным и наличие специального структурного подразделения в составе оператора персональных данных (выбор и реализацию защиты собственными силами и для собственных нужд), и наличие внешней, привлекаемой организации с Лицензией ТЗКИ, которая, действуя в интересах оператора персональных данных, выбирает и реализует методы и способы защиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное структурное подразделение в составе оператора персональных данных, которое отвечает за выбор и реализацию (и это, наверное ключевое слово) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Лицензия ТЗКИ требуется тому, кто отвечает за выбор и реализацию защиты персональных данных. А когда такая защита уже реализована и только эксплуатируется по выбранным и утвержденным правилам, лицензия не требуется. То есть, Лицензия ТЗКИ — это гарантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую квалификацию и удовлетворяет условиям лицензирования данного вида деятельности.
О холдингах и филиалах.
В настоящее время существует две основные схемы организации сложных структур операторов персональных данных: головной офис с несколькими филиалами (представительствами) или управляющая компания с несколькими подотчетными (дочерними, зависимыми) организациями.
В первом случае, согласно статье 55 ГК РФ филиалы (представительства) являются обособленными подразделениями одного юридического лица и сами по себе не являются обособленными юридическим лицами. Поэтому, требования, в том числе и по защите информации. Которые разрабатываются в головном офисе юридического лица, являются обязательными и для его обособленных подразделений (филиалов, представительств). Сами филиалы не могут вести самостоятельную хозяйственную деятельность и, следовательно, не могут самостоятельно осуществлять выбор и реализацию методов и способов защиты информации или привлекать для этих целей стороннюю организацию. В этом случае, как отмечалось выше, само юридическое лицо должно решить будет ли оно делать защиту самостоятельно (в том числе и в своих обособленных подразделениях - филиалах, представительствах) и иметь Лицензию ТЗКИ, либо оно будет привлекать для этих целей стороннюю организацию-лицензиата (или несколько, для каждого филиала) и не будет иметь Лицензию ТЗКИ.
Во втором случае, подотчетные (дочерние, зависимые) организации, согласно раздела 7 ГК РФ, являются самостоятельными юридическими лицами и, по ГК РФ могут вести самостоятельную хозяйственную деятельность. Следовательно они сами вольны решать вопрос: привлекать ли им для защиты стороннюю организацию или все делать своими силами и, следовательно, получать или не получать Лицензию ТЗКИ. В этом случае очень важно определить кто является оператором персональных данных: управляющая компания или подотчетное юридическое лицо – ведь именно на операторе лежит ответственность за организацию защиты и выдвигает требования, а все остальные организации, участвующие в этом процессе являются по отношению к нему третьими лицами и обязаны выполнять установленные требования. Как правило, именно управляющая компания является оператором персональных данных и передает их для обработки подотчетным юридическим лицам. В этом случае, управляющая компания либо сам, либо с привлечением организации-лицензиата, вырабатывает требования по защите персональных данных, которые распространяются в том числе и на подотчетные организации и вопрос о необходимости наличия у нее лицензии решается от того, какой путь она выберет. Подотчетные организации так же имеют альтернативу при реализации выбранных управляющей компанией методов и способов защиты: либо самостоятельно и с Лицензией ТЗКИ, либо с привлечением организации-лицензиата.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов защиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетворять лицензионным требованиям и условиям, изложенным в п. 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации»: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое производственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализации, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реализованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Если оператор персональных данных имеет филиальную сеть (представительства) или является сложной холдинговой структурой, объединяющей несколько подотчетных организаций, то вопрос о наличии у него Лицензии ТЗКИ решается в зависимости от того, какой путь по выбору и реализации методов и способов защиты информации он выберет. Это же справедливо и для подотчетных организаций, которые являются самостоятельными юридическими лицами.
Об ответственности.
В заключении несколько слов об ответственности за получение или не получение лицензии. Надо помнить, что ответственность за организацию защиты информации всегда лежит на Операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору персональных данных решать по какому пути идти, будет ли он сам осуществлять выбор и реализацию методов и способов защиты информации или доверит это нелегкое дело специалиста от организации-лицензиата. От этого будет зависеть: надо или не надо ему получать Лицензию ТЗКИ.
По букве закона.
Статья 17 Федерального Закона № 128-ФЗ «О лицензировании отдельных видов деятельности», который по своему предназначению регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности, относит деятельность по технической защите конфиденциальной информации к лицензируемым видам деятельности. Это аксиома, которая не обсуждается.
Порядок получения такой лицензии определяется Постановлением Правительства Российской Федерации от 15.08.2006 года № 504 «Положение о лицензировании деятельности по технической защите конфиденциальной информации». Это Постановление, в частности дает определение, что такое техническая защита конфиденциальной информации: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Статья 7 Федерального Закона № 152-ФЗ «О персональных данных» возлагает на операторов персональных данных и третьих лиц, получающих доступ к персональным данным, обязанность обеспечения их конфиденциальности, за исключением случаев обработки обезличенных или общедоступных персональных данных. Кроме того, в соответствии со статьей 19 этого же Закона, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Таким образом получается, что ВСЕ операторы связи, при обработке персональных данных ОБЯЗАНЫ реализовывать комплекс мероприятий по защите персональных данных, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬНОСТИ. Получается, что по букве закона действительно каждый оператор персональных данных должен иметь Лицензию на техническую защиту конфиденциальной информации (Лицензия ТЗКИ).
По духу закона.
Рассуждения, приведенные выше – правильные. Но, попробуем обратиться к п. 1.3 «Положения о методах и способах защиты информации в информационных системах персональных данных» (Приказ директора ФСТЭК России от 05.02.2010 года № 58). Согласно этому пункту для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или должностное лицо, ответственные за обеспечение безопасности персональных данных, а может привлекаться организация, имеющая оформленную в установленном порядке Лицензию ТЗКИ. Видно, что данное Положение считает равнозначным и наличие специального структурного подразделения в составе оператора персональных данных (выбор и реализацию защиты собственными силами и для собственных нужд), и наличие внешней, привлекаемой организации с Лицензией ТЗКИ, которая, действуя в интересах оператора персональных данных, выбирает и реализует методы и способы защиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное структурное подразделение в составе оператора персональных данных, которое отвечает за выбор и реализацию (и это, наверное ключевое слово) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Лицензия ТЗКИ требуется тому, кто отвечает за выбор и реализацию защиты персональных данных. А когда такая защита уже реализована и только эксплуатируется по выбранным и утвержденным правилам, лицензия не требуется. То есть, Лицензия ТЗКИ — это гарантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую квалификацию и удовлетворяет условиям лицензирования данного вида деятельности.
О холдингах и филиалах.
В настоящее время существует две основные схемы организации сложных структур операторов персональных данных: головной офис с несколькими филиалами (представительствами) или управляющая компания с несколькими подотчетными (дочерними, зависимыми) организациями.
В первом случае, согласно статье 55 ГК РФ филиалы (представительства) являются обособленными подразделениями одного юридического лица и сами по себе не являются обособленными юридическим лицами. Поэтому, требования, в том числе и по защите информации. Которые разрабатываются в головном офисе юридического лица, являются обязательными и для его обособленных подразделений (филиалов, представительств). Сами филиалы не могут вести самостоятельную хозяйственную деятельность и, следовательно, не могут самостоятельно осуществлять выбор и реализацию методов и способов защиты информации или привлекать для этих целей стороннюю организацию. В этом случае, как отмечалось выше, само юридическое лицо должно решить будет ли оно делать защиту самостоятельно (в том числе и в своих обособленных подразделениях - филиалах, представительствах) и иметь Лицензию ТЗКИ, либо оно будет привлекать для этих целей стороннюю организацию-лицензиата (или несколько, для каждого филиала) и не будет иметь Лицензию ТЗКИ.
Во втором случае, подотчетные (дочерние, зависимые) организации, согласно раздела 7 ГК РФ, являются самостоятельными юридическими лицами и, по ГК РФ могут вести самостоятельную хозяйственную деятельность. Следовательно они сами вольны решать вопрос: привлекать ли им для защиты стороннюю организацию или все делать своими силами и, следовательно, получать или не получать Лицензию ТЗКИ. В этом случае очень важно определить кто является оператором персональных данных: управляющая компания или подотчетное юридическое лицо – ведь именно на операторе лежит ответственность за организацию защиты и выдвигает требования, а все остальные организации, участвующие в этом процессе являются по отношению к нему третьими лицами и обязаны выполнять установленные требования. Как правило, именно управляющая компания является оператором персональных данных и передает их для обработки подотчетным юридическим лицам. В этом случае, управляющая компания либо сам, либо с привлечением организации-лицензиата, вырабатывает требования по защите персональных данных, которые распространяются в том числе и на подотчетные организации и вопрос о необходимости наличия у нее лицензии решается от того, какой путь она выберет. Подотчетные организации так же имеют альтернативу при реализации выбранных управляющей компанией методов и способов защиты: либо самостоятельно и с Лицензией ТЗКИ, либо с привлечением организации-лицензиата.
ВЫВОДЫ.
Если оператор персональных данных решил самостоятельно произвести выбор методов защиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетворять лицензионным требованиям и условиям, изложенным в п. 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации»: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое производственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
Если же оператор персональных данных решил для выбора методов защиты и их реализации, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реализованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Если оператор персональных данных имеет филиальную сеть (представительства) или является сложной холдинговой структурой, объединяющей несколько подотчетных организаций, то вопрос о наличии у него Лицензии ТЗКИ решается в зависимости от того, какой путь по выбору и реализации методов и способов защиты информации он выберет. Это же справедливо и для подотчетных организаций, которые являются самостоятельными юридическими лицами.
Об ответственности.
В заключении несколько слов об ответственности за получение или не получение лицензии. Надо помнить, что ответственность за организацию защиты информации всегда лежит на Операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору персональных данных решать по какому пути идти, будет ли он сам осуществлять выбор и реализацию методов и способов защиты информации или доверит это нелегкое дело специалиста от организации-лицензиата. От этого будет зависеть: надо или не надо ему получать Лицензию ТЗКИ.