Лицензия как продукт осознанной необходимости

13.03.2011

Лицензирование деятельности операторов персональных данных.

Лицензия (лат. litentia — свобода, право) — специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Из истории вопроса

Само понятие «лицензирование деятельности», которое подразумевает наличие разрешительной политики государства относительно тех или иных видов деятельности предпринимателей, появилось в современной России не столь давно.

В Советском Союзе проблема лицензирования деятельности не стояла по совершенно простой причине — отсутствия частного предпринимательства как такового. Все производство и сфера потребительских услуг принадлежали государству, а государственные предприятия в лицензировании не нуждались — зачем государству лицензировать самого себя?

Понятие «лицензирование отдельных видов деятельности» появилось в постперестроечный период истории Российского государства. Оно возникло в законодательной практике 2 декабря 1990 г. в отношении банковской сферы, когда вступили в действие вновь принятые Законы РСФСР «О банках и банковской деятельности» и «О Центральном банке РСФСР (Банке России)».

25 декабря 1990 года появилось более общее понятие о лицензировании предпринимательской деятельности, когда, согласно 4 пункту ст. 21 Закона РСФСР «О предприятиях и предпринимательской деятельности» начала действовать норма, предусматривающая такое лицензирование как специальную норму государственного контроля. Эта норма устанавливала, что отдельные виды деятельности предпринимателей в Российской Федерации могут осуществляться лишь на основании лицензии (специального разрешения компетентных органов).

Предполагалось, что перечень видов предпринимательской деятельности, подлежащих лицензированию, будет определяться Правительством Российской Федерации.

Начиная с 1991 года было принято множество нормативно-правовых актов, регулирующих лицензирование деятельности. Исследователями подсчитано, что в период с 1995 по 1996г. насчитывалось около девятисот видов деятельности, для которых было необходимо лицензирование.

По настоящему переломным моментом правового регулирования лицензирования предпринимательской деятельности явился принятый 15 сентября 1998 г. Федеральный закон «О лицензировании отдельных видов деятельности», который впоследствии был переиздан 8 августа 2001 года за № 128-ФЗ.

Этот Закон внес ясность в концепцию правового регулирования предпринимательской деятельности посредством лицензирования, поставил лицензирование предприятий и предпринимателей на прозрачную, четкую основу, определил процедуру и порядок лицензирования. Кроме того, было значительно ограничено количество видов деятельности, подлежащих лицензированию. С учетом всех изменений, внесенных за восемь с половиной лет действия 128-ФЗ, таких видов деятельности, в соответствии с перечнем (ст.17, ч. 1) осталось семьдесят девять.

Одним из видов деятельности, подлежащих обязательному лицензированию является деятельность по технической защите конфиденциальной информации (ТЗКИ).

Лицензирование по ТЗКИ при защите персональных данных

Почему защита персональных данных (ПДн) осуществляется так же, как защита конфиденциальной информации и при этом требуется лицензирование деятельности по ТЗКИ?

Представим «логическую цепочку» нормативно-правовых актов:

Указ 188 => 152 ФЗ => 781 ПП => 128 ФЗ => 504 ПП => Административный регламент ФСТЭК России.

Рассмотрим составные части «цепочки» в интересующем нас аспекте.

Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».

Это единственный на сегодняшний день документ, определяющий, какие сведения относятся к сведениям конфиденциального характера, то есть являются конфиденциальной информацией. Про персональные данные говорится в первом пункте указанного Перечня.

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

В соответствии с этим Законом, персональные данные подлежат обязательной защите при обработке их с использованием средств автоматизации, при этом операторы персональных данных обязаны принимать необходимые меры для защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн). Требования к обеспечению безопасности персональных данных устанавливаются Правительством Российской Федерации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В указанном Положении устанавливаются требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, при этом в п. 3 определяется, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий.

Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности».

Как уже говорилось выше, этот Закон регулирует отношения, возникающие между лицензиатами и лицензирующими органами и определяет перечень отдельных видов деятельности, подлежащих обязательному лицензированию, в том числе деятельность по технической защите конфиденциальной информации (п. 11, ч. 1, ст. 17 указанного Закона).

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации».

Данное Постановление Правительства утверждает Положение о лицензировании деятельности по технической защите конфиденциальной информации, которое определяет порядок лицензирования указанной деятельности. В п. 4. Положения указаны лицензионные требования и условия, которым должен соответствовать соискатель лицензии.

Административный регламент ФСТЭК России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 181.

Административный регламент определяет сроки и последовательность действий сотрудников ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ.

Таким образом, учитывая, что персональные данные являются сведениями конфиденциального характера, их защита должна осуществляться в соответствии с требованиями, предъявляемым к технической защите конфиденциальной информации, которая, в свою очередь, является видом деятельности, подлежащей обязательному лицензированию.

Часто в полемиках о защите ПДн возникает вопрос об обязательности проведения операторами персональных данных лицензирования своей деятельности по ТЗКИ при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн. Как правило, рассмотрение приведенной выше «логической цепочки» нормативно-правовых актов приводит спорщиков к консенсусу.

Но наиболее рьяным противникам лицензирования приходится приводить еще один аргумент в споре.

Приказом Директора ФСТЭК России от 5 февраля 2010 года № 58 было утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», которое вступило в силу 15 марта 2010 года. В этом Положении сняты все ограничения на проведение лицензирования, которые имели место в более ранних методических документах ФСТЭК.

Здесь имеются в виду «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденные 15 февраля 2008 года. В этом документе было требование получения лицензии по ТЗКИ оператором персональных данных в случае обработки ПДн в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса.

При этом ИСПДн 4 класса и нераспределенные ИСПДн 3 класса оказывались вне требований обязательного лицензирования, что вступало в противоречия с действующими нормативно-правовыми актами. С выходом Приказа Директора ФСТЭК от 5 февраля 2010 года № 58 эти противоречия были устранены.

Получение лицензии опять стало обязательным при любой обработке персональных данных.

Альтернатива лицензированию — аутсорсинг

Процесс получения лицензии отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Постановлением Правительства № 504.

Самые продолжительные по времени (как правило) — обучение специалистов на курсах повышения квалификации по 72-часовым программам, согласованным со ФСТЭК России; приобретение документов ограниченного пользования, а также проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Причем выполнение последнего требования зачастую становится самым затратным в экономическом плане.

Кроме того, возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое в большинстве случаев не понадобится оператору персональных данных, так как он не собирается оказывать услуг по аттестации объектов информатизации, но...

Как говорили древние римляне: «Dura lex, sed lex». Суров закон, но это закон. Не хотите тратить деньги на приобретение оборудования — берите в аренду. Лицензионное требование должно быть выполнено, так как является обязательным при получении лицензии.

Пожалуй, наиболее предсказуемы сроки рассмотрения материалов лицензирующим органом — не более 45 рабочих дней, если не придется возвращать материалы соискателю для уточнения или исправления.

Таким образом, продолжительность процесса лицензирования по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Не каждое предприятие, особенно малого или среднего бизнеса может справиться с такими экономическими и временными нагрузками. А работать надо — оператор персональных данных не может не обрабатывать персональные данные — для того он и зарегистрировался в Роскомнадзоре.

Что делать? На этот исконно русский вопрос есть простой ответ, который звучит не совсем по-русски — аутсорсинг.

Современная тенденция, именуемая во всем мире в среде специалистов «аутсорсингом», юридической практике известна давно, но под другими названиями. Это не что иное, как передача определенных функций уставной деятельности сторонней компании. Само слово «аутсорсинг» (англ. outsourcing) дословно означает «использование внешних источников» и часто переводится как «кооперация», «субподряд» и даже «делегирование функций управления, полномочий и ответственности в рамках поставленных задач».

Аутсорсинг в сфере информационной безопасности подразумевает под собой передачу от компании-заказчика стороннему подрядчику на обслуживание ряда бизнес‑процессов (в том числе на основе использования подрядчиком своих лицензий, программных продуктов, технических средств и фрагментов инфраструктуры) вместе с ответственностью за результат выполнения этих процессов.

Передача функций защиты персональных данных третьему (уполномоченному) лицу предусматривается и Постановлением Правительства № 781 и Приказом № 58, в котором прямо сказано о возможности привлечения организации, имеющей предоставленную в установленном порядке лицензию на осуществление деятельности по ТЗКИ.

Практика осуществления аутсорсинга в сфере защиты конфиденциальной информации показывает, что, в зависимости от количества бизнес-процессов, переданных на обслуживание сторонним специализированным компаниям можно получить существенную экономию:

— снижение единовременных затрат на 20-30%;

— снижение регулярных затрат до 40%.

Но при этом надо не забывать про риски, которые неизбежны при проведении аутсорсинга. Их немного, основной из них — это то, что заказчик должен обеспечить стороннему подрядчику полный доступ к конфиденциальной информации. Этот факт подразумевает применение механизмов снижения рисков на договорной основе, ведь аутсорсинг это не просто взаимоотношения «заказчик — исполнитель», это партнерство, основанное на доверии.

Резюме

Процесс защиты информации оператором персональных данных должен осуществляться в соответствии с требованиями ФСТЭК России к технической защите конфиденциальной информации. Деятельность по ТЗКИ подлежит обязательному лицензированию — таково требование Закона.

Оператор персональных данных стоит перед выбором: что лучше — получить лицензию и самому строить надежную систему защиты информации или передать эту функцию сторонней организации — лицензиату, имеющей для этого силы, средства и право.

Именно в этом — в осознании этого выбора и принятия единственно правильного для конкретного оператора персональных данных решения и кроется смысл утверждения, вынесенного автором в заголовок статьи.

Источник: «Эшелон»