Необходимость лицензии ФСТЭК на ТЗКИ при выполнении работ по защите ПДн

14.10.2010

Вступление в силу Федерального закона «О персональных данных» породило в среде операторов массу противоречивых мнений как о порядке исполнения тех или иных требований закона, так и о содержании необходимых мероприятий по приведению в соответствие с требованиями закона своей деятельности. Вполне естественными на этом фоне являются попытки операторов смоделировать такие сценарии своих действий, которые позволят сократить материальные затраты по построению системы защиты ПДн.

Наряду с конструктивной и обоснованной критикой норм закона и последующих нормативно-правовых актов появились заблуждения, которые могут привести к весьма серьезным негативным последствиям для оператора. Одним из таких заблуждений является весьма привлекательный для операторов тезис об отсутствии необходимости наличия лицензии ФСТЭК на техническую защиту конфиденциальной информации в случае проведения работ по ТЗКИ самим оператором «для своих собственных нужд».

Действительно, а нужна ли такая лицензия? Иными словами — следует ли для выполнения таких работ привлекать компанию-лицензиата, или можно обойтись силами собственных подразделений информационной безопасности? Настоящая статья — попытка дать ответ на этот вопрос на основе комплексного и всестороннего правового анализа.

По своей природе лицензирование — это способ государственного регулирования деятельности, который заключается в установлении определенного правового режима осуществления отдельных видов деятельности. При этом возможность осуществления такой деятельности обусловлена необходимостью получения специального разрешения, выдаваемого полномочным государственным органом тем лицам, которые отвечают определенному перечню требований. Такой правовой режим, соответственно, подразумевает под собой юридический запрет заниматься той или иной деятельностью без получения специального разрешения. Решение о введении режима лицензирования какой-либо деятельности принимается законодателем исходя из невозможности обеспечить в полной мере защиту возникающих при осуществлении этого вида деятельности публичных интересов иными средствами государственного контроля.

К числу видов деятельности, подлежащих обязательному лицензированию, относится и деятельность по технической защите конфиденциальной информации (Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности», п. 11, ч. 1, ст. 17 указанного Закона).

Что же такое «конфиденциальная информация»? Несмотря на то, что официального определения данному понятию в отечественном законодательстве не дано, уяснение его содержания не вызывает особых сложностей. Так, Указом Президента РФ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» определено, какие именно сведения относятся к числу конфиденциальных. Федеральным законом РФ № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации» вводится понятие конфиденциальности информации как обязательного для выполнения лицом, получившим доступ к определенной информации, требования не передавать такую информацию третьим лицам без согласия ее обладателя. Указанным Законом также определено, к какой информации ограничение доступа недопустимо. Таким образом, под конфиденциальной информацией следует понимать информацию, в отношении которой законом и (или) обладателем информации установлено требование о запрете передачи информации третьим лицам без согласия обладателя информации, если законом не предусматривается недопустимость ограничения доступа к такой информации.

В соответствии с Указом Президента РФ № 188 к сведениям конфиденциального характера относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные). Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» понятие персональных данных детализировано следующим образом — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ст.3). В этом же Законе определено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Это требование обозначено Законом, как конфиденциальность персональных данных.

Согласно ст.16 ФЗ «Об информации, информационных технологиях и о защите информации», обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации. В указанных целях Закон требует принятия правовых, организационных и технических меры защиты информации. В соответствии со ст.19 ФЗ 152 персональные данные подлежат обязательной защите при обработке их с использованием средств автоматизации, при этом операторы персональных данных обязаны принимать необходимые организационные и технические меры для защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн).

Таким образом, учитывая, что персональные данные являются сведениями конфиденциального характера, их защита должна осуществляться в соответствии с требованиями, предъявляемым федеральным законодательством к защите сведений конфиденциального характера. Приоритетными в данном случае являются гарантированные Конституцией РФ естественные неотчуждаемые права и интересы субъекта (ст.23: право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени; ст. 24: запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия).

Под технической защитой конфиденциальной информации (ТЗКИ) понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней (Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации», п. 2). Т.о. очевиден вывод о том, что под деятельностью по ТЗКИ Правительство РФ подразумевает не только услуги, но и любые виды работ, выполняемых как на возмездной основе, так и в целях, не связанных с извлечением прибыли.

Требования к обеспечению безопасности персональных данных при их обработке в ИСПДн определяют, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий (п.3 Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»).

Исходя из того, что государство определило, что персональные данные — конфиденциальная информация и что техническая защита конфиденциальной информации — лицензируемый вид деятельности, для разработки, создания, эксплуатации, модернизации системы технической защиты ИСПДн (содержащей конфиденциальную информацию) требуется лицензия на деятельность по ТЗКИ. Именно наличие лицензии на деятельность по ТЗКИ является обязательным условием возникновения специальной право- и дееспособности лицензиата в области осуществления лицензируемого вида деятельности и гарантирует надлежащую защиту конфиденциальной информации.

Достаточно популярна следующая позиция некоторых операторов. Если работы по защите ПДн (являющиеся ТЗКИ) проводятся оператором в целях приведения обработки ПДн в соответствие с требованиями закона в своей собственной организации, то в этом случае не возникает обязанности проведения таких работ лицензиатом. Т.е. такие работы оператор может проводить при отсутствии лицензии, самостоятельно в «целях удовлетворения собственных потребностей», «для своих нужд». Такая точка зрения является ошибочной и не основанной на законе. Ошибочность позиции проистекает из непонимания правового обоснования требований государства о необходимости наличии лицензии на ТЗКИ для защиты ПДн. При выполнении требований ФЗ152 не существует и не может существовать «собственных потребностей» или «собственных нужд» оператора. Единственной целью ФЗ152 (ст.2) является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн. При этом ФЗ№ 152, конкретизируя и устанавливая права субъекта ПДн, не ограничивает прав субъекта ПДн, являющегося сотрудником оператора, по сравнению с правами субъекта ПДн — его клиента. Иное означало бы нарушение принципа равенства всех перед законом.

Ст.4 ФЗ 128-ФЗ «О лицензировании отдельных видов деятельности» (критерии определения лицензируемых видов деятельности) говорит о том, что «к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан...». Очевидно, что ненадлежащее выполнение работ по ТЗКИ может привести к некачественному функционированию системы защиты персональных данных и, как следствие, к возникновению инцидентов безопасности и нарушению прав и законных интересов граждан.

Помимо этого нужно учитывать, что выбранные способы и методы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн (п. 1.5 Положения, утвержденного приказом ФСТЭК России № 58 от 5.02.2010 г). Оператор, не имеющий лицензии ФСТЭК на ТЗКИ, самостоятельно не имеет возможности оценить соответствие системы защиты требованиям нормативных документов в сфере защиты ПДн. Причины — отсутствие квалифицированного персонала, необходимых методик проверки, технических средств анализа защищенности. Обязанность такой оценки (оценки соответствия) закреплена как Федеральным Законом № 184-ФЗ от 27.12.2002г. «О техническом регулировании» (ст.ст. 2,7), так и требованиями п.5.3. ГОСТ Р 51583-2000: «применение автоматизированной системы в защищенном исполнении для обработки защищаемой информации разрешается только после ее аттестации на соответствие требованиям безопасности информации». Правом же аттестации информационных систем на соответствие требованиям безопасности информации наделены только лицензиаты ФСТЭК России.

Верность мнения о том, что даже для выполнения работ по технической защите персональных данных «для собственных нужд» необходима лицензия на ТЗКИ подтверждается также содержанием ответа ФСТЭК от 18 июня 2010г. за № 240/2/2520 на обращение Министерства здравоохранения и социального развития РФ. Из содержания указанного письма следует, что, по мнению ФСТЭК работы по ТЗКИ в случае, когда технические мероприятия по защите персональных данных осуществляются для собственных нужд, должны осуществляться лицом, имеющим лицензию на деятельность по ТЗКИ.

Изложенное показывает, что проведение работ по ТЗКИ при отсутствии лицензии может повлечь не только нарушение прав субъектов персональных данных, но и негативные последствия для оператора. Так, занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение в соответствии с федеральным законом обязательно, влечет за собой административную ответственность по ст.13.13. КоАП РФ. Деятельность оператора ПДн по защите ПДн в отсутствие лицензии по ТЗКИ может также квалифицироваться по ст.14.1 КоАП РФ «Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)», а в отдельных случаях и по ст.171 Уголовного кодекса РФ «Незаконное предпринимательство».

Необходимо отметить, что наличия лицензии на деятельность по ТЗКИ не требуется в случаях, если в процессе приведения деятельности оператора в соответствие с ФЗ152 будут отсутствовать работы, связанные с технической защитой конфиденциальной информации. Практика же, однако, показывает, что такая ситуации является, скорее, умозрительной, и в действительности указанные работы требуются для любых операторов ПДн вне зависимости от сферы их деятельности.

Выводы.

Лицензия на деятельность по ТЗКИ необходима для выполнения определенных работ (ТЗКИ) по приведению СЗПДн в соответствие с законом вне зависимости от того, оказывает ли оператор какие-либо услуги неограниченному кругу лиц (субъектам ПДн) или обрабатывает только ПДн своих сотрудников.

Выполнение работ по ТЗКИ при отсутствии лицензии противозаконно, и является основанием для привлечения к установленной законом ответственности.

Выполнение работ по ТЗКИ при отсутствии лицензии с большой вероятностью повлечет дополнительные затраты оператора на повторное проведение таких работ лицензиатом ФСТЭК.

Источник: НИЦ "ФОРС"

Теги: ТЗКИ