Законодательная работа

Вернуться назад

Получено разъяснение ФСТЭК о случаях обязательного получения лицензии на ТЗКИ

3 Августа 2018
Получено разъяснение ФСТЭК о случаях обязательного получения лицензии на ТЗКИ Получено разъяснение ФСТЭК о случаях обязательного получения лицензии на ТЗКИ
 В результате письменного обращения Уполномоченного при Президенте РФ по защите прав предпринимателей Б.Ю.Титова к Директору ФСТЭК России В.В.Селину выпущено разъяснение о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в случаях, связанных с обработкой персональных данных. В результате правовая неопределенность в вопросе необходимости получения лицензии ФСТЭК РФ на ТЗКИ, осуществляемую для собственных нужд, теперь полностью исключена. Запрос во ФСТЭК был подготовлен по инициативе интернет-омбудсмена Д.Н.Мариничева.

31.07 2018 ФСТЭК России выпустила Информационное сообщение N 240/13/3330, которое снимает правовую неопределенность в вопросах о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, связанных с обработкой персональных данных.

Проблема была связана с отсутствием дифференциации требований к бизнесу в случаях обработки ПДн для собственных нужд и для коммерческих целей, в результате чего те компании, которые обрабатывают персональные данные исключительно своих клиентов и сотрудников, находились перед необходимостью выполнения сложных и дорогостоящих лицензионных требований, а также перед рядом чрезмерных административных барьеров для дальнейшего развития правомерной обработки баз данных, содержащих персональные данные физических лиц на территории России.
В апреле 2018 Ассоциация компаний интернет-торговли обратилась к интернет-омбудсмену Д.Н.Мариничеву с анализом сложившейся ситуации, и по инициативе Д.Н.Мариничева в мае 2018 года был проведен круглый стол совместно с Ассоциацией компаний интернет-торговли, Национальной ассоциацией дистанционной торговли и IP Club для обсуждения и консолидации отраслевой позиции.

По итогам круглого стола Д.Н.Мариничев обратился к Уполномоченному при Президенте РФ по защите прав предпринимателей Б.Ю.Титову с просьбой помочь получить от ФСТЭК разъяснения относительно того, в каких случаях для обработки данных необходимо получение лицензии на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ).

В результате письменного обращения Уполномоченного при Президенте РФ по защите прав предпринимателей Б.Ю.Титова к Директору ФСТЭК России В.В.Селину было выпущено Информационное сообщение от 31 июля 2018 г. №240/13/3330, размещенное на сайте ФСТЭК России.

По результатам анализа указанного Информационного сообщения можно сделать три основные вывода:

(1) Оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке персональных данных в информационной системе персональных данных для собственных нужд.

(2) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации:

-  Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам;

-  Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

- Услуги по мониторингу информационной безопасности средств и систем информатизации.

- Услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации;

- Услуги по проектированию в защищенном исполнении;

- Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.

(3) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по контролю (организации контроля) за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных.

Таким образом, правовая неопределенность в вопросе необходимости получения лицензии ФСТЭК РФ на ТЗКИ, осуществляемую для собственных нужд, была наконец-то полностью исключена.

В части деятельности при оказании другому оператору услуг по обработке персональных данных вышеуказанную лицензию также можно не получать, если в предмет договора не входят дополнительные виды услуг, подлежащие обязательному лицензированию, которые были перечислены в Информационном сообщении ФСТЭК РФ. Это позволит многим компаниям самостоятельно оказывать услуги по обработке данных без выполнения мероприятий по лицензированию своей деятельности и последующему выполнению сложных и дорогостоящих лицензионных требований. Кроме того, заказчики услуг по обработке данных получат возможность конкурентного выбора между профессиональными участниками рынка информационной безопасности, которые имеют необходимые лицензии ФСЭК РФ и могут оказывать большой спектр услуг для защиты данных, и другими компаниями, которые занимаются только обработкой данных и не предоставляют дополнительные лицензированные услуги.