В результате письменного обращения Уполномоченного при Президенте РФ по защите прав предпринимателей Б.Ю.Титова к Директору ФСТЭК России В.В.Селину было выпущено Информационное сообщение от 31 июля 2018 г. №240/13/3330, размещенное на сайте ФСТЭК России.
По результатам анализа указанного Информационного сообщения можно сделать три основные вывода:
(1) Оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке персональных данных в информационной системе персональных данных для собственных нужд.
(2) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации:
- Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам;
- Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
- Услуги по мониторингу информационной безопасности средств и систем информатизации.
- Услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации;
- Услуги по проектированию в защищенном исполнении;
- Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
(3) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по контролю (организации контроля) за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных.
Таким образом, правовая неопределенность в вопросе необходимости получения лицензии ФСТЭК РФ на ТЗКИ, осуществляемую для собственных нужд, была наконец-то полностью исключена.
В части деятельности при оказании другому оператору услуг по обработке персональных данных вышеуказанную лицензию также можно не получать, если в предмет договора не входят дополнительные виды услуг, подлежащие обязательному лицензированию, которые были перечислены в Информационном сообщении ФСТЭК РФ. Это позволит многим компаниям самостоятельно оказывать услуги по обработке данных без выполнения мероприятий по лицензированию своей деятельности и последующему выполнению сложных и дорогостоящих лицензионных требований. Кроме того, заказчики услуг по обработке данных получат возможность конкурентного выбора между профессиональными участниками рынка информационной безопасности, которые имеют необходимые лицензии ФСЭК РФ и могут оказывать большой спектр услуг для защиты данных, и другими компаниями, которые занимаются только обработкой данных и не предоставляют дополнительные лицензированные услуги.