четверг, 5 мая 2011 г.

Новый закон о лицензировании

Дмитрий Медведев подписал Федеральный закон "О лицензировании отдельных видов деятельности".
Здесь я рассматриваю законопроект принятый Государственной Думой 22 апреля 2011 года. Не думаю, что потом внесены изменения.
Первое что посмотрел, любимая мозоль по защите персональных данных:

Статья 12
"1. разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Я так понимаю, что вопрос о лицензировании поликлиники в ФСБ на эксплуатацию криптографии для собственных нужд решен – не надо.

Статья 12:
"4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации"
.

А вот здесь ситуация стала хуже. Поскольку законодатель в п.1. ввел понятие "собственные нужды", то все мысли и слова о трактовке понятия деятельность уходят в прошлое. Для оператора остается два пути: получать лицензию самому или отдавать на outsourcing. По комментариям товарищей из Новосибирского ФСТЭК рекомендуется второй путь. Если есть лазейки, было бы неплохо обнародовать.

Из интересного про электронный документооборот и понятии электронной лицензии:

Ст. 3 Основные понятия, используемые в настоящем Федеральном законе:
2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа;

Ст.13 Порядок представления соискателем лицензии заявления и документов, необходимых для получения лицензии, и их приема лицензирующим органом:
6. Заявление о предоставлении лицензии и прилагаемые к нему документы соискатель лицензии вправе направить в лицензирующий орган в форме электронного документа, подписанного электронной подписью.
11. В случае, если в заявлении о предоставлении лицензии указывается на необходимость предоставления лицензии в форме электронного документа, лицензирующий орган направляет соискателю лицензии в форме электронного документа, подписанного электронной подписью, копию описи с отметкой о дате приема указанного заявления и прилагаемых к нему документов или уведомление о необходимости устранения выявленных нарушений и (или) представления документов, которые отсутствуют.


Данные пункты вступают в силу с 1 июля 2011 г., сам закон вступает в силу через 180 дней с момента его опубликования. Ждем выхода РГ.

7 комментариев:

  1. "Я так понимаю, что вопрос о лицензировании поликлиники в ФСБ на эксплуатацию криптографии для собственных нужд решен – не надо."

    Вот не уверен... Они защищают чужие конфиденциальные данные.

    ОтветитьУдалить
  2. До сих пор комментарии юристов относительно понятия собственных нужд были примерно такие:
    Услуга оказывается, тогда, когда является предметом отношений. В отношениях субъект-оператор предметом отношений не являются персональные данные. Как-то так хотя мог переврать.

    ОтветитьУдалить
  3. Ну тогда банк обрабатывает данные для собственных нужд - извлечения прибыли!

    ОтветитьУдалить
  4. Насколько я знаю банк оказывает услуги по шифрованию третьим лицам в системах ДБО. И как я понимаю при заключении договора на ДБО с юридическим лицом банк брал на себя обязательства по установке и сопровождению криптографических средств. Хотя в данном случае я не компетентен и если ошибаюсь - поправьте.

    ОтветитьУдалить
  5. Не думаю что тут есть абсолютно однозначное толкование. Мне кажется логичным так:

    Для собственных нужд -> за рамками интересов владельцев защищаемой информации.

    Но обработка (= хранение, передача и т.п.) ПДн не может не затрагивать интересы субъекта.

    По всей видимости очередное утверждение ФЗ которое будет иметь неоднозначную судебную практику... Но мы уже привыкли...

    ОтветитьУдалить
  6. Давай рассмотрим ситуацию, когда собственные нужды организации толкуются в предельно узких рамках: обрабатывается информация принадлежащая предприятию и в целях работы предприятия и на ресурсах предприятия. Чем это может быть в реальности? Ну, обработка ПД в рамках трудового законодательства, защита “know-how ”. IMHO все. Оглядываясь на свой опыт криптуху в этих случаях использовали настолько мизерное количество раз, что менять трактовку закона о лицензировании не имело смысла.
    В то же время в Справке государственно-правового управления говориться: Лицензирование позволяет предотвратить нанесение ущерба законным интересам, жизни и здоровью граждан, окружающей среде, обороне и безопасности государства, не вводя государственную монополию на осуществление потенциально опасной деятельности и не ограничивая свободу предпринимательства.
    Что по смыслу подходит к трактовке собственных нужд завязанных на предпринимательскую деятельность, о которой я говорил выше.
    Хотя в прочем я с Вами согласен, практика покажет.

    ОтветитьУдалить
  7. Собственных нужд много:
    - защищенный документооборот (от организации хранения, архивирования до организации совместной работы над конфиденциальными документами составляющими коммерческую тайну)
    - защищенная электронная почта
    - обеспечение защиты при обмене данными при филиальной структуре компании
    - безопасные чаты/видео/аудио конференции
    - защищенная IP телефония внутри предприятия
    - обеспечение демилитаризованной зоны
    - защищенный бухгалтерский учет
    - обеспечение переезда компании на новую площадку
    - обеспечение защиты выносных рабочих мест
    и т.п.

    ОтветитьУдалить