Верхнее

Нужна ли лицензия ФСТЭК для собственных нужд?

Сформулированный для краткости немного в вольной форме вопрос в теме этого поста развернуть можно так:

Необходимо ли организации получать лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, когда организация осуществляет лицензируемый вид деятельности для собственных нужд?

Вопросу не один год, найти на него ответ можно и в законодательстве и в других источниках, но мне понравилась формулировка коллег из УЦСБ, с которыми этот вопрос недавно обсуждали.

Официальный ответ зафиксирован в Постановлении Правительства РФ №79 от 03.02.2012 «О лицензировании деятельности по ТЗКИ», а неофициальный звучит так:

  • Те пункты, где фигурируют «работы» — нужна лицензия даже для собственных нужд, это пункты г) и д).
  • Те пункты, где фигурируют «услуги» — нужна лицензия только для оказания таких услуг сторонним организациям, для собственных нужд лицензия не требуется.

Кратко напомню сами эти пункты из п.4 ПП РФ №79:

4. При осуществлении лицензируемого вида деятельности лицензированию подлежат:

а) услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам […];

б) услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

в) услуги по мониторингу информационной безопасности средств и систем информатизации;

г) работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации […];

д) работы и услуги по проектированию в защищенном исполнении […];

е) услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации […].

, , , , ,

Популярные комментарии

  1. Обсуждение в Чате Telegram:

    @Alexxiel
    А в этом обсуждении учитывалось ли это Информационное сообщение: https://www.garant.ru/products/ipo/prime/doc/70104166

    @zlonov
    Это сообщение от 2012 года, ПП 79 с тех пор изменилось.

    Прочитать дальше

    @Alexxiel
    Один раз в 2016 году.

    @zlonov


    И как раз тогда и появились “работы и услуги”.

    @Alexxiel
    «Работы и услуги» и тогда были. Но в 2012 году они упоминались до начала перечисления, а в 2016 переехали в начало каждого подпункта.

    @zlonov
    Поэтому и требовалось подобное информационное сообщение. Сейчас же всё гораздо проще: где-то лицензируются только услуги, а где-то и услуги и работы.

    @Alexxiel
    Можно допустить, что в 2012 предмет регулирования был шире, так как лицензированию подлежали и работы, и услуги. Поэтому была необходимость в Инфо сообщении. Но в 2016 произошло упомянутое вынесение работ и услуг по подпунктам, что добавило конкретики, как следствие, надобность в инфо сообщении отпала

    Но в своём инфосообщении регулятор обращает внимание не на «работы, услуги», но на прибыль. И выводы делаются не на основании формулировок из ПП-79, а на отсылке к ГК.

    Вот что смущает.

    @zlonov
    На самом деле прибыль там лишь как один из примеров целей деятельности упоминается.

    По сути - да, раньше для собственных нужд можно было осуществлять любую деятельность, а сейчас пункты г) и д) требуют обязательной лицензии в любом случае.

Продолжить обсуждение: rucybersecurity.ru

Участники