вторник, 6 июля 2010 г.

Письма лично на почту ношу...


Вселенная развивается по спирали. Вместе с ней по спирали развивается все, что есть во Вселенной, включая галактику Млечный путь, Солнечную систему, планету Земля, континент Евразия, страну Российская Федерация и ее государственные структуры - ФСТЭК и ФСБ. Хотя порой мне кажется, что витки спирали развития этих структур какие-то особенные: как в известной песне Константина Кинчева "Тоталитарный рэп", на один шаг вперед приходится два шага назад.

То ли летняя жара сыграла свою роль, то ли поговорить больше не о чем, но популярные блоггеры вновь, вновь и вновь возвращаются к теме необходимости получения лицензий ФСБ на СКЗИ и ФСТЭК на ТЗКИ для собственных нужд. Как и всегда, умы профессионалов снова и снова будоражат письма, то и дело всплывающие, как по весне, на поверхность интернета, в котором, как известно, ничто уже не утонет.

На этот раз поводом помусолить старину стали два письма. Первое - официальный ответ центра лицензирования ФСБ на запрос, сформулированный приблизительно следующим образом:

"Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации.

Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?"
 
Ответ выглядит так:
 
Что ж, новизна очевидна. Оказывается, лицензия необходима в ЛЮБОМ случае, вне зависимости от чего бы то ни было, и даже вне зависимости от Гражданского кодекса, являющегося определяющим документом в отношении 128-ФЗ... Теперь еще один интересный документ, размещенный на сайте Минздравсоцразвития:

Здесь, помимо 128-ФЗ, появляется еще ссылка на Гражданский кодекс, являющийся "верхнеуровневым" документом для федерального закона, однако, в отличие от документа ФСБ, ничего конкретного не написано. Замечу, что многим ранее - в 2002 году, когда о защите персональных данных не велось и речи, Центральным банком РФ было получено аналогичное письмо следующего содержания:
   
Таким образом, концепция регуляторов изменилась: если в 2002 году можно было смело заявить о том, что лицензия для своих нужд не нужна, то сейчас, в 2010-м, этого уже не делают. Оно и понятно - кто же будет отказываться от такого куска пирога. К счастью, статьи 2 и 49 Гражданского кодекса РФ значительных изменений за это время не претерпели, а это значит, что логика применения 128-ФЗ осталась прежней: как не маскировали бы регуляторы истину, она очень четко отражена в письме ФСТЭК 2002 года:

"...получение соответствующей лицензии необходимо только юридическим лицам, осуществляющим предпринимательскую деятельность, связанную с технической защитой конфиденциальной информации."

Поясню суть ответа. Основным законом РФ является, как известно, Конституция. Согласно правовой системы РФ, далее идут Федеральные кодификационные законы, иначе именуемые Кодексами, следующие за ними - Федеральные (некодификационные) законы, затем - подзаконные акты и т.д. Кодекс представляет собой "отраслевой" федеральный закон, положения которого могут раскрываться в некодификационных федеральных законах. Именно этот случай применим в отношении проблемы получения лицензии ФСТЭК и ФСБ на "осуществление деятельности".

Следует понимать, что термин "деятельность", в понятии обывателя означающий осуществление каких-либо действий, в законодательстве РФ звучит совсем по-другому. Поскольку 128-ФЗ является законом, раскрывающим п. 1 ст. 49 Гражданского кодекса (это красной нитью идет во всех письмах), давайте обратимся к первоисточнику - ГК - и посмотрим, что же такое "деятельность" в рамках этого документа? На этот вопрос нам ответит статья 2 ГК, которая называется "Отношения, регулируемые гражданским законодательством". В пункте 1 ст. 2 ГК РФ сказано:

"Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке."

Таким образом, действие ВСЕГО Гражданского кодекса распространяется на "деятельность" как исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ. Никакого другого определения "деятельности" в ГК нет. А стало быть, и в ст. 49 ГК РФ, и в 128-ФЗ между словами "деятельность" и "предпринимательская деятельность" нужно ставить знак равенства. Эта тема не раз обсуждалась на многих ресурсах - я рекомендую в продолжение посетить вот этот.
 
В качестве заключения хочется сказать одну замечательную, на мой взгляд, фразу: "Бабло побеждает зло". К сожалению, судя по тенденции, "злом" в глазах регуляторов является здравый смысл и законодательство РФ. А бабло... оно везде бабло. Успехов в борьбе, товарищи!

32 комментария :

  1. Анонимный6.7.10

    а концновочку-то поправил ))

    ОтветитьУдалить
  2. Уж больно резало глаз - яркий пример тому когда мысли впереди слов мчатся :) Сейчас корректно, но "фон позора" остается :)

    ОтветитьУдалить
  3. topless_freak6.7.10

    Тема избита но всегда актуальна если хотите потрясти массы. Больше всего понравилось начало - от ФСТЭК до Вселенной всего 7 шагов. Остальное запарило моск до дыр

    ОтветитьУдалить
  4. Комментарий, достойный трансляции здесь (взято с блога Лукацкого):

    malotavr:

    В переводе с канцерлярского на русский:

    "Уважаемый Владимир Сергеевич!

    Ну че пристали? Мы не можем дать однозначного ответа, поскольку не знаем, что считать деятельностью."

    Вопрос о том, нужно ли считать защиту собственной конфиденциальной информации видом деятельности организации, поднимается с момента выхода первых положений о лицензировании. Однозначного ответа на него ФСТЭК не знает, подменять собой законодателя не готов. Вот и отписывается. И при лицензировании подстраховыввается - требует от соискателя внести изменения в Устав, явно обозначив защиту конфиденциальной информации одним из основных видов деятельности.

    ОтветитьУдалить
  5. Анонимный7.7.10

    Поправочка:

    Никаких "кодификационных" законов в правовой системе РФ нет, есть Федеральные Конституционные законы и к различным "Кодексам" они не имеют отношения.
    ГРАЖДАНСКИЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ если вы посмотрите реквизиты документа, например, части первой является Федеральным законом от 30 ноября 1994 года N 51-ФЗ. Таким образом никакого "преимущества" он перед 128 ФЗ не имеет.

    Во-вторых, тезис "Таким образом, действие ВСЕГО Гражданского кодекса распространяется на "деятельность" как исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ." в корне неверен, это тот самый случай когда пол правды хуже лжи.

    Статья 2. Отношения, регулируемые гражданским законодательством.
    1. Гражданское законодательство определяет правовое положение участников гражданского оборота, основания возникновения и порядок осуществления права собственности и других вещных прав, прав на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальных прав), регулирует договорные и иные обязательства, а также другие имущественные и личные неимущественные отношения, основанные на равенстве, автономии воли и имущественной самостоятельности участников.
    (в ред. Федерального закона от 18.12.2006 N 231-ФЗ)
    Участниками регулируемых гражданским законодательством отношений являются граждане и юридические лица. В регулируемых гражданским законодательством отношениях могут участвовать также Российская Федерация, субъекты Российской Федерации и муниципальные образования (статья 124).
    Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.
    Правила, установленные гражданским законодательством, применяются к отношениям с участием иностранных граждан, лиц без гражданства и иностранных юридических лиц, если иное не предусмотрено федеральным законом.
    2. Неотчуждаемые права и свободы человека и другие нематериальные блага защищаются гражданским законодательством, если иное не вытекает из существа этих нематериальных благ.
    3. К имущественным отношениям, основанным на административном или ином властном подчинении одной стороны другой, в том числе к налоговым и другим финансовым и административным отношениям, гражданское законодательство не применяется, если иное не предусмотрено законодательством.

    C уважением,

    attendantofwood

    Что-то с open-ID...

    ОтветитьУдалить
  6. to attendantofwood:

    > Никаких "кодификационных" законов в правовой системе РФ нет, есть Федеральные Конституционные законы и к различным "Кодексам" они не имеют отношения.

    Терминология взята из Википедии - ссылка по "правовой системы РФ". Не согласны - правьте статью :)

    > ВСЕГО Гражданского кодекса распространяется на "деятельность" как исключительно на ПРЕДПРИНИМАТЕЛЬСКУЮ ДЕЯТЕЛЬНОСТЬ - это тот самый случай когда пол правды хуже лжи

    Мы говорим об определении "деятельности", так что никакой "полправды" и "лжи" нет - конкретный предмет обсуждения - не более того. За некорректность формулировок - сорри, я здесь имел в виду то, что в КГ иного определения "деятельности" нет.

    > никакого "преимущества" он перед 128 ФЗ не имеет

    А вот здесь Вы не правы - ГК имеет приоритет над 128-ФЗ. Спросите у юристов. Хотя два юриста - три мнения, так что поглядите внимательно на последнее письмо ФСТЭК. Уж им-то можно доверять...

    ОтветитьУдалить
  7. Анонимный8.7.10

    Отдельным видам деятельности можно заниматься только на основании специального разрешения (лицензии), перечень определяет 128-ФЗ.
    Так вот, к примеру, ст.17 п.1 "разработка авиационной техники, в том числе авиационной техники двойного назначения". Вы можете представить законное производство такой вот техники для своих нужд не получая соответствующее разрешение?

    ОтветитьУдалить
  8. > Терминология взята из Википедии

    Круто! Авторитетный источник.
    З.Ы. Даже в этой статье таких слов нет.

    > Мы говорим об определении "деятельности"...

    Видимо синтаксис хромает... сильно...

    > А вот здесь Вы не правы - ГК имеет приоритет над 128-ФЗ.

    No comments anymore

    ОтветитьУдалить
  9. > З.Ы. Даже в этой статье таких слов нет.
    Сори, не в ту статью залез.

    Хотя это ничего не меняет, в любом случае это Федеральный закон и не более.

    ОтветитьУдалить
  10. to Анонимный & attendantofwood:

    > А вот здесь Вы не правы - ГК имеет приоритет над 128-ФЗ.
    >> No comments anymore

    > Отдельным видам деятельности можно заниматься только на основании специального разрешения (лицензии), перечень определяет 128-ФЗ.

    Да, именно так. А какой документ определяет фразу до запятой? Гражданский кодекс. Вот это я и подразумеваю под словом "приоритет" - не более того. Потому и к "деятельности" нужно подходить с позиций ГК, а далее все в статье написано.

    special for attendantofwood:

    > Видимо синтаксис хромает... сильно...

    синтаксис - это раздел языкознания, изучающий построение связной речи, он вроде не хромает, а вот с юрформулировками действительно туговато :) - я не юрист (пока), но смысл я думаю понятен.

    > Сори, не в ту статью залез.

    Будете сами себя теперь комментировать? :) Лучше комментируйте мой материал - мне на пользу, Вам для души :)

    ОтветитьУдалить
  11. to Анонимный:

    > Вы можете представить законное производство такой вот техники для своих нужд не получая соответствующее разрешение?

    Посмотрите комментарий malotavr.

    "при лицензировании ФСТЭК подстраховыввается - требует от соискателя внести изменения в Устав, явно обозначив защиту конфиденциальной информации одним из основных видов деятельности."

    Это действительно так. Как Вы думаете, зачем они это делают?

    ОтветитьУдалить
  12. Доктор Хаос8.7.10

    Да ясно все, избитая тема. Деятельностю по ГК считается предпринимательская, направленная на извлечение прибыли, перечень видов деятельности, из которых хозяйствующий субъект извлекает прибыль, указывается в учредительных документах (в уставе), потому если в уставе нет значит ХС такую деятельность не ведет а значит лицензия ему не нужна. По этой логике все операторы ПДн -коммерсанты должны при регистрации указывать ТЗКИ и СКЗИ в качве осн видов деятельности в уставе - и без лицензий деятельность хозсубъекта, если он обрабатывает ПДн получается недопустима. Для операторов-муниципалов есть СТРК и много чего еще.

    Алексей, тема раскрыта правильно, но не юрист - не пишите ахинею, приоритеты законов расставляются совсем не так - учите матчасть, ато санитары леса с юношеским максимализмом загрызут

    Санитару: логическая связка ГК и 128-ФЗ в статье проведена правильно, а вот я почитал ваш диплом в жеже - адатуму должно быть стыдно

    ОтветитьУдалить
  13. Консолидированное мнение (из нескольких источников) получается таким, что раз все операторы "оказывают услуги субъектам ПДн по защите их ПДн", то все без исключения операторы долны получить соответствующие лицензии ТЗКИ и СКЗИ. При этом, операторы-коммерсанты доджны при регистрации (перерегистрации) вносить в учредительные документы основные виды деятельности, связанные с ТЗКИ и СКЗИ, и получать соответствующие лицензии - без этого никакой коммерческой деятельности. "А для операторов-муниципалов есть СТРК и много чего еще". То есть - тотальное, поголовное лицензирование. Как вам такая точка зрения, господа? :)

    ОтветитьУдалить
  14. Вот у нас, коллеги, тема-то поперла... Я ошибочно полагал, что это уже никому не интересно - ан нет, наоборот - кипит наш разум возмущенный! Регуляторы наверное широко улыбаются и в ладоши хлопают :)

    Чтобы не заниматься трансляцией мыслей, рекомендую зайти на форум:

    http://mmite.3dn.ru/forum/2-9-1

    Там тема раскрыта ширше. Жарко, мозг плавится :)

    ОтветитьУдалить
  15. To Доктор Хаос

    Славно, всем указали свое место)

    В ГК нет определения "Деятельности", оно есть в толковом словаре русского языка, там и следует его читать.

    > Деятельностю по ГК считается предпринимательская, направленная на извлечение прибыли

    По-вашему некоммерческие организации деятельностью не занимаются и, может быть, у них нет устава где прописаны виды деятельности?

    > почитал ваш диплом в жеже - адатуму должно быть стыдно

    Конструктивная критика, спасибо.

    Так вы там и комментируете: недостатки, по пунктам, для этого он и опубликован.

    ОтветитьУдалить
  16. to Доктор Хаос & attendantofwood:

    Коллеги, не ссорьтесь - не стоит оно того. Это мой персональный блог а не udaff.com, я тут просто пЕшу свои мысли - иногда не в попад а иногда и неправильно - я же не истина в последней инстанции, остаются пробелы в знаниях, и для их отыскания я блог и создавал. Так что лучше меня критикуйте :)

    to Доктор Хаос: иду учиться на юриста, уже иду :)

    to attendantofwood: мне не совсем понятна Ваша позиция по обсуждаемой теме - кроме громогласных разоблачений меня в недостатке знаний по вопросам юриспруденции - ничего конструктивного. Вы-то сами к чему склоняетесь - получать лицензию или нет? Почему? Аргументируйте ответ.

    > В ГК нет определения "Деятельности", оно есть в толковом словаре русского языка, там и следует его читать.

    Толковый словарь для суда не аргумент, так же как и Википедия. А вот ГК - аргумент. Статья 2 - читаем кривой язык законодательства и пытаемся его понять с точки зрения нашего с Вами опыта и образования.

    > По-вашему некоммерческие организации деятельностью не занимаются и, может быть, у них нет устава где прописаны виды деятельности?

    Я не совсем знаю кухню некоммерческих организаций, но полагаю, что если некоммерческая организация будет оказывать волонтерские услуги по ТЗКИ на безвозмездной основе, лицензия в этом случае все же необходима. Однако такие прецеденты мне не известны, а законодатели, очевидно, не догадались о таком повороте дел, и потому такой случай как-то обошли стороной.

    ОтветитьУдалить
  17. Доктор Хаос8.7.10

    Санитару: я старый человек, у меня два высших образования в том числе юр, так что меня можно слушать. Ход мысли Волкова верный, терминология страдает. А вот это "Так вы там и комментируете: недостатки, по пунктам, для этого он и опубликован" спишем на юношеский максимализм. Удачи защитить.

    ОтветитьУдалить
  18. Никаких разоблачений, просто поправочка.

    Конструктив, если о нем вообще можно говорить имея такое глубоко косячное ПП 504, тут:
    http://attendantofwood.livejournal.com/14529.html


    Доктор Хаос, я с глубоким уважением отношусь к старшему поколению, вы должны учить нас сдержанности и толерантности, в частности воздерживаться от неаргументированной критики и переходов на личности с применением технологий фаллометрии.

    ОтветитьУдалить
  19. to attendantofwood:

    > http://attendantofwood.livejournal.com/14529.html

    Вот это уже ближе к делу, только не забывайте рассматривать документы в комплексе, а не "кусочно". За каждым ПП стоит свой ФЗ, и за ФЗ может стоять другой ФЗ, и следовать в свою очередь из других ФЗ. Вот здесь недостаток знаний и сказывается - не зная всех взаимосвязей законодательства (а они подчас настолько удивительные что ну никак не догадаешься) вступать в баталии бессмысленно - только слюной плеваться. Поэтому учиться, учиться и еще раз учиться.

    > переходов на личности с применением технологий фаллометрии

    Этому нам надо всем учиться. Я пытаюсь бороться, но как говорится, самая трудная борьба - борьба с самим собой... :)

    ОтветитьУдалить
  20. topless_freak8.7.10

    Я всех сейцас аткаментирую
    1) А.Волков - прав, но тема реально достала. Я получать никаких лицензий итак несобирался
    2) Attendant прав - А.Волков не юрист и не прав, но и Attendant неправ потомучто тоже не юрист
    3) ДрХаос - респект, но тоже неправ потому что фаллометрия неконструктивна
    4) Я тоже неправ потомучто своего блога нет, я тут гость. Был бы блог был бы прав.
    Все довольны?

    ОтветитьУдалить
  21. Аналогичная тема была развернута на Блоге Царева 22 марта:

    http://www.tsarev.biz/?p=1388

    Дежа вю :)

    ОтветитьУдалить
  22. Хемалда26.7.10

    То, что А.Волков подразумевает под "приоритетом" называется "юридическая сила". В данном случае гражданский кодекс является документом с большей юридической силой, нежели 128-ФЗ. Так что хоть вы и правы Алексей, учитесь правильно изъясняться.

    ОтветитьУдалить
  23. Анонимный10.9.10

    Тема необходимости лицензии раскрыта чере критику наличия "собственных нужд", которых не существует в природе.

    http://www.fz152.ru/articles/139-article006.html

    ОтветитьУдалить
  24. Анонимный9.12.10

    Коллеги, прошу прощения что еще раз "будоражу" данную тему, но уже в дальнейшем разрезе. Хорошо, ФСТЭК определил что лицензию на деятельность по технической защите конфиденциальной информации получать нужно. В известном ПП 504, определено, что
    Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
    Если буквально читать данное определние, то Оператор ПДн самостоятельно не имеет право применять организационные меры по защите ПДн, т.к. они тоже попадают под определения "комплекса мероприятий".
    В чем для меня практический смысл данного вопроса:
    могу ли я, обладая достаточным пакетом
    - знаний;
    - бумажек их подтверждающих (читай сертификатов об обучении);
    - образцов документов (конечно же только из открытых источников :)) и т.д.,
    разработать ВСЕ внутренние нормативные документы (включая модель угроз, техническое задание, проект и даже декларацию о соответствии СЗПДн требованиям нормативно-методических документов), осуществить выбор, закупку и настройку СЗИ (включая СКЗИ), осуществить их настройку и пригласить компанию с лицензией для:
    - проверки правильности разработанных документов;
    - проверки соответствия настроек СЗИ требованиям нормативно-методических документов;
    - правильности произведенного декларирования.
    Это огромная разница в деньгах, но вопрос легитимности данного подхода меня настораживает.

    ОтветитьУдалить
  25. Вы делаете этот комплекс сами, для себя, на свои собственные средства. Поэтому ПП504 к вам не применим. Вот если бы Вы оказывали такие услуги - тогда другое дело. А так не бойтесь - работайте смело. Другой вопрос в декларировании соответствия. Это по идее как раз сторонняя контора с лицензией должна делать.

    ОтветитьУдалить
  26. Анонимный9.12.10

    Я сам в такой "конторе" проработал 8 лет, поэтому превосходно внутреннюю кухню представляю, но в свете писем (по тексту блога) доблестных решений регуляторов и изучения проблематики, а также вполне вероятного использования вопросов защиты ПДн для конкурентной борьбы и одновременной задачи по экономии бюджетных средств, приходится под каждый пункты подводить законодательную базу (или хотя бы пытаться это сделать). Поскольку ФЗ-128 не раскрывает содержания термина "техническая защита конфиденциальной информации" приходитя выбирать из того что есть. А ПП 504, в свою очередь не дает четкого ответа на вопрос "Что можно делать без лицензии, а что - нет".

    ОтветитьУдалить
  27. Смотрите ГК - что считается "деятельностью". Особенности нашего законодательства таковы, что чаще всего приходится руководствоваться не законом, а понятийным аппаратом. Мой аппарат говорит мне то, что я сказал выше. Что скажет аппарат регуляторов в каждом конкретном случае - увы, никому не ведомо.

    ОтветитьУдалить
  28. Анонимный9.12.10

    К несчастью Вы правы. Спасибо.

    ОтветитьУдалить
  29. Анонимный25.1.11

    На досуге заглянул в ОКВЭД - ИМХО это как раз тот документ, который и определяет виды деятельности. Нашел: "- предоставление услуг по обеспечению информационной безопасности вычислительных систем и сетей". Услуг! Надо навести порядок в понятийном аппарате и большинство вопросов отпадут. Лицензирование стоит не дорого, а очень дорого. Если государство решило подкормить интеграторов - тут ничего не поделаешь.

    ОтветитьУдалить
  30. to Анонимный:

    > это как раз тот документ, который и определяет виды деятельности

    Абсолютно верно. Именно этот вид деятельности (ОКВЭД 72.30) и заставляют внести в учредительные документы при получении лицензии на ТЗКИ.

    ОтветитьУдалить
  31. Анонимный25.1.11

    Это уже принуждение к деятельности. Эх, нам бы суд независимый!

    ОтветитьУдалить
  32. Анонимный7.5.13

    Whatѕ uρ ѵery cool web site!
    ! Mаn .. Beаutiful .. Supeгb ..
    I'll bookmark your blog and take the feeds additionally? I'm
    glad to ѕearch оut a lot of useful іnformation heгe within the ѕubmit, we
    need dеvelоp moге techniqueѕ in this rеgаrd, thankѕ
    foг shaгіng. . . . . .

    my hοmepage http://www.gojini.com/profile/harrisonhi

    ОтветитьУдалить