Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 След.
Ответить
RSS
Лицензия ФСТЭК по ТЗКИ для сообственных нужд - новое мнение ФСТЭК
Цитата
Анна пишет:
"лечить больных" (соблюдать требования ФЗ от обязательном мед страховании) => при выполнении этого больница обрабатывает ПДн => должна их защищать => ставить СЗИ
таким образом можно сделать вывод, что для того, чтобы больничке лечить больных, надо поставить СЗИ
получается что установка СЗИ необходима для достижения целей деятельности, предусмотренных в уч. док.
это похоже на
курение = смерть
смерть = вечный сон
сон = здоровье
Курите дети на здоровье! ;) :D

Да написано же в письме:

"Для принятия решения о получении юр.лицом лицензии ФСТЭК на деятельность по ТЗКИ необходимо руководствоваться гражданским законодательством. ...
Частью 1 ст.2 ГК РФ определено, что гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность ... предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном порядке.

Следовательно,
1. гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность
2. предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами
3. лица, осуществляющие такую деятельность, должны быть зарегистрированы в установленном порядке
4. для принятия решения о получении юр.лицом лицензии ФСТЭК на деятельность по ТЗКИ необходимо руководствоваться гражданским законодательством

Т.е., если вы осуществляете предпринимательскую деятельность по ТЗКИ, то вы должны быть зарегистрированы в соответствующем порядке, т.е. должны иметь лицензию!
Если так, то тогда зачем написано, что получение лицензии является обязательным в случае если эта деятельность 1) направлена на получение прибыли ИЛИ 2) она необходима для достижения целей указанных в учредительных документах.
про предпринимательскую деятельность п.1
для чего тогда п.2?
Нив коем случае не навязываю точку зрения, а только демонстрирую другой вполне логичный подход

Цитата

В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или ) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации.


Обработка персональных данных является неотъемлемой частью скажем работы туристического бюро с клиентами? - конечно является, т.к. это процесс защиты обрабатываемых в ходе работы бизнеса данных. Т.о. она связана с получением прибыли.

Отсюда и главная проблема этого письма. Что считать термином - связана? Фактическую связь защиты с обработкой данных в бизнес-процессах или смысловую связь с целями бизнеса!!! В первом случае лицензия будет нужна, во втором - нет.

Теперь давайте капнем дальше с точки зрения логики рассуждений - смысловая связь с целями бизнеса уже была определена в тезисе "если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности" - т.е. тут понятно, мы зарабатываем защитой и тогда нам надо иметь лицензию, значит через союз и/или авторы предполагали что-то ещё. Отсюда как мне кажется и можно сделать вывод, что во втором высказывании имелась ввиду именно фактическая связь защиты информации с бизнес-процессами. А значит лицензия все-таки будет нужна.
Позвольте внести ясность:
в случае если деятельность по защите ПДн не направлена на достижение целей деятельности, предусмотренных в учредительных документах вроде вопросов нет - если написано, что цель обрабатывать, хранить , передавать и т.д. ПДн или предоставлять услуги по ЗИ - то нужна, если в целях компании нет ничего такого - то не нужна.
Теперь второй *WOW* момент
цитата "и (или ) не связана с получением прибыли от выполнения указанных работ или оказания услуг"
тут услуги не любые, а именно указанные, т.е. по ЗИ (ПДн в частности). Думаем - если мы именно с этой указанной услуги получаем прибыль - не важно прописана она у нас в уставе (в качестве цели) или нет - то выходит что нужна лицензия. А вот если никакой прибыли я от этой указанной услуги (по защите ПДн) я не получаю (а именно такая ситуация у большинстве компаний которые обрабатывают только ПДн своих сотрудников) - то и лицензия мне не нужна.
Опять 25....
Кто, где, и когда говорил, что нужна лицензия на обработку ПДн?
Вы что думаете операторы ПДн должны иметь лицензию???
Читаем 152 ФЗ срочно!!!
прикольно)))

В трудовом кодексе работодатель должен обеспечить защиту ПД работников,но это не является целью организации.Значит можно собственными силами без лицензии.

Получатся что лицензия не нужна)
нет пардон!

Получается что все нужна!Ведь для того что бы у тебя работали работники,нужно их нанять,а по ТК нужно защитить.Значит нужна.


Прекрасный документ.Сразу бы написали что нужна всем)))
Максим, наличие или отсутствие лицензии у оператора ПД определяется не ФЗ о ПД, а ФЗ о лицензировании отдельных видов деятельности (№99 от 04.05.11)
2Alexandro
Нанимание работников не связано с получением прибыли, с получением прибыли связана выполнение некоторыми из них части своих должностных обязанностей. Есть например работники, вообще никак не связанные с получением прибыли. Поэтому сам по себе факт нанимания работника и защиты его ПД не может определять необходимость получения лицензии ФСТЭК на ТЗКИ.
Цитата
Михаил пишет:
Есть например работники, вообще никак не связанные с получением прибыли
Это как простите для коммерческих организаций!(могут быть пару человек обслуживающего персонала,но работа остальных (хоть одного)связана с получением прибыли иначе зачем работать :) )
Скажем директора,гендиректора-заключение договоров с целью получения прибыли,инженеров выполнить настройку для того чтобы завершить проект и заработать денег для компании.

По вашему -коммерческая структура которая получает прибыль,но нет людей работа которых связана с получением прибыли.Кто вообше работает тогда?
Для госов,некоммерческих организаций типа фондов и пр. еще могу согласится.
Изменено: Alexandro - 22.06.2012 16:07:03
Цитата
Анна пишет:
Мне кажется здесь 3 случая:
1 - если деятельность направлена на получение прибыли
2 - если необходимо достичь цели, указанные в учредительных документах
3 - если обеспечивается защита по поручению
Под п.2 можно подвести все собственные нужды

Не надо "подводить".
Не выдумывайте лишнего.
Пункт 2 предлагает обратиться к учредительным документам юрлица. В них прописаны виды деятельности и цели этой деятельности. Больничка лечит, страховая компания страхует. Для достижения целей деятельности по лечению и страхованию никакая ТЗКИ не нужна.
2Alexandro
Давайте рассуждать строго логически.
Есть цитата письма ФСТЭК - В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или ) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации.

Понятие прибыли связано с работами и оказанием услуг. Нанимание работника - это работа, которая приносит прибыль? Нет конечно. Это действие, которое позволит выполнять работу, которая принесет прибыль. Это совершенно разные вещи. Поэтому просто обработка ПД лиц, принимаемых на работу, не является лицензируемой деятельностью, поскольку не является работой, связанной с прибылью, как зафиксировано в письме.
Alexandro,
Где в ТК говорится, что работодатель должен заниматься технической защитой конфиденциальной информации, связанной с работниками?
Цитата
Михаил пишет:
Максим, наличие или отсутствие лицензии у оператора ПД определяется не ФЗ о ПД, а ФЗ о лицензировании отдельных видов деятельности (№99 от 04.05.11)
Это да, но там про ПДн чет ничего не помню вообще.
А если бы лицензия нужна бы была оператору, то в 152 отразили бы это, полюбому
Михаил, Андрей [Пилотов], До абсурда доходить не стоит. Можно бесконечно спорить, что значит приносит прибыль? Все ком. организации ориаентированы на прибыль, все операторы ПДн так же ориентированы на прибыль. Здесь же идет речь не просто о факте прибыли, а о том, чо прибыль эта полчена в связи с оказанием услуг по ТЗКИ. Т.е. если ты поставляешь и обслуживаешь СЗИ, аттестуешь, проводишь контроль защищенности ЗИ, и т.д. то тогда лицензия нужна
Изменено: Максим Попов - 25.06.2012 12:45:13
У меня появился новый вариант трактовки данного письма)
тот прекрасный абзац можно разделить на две части:
1) лицензия необходима для деятельности направленой на получение прибыли;
2) лицензия необходима для достижения целей деятельности, предусмотренных в учредительных документах.

Первый вариант для коммерческих организаций, а второй для некоммерческих. Ведь некоммерческие учреждения по закону не могут заниматься извлечением прибыли. Но при этом они могут заниматься почти любой деятельностью. И главное для них-достижение целей, указанных в уставе.
Так вот потому что некоммерческие организации не могут извлеекать прибыль, но при этом могут заниматься ТЗКИ, ФСТЭК такое и написал.

Но это конечно очередная догадка. Потому что построено предложение по идиотски. И меня смущает последний абзац письма. Для чего он нужен? Исходя из разных позиций его тоже можно по разному понимать(
2Максим
Цитата
Максим Попов пишет:
Михаил, Андрей [Пилотов], До абсурда доходить не стоит. Можно бесконечно спорить, что значит приносит прибыль? Все ком. организации ориаентированы на прибыль, все операторы ПДн так же ориентированы на прибыль. Здесь же идет речь не просто о факте прибыли, а о том, чо прибыль эта полчена в связи с оказанием услуг по ТЗКИ. Т.е. если ты поставляешь и обслуживаешь СЗИ, аттестуешь, проводишь контроль защищенности ЗИ, и т.д. то тогда лицензия нужна

Перечитайте ещё раз пост №23. И это не абсурд, а семантический разбор официального заявления, в юриспруденции и вообще вопросах, связанных с нормативными требованиями, вещь просто необходимая. Если у вас другая точка зрения, то дайте подробный логический и непротиворечивый тексту письма разбор.
2Максим
Цитата
Максим Попов пишет:
Цитата
Михаил пишет:

Максим, наличие или отсутствие лицензии у оператора ПД определяется не ФЗ о ПД, а ФЗ о лицензировании отдельных видов деятельности (№99 от 04.05.11)

Это да, но там про ПДн чет ничего не помню вообще.

А если бы лицензия нужна бы была оператору, то в 152 отразили бы это, полюбому

Законы - это как процедуры в программировании, каждый выполняет свою функцию. Хороший стиль программирования как и написания законов требует, чтобы не было избыточности, поэтому в ФЗ о ПД не будет никаких требований о лицензии ФСТЭК, на это есть отдельный закон (№99). В юридической практике, если выход нового закона вызывает противоречия, то вносятся изменения в существующие законы. Т.о. особый порядок рассмотрения вопроса наличия или отсутствия лицензии для обработки персональных данных мог бы быть отражен изменениями в ФЗ №99 и только так. Таких изменений нет, но есть официальное письмо ФСТЭК. А в ФЗ о ПД по таким вопросам ничего искать не надо (как впрочем например и в ФЗ о защите коммерческой тайны).
Михаил,
Лицензии для обработки пдн нет и быть не может!!! На данный момент и в существующем законодательстве!
Официальное письмо фстэк не может определять необходимость наличия лицензии. Я думаю этот спор только в ходе судебной практики разрешится.
2Miksin
Я говорил о лицензии ФСТЭК на ТЗКИ, по поводу особого порядка для лицензии при обработке ПД я выражался гипотетически, для это в предложении указывал частицу "бы".
Насчет статуса официального письма, да, согласен. Просто это ориентир, в каких случаях регулятор не будет иметь к вам претензий
Страницы: Пред. 1 2 3 4 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.