Лицензия на обработку персональных данных

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Лицензия на обработку персональных данных" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Лицензия на обработку персональных данных

Дата публикации 19.07.2018

Документ

Письмо ФСТЭК России от 06.06.2018 № 240/13/2549

Комментарий

В соответствии с законодательством обработка персональных данных не является лицензируемым видом деятельности, поэтому операторы персональных данных не должны получать соответствующую лицензию. Об этом сообщается в письме ФСТЭК России от 06.06.2018 № 240/13/2549.

Специалисты ведомства также напомнили, что согласно ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан принимать правовые, организационные и технические меры для защиты персональных данных. Оператор, обрабатывающий персональные данные в информационной системе, или иное лицо, участвующее по поручению оператора в обработке персональных данных в информационной системе, обязаны обеспечить их безопасность (п. 3 Требований к защите персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 119).

Источник: http://its.1c.ru/db/content/newsclar/src/458523.htm

Обработка персональных данных: надо ли получать лицензию

Обработка персональных данных не является лицензируемым видом деятельности. Соответственно организации и ИП, как операторы персональных данных, не должны получать лицензии на их обработку.

Об этом сообщила ФСТЭК РФ в своем информационном сообщении от 06.06.2018 N 240/13/2549.

Вместе с тем, в ведомстве поясняют, что оператор при обработке персональных данных обязан принимать все необходимые правовые, организационные и технические меры для защиты персональных данных. Этого требует закон от 27.07.2006 N 152-ФЗ.

Безопасность персональных данных при их обработке в информационный системе должен обеспечить сам оператор этой системы.

При этом для выполнения этих работ могут привлекаться на договорной основе сторонние организации и ИП. Вот у этих привлекаемых сторонних лиц должна быть лицензия на деятельность по технической защите конфиденциальной информации.

Источник: http://buh.ru/news/uchet_nalogi/71323/

Для работы с персональными данными необходима лицензия

С 2007 г. действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», и все организации при обработке персональных данных работников или иных физлиц (например, контрагентов) должны действовать в строгом соответствии с ним. До 1 июля 2011 г. компании должны привести свои информационные системы данных в соответствие с требованиями закона. Это, в частности, означает, что нужно получить лицензию на осуществление деятельности по технической защите данных либо возложить эти функции на специализированную организацию, имеющую такую лицензию. В противном случае могут привлечь к ответственности.

Чем объясняется необходимость лицензии

Персональные данные гражданина на основании Указа Президента РФ от 06.03.97 № 188 включены в перечень сведений конфиденциального характера. Обеспечение же защиты прав и свобод человека и гражданина при обработке его персональных данных декларировано как цель Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

В Законе № 152-ФЗ не говорится, что для работы с персональными данными необходима лицензия. В отношении лицензии в нем лишь упоминается, что орган по защите прав субъектов персональных данных (физических лиц) имеет право инициировать приостановление действия или аннулирование лицензии (п. 6 ч. 3 ст. 23).

О том, что лицензия при работе с персональными данными действительно нужна, свидетельствуют положения Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности». Согласно подп. 11 п. 1 ст. 17 данного закона подлежит лицензированию деятельность по технической защите конфиденциальной информации.

Читайте так же:  Восстановление инн юридического лица

С 1 июля начинает действовать новый Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», который также содержит требование о необходимости лицензировать техническую защиту информации (п. 5 ч. 1 ст. 12 вступает в силу с 3 ноября 2011г.)

Техническая защита данных

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе по техническим каналам, а также от специальных воздействий на такую информацию в целях уничтожения, искажения или блокирования доступа к ней. Об этом говорится в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства РФ от 15.08.2006 № 504.

Требованиями и одновременно условиями осуществления деятельности по технической защите являются:

  • специалистов в области технической защиты информации;
  • помещений для данной линцензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации;
  • производственного, испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку (калибровку), маркирование и сертификацию;
  • нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации (перечень установлен Федеральной службой по техническому и экспортному контролю);
  • автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, аттестованных и (или) сертифицированных по требованиям безопасности информации;
  • предназначенных для данной лицензируемой деятельности программ для ЭВМ и баз данных на основании договора с их правообладателем.

Лицензирование указанной деятельности осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Использование персональных данных с учетом требований Закона № 152-ФЗ о конфиденциальности обязывает принимать названные меры по их технической защите.

Итак, лицензия нужна. Но есть альтернатива.

Привлечение сторонней организации

В данной ситуации есть выход: не получать лицензию, а заключить договор на обработку персональных данных с организацией, у которой лицензия уже имеется. Такую возможность предоставляет п. 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58. Для выбора и реализации методов и способов защиты данных в информационной системе можно привлечь организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Подобное положение содержится в ч. 4 ст. 6 Закона № 152-ФЗ, где предусмотрено, что лицо, занимающееся обработкой персональных данных, вправе на основании договора поручить это другому лицу. Существенным условием такого договора будет обязанность соответствующей организации обеспечить конфиденциальность персональных данных и их безопасность при обработке.

Ответственность за отсутствие лицензии

За осуществление деятельности без лицензии компанию и ее должностных лиц могут привлечь к ответственности, причем не только к административной, но и к уголовной.

Право привлекать к административной ответственности за нарушение Закона № 152‑ФЗ принадлежит Роскомнадзору (уполномоченный орган по защите прав субъектов персональных данных). Кроме того, он уполномочен направлять в правоохранительные органы, в том числе прокуратуру, другие материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью (п. 7, 9 ч. 3 ст. 23 Закона № 152-ФЗ).

Административная ответственность по ст. 13.11 КоАП РФ предусматривает штраф для должностных лиц от 500 до 1000 руб., юридических — от 5000 до 10 000 руб.

К уголовной ответственности за работу с персональными данными без лицензии могут привлечь должностных лиц организации, если в результате работы причинен существенный вред правам и законным интересам владельца этих данных. В этой ситуации применяется ст. 171 «Незаконное предпринимательство» УК РФ.

Данной нормой предусмотрена ответственность, в частности, за осуществление предпринимательской деятельности без лицензии в случаях, когда она обязательна, если деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере. В качестве наказания налагается штраф в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательные работы на срок от 180 до 240 часов, либо арест на срок до шести месяцев.

Порядок проведения проверок

Проверки соответствия обработки персональных данных требованиям законодательства в области персональных данных проводятся согласно

Административному регламенту, утвержденному приказом Роскомнадзора от 01.12.2009 № 630. Назовем его основные положения.

Роскомнадзор и его территориальные органы проводят плановые и внеплановые проверки. Плановые проводятся согласно графику на текущий календарный год. Основанием для их проведения является госрегистрация в качестве юридического лица или индивидуального предпринимателя.

О плановой проверке организацию должны уведомить не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.

Внеплановые проверки, например, проводятся:

  • по истечении срока исполнения ранее выданного по итогам плановой проверки предписания об устранении выявленного нарушения;
  • при поступлении в органы Роскомнадзора заявлений о фактах возникновения вреда или угрозы жизни, здоровью граждан, о каком-либо нарушении прав и законных интересов граждан при обработке их персональных данных.

О внеплановой выездной проверке организацию должны уведомить не менее чем за 24 часа до начала ее проведения любым доступным способом. Исключение составляет случай, когда причинен или причиняется вред жизни, здоровью граждан. Тогда компанию предварительно не уведомляют.

График плановых проверок вместе с информацией о порядке их проведения размещается на официальном сайте Роскомнадзора www.rsoc.ru.

Концепция концепцией, а лицензию никто не отменял

У представителей бизнеса появилась дополнительная проблема. Заметим, что это не вполне согласуется с проводимой в России уже не первый год административной реформой, в рамках которой правительство декларирует сокращение административных барьеров для развития предпринимательства. О стремлении к этой цели свидетельствует замена лицензирования для отдельных видов деятельности обязательным страхованием ответственности. Об этом, в частности, говорится в Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 г. (утверждена распоряжением Правительства РФ от 17.11.2008 № 1662-р).

Читайте так же:  Процесс развода без детей по обоюдному согласию

Не исключено, что проблему с помощью подобных механизмов решат на законодательном уровне. Но пока направленных на это законопроектов в Госдуму не поступало.

Источник: http://www.eg-online.ru/article/136299/

Лицензия на обработку персональных данных

В результате письменного обращения Уполномоченного при Президенте РФ по защите прав предпринимателей Б.Ю.Титова к Директору ФСТЭК России В.В.Селину выпущено разъяснение о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в случаях, связанных с обработкой персональных данных. В результате правовая неопределенность в вопросе необходимости получения лицензии ФСТЭК РФ на ТЗКИ, осуществляемую для собственных нужд, теперь полностью исключена. Запрос во ФСТЭК был подготовлен по инициативе интернет-омбудсмена Д.Н.Мариничева.

31.07 2018 ФСТЭК России выпустила Информационное сообщение N 240/13/3330, которое снимает правовую неопределенность в вопросах о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, связанных с обработкой персональных данных.

Проблема была связана с отсутствием дифференциации требований к бизнесу в случаях обработки ПДн для собственных нужд и для коммерческих целей, в результате чего те компании, которые обрабатывают персональные данные исключительно своих клиентов и сотрудников, находились перед необходимостью выполнения сложных и дорогостоящих лицензионных требований, а также перед рядом чрезмерных административных барьеров для дальнейшего развития правомерной обработки баз данных, содержащих персональные данные физических лиц на территории России.
В апреле 2018 Ассоциация компаний интернет-торговли обратилась к интернет-омбудсмену Д.Н.Мариничеву с анализом сложившейся ситуации, и по инициативе Д.Н.Мариничева в мае 2018 года был проведен круглый стол совместно с Ассоциацией компаний интернет-торговли, Национальной ассоциацией дистанционной торговли и IP Club для обсуждения и консолидации отраслевой позиции.

По итогам круглого стола Д.Н.Мариничев обратился к Уполномоченному при Президенте РФ по защите прав предпринимателей Б.Ю.Титову с просьбой помочь получить от ФСТЭК разъяснения относительно того, в каких случаях для обработки данных необходимо получение лицензии на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ).

В результате письменного обращения Уполномоченного при Президенте РФ по защите прав предпринимателей Б.Ю.Титова к Директору ФСТЭК России В.В.Селину было выпущено Информационное сообщение от 31 июля 2018 г. №240/13/3330, размещенное на сайте ФСТЭК России.

По результатам анализа указанного Информационного сообщения можно сделать три основные вывода:

(1) Оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке персональных данных в информационной системе персональных данных для собственных нужд.

(2) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации:

— Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам;

— Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

— Услуги по мониторингу информационной безопасности средств и систем информатизации.

— Услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации;

— Услуги по проектированию в защищенном исполнении;

— Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.

(3) Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по контролю (организации контроля) за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных.

Таким образом, правовая неопределенность в вопросе необходимости получения лицензии ФСТЭК РФ на ТЗКИ, осуществляемую для собственных нужд, была наконец-то полностью исключена.

В части деятельности при оказании другому оператору услуг по обработке персональных данных вышеуказанную лицензию также можно не получать, если в предмет договора не входят дополнительные виды услуг, подлежащие обязательному лицензированию, которые были перечислены в Информационном сообщении ФСТЭК РФ. Это позволит многим компаниям самостоятельно оказывать услуги по обработке данных без выполнения мероприятий по лицензированию своей деятельности и последующему выполнению сложных и дорогостоящих лицензионных требований. Кроме того, заказчики услуг по обработке данных получат возможность конкурентного выбора между профессиональными участниками рынка информационной безопасности, которые имеют необходимые лицензии ФСЭК РФ и могут оказывать большой спектр услуг для защиты данных, и другими компаниями, которые занимаются только обработкой данных и не предоставляют дополнительные лицензированные услуги.

Источник: http://www.iombudsman.ru/articles/polucheno-razyasnenie-fstek-o-sluchayakh-obyazatelnogo-polucheniya-litsenzii-na-tzki/

Лицензия как продукт осознанной необходимости

Лицензирование деятельности операторов персональных данных.

Лицензия (лат. litentia — свобода, право) — специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Из истории вопроса

Само понятие «лицензирование деятельности», которое подразумевает наличие разрешительной политики государства относительно тех или иных видов деятельности предпринимателей, появилось в современной России не столь давно.

В Советском Союзе проблема лицензирования деятельности не стояла по совершенно простой причине — отсутствия частного предпринимательства как такового. Все производство и сфера потребительских услуг принадлежали государству, а государственные предприятия в лицензировании не нуждались — зачем государству лицензировать самого себя?

Видео (кликните для воспроизведения).

Понятие «лицензирование отдельных видов деятельности» появилось в постперестроечный период истории Российского государства. Оно возникло в законодательной практике 2 декабря 1990 г. в отношении банковской сферы, когда вступили в действие вновь принятые Законы РСФСР «О банках и банковской деятельности» и «О Центральном банке РСФСР (Банке России)».

Читайте так же:  Истребование доказательств в арбитражном процессе образец

25 декабря 1990 года появилось более общее понятие о лицензировании предпринимательской деятельности, когда, согласно 4 пункту ст. 21 Закона РСФСР «О предприятиях и предпринимательской деятельности» начала действовать норма, предусматривающая такое лицензирование как специальную норму государственного контроля. Эта норма устанавливала, что отдельные виды деятельности предпринимателей в Российской Федерации могут осуществляться лишь на основании лицензии (специального разрешения компетентных органов).

Предполагалось, что перечень видов предпринимательской деятельности, подлежащих лицензированию, будет определяться Правительством Российской Федерации.

Начиная с 1991 года было принято множество нормативно-правовых актов, регулирующих лицензирование деятельности. Исследователями подсчитано, что в период с 1995 по 1996г. насчитывалось около девятисот видов деятельности, для которых было необходимо лицензирование.

По настоящему переломным моментом правового регулирования лицензирования предпринимательской деятельности явился принятый 15 сентября 1998 г. Федеральный закон «О лицензировании отдельных видов деятельности», который впоследствии был переиздан 8 августа 2001 года за № 128-ФЗ.

Этот Закон внес ясность в концепцию правового регулирования предпринимательской деятельности посредством лицензирования, поставил лицензирование предприятий и предпринимателей на прозрачную, четкую основу, определил процедуру и порядок лицензирования. Кроме того, было значительно ограничено количество видов деятельности, подлежащих лицензированию. С учетом всех изменений, внесенных за восемь с половиной лет действия 128-ФЗ, таких видов деятельности, в соответствии с перечнем (ст.17, ч. 1) осталось семьдесят девять.

Одним из видов деятельности, подлежащих обязательному лицензированию является деятельность по технической защите конфиденциальной информации (ТЗКИ).

Лицензирование по ТЗКИ при защите персональных данных

Почему защита персональных данных (ПДн) осуществляется так же, как защита конфиденциальной информации и при этом требуется лицензирование деятельности по ТЗКИ?

Представим «логическую цепочку» нормативно-правовых актов:

Указ 188 => 152 ФЗ => 781 ПП => 128 ФЗ => 504 ПП => Административный регламент ФСТЭК России.

Рассмотрим составные части «цепочки» в интересующем нас аспекте.

Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».

Это единственный на сегодняшний день документ, определяющий, какие сведения относятся к сведениям конфиденциального характера, то есть являются конфиденциальной информацией. Про персональные данные говорится в первом пункте указанного Перечня.

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

В соответствии с этим Законом, персональные данные подлежат обязательной защите при обработке их с использованием средств автоматизации, при этом операторы персональных данных обязаны принимать необходимые меры для защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн). Требования к обеспечению безопасности персональных данных устанавливаются Правительством Российской Федерации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В указанном Положении устанавливаются требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, при этом в п. 3 определяется, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий.

Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности».

Как уже говорилось выше, этот Закон регулирует отношения, возникающие между лицензиатами и лицензирующими органами и определяет перечень отдельных видов деятельности, подлежащих обязательному лицензированию, в том числе деятельность по технической защите конфиденциальной информации (п. 11, ч. 1, ст. 17 указанного Закона).

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации».

Данное Постановление Правительства утверждает Положение о лицензировании деятельности по технической защите конфиденциальной информации, которое определяет порядок лицензирования указанной деятельности. В п. 4. Положения указаны лицензионные требования и условия, которым должен соответствовать соискатель лицензии.

Административный регламент ФСТЭК России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 181.

Административный регламент определяет сроки и последовательность действий сотрудников ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ.

Таким образом, учитывая, что персональные данные являются сведениями конфиденциального характера, их защита должна осуществляться в соответствии с требованиями, предъявляемым к технической защите конфиденциальной информации, которая, в свою очередь, является видом деятельности, подлежащей обязательному лицензированию.

Часто в полемиках о защите ПДн возникает вопрос об обязательности проведения операторами персональных данных лицензирования своей деятельности по ТЗКИ при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн. Как правило, рассмотрение приведенной выше «логической цепочки» нормативно-правовых актов приводит спорщиков к консенсусу.

Но наиболее рьяным противникам лицензирования приходится приводить еще один аргумент в споре.

Приказом Директора ФСТЭК России от 5 февраля 2010 года № 58 было утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», которое вступило в силу 15 марта 2010 года. В этом Положении сняты все ограничения на проведение лицензирования, которые имели место в более ранних методических документах ФСТЭК.

Здесь имеются в виду «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденные 15 февраля 2008 года. В этом документе было требование получения лицензии по ТЗКИ оператором персональных данных в случае обработки ПДн в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса.

При этом ИСПДн 4 класса и нераспределенные ИСПДн 3 класса оказывались вне требований обязательного лицензирования, что вступало в противоречия с действующими нормативно-правовыми актами. С выходом Приказа Директора ФСТЭК от 5 февраля 2010 года № 58 эти противоречия были устранены.

Читайте так же:  Возражения на иск по сроку давности

Получение лицензии опять стало обязательным при любой обработке персональных данных.

Альтернатива лицензированию — аутсорсинг

Процесс получения лицензии отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Постановлением Правительства № 504.

Самые продолжительные по времени (как правило) — обучение специалистов на курсах повышения квалификации по 72-часовым программам, согласованным со ФСТЭК России; приобретение документов ограниченного пользования, а также проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Причем выполнение последнего требования зачастую становится самым затратным в экономическом плане.

Кроме того, возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое в большинстве случаев не понадобится оператору персональных данных, так как он не собирается оказывать услуг по аттестации объектов информатизации, но.

Как говорили древние римляне: «Dura lex, sed lex». Суров закон, но это закон. Не хотите тратить деньги на приобретение оборудования — берите в аренду. Лицензионное требование должно быть выполнено, так как является обязательным при получении лицензии.

Пожалуй, наиболее предсказуемы сроки рассмотрения материалов лицензирующим органом — не более 45 рабочих дней, если не придется возвращать материалы соискателю для уточнения или исправления.

Таким образом, продолжительность процесса лицензирования по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Не каждое предприятие, особенно малого или среднего бизнеса может справиться с такими экономическими и временными нагрузками. А работать надо — оператор персональных данных не может не обрабатывать персональные данные — для того он и зарегистрировался в Роскомнадзоре.

Что делать? На этот исконно русский вопрос есть простой ответ, который звучит не совсем по-русски — аутсорсинг.

Современная тенденция, именуемая во всем мире в среде специалистов «аутсорсингом», юридической практике известна давно, но под другими названиями. Это не что иное, как передача определенных функций уставной деятельности сторонней компании. Само слово «аутсорсинг» (англ. outsourcing) дословно означает «использование внешних источников» и часто переводится как «кооперация», «субподряд» и даже «делегирование функций управления, полномочий и ответственности в рамках поставленных задач».

Аутсорсинг в сфере информационной безопасности подразумевает под собой передачу от компании-заказчика стороннему подрядчику на обслуживание ряда бизнес‑процессов (в том числе на основе использования подрядчиком своих лицензий, программных продуктов, технических средств и фрагментов инфраструктуры) вместе с ответственностью за результат выполнения этих процессов.

Передача функций защиты персональных данных третьему (уполномоченному) лицу предусматривается и Постановлением Правительства № 781 и Приказом № 58, в котором прямо сказано о возможности привлечения организации, имеющей предоставленную в установленном порядке лицензию на осуществление деятельности по ТЗКИ.

Практика осуществления аутсорсинга в сфере защиты конфиденциальной информации показывает, что, в зависимости от количества бизнес-процессов, переданных на обслуживание сторонним специализированным компаниям можно получить существенную экономию:

— снижение единовременных затрат на 20-30%;

— снижение регулярных затрат до 40%.

Но при этом надо не забывать про риски, которые неизбежны при проведении аутсорсинга. Их немного, основной из них — это то, что заказчик должен обеспечить стороннему подрядчику полный доступ к конфиденциальной информации. Этот факт подразумевает применение механизмов снижения рисков на договорной основе, ведь аутсорсинг это не просто взаимоотношения «заказчик — исполнитель», это партнерство, основанное на доверии.

Резюме

Процесс защиты информации оператором персональных данных должен осуществляться в соответствии с требованиями ФСТЭК России к технической защите конфиденциальной информации. Деятельность по ТЗКИ подлежит обязательному лицензированию — таково требование Закона.

Оператор персональных данных стоит перед выбором: что лучше — получить лицензию и самому строить надежную систему защиты информации или передать эту функцию сторонней организации — лицензиату, имеющей для этого силы, средства и право.

Именно в этом — в осознании этого выбора и принятия единственно правильного для конкретного оператора персональных данных решения и кроется смысл утверждения, вынесенного автором в заголовок статьи.

Источник: http://www.ispdn.info/articles/litsenziya-kak-produkt-osoznannoy-neobkhodimosti/

Персональные данные

Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.

Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.

Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор персональных данных может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.

А вот аттестация ИСПДн 1-й категории — обязательна.

В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).

Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).

В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.

Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.

Читайте так же:  Минимальное количество участников полного товарищества составляет

Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи).

В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:

  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.

В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).

Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:

  • предоставление услуг в области шифрования информации;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:

  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

Согласно положениям этого документа:

1. Если оператор персональных данных приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
2. Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.

Получение каких бы то ни было лицензий на право обработки персональных данных ФЗ «О персональных данных» не предусматривает.

Источник: http://elvis.ru/competency/faq/69/

Лицензии

Лицензия ФСТЭК на проведение работ по технической защите конфиденциальной информации

Компания Б-152 имеет лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на проведение работ по технической защите конфиденциальной информации.

Наличие лицензии ФСТЭК подтверждает соответствие компании и ее специалистов требованиям государственного регулирования к уровню подготовки, экспертизы и оснащения, необходимых для качественного выполнения работ в области защиты персональных данных.

Мы подтвердили свои компетенции по GDPR. Наши сотрудники проходят обучение по программе CIPP/E в IAPP и успешно сдают экзамены.

Получение статуса CIPP/E говорит о том, что наши услуги по GDPR соответствуют высоким стандартам.

Источник: http://b-152.ru/license

Защита персональных данных

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152.

Зачем необходимо принимать меры по защите персональных данных?

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Комплекс услуг

Аудит существующей системы защиты персональных данных

  • обследование процессов обработки персональных данных
  • анализ организационно-распорядительной документации
  • рекомендации по доработке системы

Заказать услугу

Доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства

Сопровождение созданной системы в условиях меняющегося законодательства и появления новых угроз

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

  • оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
  • моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

  • поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройка средств и систем защиты информации в соответствии с требованиями
  • аттестация информационной системы персональных данных
  • помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Заказать услугу

Видео (кликните для воспроизведения).

Источник: http://kontur.ru/security/features/personal-data

Лицензия на обработку персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here