Якщо чесно, то мені не зовсім зрозуміло завзятість ФСТЕК, яка продовжує чіплятися за термін "конфіденційна інформація", від якого законодавці поступово відмовляються. Ну немає такого поняття в законодавстві. Як ліцензувати діяльність, якої немає? Не розумію. Навіть фрагмент спроба дати роз'яснення в п.1 Постанови не надто вдала. Роз'яснення дано в дужках - "(яка не містить відомості, що становлять державну таємницю, але захищається відповідно до законодавства Російської Федерації)", а не у вигляді окремого визначення. Вважати, що це і є визначення КІ, - досить спірна позиція.
Уточнити і термін ТЗКІ. Тепер ФСТЕК чітко зафіксувала, що мова йде або про виконання робіт по захисту (а не якийсь міфічний комплекс заходів з ПП-504), або про надання послуг; або про обох видах разом. Причому в тексті ніде не говориться про власні потреби або про отриманні прибутку при виконанні робіт. Тим самим ФСТЕК залишається при своїй думці, що ліцензія потрібна всім, хто займається контролем захищеності конфіденційної інформації або установкою засобів захисту інформації. А це, як ми пам'ятаємо, обов'язок будь-якого оператора ПДН, яких в Росії налічується понад 5 мільйонів (тобто всі юрособи та індивідуальні підприємці).
При цьому експлуатація СЗІ до ліцензованої видом діяльності не відноситься, що також підтверджує неодноразово висловлену позицію ФСТЕК. Правда, ця позиція викликає питання. Якщо завдання ліцензування - підвищити рівень захищеності і відповідальності тих, хто займається захистом, то чому ліцензується тільки перші етапи у створенні системи захисту - проектування системи захисту і установка засобів захисту? Чому щоденна робота служб ІБ не підпадає під ліцензування? Адже вона не менш важлива, ніж та створення системи захисту? Логіка регулятора для мене незрозуміла.
Чи можна піти від ліцензування діяльності по ТЗКІ? Якщо не грати в казуїстику з відсутністю "конфіденційної інформації", то підстав тепер практично немає ;-( Рекомендації укладати договори з ліцензіатами ФСТЕК, які даються тими ж представниками регулятора, нездатні вирішити проблему. По-перше, у нас в Росії просто немає такої кількості ліцензіатів, які могли б покрити потреби кількох мільйонів організацій. А по-друге, договір з ліцензіатом зазвичай укладається на певний термін або на певний обсяг робіт. Впровадження системи захисту? Будь ласка. Регулярний до онтроль захищеності? Будь ласка. Але що робити, якщо у мене вийшов з ладу комп'ютер або з'являється новий співробітник і я повинен поставити йому новий ПК із засобом захисту? Це вже установка СЗІ, тобто ліцензований вид діяльності. А тому він не передбачуваний, то і залучити ліцензіата ми заздалегідь не можемо. У підсумку ми приходимо до того, що ліцензія повинна бути однаково у всіх.
Які наслідки можуть бути у даної Постанови? Складно прогнозувати. При незмінності позиції ФСТЕК більшість організацій як не прибирав так і не планує купувати ліцензії на діяльність з ТЗКІ. Покарань за цією статтею по лінії ФСТЕК немає і щось я не вірю в те, що вона буде відстоювати свою позицію в суді на регулярній основі. Та й суди по різному трактують ці норми. Статті КоАП за відсутність ліцензій також можуть скасувати (я писав про це тут і тут). Правда, залишиться 19.20 КоАП і 171 КК.
У підсумку все як в поговорити - "строгість наших законів компенсується необов'язковістю їх виконання". Кожна організація повинна для себе прийняти рішення - отримувати таку ліцензію чи ні.