Формулировки закона "О лицензировании..." вызывают вопросы

Иван Мелехин
Начальник отдела консалтинга департамент проектирования и консалтинга компании «Информзащита»

6 мая 2011 года  в Российской газете был опубликован закон №99-ФЗ «О лицензировании отдельных видов деятельности». Закон вступает в силу через 180 дней с момента своего опубликования. Так как закон затрагивает, в том числе и вопросы, связанные с обеспечением информационной безопасности, он привлек внимание специалистов отрасли. В Интернете появились  достаточно противоречивые комментарии, вплоть до того, что лицензирование деятельности по технической защите конфиденциальной информации отменено. Хотелось бы попробовать проанализировать положения данного закона с точки зрения обычной логики, так  как правоприменительной практики по нему еще не существует. 

В первую очередь, что бросается в глаза — это вывод лицензирования ряда видов деятельности из поля действия данного закона. Например, рассмотрим два вида деятельности, при лицензировании которых не применяются положение закона: "деятельности кредитных организаций" и "страховая деятельность". К сожалению,  уже эти примененные формулировки вызывает вопросы. Нормы данного закона не применяются при любой деятельности кредитной организации? Нормы данного закона не применяются только к страховой деятельности страховой компании? Т.е. оказание услуг по технической защите конфиденциальной информации не подлежит лицензированию в случае оказания таких услуг кредитной  организацией и подлежит лицензированию в случае оказания таких услуг страховой организацией? Или нормы данного закона не применяются только к перечисленным видам деятельности? То есть кредитная деятельность кредитной организации лицензируется в особом порядке, а деятельность по защите информации — в общем? В силу вышеперечисленных вопросов, на мой взгляд, рано говорить о том, что например деятельность кредитных организаций полностью выведена из поля действия данного закона.

Безусловным облегчением жизни хозяйствующих субъектов стало явное снятие требования по получению лицензий на техническое  обслуживание криптографических средств, если оно осуществляется для осуществления собственных нужд юридического лица и предпринимателя.  Однако, данное явное снятие порождает следующую ситуацию. По тексту закона, везде, где законодатель счел необходимым, требования закона сняты в случае осуществления деятельности для собственных нужд (выявление электронных устройств негласного съема  информации, производство и техническое обслуживание медицинской техники, перевозка воздушным транспортом и т.п.) В части же  деятельности по технической защите конфиденциальной информации такого комментария нет. Таким образом, по смыслу закона получается, что любая деятельность (даже выполняемая для обеспечения собственных нужд) по технической защите конфиденциальной информации подлежит лицензированию. 

Некоторые аналитики на основании раздела 4 статьи 8 закона, говорящего о том, что к лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства РФ, соблюдение которых является обязанностью любого хозяйствующего субъекта, делают вывод о том, что, например, деятельность по технической защите персональных данных (являющихся конфиденциальной информацией) не подлежит лицензированию. На мой взгляд, это ошибочное мнение. Данный раздел закона относится  к "совокупности требований (берем определение из статьи 3 закона), которые установлены положениями о лицензировании конкретных видов деятельности…", т.е. в совокупность этих требований не могут входить требования по выполнению и так обязательных  норм законов, но требования по лицензированию с успехом могут применяться! Например, откроем Положение о лицензировании деятельности по технической защите конфиденциальной информации в редакции постановления Правительства РФ от 21.04.20010  от 24.09.2010 № 749.Раздел 4 лицензионные требования определяет совокупность этих требований, которая не содержит никаких требований по выполнению обязательных для всех хозяйствующих субъектов законодательных норм. 

Из всего вышесказанного можно сделать довольно малоприятный вывод, заключающийся в том, что любая организация,  осуществляющая (далее дадим формулировку закона подставляя определения терминов из подзаконных актов) комплекс мероприятий и (или) услуг по защите персональных данных от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, должна получить лицензию на деятельность по технической  защите конфиденциальной информации. Поскольку это физически невозможно для всех предприятий, попадающих под действие ФЗ 152, то можно сказать, "хотели как лучше, а получилось как всегда". 

Источник: Информзащита