Уже традиционное продолжение обмена мнениями на страницах блога с А. Лукацким. На этот раз поводом послужила его заметка "КОММЕРЧЕСКИМ SOCАМ НУЖНА ЕЩЕ И ЛИЦЕНЗИЯ ФСБ НА ШИФРОВАНИЕ" https://lukatsky.blogspot.com/2018/11/soc_7.html
Требование о защите каналов традиционно для ФСТЭК и вполне логично, то есть, - применение СКЗИ является обязательным для лицензиата ФСТЭК по ТЗКИ (работы по мониторингу ИБ). Самым актуальным вопросом остается обязательность получения лицензии ФСБ на СКЗИ.
1. А. Лукацкий пошел по пути аналогии с банками (услуги ДБО). Мне больше импонирует аналогия с транспортными компаниями:компания оказывает услуги по транспортировке (перевозке) грузов, но ее грузовые автомобили оборудованы тахографами, а тахографы защищаются СКЗИ. Тот же СОК оказывает услуги по мониторингу, а каналы передачи данных защищаются СКЗИ. Требуется ли получать лицензию ФСБ на СКЗИ грузоперевозчикам?Ответ - нет.
Но есть и другая аналогия: компании, предоставляющие удаленные услуги бухгалтерии. А с ними у ФСБ почему то другое отношение. Хотя суть вся та же самая, СКЗИ используется из-за обязательного требования ФНС при предоставлении отчетности, но услугу по "шифрованию" бухгалтерская фирма никому не оказывает при этом. Суды поддерживают ФСБ в этой точке зрения.
"Постановлением зам.начальника отдела Управления ФСБ РФ по Белгородской области от 14.06.2011 года установлено, что Жданова В.С., будучи должностным лицом - директором ООО «…», с октября 2009 года, в нарушение п.7 ч.1 ст.17 ФЗ от 08.08.2001года №128-ФЗ «О лицензировании отдельных видов деятельности», п.п.в п.2 "Положения о лицензировании предоставления услуг в области шифрования информации" утвержденного Постановлением Правительства РФ от 29.12.2007 N 957, осуществляет предпринимательскую деятельность по передаче персональных данных (бухгалтерской отчетности) юридическим и физическим лицам по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, т.е. занимается деятельностью по предоставлению услуг в области шифрования информации без лицензии.
......
при выполнении обязательств по договору на оказание услуг налогового представителя, применяя при этом средства электронной цифровой подписи (ЭЦП) и средства шифрования для отправки налоговых деклараций и бухгалтерской отчетности по телекоммуникационным каналам связи, действовала от имени, в интересах и в пользу налогоплательщика."
или
"Согласно исследованных договоров заключенных ООО <данные изъяты> с юридическими лицами по спискам юридических и физических лиц, представивших налоговую и бухгалтерскую отчетность через ООО <данные изъяты> в период с 13 января по 08 февраля 2016 года, следует, что ООО <данные изъяты> оказывает платную услугу, по ведению бухгалтерского и налогового учета, составлению отчетности в объеме, установленном действующим законодательством РФ.
Во исполнения принятых на себя обязательств, в соответствии с условиями названого договора № от 10 октября 2012 года ООО <данные изъяты>, с помощью криптографических средств защиты информации «КриптоПроCSP» передавал отчеты доверителей с 13 января по 08 февраля 2016 года в налоговый орган.
В связи с этим и на основании вышеизложенного нельзя принять письмо ООО «Компания <данные изъяты> № от 30 марта 2016 года, о том, что уполномоченная организации, в данном случае, ООО <данные изъяты> не оказывает услуг шифрования информации.
Таким образом, ООО <данные изъяты>» по существу оказывает возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, т.е. предоставляя услуги по шифрованию информации фактически осуществляет функции оператора."
2. Касательно попытки использовать исключение по признаку "технологическая информация":
"Кроме этого, как следует из представленной Управлением выписки из шифртелеграммы от 02.04.2013 № 262912, подписанной заместителем начальника ЦЛСЗ ФСБ России, под технологическим каналом информационно-телекоммуникационной системы и сети связи следует понимать защищенный с использованием шифровальных (криптографических) средств канал связи, по которому осуществляется только передача данных для управления (конфигурирования) информационно-телекоммуникационной системой и/или сетью связи."
Так что не вариант для СОК.Общий итог: вариант работы СОК без лицензии ФСБ существует - разворачивание на объектах заказчика мониторинга своих собственных технических средств, которых специалисты заказчика не будут касаться вообще (использование СКЗИ для собственных нужд). Моя рекомендация - получайте лицензию ФСБ.
Касательно ответственности за деятельность без соответствующей лицензии. Самое опасное-предусмотрена возможность конфискации системы мониторинга, причем по КоАП, но есть и уголовная ответственность. Подробно разбирал риски для СОК за работу без лицензии в заметке https://valerykomarov.blogspot.com/2018/04/blog-post.html и в статье "Уголовно-правовые риски предоставления услуг по информационной безопасности" http://www.itsec.ru/imag/insec-1-2018/21
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Мне кажется, что все же сравнивать тахографы и направление бухгалтерской отчетности не совсем корректно. Все же тахограф функционирует для интересов самой организации, оказывающей, например, грузопассажирские услуги, чтобы она потом могла доказать полноту и правильность оказания таких услуг заказчику. А вот бухгалтерия направляет налоговые документы в интересах, в первую очередь, своих работников (оказывает им услуги) и, во вторую очередь, в своих собственных. Поэтому, можно сказать, в некоторой степени суды и ФСБ я понимаю.
ОтветитьУдалитьА авторы ФЗ от 14.06.2012 N 78-ФЗ, ПП от 23 ноября 2012 г. N 1213 и приказов минтранса от 13 февраля 2013 г. № 36 и от 21 августа 2013 года №273 и не знали, что тахографы функционируют в интересах самой организации. И обязательное наличие СКЗИ в тахографе то же видимо для блага самой организации. Даже Верховный Суд РФ от 23.06.2016 N АКПИ16-370 указал, что "Требование по оснащению транспортных средств тахографами установлено федеральным законом в целях обеспечения безопасности дорожного движения и является обязательным"
ОтветитьУдалитьДа и налоговая отчетность нужна в первую очередь государству и выполняется по требованиям государства.
ОтветитьУдалитьС СОК все то же самое, что и с тахографами с налоговой отчетностью.
Хочешь мониторить ИБ - получи лицензию ФСТЭК, хочешь получить лицензию ФСТЭК - используй СКЗИ, используешь СКЗИ - получи лицензию ФСБ.
Но СОК использует СКЗИ не для оказания услуги мониторинга, а для получения лицензии.
Так же и перевозчики, они используют СКЗИ ка лицензиаты по грузоперевозке, у налоговиков СКЗИ используется не для оказания услуги - формирование отчетности и ее отправки, а для выполнения требований ФНС к отчетности.
Этот комментарий был удален автором.
ОтветитьУдалитьВопрос точно про СОК и лицензию СКЗИ?
ОтветитьУдалитьПеренесла в другой пост
УдалитьНе увидел в какой пост перенесли. Я ваш вопрос понял, как о необходимости лицензии ФСТЭК при поручении третьему лицу обработки ПДн. Если это так, то лучше обсуждать в заметке https://valerykomarov.blogspot.com/2018/12/2018_24.html
УдалитьСпасибо! По ошибке оставила вопрос в этом посте.
УдалитьПеренесла в https://valerykomarov.blogspot.com/2018/12/2018_24.html