Информационное сообщение ФСТЭК России от 31.07.2018 №240/13/3330 "О необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, связанных с обработкой персональных данных ".
В ФСТЭК России поступают обращения от организаций и физических лиц по вопросу о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации в случаях, связанных с обработкой персональных данных.
ФСТЭК России информирует, что в соответствии с Федеральным законом от 4 мая 2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности» и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» обработка персональных данных не является лицензируемым видом деятельности.
Вместе с тем в соответствии с частью 1 статьи 19 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
В пункте 3 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119, установлено, что безопасность персональных данных при их обработке в информационный системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключенного с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке персональных данных в информационной системе персональных данных для собственных нужд.
Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. №79:
- Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам:
- в средствах и системах информатизации;
- в технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
- в помещениях со средствами (системами), подлежащими защите;
- в помещениях, предназначенных для ведения конфиденциальных переговоров (далее – защищаемые помещения).
- Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
- Услуги по мониторингу информационной безопасности средств и систем информатизации.
- Услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений.
- Услуги по проектированию в защищенном исполнении:
- средств и систем информатизации;
- помещений со средствами (системами) информатизации, подлежащими защите;
- защищаемых помещений.
- Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля эффективности защиты информации).
Одновременно сообщаем, что согласно пункту 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119, контроль за их выполнением организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Исполняющий обязанности начальника 1 управления ФСТЭК России
О.Кузнеченков