О лицензировании деятельности по технической защите конфиденциальной информации
Ответ:
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ И СОЦИАЛЬНОГО РАЗВИТИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 10 ноября 2010 г. N 29-5/2165
Министерство здравоохранения и социального развития Российской Федерации рассмотрело обращение по вопросу "О необходимости получения лицензии на деятельность по технической защите информации" и сообщает следующее.
Департамент информатизации Минздравсоцразвития России не наделен полномочиями по даче официальных разъяснений действующего законодательства Российской Федерации, касающегося обработки персональных данных, в связи с чем излагаем мнение специалистов Минздравсоцразвития России по данному вопросу.
Пункт 11 ст. 17 Федерального закона от 08.08.2001 N 128-ФЗ "О лицензировании отдельных видов деятельности" относит деятельность по технической защите конфиденциальной информации к деятельности, на осуществление которой требуется наличие лицензии. Согласно п. 2 Постановления Правительства Российской Федерации от 15.08.2006 N 504 "Положение о лицензировании деятельности по технической защите конфиденциальной информации" под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Одновременно с этим п. 1.3 Приказа ФСТЭК России от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" определяет, что для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Также для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Таким образом, для выбора и реализации методов и способов защиты информации в информационной системе необходимо подразделение (организация), имеющее соответствующую лицензию.
Дополнительно следует отметить об отсутствии каких-либо требований на эксплуатацию систем обработки персональных данных.
Таким образом, к работам, требующим наличия лицензии на деятельность по технической защите конфиденциальной информации (из перечня письма), можно отнести разработку моделей угроз для информационных систем персональных данных, контроль защищенности и настройку средств защиты персональных данных.
Для классификации информационной системы не требуется наличия вышеназванной лицензии, так как проведение данного мероприятия не подпадает под определение деятельности по технической защите конфиденциальной информации.
И. о. директора
Департамента информатизации
Р. М.ИВАКИН
10.11.2010