Sincer, nu înțeleg persistența FSTEC, care continuă să se agațe de termenul "informații confidențiale", pe care parlamentarii îl refuză treptat. Ei bine, nu există așa ceva în legislație. Cum să acordați licență unei activități care nu există? Nu înțeleg. Chiar fragmentul încearcă să dea o explicație în paragraful 1 al Rezoluției nu este foarte reușit. Explicația este dată în paranteze - "(care nu conține informații, constituind un secret de stat, dar protejată în conformitate cu legislația Federației Ruse)" și nu ca o definiție separată. A considera că aceasta este definiția CI este o poziție destul de controversată.
A fost specificat și termenul TZKI. În prezent, FSTEC a declarat în mod clar că este vorba fie de performanța lucrărilor de a proteja (și nu de un set mitic de măsuri de la PP-504), fie de furnizarea de servicii; sau amândouă împreună. Mai mult, textul nu spune nimic despre propriile nevoi sau despre realizarea de profituri atunci când face munca. Astfel, FSTEC rămâne în opinia că licența este necesară pentru toți cei implicați în controlul securității informațiilor confidențiale sau instalarea mijloacelor de securitate a informațiilor. Iar aceasta, după cum ne amintim, este datoria oricărui operator PDN, din care în Rusia există mai mult de 5 milioane (adică toate entitățile juridice și antreprenorii individuali).
În acest caz, nu se aplică funcționarea GIS pentru tipul de activitate licențiat, ceea ce confirmă și poziția declarată a FSTEC de mai multe ori. Este adevărat că această poziție ridică întrebări. Dacă sarcina de acordare a licențelor este de a crește nivelul de protecție și responsabilitatea celor implicați în protecție, atunci de ce sunt doar primele etape ale creării unui sistem de protecție autorizat - proiectarea sistemului de protecție și instalarea echipamentului de protecție? De ce este activitatea zilnică a serviciilor IS să nu fie supusă licențierii? La urma urmei, nu este mai puțin important decât crearea unui sistem de securitate? Logica autorității de reglementare este de neînțeles pentru mine.
Este posibil să se evite acordarea licențelor pentru activitățile TZKI? Dacă nu joacă în cazuistică lipsei de „informații confidențiale“, motivul este acum practic nu există recomandări ;-( încheie contracte cu licențiaților FSTEC, care sunt date de aceiași reprezentanți ai autorității de reglementare, în imposibilitatea de a rezolva problema. În primul rând, avem în Rusia este pur și simplu nici o astfel de sumă care ar putea acoperi necesitățile mai multor milioane de organizații și, în al doilea rând, contractul cu licențiatul constă, de obicei, pentru o anumită perioadă sau pentru o anumită sumă de muncă. Dar ce ar trebui să fac în cazul în care am un computer în afara ordinii sau dacă apare un nou angajat și trebuie să-i furnizez un nou PC cu o caracteristică de securitate? Aceasta este deja o instalare GIS, adică un tip de activitate licențiată. nu este previzibilă, atunci nu putem obține licențiatul. În final, ajungem la faptul că licența ar trebui să fie aceeași pentru toată lumea.
Ce consecințe poate avea acest regulament? Este dificil de prezis. Având în vedere poziția neschimbată a FSTEC, majoritatea organizațiilor nu au achiziționat și nu intenționează să obțină licențe pentru activitățile TZKI. Nu există sancțiuni în acest articol de către FSTEC și nu cred în ceva care își va apăra poziția în instanță în mod regulat. Curțile au interpretări diferite ale acestor norme. Articolele din Codul administrativ pentru lipsa licențelor pot, de asemenea, să se anuleze (am scris despre asta aici și aici). Adevărat, vor exista 19.20 din Codul administrativ și 171 din Codul penal.
În final, totul ca în propoziție - "severitatea legilor noastre este compensată de implementarea ne-obligatorie a acestora". Fiecare organizație trebuie să decidă singură dacă să obțină o astfel de licență sau nu.