Федеральная служба по техническому и экспортному контролю вынесла на общественное обсуждение проект постановления Правительства Российской Федерации, предусматривающий масштабную корректировку Положения о лицензировании деятельности по технической защите конфиденциальной информации, утверждённого постановлением Правительства РФ от 3 февраля 2012 г. № 79. По своему объёму и содержанию предлагаемые изменения выходят за рамки точечной донастройки и фактически формируют обновлённую модель допуска хозяйствующих субъектов к рынку услуг по защите конфиденциальной информации.
Для корпоративных юристов, адвокатов и бизнеса данный проект представляет интерес не только с точки зрения комплаенса, но и в более широком контексте — усиления технологического суверенитета, ограничения иностранного влияния в чувствительных сегментах ИТ-рынка и институционализации риск-ориентированного подхода в лицензировании.
Одним из концептуально значимых изменений является уточнение пункта 1 Положения, прямо исключающее возможность осуществления лицензируемой деятельности иностранными юридическими лицами, а также российскими юридическими лицами, руководители которых имеют иностранное гражданство, и индивидуальными предпринимателями — иностранными гражданами.
С правовой точки зрения речь идёт о формировании специального лицензионного режима, основанного на критерии персональной и корпоративной принадлежности. В отличие от ранее действовавшей редакции, акцент переносится с формального места регистрации на фактический контроль и управленческое влияние. Такая конструкция коррелирует с общей тенденцией российского публичного права последних лет, в рамках которой институты допуска к стратегически значимым видам деятельности всё чаще увязываются с вопросами национальной безопасности и суверенитета.
Для бизнеса это означает необходимость пересмотра корпоративных структур, включая кадровые решения на уровне единоличного исполнительного органа, а также оценки рисков при привлечении иностранных топ-менеджеров.
Проект детально перерабатывает требования к кадровому обеспечению как на стадии получения лицензии (пункт 5), так и при осуществлении лицензируемой деятельности (пункт 6). Впервые на уровне подзаконного акта столь подробно дифференцируются требования в зависимости от конкретных видов работ, указанных в пункте 4 Положения.
Законодатель фактически вводит многоуровневую модель квалификации персонала:
С практической точки зрения данные изменения ведут к повышению барьера входа на рынок и объективному удорожанию лицензируемой деятельности. Для действующих лицензиатов риски связаны с необходимостью подтверждения соответствия новым требованиям при контрольных мероприятиях и при расширении перечня услуг.
Отдельного внимания заслуживает переработка требований к оборудованию и программным средствам. Проект закрепляет принцип преимущественного использования средств отечественного производства, размещённых на территории Российской Федерации.
Впервые на уровне лицензионных требований прямо упоминаются средства анализа исходных кодов программного обеспечения и средства контроля эффективности защиты информации, подлежащие сертификации по требованиям безопасности информации. Тем самым ФСТЭК институционализирует практику secure development и кодаудита как обязательный элемент деятельности по технической защите информации.
Для корпоративного сектора это означает необходимость:
Существенным нововведением является включение требования о наличии системы производственного контроля качества выполняемых работ и оказываемых услуг. При этом проект допускает различные формы подтверждения: от сертификата системы менеджмента качества до описания технологического процесса.
По своей сути данное требование приближает лицензионный режим к моделям, характерным для технического регулирования и промышленной безопасности. Государство смещает фокус с формального наличия ресурсов на управляемость процессов и воспроизводимость качества.
Для бизнеса это создаёт дополнительную регуляторную нагрузку, но одновременно формирует более предсказуемую среду для заказчиков, особенно в сегменте государственных и квазигосударственных информационных систем.
грубые нарушения: рост регуляторных рисков
Проект существенно расширяет перечень грубых нарушений лицензионных требований. К таковым прямо отнесены нарушения требований о составе персонала, использовании оборудования и соблюдении требований по защите информации в государственных информационных системах.
Указание на последствия, предусмотренные частью 10 статьи 19.2 Федерального закона О лицензировании отдельных видов деятельности
, означает прямую ориентацию на приостановление или аннулирование лицензии как реальный, а не декларативный инструмент воздействия.
Дополнительным фактором риска становится расширение форм оценки соответствия — наряду с документарной вводится выездная оценка, порядок которой будет устанавливаться лицензирующим органом.
Проект детально перерабатывает перечни документов, представляемых соискателем лицензии и лицензиатом. В ряде случаев формула копии документов
заменяется на сведения и копии документов
, что расширяет усмотрение лицензирующего органа при оценке полноты и достоверности представленных материалов.
Особое внимание уделяется подтверждению:
Для юридических служб компаний это означает необходимость выстраивания системного подхода к хранению и актуализации доказательственной базы по лицензии.
Сравнительный анализ зарубежных подходов к регулированию деятельности по защите конфиденциальной информации позволяет точнее оценить специфику и вектор развития российской модели лицензирования.
Европейский союз
В праве Европейского союза отсутствует универсальный институт лицензирования деятельности по технической защите информации в классическом разрешительном понимании. Регулирование строится на сочетании:
Ключевой особенностью европейского подхода является ориентация на управление рисками и ответственность за результат, а не предварительный административный допуск. Компании самостоятельно формируют системы информационной безопасности, а контроль со стороны государства реализуется постфактум — через надзор, штрафы и предписания. Ограничения, связанные с иностранным участием, применяются точечно и, как правило, в отношении критической инфраструктуры и оборонных контрактов.
Соединённые Штаты Америки
В США регулирование деятельности в сфере информационной безопасности также не носит лицензируемого характера. Центральную роль играют стандарты и руководства Национального института стандартов и технологий (NIST), прежде всего NIST SP 800-серии.
Для подрядчиков, работающих с государственными органами и оборонным сектором, обязательным является соответствие требованиям федеральных программ, включая FedRAMP и CMMC. При этом доступ к рынку определяется не наличием лицензии, а способностью подтвердить соответствие установленным уровням зрелости процессов.
Характерной чертой американской модели является жёсткое разделение публично-правового и частно-правового регулирования: государство формирует стандарты и требования, но ответственность за их внедрение и соблюдение лежит на бизнесе. Ограничения по гражданству и контролю применяются преимущественно в рамках экспортного контроля и национальной безопасности.
Азиатские юрисдикции (Китай, Япония, Республика Корея)
Азиатский подход к регулированию информационной безопасности более разнообразен. В Китае действует многоуровневая система допуска к работам с данными и информационными системами, тесно связанная с требованиями к локализации данных, сертификации средств защиты информации и государственному контролю за ключевыми ИТ-поставщиками. Элементы разрешительного режима в китайской модели сопоставимы с российским подходом, включая акцент на национальное происхождение технологий и персонала.
В Японии и Республике Корея преобладает модель сертификации и саморегулирования при активной роли государства в формировании стандартов. При этом для подрядчиков, работающих с государственными информационными системами, устанавливаются специальные квалификационные и организационные требования, близкие по своей логике к лицензированию.
Российский подход, реализуемый через изменения в Положении о лицензировании, занимает промежуточное положение между жёсткими разрешительными моделями и стандартно-ориентированным регулированием. В отличие от ЕС и США, государство сохраняет предварительный контроль допуска к рынку, одновременно усиливая требования к процессам, персоналу и технологической базе. По своей логике данная модель ближе к регулированию в сфере критической инфраструктуры и оборонно-промышленного комплекса, чем к либеральным ИТ-рынкам.
Предлагаемые изменения в Положение о лицензировании деятельности по технической защите конфиденциальной информации свидетельствуют о переходе к более зрелой и формализованной модели государственного контроля. Для корпоративного сектора и действующих лицензиатов ФСТЭК данные новеллы формируют ряд устойчивых правовых и организационных ориентиров.
Во-первых, лицензия в сфере ТЗКИ окончательно перестаёт быть формальным разрешительным документом и трансформируется в инструмент постоянного комплаенса. Соответствие требованиям должно поддерживаться на протяжении всего срока действия лицензии, включая кадровый состав, материально техническую базу и систему внутреннего контроля качества.
Во-вторых, корпоративным юристам и службам комплаенса целесообразно уже на стадии общественного обсуждения провести gap анализ действующего состояния компании на предмет соответствия проектируемым требованиям.
Особое внимание следует уделить вопросам гражданства руководства, трудовым функциям инженерно-технического персонала и правовым основаниям использования программного обеспечения.
В-третьих, лицензиатам ФСТЭК рекомендуется институционализировать систему производственного контроля качества не как формальный документ, а как элемент управленческой модели. Практика показывает, что именно процессы, а не отдельные сертификаты, становятся ключевым объектом внимания при выездных оценках и контрольных мероприятиях.
В-четвёртых, при планировании расширения перечня лицензируемых работ или смены места осуществления деятельности следует закладывать дополнительные временные и ресурсные издержки, связанные с подтверждением соответствия обновлённым требованиям. Проект существенно увеличивает доказательственную нагрузку на заявителя.
Наконец, в стратегическом плане изменения следует рассматривать как часть долгосрочного курса на технологический суверенитет и централизацию контроля в сфере информационной безопасности. Для бизнеса, ориентированного на работу с государственными и квазигосударственными заказчиками, адаптация к новой модели лицензирования становится не конкурентным преимуществом, а обязательным условием устойчивого присутствия на рынке.
Таким образом, проект постановления ФСТЭК России формирует новую регуляторную реальность, в которой юридическая, кадровая и технологическая функции внутри компании должны действовать синхронно. Раннее приведение деятельности в соответствие с предлагаемыми требованиями позволит минимизировать регуляторные риски и сохранить доступ к ключевым сегментам рынка услуг по технической защите конфиденциальной информации.
Документ: Федеральный портал проектов нормативных правовых актов
Проект
Проект постановления Правительства Российской Федерации О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79
Орган государственной власти: ФСТЭК России
ID проекта: 164629
Подписывайтесь на сообщество Ассоциации Юристов России во -> ВКонтакте <- , чтобы не пропускать важные изменения в праве
все статьи
Пожалуйста, авторизуйтесь, чтобы оставлять комментарии.