Лицензирование деятельности по технической защите конфиденциальной информации

За последние годы подзаконная база в области информационной безопасности сформировала затратные, запутанные, противоречивые механизмы, не учитывающие ни особенности обработки конфиденциальной информации в различных сферах деятельности, ни возможности операторов по выполнению установленных требований. Кроме того, требования к операторам информационных систем, обрабатывающих конфиденциальную информации, включая и персональные данные, со стороны ФСТЭК России включают такой механизм государственного регулирования, как лицензирование деятельности по технической защите конфиденциальной информации, для реализации которого у большинства операторов нет достаточных материальных и трудовых ресурсов. Особенно это касается бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса. Проблемы правового характера возникли в связи с отсутствием в федеральном законодательстве законов по защите конфиденциальной информации, например, служебной тайны, профессиональных тайн, неоднозначностью положений, а также неоднократными изменениями и дополнениями, внесенными в ФЗ №152 «О персональных данных», другие нормативные правовые акты. При этом федеральные законы требуют дальнейшей конкретизации и разъяснений постановлениями Правительства РФ и методическими документами ФСТЭК и ФСБ России.

Принятие Правительством РФ постановления от 3 февраля 2012 г. №79 «О лицензировании деятельности по технической защите конфиденциальной информации» с утверждением «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (далее - Положение) и отменой ранее действовавшего постановления от 15 августа 2006 г. №504, в очередной раз поднимает вопрос, а что нового в указанном Положении и нужна ли лицензия ФСТЭК России, если организация защищает конфиденциальную информацию «для собственных нужд», а не оказывает услуги за деньги?

В соответствии с п. 1 Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями.

И сразу встает вопрос с термином "конфиденциальная информация", который дан в Положении и используется в документах ФСТЭК России, но отсутствует в федеральном законодательстве. ФЗ №149 от 27.07. 2006 г.» Об информации, информационных технологиях и о защите информации» в п.7 ст. 2 дает только определение конфиденциальности информации, как обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. Конфиденциальность в переводе с латинского означает "доверие" (т.е. передавая такую информацию мы надеемся на ее сохранность и нераспространение, так как ее разглашение может нанести сторонам определенный ущерб). Отметим, что отсутствие четкости отдельных терминов, а также подчас необоснованные изменения определений и понятий информационного законодательства не способствуют улучшению правового регулирования в информационной сфере. При этом ФСТЭК России продолжает использовать термин "конфиденциальная информация", от которого законодатели уже отказались.

Согласно законодательству РФ обязательными признаками информации с ограниченным доступом должны быть:

• информация имеет действительную или потенциальную ценность для обладателя в силу неизвестности ее третьим лицам. Такими лицами могут быть государство, юридические или физические лица;
• к информации нет свободного доступа на законном основании. Возможность сохранения ее неизвестной для третьих лиц установлена федеральным законом;
• обладатель информации принимает меры по ее защите.

6 марта 1997 г. Президентом РФ был издан Указ N 188, которым утвержден «Перечень сведений конфиденциального характера», в соответствии с которым к конфиденциальной информации были отнесены следующие сведения:

• о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
• составляющие тайну следствия и судопроизводства;
• доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
• связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
• связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);
• о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В новом Постановлении уточнен и термин «техническая защита конфиденциальной информации» (далее - ТЗКИ), под которой в соответствии с п.2 Положения понимается:

Выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Таким образом речь идет либо о выполнении работ по ТЗКИ, либо об оказании услуг по ТЗКИ, либо о совместных видах деятельности.

При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг :

• контроль защищенности конфиденциальной информации от утечки по техническим каналам в:

Технических средствах (системах), не обрабатывающих конфиденциальную

информацию, но размещенных в помещениях, где она обрабатывается;

Помещениях со средствами (системами), подлежащими защите;

Помещениях, предназначенных для ведения конфиденциальных переговоров (далее - защищаемые помещения);

• контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
• сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации (далее - СЗИ), защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
• аттестационные испытания и аттестация на соответствие требованиям по защите информации:

Защищаемых помещений;

• проектирование в защищенном исполнении:

Помещений со средствами (системами) информатизации, подлежащими защите;

Защищаемых помещений;

• установка, монтаж, испытания, ремонт средств защиты информации (технических СЗИ, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

При этом эксплуатация СЗИ, в отличии от эксплуатации средств криптографической защиты, где лицензирующим органом является ФСБ России, к лицензируемому виду деятельности не относится. Эта позиция ФСТЭК России вызывает вопросы. Почему лицензируется только первые этапы в создании системы защиты - проектирование системы защиты и установка средств защиты? Почему ежедневная работа специалистов и служб информационной безопасности по эксплуатации и контролю эффективности СЗИ не подпадает под лицензирование? Ведь она не менее важна, чем создание системы защиты, так как задачами лицензирования отдельных видов деятельности являются предупреждение, выявление и пресечение нарушений юридическим лицом, его руководителем и иными должностными лицами требований, которые установлены ФЗ от 4.5.2011г. №99-ФЗ «О лицензировании отдельных видов деятельности», другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

В силу п. 1 ст. 49 ГК РФ отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Виды деятельности, на осуществление которых необходимо получить лицензию, указаны в ФЗ от 4.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности", п. 5 ст. 12 которого включает в число этих видов и деятельность по ТЗКИ.

Понятие "услуги" подразумевает под собой определенный вид договора (глава 39, ст.ст. 779-783 ГК РФ), то есть многосторонней сделки, в которой обязательно должна быть и другая сторона (п. 1 ст. 154 ГК РФ). А вот понятие " работа" в законе не определено и может определяться только исходя из многих значений в русском языке: "занятие, труд, деятельность».

Таким образом, из приведенной формулировки можно сделать вывод, что лицензированию подлежит деятельность по ТЗКИ как третьих лиц ("услуги"), так и для собственных нужд ("работ").

Соответственно, если организация в рамках защиты внутренней конфиденциальной информации осуществляет работы по ее технической защите, она обязана получить соответствующую лицензию. Например, применительно к защите персональных данных у оператора не существует «собственных нужд» по их защите, и существовать не может в силу закона. Единственной целью ФЗ №152 «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Иных целей (в том числе и удовлетворения нужд операторов) закон не указывает. Кроме этого ФЗ 99-ФЗ «О лицензировании отдельных видов деятельности» к лицензируемым видам деятельности отнесены виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан. Закон не делает различий между интересами субъекта персональных данных (работника) и субъекта персональных данных (стороннего лица) о конституционном праве гражданина на личную тайну. Законодатель же (через институт лицензирования) защищает любого субъекта персональных данных от последствий некачественного выполнения работ по ТЗКИ.

Административным регламентом ФСТЭК России по исполнению государственной функции по лицензированию деятельности по ТЗКИ (далее - Административный регламент), утвержденным приказом от 28.08.07г. №181 с последними изменениями от 30.09.2011 г. в соответствии с приказом №515, определены сроки и последовательность действий (административных процедур) ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ. Лицензированию подлежит деятельность по ТЗКИ, осуществляемая юридическими лицами и индивидуальными предпринимателями.

Анализ положений Административного регламента показывает, что процедура получения лицензии по ТЗКИ отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Положением.

Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по ТЗКИ, являются (п.5 Регламента):

а) наличие у соискателя лицензии юридического лица - специалистов, находящихся в штате соискателя лицензии, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России.

Как видно, для выполнения вышеназванных требования в организации необходимо иметь не менее 2 специалистов, что, в ряде случаев (при отсутствии профильного высшего образования) потребует их обучения на курсах повышения квалификации по учебным программам согласованным со ФСТЭК России в объеме не менее чем 72 часа. Кроме этого потребуются нормативные документы, в том числе ограниченного доступа, а также наличие на любом законном основании (в собственности или в аренде на срок не менее срока действия лицензии) производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию. Кроме вышесказанного придется провести проектирование, создание и аттестацию объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. При этом возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое не потребуется лицензиату для оказания услуг по ТЗКИ. Причем большинство указанных требований являются достаточно затратными в экономическом плане, в первую очередь, для бюджетных организаций в сфере образования, медицинского обслуживания, жилищно-коммунального комплекса.

Исполнение государственной функции по лицензированию деятельности по ТЗКИ в соответствии с п.п.12-14 Регламента включает в себя следующие административные процедуры (рис.1):

• информирование и консультирование о порядке исполнения государственной функции;
• рассмотрение заявления о предоставлении лицензии;
• проверка возможности выполнения соискателем лицензии лицензионных требований и условий;
• принятие решения о предоставлении лицензии;
• выдача документа, подтверждающего наличие лицензии;
• выдача дубликата и копий документа, подтверждающего наличие лицензии;
• продление срока действия лицензии;
• переоформление документа, подтверждающего наличие лицензии;
• контроль за соблюдением лицензиатом лицензионных требований и условий;
• приостановление, возобновление действия лицензии и аннулирование лицензии;
• ведение реестра лицензий;
• предоставление информации из реестра лицензий.

Должностное лицо ФСТЭК России принимает решение о предоставлении или об отказе в предоставлении лицензии в срок, не превышающий 45 дней со дня поступления заявления о предоставлении лицензии и прилагаемых к нему документов (п.14.1 Регламента).

Основаниями для отказа в предоставлении лицензии являются (п.14.3 Регламента):

наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;

несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям.

Лицензия на осуществление деятельности по технической защите конфиденциальной информации предоставляется сроком на 5 лет (п.14.4 Регламента). При этом с 30 января 2011 г. изменены размеры государственных пошлин: за предоставление лицензии - 2600 рублей и за продление срока действия лицензии - 200 рублей.

Как видно из схемы и процедур (рис.1) лицензированием ТЗКИ занимается центральный аппарат ФСТЭК России с привлечением управлений ФСТЭК России по федеральным округам в отличие от процедур лицензирования ФСБ России, где лицензированием в своей сфере ответственности занимаются территориальные управления ФСБ России. Продолжительность процесса лицензирования ТЗКИ по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Можно ли уйти от необходимости лицензирования деятельности организаций и предприятий по ТЗКИ? Рекомендации ФСТЭК России сводятся к необходимости заключения договора с организацией имеющей лицензию по ТЗКИ, при этом наличие указанной лицензии у оператора обязательным требованием не является.

Рекомендации ФСТЭК России заключать договора с лицензиатами, которых в реестре менее 2000, не позволяют решить проблему защиты конфиденциальной информации. Только операторов персональных данных по экспертным оценкам в России 5-7 миллионов, не считая операторов, которые обрабатывают другие виды информации ограниченного доступа, подлежащей защите в соответствии с федеральным законодательством. Кроме этого, договор с лицензиатом обычно заключается только на определенный объем работ и услуг, как правило, только на создание системы защиты конфиденциальной информации.

Какие же риски возникают у большинства организаций, которые не имеют и не планируют получать лицензии по ТЗКИ или получать услуги организаций имеющих такую лицензию при неизменности государственной политики и позиции ФСТЭК России? Каждая организация должна для себя принять решение о необходимости получения такой лицензии. Административных наказаний за выполнение работ без лицензии на деятельность по ТЗКИ со стороны ФСТЭК России нет и в сложившейся ситуации маловероятно, что эти наказания появятся, так как в условиях несовершенства нашего законодательства по защите конфиденциальной информации суды по разному трактуют нормы федеральных законов и ответственность за их невыполнение. В результате строгость Постановления компенсируется необязательностью его исполнения. Например, статьей 14.1 Административного Кодекса РФ предусмотрена ответственность за "Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)". Согласно ст.2 ГК РФ "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке". Уже одно это говорит о том, что ст.14.1 может применяться только к тем, кто оказывает услуги и зарабатывает на обеспечении безопасности информации, т.е. лицензиаты ФСТЭК и ФСБ России. К подавляющему большинству организаций обрабатывающих конфиденциальную информацию (информации ограниченного доступа, не составляющей государственную тайну) эта статья отношения не имеет. По мнению многих специалистов по защите информации для большинства негосударственных организаций, не связанных с защитой государственной тайны, реально возможны только формы управления защитой конфиденциальной информации путем рекомендательного использования нормативных правовых актов, руководящих и методических документов регуляторов, организационно-распорядительных документов организаций, применение разработанных и испытанных в интересах органов государственной власти и подведомственных им предприятий систем и СЗИ. Основой функционирования систем защиты конфиденциальной информации в этом случае является личный выбор обладателем информации степени ее защищенности и механизмов защиты. При этом, по опыту стран с развитым законодательством в сфере информационной безопасности, определяющими факторами являются риск участников информационных отношений и их личная ответственность за принятые меры по защите конфиденциальной информации. В России этот подход, например, реализован при введении Стандартов Банка России в организации БС РФ, когда требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации информационных систем персональных данных не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

Александр Катаржнов

к.т.н., доцент, НОУ ДО Учебный центр «ЭВРИКА»

Доброго дня, уважаемые читатели!

Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот .

А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.

Итак. Нужна ли нам лицензия ФТЭК на деятельность по технической защите конфиденциальной информации, осуществлять которую нас фактически обязывает весь 152-ФЗ "О ПДн"? Ответить на этот вопрос однозначно для всех возможных ситуаций нельзя. Потому разберём конкретные варианты.

Для начала попробуем понять, откуда вообще взялось требование лицензирования деятельности по ТЗКИ? Дело всё в пункте 5 части 1 статьи 12 99-ФЗ "О лицензировании отдельных видов деятельности", который прямо говорит о том, что деятельность по дословно "технической защите конфиденциальной информации" подлежит лицензированию. Далее, а почему ПДн вообще являются таковой? Во-первых, есть статья 7 152-ФЗ, одно название которой ("конфиденциальность персональных данных") уже говорит о многом. А есть ещё Указ Президента №188 "Об утверждении перечня сведениц конфиденциального характера" от 06.03.1997, первый пункт в котором гласит: "любые сведения о частной жизни гражданина, а также те, что позволяют идентифицировать его личность, - это ПДн", и они входят в рассматриваемый перечень. Ясно. И последнее: почему деятельность оператора подпадает под ТЗКИ? Потому что делать его это обязывает 152-ФЗ. Вот, собственно, и всё. Казалось бы, вопросов тут быть не может. Вся логика закона чётко прослежена, но не всё так печально как кажетеся на первый взгляд. Перейдём к тем самым вариантам.

Варинт первый и наиболее распространённый - мы защищаем ПДн для собственных нужд (т.е. своих сотрудников и / или своих клиентов), которые обрабатываются исключительно для собственных нужд (или в интересах субъекта ПДн). К нашему великому счастью, 30 мая 2012 года у ФСТЭК на сайте появилось Информационное сообщение № 240/22/2222 "По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации". Его текст доступен, к примеру, . Приводить его здесь не буду (кому интересно, перейдёт по ссылке в предыдущем предложении), скажу лишь смысл: если юр. лицо осуществляет деятельность по ТЗКИ, которая не направлено на получение прибыли, оказание услуг и не содержится в учредительных документах, то получать соответствующую лицензию не обязательно. Соответственно, вариант "для собственных нужд" не требует обязательного получения таковой лицензии. Однако тут есть нюансы.

Что делать, если мы не хотим применять сертифицированные СКЗИ , если пункт 3 части 2 ст. 19 152-ФЗ этого требует? Также этого требует и п.13.г в ПП №1119: "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Эту самую "необходимость" может определить только тот, кто является экспертом в сфере защиты информации, т.е. имеет лицензию по ТЗКИ. ;) Кроме того, в ПП-1119 содержится требование по составлению модели угроз, в котором есть понятие актуальных угроз 3 типов. Разница в типах - наличие угроз, связанных с недекларированными возможностями в разного рода ПО. Если посмотреть правде в глаза, то НДВ как в прикладном, так и в системном ПО актуальны всегда и для всех . А ведь 1 тип угроз делает нашу ИСПДн неимоверно высокого класса, что влечёт выполнение целой кучи требование по защите. Как же можно решить проблему ухода от 1 и 2 типов актуальных угроз? Варианта два: либо использовать всё системное / прикладное ПО сертифицированное на НДВ (что малореально), либо получить лицензию на ТЗКИ, которая даёт право на проведение таких экспертных оценок. Во всех иных случаях могут возникнуть длительные и малоприятные прерии с регулятором. Как же быть? Всё очень просто. Можно обратиться к лицензиату ФСТЭК по ТЗКИ и попросить их оказать услуги в данном конкретном вопросе (анализе актуальных угроз). Как говорится, дёшево и сердито. :) Вопрос с сертифицированными криптосредствами решается аналогично.

Вариант второй - мы защищаем / обрабатываем ПДн другого юр. лица (его клиентов / сотрудников). Вот тут всё хуже. В соответстии с тем же информационным сообщением ФСТЭК, а также общими юридическими рассуждениями выше, лицензия будет нужна. И вариантов тут нет: либо получать, либо отдать обработку персданных на аутсорсинг лицензиату.

Вариант третий - мы оказываем услуги по защите ПДн (или по ТЗКИ), либо деятельность по защите ПДн прописано в учредительных докуметах. Дуамю, исходя из текста выше, всё понятно. Что касается учредительных документов, то проще, конечно, просто их переделать, чем мучиться со всем вышесказанным. ;)

Важный момент: деятельность по ТЗКИ - это именно проектирование системы защиты (ИС персональных даннных или чего-либо ещё - неважно), т.е. составление модели угроз, выбор элементов СЗИ и т.д.! Сама эксплуатация уже работающей готовой системы, для которой уже всё выбрано и составлены все модели, защитой не является и под лицензируемую деятельность не подпадает! Потому вариант с привлечением лицензиата для проектирования защищённой ИСПДн в "максимально дешёвом" варианте - это, как правило, наиболее выгодно и удобно (если, конечно, говорить об обработке ПДн для собственных нужд).

Вот, собственно, и всё. Думаю, что теперь вопросов по необходимости получения лицензии, дорогие читатели, у Вас больше не возникнет.

С уважением,
Лысяк Александр

Процесс лицензирования подробно описан в Постановлении Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации». В документе детально указано, какие документы в каком виде и порядке требуется представлять лицензирующему органу (ЛО).

На бумаге все выглядит достаточно просто.

1. Юридическое лицо подает полностью сформированное заявление в соответствии с требованиями .
2. В течение трех дней лицензирующий орган должен его рассмотреть и сообщить, какие ошибки есть в заявлении или каких документов не хватает. Если у ЛО есть замечания, то заявитель должен в течение 30 дней устранить недоработки.
3. Если заявление оформлено верно, то в течение пяти дней начиная со дня принятия заявления ЛО проводит проверку полноты дополняющих заявление документов, а это обычно примерно 200-300 страниц.
4. При недостатке в дополняющих документах ЛО отказывает организации в приеме заявления до устранения нарушений. На это у юридического лица есть те же 30 дней.
5. Признав пакет документов полным, ЛО должен в течение 45 рабочих дней принять решение о выдаче лицензии либо об аргументированном отказе в ее выдаче.

Однако в реальности все сложнее. Лицензирующий орган один на всю страну, и находится он в Москве, рассмотрением заявлений занимаются несколько человек, а число организаций, желающих получить лицензию, растет с каждым годом. По телефону задавать вопросы можно, для этого дается два часа два раза в неделю, не более пяти минут на один сеанс связи, много выяснить не получится. Все это означает, что в считанные дни и даже недели провести лицензирование практически невозможно, особенно если есть недопонимания в правилах лицензирования или затруднения с выполнением хотя бы одного из требований. Кроме того, по некоторым видам услуг один только перечень правовых актов, которые должны быть приложены к заявлению, может состоять из 15 страниц.

К заявлению на получение лицензии необходимо приложить:

• документы на автоматизированные системы, на защищаемое помещение, на право законного владения помещением, оборудованием, программным обеспечением либо о том, что они взяты в аренду (с подтверждением факта передачи);
• документы на допуски к тайне (к конфиденциальной информации, доступ к которой ограничен);
• копии трудовых книжек, договоров подряда, документов об образовании сотрудников соискателя лицензии;
• документы на правообладание оборудованием, на поверочные работы, подтверждающие факт правильной работоспособности этого оборудования, на ПО, и т.д.;
• сведения о нормативных документах, необходимых для осуществления деятельности по защите информации;
• описание технологического процесса обработки конфиденциальной информации по установленной форме.

Те, кто впервые получает лицензию, должны представить нотариально заверенные учредительные документы организации.

Камни преткновения

Во время работ по лицензированию организации сталкиваются с тремя основными сложностями:

1. Оборудование. Для выполнения работ и оказания услуг по аттестации защищаемых помещений и автоматизированных систем необходимо закупить (иметь в собственности или на любом ином законном основании) оборудование. Стоимость комплекта варьируется, но составляет около миллиона рублей. И если начать работы по лицензированию с покупки оборудования, то к моменту подачи заявления может оказаться так, что его придется заново поверять (сертификаты о поверке действительны один год). Можно попытаться сэкономить и взять оборудование в аренду, но она должна быть специальным образом оформлена. Требуется периодически подтверждать владение оборудованием, заключать дополнительные соглашения к договорам аренды о том, что оборудование находится именно у арендатора. Минус варианта с арендой в том, что он снижает шансы на получение лицензии — велика вероятность оформить отношения неверно и получить отказ.
2. Аренда помещений. Если соискатель лицензии арендует помещение у субарендатора, то необходимо представлять всю цепочку документов вплоть до владельца помещения. Также необходимо следить за тем, чтобы фактические номера помещений совпадали с кадастровыми, чтобы помещения однозначно идентифицировались исходя из одних лишь документов.
3. Кадровая документация. У сотрудников должны быть дипломы о высшем профессиональном образовании в области технической защиты информации и стаж более трех лет либо диплом о высшем образовании с курсов переподготовки / о высшем техническом образовании и стаж более пяти лет. Сотрудников должно быть не менее трех, и они должны быть трудоустроены у соискателя по основному месту работы.

Лайфхак по успешному лицензированию

Для того чтобы получить лицензию, а затем успешно проходить в случае необходимости плановые проверки ФСТЭК на соблюдение требований, предлагаем учесть ряд моментов:

1. Оборудование (если оно необходимо для выбранного вами вида деятельности) лучше покупать, а не брать в аренду.
2. Постоянно следить за изменениями в законодательной базе и поддерживать документацию в актуальном состоянии, в том числе периодически обновлять и докупать ГОСТы (информация об этом не является тайной, официальный сайт ФСТЭК России открыт для всех).
3. Своевременно обновлять антивирусное ПО и лицензии на контрольно-измерительное программное обеспечение и оборудование.
4. Вовремя проводить переаттестацию помещений и автоматизированных систем, поскольку аттестаты действительны максимум три года.

Первичное получение лицензии и плановая проверка: отличия

Когда соискатель впервые получает лицензию, то связь с лицензирующим органом дистанционная: стороны обмениваются документами и общаются по телефону. Никаких личных визитов контролирующие органы соискателю не наносят.

Плановая проверка может проводиться через три года после получения лицензии. В этом случае представители ФСТЭК изучают, существуют ли в реальности кадры, помещения, оборудование и ПО, которые были заявлены при получении лицензии. В том числе проводится оценка знаний и компетенций кадров, заявленных в документах на получение лицензии. Проверяющие могут запросить перечень аттестатов, которые выдала аттестующая организация (в случае если такой виде деятельности есть в лицензии), а также перечень клиентов, которым выданы эти аттестаты. Таким образом контролирующие органы удостоверяются, действительно ли аттестующая организация оказала эти услуги и насколько они качественные.

Возможна также внеплановая проверка, которая проводится в любое время по заявлению граждан, юридических лиц, прокуратуры или по решению суда.

Работы по лицензированию: цена вопроса

С 1 января 2015 года госпошлина за первичное получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации составляет 7 500 рублей, за продление — 3 500 рублей. Это неизбежные расходы и наименее затратная часть работ.

В соответствии с требованиями регламента по лицензированию необходимо провести аттестации и разработку документов по аттестации защищаемого помещения и автоматизированной системы обработки конфиденциальной информации. Эти услуги оказывают лицензиаты ФСТЭК, например представители проекта .

В комплекс услуг входят:

1. Первичная консультация. Это знакомство с организацией-заказчиком с целью понять, для чего требуется лицензия, и разъяснить клиенту, что она ему даст, какими затратами обернется ее получение и сколько вложений (временных и финансовых) потребуется в дальнейшем. В том числе специалисты сразу сообщают, каковы шансы организации на успешное лицензирование, исходя из готовности клиента подать заявление сейчас.
2. Помощь в аттестации. Сотрудники проекта Контур.Безопасность проводят аттестацию помещений для переговоров, автоматизированных систем обработки конфиденциальной информации по требованиям безопасности.
3. Консультация по приобретению оборудования и программного обеспечения.
4. Консультация по приобретению нормативно-правовых документов (ГОСТов). Большая часть ГОСТов находится в электронном виде в справочно-правовых системах. Но их недостаточно скачать и распечатать, поскольку требуется подтверждать именно правообладание.
5. Помощь в согласовании вопросов, связанных с арендой помещения и оборудования.
6. Консультация по правильному оформлению в штат сотрудников, работающих с конфиденциальной информацией.
7. Помощь в заполнении заявления. Заявление выложено на ресурсах ФСТЭК России, заполнить его несложно, но нужно выполнить достаточно много условий относительно дополняющих заявление документов — своевременно, точно и в полном соответствии с требованиями.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдает лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой и распространением программ защиты информации.

Основными и наиболее часто востребованными являются следующие лицензии ФСТЭК:

· на деятельность по технической защите конфиденциальной информации;

· на деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

· на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации);

· на проведение работ, связанных с созданием средств защиты информации.

Лицензирование деятельности по технической защите конфиденциальной информации

Лицензирование деятельности в области защиты конфиденциальной информации (лицензия ФСТЭК России) — важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Для того чтобы проверить, насколько эффективно защищается конфиденциальная информация, проводится аттестация средств, используемых для ее хранения и обработки.

Лицензия на защиту конфиденциальной информации (техническая защита конфиденциальной информации)

Объектом исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Аттестация необходима для того, чтобы составить независимое заключение о достигнутом в организации уровне защищенности информационных систем. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию ФСТЭК на проведение данной категории работ.

С целью обеспечения должного уровня защиты персональных данных, правительством РФ был издан Закон от 27.07.06 г. № 152 ФЗ «О персональных данных». Представители ФСТЭК имеют право проводить регулярные проверки на предмет выполнения требований закона о ИСПДн (информационные системы обработки персональных данных).

Порядок получения лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации

Получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации возможно только после проведения детального обследования объекта. Проводится такое обследование независимой организацией, имеющей лицензию ФСТЭК России на выполнение исследовательских работ в области защиты информации. По результатам проверки составляется протокол с заключениями и рекомендациями. Если все нормативные требования выполняются и лицензиат располагает нормативной и методической документацией, технической базой, квалифицированным инженерным персоналом, способным обеспечить защиту информации, организации выдается аттестат соответствия.

После проведения экспертизы подается заявление на получение лицензии в орган по лицензированию (лицензионный центр ФСТЭК). Для рассмотрения заявки обязательными документами являются: копии правоустанавливающих документов, материалы проведенной экспертизы. Организация может получить отказ в выдаче лицензии в том случае, если одно из перечисленных в законе требований не выполняется. Если разрешение на лицензионную деятельность выдано не было, лицензиат может привлечь специалистов ФСТЭК к выполнению услуг по технической защите конфиденциальной информации. Лицензия выдается сроком на 5 лет.

Защита конфиденциальной информации — лицензия ФСТЭК

Лицензирование деятельности по разработке и (или) производству средств технической защиты информации СКЗИ

В соответствии с Постановлением Правительства РФ № 532 от 31.08.06 г «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» (ТЗКИ), обязательному лицензированию подлежит деятельность юридических лиц и предпринимателей по разработке и производству средств защиты конфиденциальной информации.

Если одна организация разрабатывает информационную систему защиты персональных данных, а также средства защиты информации по заказу другой организации, отнесенных по классификации к классу К1 и К2, то такой вид деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия на деятельность по разработке и (или) производству средств технической защиты конфиденциальной информации выдается выпускающим ИСПДн (информационные системы персональных данных) 1 и 2 класса.

К классу 1 (К1) относятся системы, которые должны обеспечивать на высоком уровне безопасность сведений. Нарушение безопасности может привести к особо серьезным негативным последствиям для физического лица или хранителя персональных данных. Класс 2 (К2) — последствия нарушения безопасности хранения информации — серьезные, К3 — последствия незначительные, К4 — без последствий.

Важнейшими системами, обеспечивающими защиту персональных сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства, средства технической защиты конфиденциальной информации, биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензии на техническую защиту конфиденциальной информации и разработку (производство) средств технической защиты конфиденциальной информации выдаются ФСТЭК, а лицензии на оказание услуг в области шифрования, разработку, распространение и техническое обслуживание шифровальных средств выдаются ФСБ.

Обязанности предприятий, действующих на основании лицензии ФСТЭК

Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Сотрудники организаций должны соблюдать тайну переписки, телефонных переговоров, документальных сообщений. В государственный орган по лицензированию ежегодно отправляются отчеты о количестве проведенных мероприятий, оказанных услуг по каждому виду лицензионной деятельности. ФСТЭК — Федеральная служба по техническому и экспортному контролю, основной функцией которой является обеспечение безопасности информации в приоритетных отраслях государственной инфраструктуры. Федеральный исполнительный орган должен также обеспечивать противодействие техническим разведкам и обеспечивать техническую защиту информации, представляющую важность для государства. ФСТЭК имеет полномочия выдавать лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой, производством, распространением информационных систем защиты информации. Многим организациям кроме лицензии ФСТЭК на деятельность по технической защите информации требуются также лицензии ФСБ на работу со сведениями, составляющими государственную тайну.

Политика конфиденциальности персональных данных

Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую сайт компании КАСЛ, (далее – Сайт ООО «КАСЛ») расположенный на доменном имени (а также его субдоменах), может получить о Пользователе во время использования сайта (а также его субдоменов), его программ и его продуктов.

Определение терминов
1.1 В настоящей Политике конфиденциальности используются следующие термины:
1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом компании КАСЛ, действующие от имени ООО «КАСЛ», которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1.2. «Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1.3. «Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Конфиденциальность персональных данных» - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.5. «Сайт компании КАСЛ» - это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): , а также его субдоменах.
1.1.6. «Субдомены» - это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту компании КАСЛ, а также другие временные страницы, внизу который указана контактная информация Администрации
1.1.5. «Пользователь сайта компании КАСЛ» (далее Пользователь) – лицо, имеющее доступ к сайту компании КАСЛ, посредством сети Интернет и использующее информацию, материалы и продукты сайта компании КАСЛ.
1.1.7. «Cookies» - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.1.8. «IP-адрес» - уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на Сайт ООО «КАСЛ».
Общие положения 2.1. Использование сайта компании КАСЛ Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта компании КАСЛ.
2.3. Настоящая Политика конфиденциальности применяется к сайту компании КАСЛ. Сайт ООО «КАСЛ» не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте компании КАСЛ.
2.4. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

Предмет политики конфиденциальности

3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации при регистрации на сайте компании КАСЛ, при подписке на информационную e-mail рассылку или при оформлении заказа.
3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте компании КАСЛ и включают в себя следующую информацию:
3.2.1. Имя Пользователя;
3.2.2. контактный телефон Пользователя;
3.2.3. адрес электронной почты (e-mail)
3.3. Сайт ООО «КАСЛ» защищает Данные, которые автоматически передаются при посещении страниц:
IP адрес
информация из cookies
информация о браузере
время доступа
реферер (адрес предыдущей страницы).
3.3.1. Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.
3.3.2. Сайт ООО «КАСЛ» осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.
3.4. Любая иная персональная информация неоговоренная выше (история посещения, используемые браузеры, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.

Цели сбора персональной информации пользователя

4.1. Персональные данные Пользователя Администрация может использовать в целях:
4.1.1. Идентификации Пользователя, зарегистрированного на сайте компании КАСЛ для его дальнейшей авторизации, оформления заказа и других действий.
4.1.2. Предоставления Пользователю доступа к персонализированным данным сайта компании КАСЛ.
4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта компании КАСЛ, оказания услуг и обработки запросов и заявок от Пользователя.
4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.
4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.
4.1.6. Создания учетной записи для использования частей сайта компании КАСЛ, если Пользователь дал согласие на создание учетной записи.
4.1.7. Уведомления Пользователя по электронной почте.
4.1.8. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта компании КАСЛ.
4.1.9. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта компании КАСЛ.
4.1.10. Осуществления рекламной деятельности с согласия Пользователя.

Способы и сроки обработки персональной информации

5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
5.2. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи (в том числе электронной), операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте компании КАСЛ, включая доставку Товара, документации или e-mail сообщений.
5.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
5.4. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
5.5. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
5.6. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

Права и обязанности сторон

6.1. Пользователь вправе:
6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта компании КАСЛ, и давать согласие на их обработку.
6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
6.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Администрация обязана:
6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.
6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2 и 5.3. настоящей Политики Конфиденциальности.
6.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

Ответственность сторон

7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:
7.2.1. Стала публичным достоянием до её утраты или разглашения.
7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.
7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта компании КАСЛ, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта компании КАСЛ, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте компании КАСЛ.
Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте компании КАСЛ) допускается их распространение при условии, что будет дана ссылка на Сайт ООО «КАСЛ».
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте компании КАСЛ или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте компании КАСЛ, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.

Разрешение споров

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
8.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
8.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда г. Москва.
8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

Дополнительные условия

9.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
9.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте компании КАСЛ, если иное не предусмотрено новой редакцией Политики конфиденциальности.
9.3. Все предложения или вопросы касательно настоящей Политики конфиденциальности следует сообщать по адресу: info@сайт
9.4. Действующая Политика конфиденциальности размещена на странице по адресу
Обновлено: 06 Апреля 2018 года
Главный офис в г. Москва, ООО «КАСЛ», Бутырский вал 5 Представительство в г. Санкт-Петербург,ООО «КАСЛ», Ленинский проспект 160