К работам, требующим наличия лицензии на деятельность по технической защите конфиденциальной информации (из перечня письма), можно отнести разработку моделей угроз для информационных систем персональных данных, контроль защищенности и настройку средств защиты персональных данных.
Об этом Письмо Минздравсоцразвития России от 10.11.2010 N 29-5/2165.
Пункт 11 ст. 17 Федерального закона от 08.08.2001 N 128-ФЗ ''О лицензировании отдельных видов деятельности'' относит деятельность по технической защите конфиденциальной информации к деятельности, на осуществление которой требуется наличие лицензии. Согласно п. 2 Постановления Правительства Российской Федерации от 15.08.2006 N 504 ''Положение о лицензировании деятельности по технической защите конфиденциальной информации'' под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Одновременно с этим п. 1.3 Приказа ФСТЭК России от 05.02.2010 N 58 ''Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных'' определяет, что для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Также для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Таким образом, для выбора и реализации методов и способов защиты информации в информационной системе необходимо подразделение (организация), имеющее соответствующую лицензию.
Дополнительно следует отметить об отсутствии каких-либо требований на эксплуатацию систем обработки персональных данных.
Для классификации информационной системы не требуется наличия вышеназванной лицензии, так как проведение данного мероприятия не подпадает под определение деятельности по технической защите конфиденциальной информации.
