2013-12-31
775
| Показатели защищенности | Классы защищенности | ||||
| Управление доступом (фильтрация данных и трансляция адресов) | + | + | + | + | = |
| Идентификация и аутентификация | – | – | + | = | + |
| Регистрация | – | + | + | + | = |
| Администрирование: идентификация и аутентификация | + | = | + | + | + |
| Администрирование: регистрация | + | + | + | = | = |
| Администрирование: простота использования | – | – | + | = | + |
| Целостность | + | = | + | + | + |
| Восстановление | + | = | = | + | = |
| Тестирование | + | + | + | + | + |
| Руководство администратора защиты | + | = | = | = | = |
| Тестовая документация | + | + | + | + | + |
| Конструкторская (проектная) документация | + | = | + | = | + |
Обозначения: “–” – нет требований к данному классу; “+” – новые или дополнительные требования; “=” – требования совпадают с требованиями к МЭ предыдущего класса
5. ГосударственнаЯ система лицензированиЯ
и сертификации в области защиты информации
5.1. Основные руководящие документы
по лицензированию и сертификации в области защиты информации
Высокий интерес к проблеме лицензирования и сертификации в области защиты информации, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно затронули организацию системы защиты информации во всех ее сферах – разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно значимой и частной конфиденциальной информации, циркулирующей в телекоммуникационных системах страны [20].
|
|
|
Существенным фактором, до настоящего времени оказывающим значительное влияние на положение дел в области защиты информации, является то, что до начала 90-х годов нормативное регулирование в данной области оставляло желать лучшего. Цели защиты информации в нашей стране достигались главным образом за счет реализации принципа “максимальной секретности”, в соответствии с которым доступ ко многим видам информации был ограничен. Никаких законодательных и других нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Средства криптографической защиты информации использовались только в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Указанные предприятия строго отбирались и категорировались по уровню доступа к разработке и производству данных средств. Сами изделия тщательно проверялись компетентными государственными органами и допускались к эксплуатации исключительно на основании специальных заключений этих органов. Любые работы в области криптографической защиты информации проводились на основании утвержденных Правительством страны специальных секретных нормативных актов, полностью регламентировавших порядок заказа, разработки, производства и эксплуатации шифровальных средств. Сведения об этих средствах, их разработке, производстве и использовании как в стране, так и за рубежом были строго засекречены, а их распространение предельно ограничено. Даже простое упоминание о криптографических средствах в открытых публикациях было запрещено [25].
|
|
|
В настоящее время можно отметить, что правовое поле в области защиты информации получило достаточно весомое заполнение. Конечно, нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Однако, на наш взгляд, можно констатировать, что имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии с требованиями действующих нормативных актов, а с другой – уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества и государства.
Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня. Первым по времени открытым правовым нормативным актом, регулирующим вопросы оборота средств криптографической защиты информации, является принятое 28 мая 1991 года постановление Верховного Совета СССР
№ 2195-1 “О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)”. Этим документом был утвержден перечень отдельных видов деятельности, которыми предприятия на территории страны вправе заниматься только при наличии у них специального разрешения или лицензии. В частности, к таким видам деятельности данное постановление относит производство, ремонт, реализацию и эксплуатацию шифровальной техники.
Указом Президента РФ от 5 января 1992 года № 9 для выполнения работ по руководству разработкой, производством, реализацией, внедрением и эксплуатацией в государственных организациях технических и программных средств защиты информации была образована Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России).
Указом Президента РФ от 24 декабря 1991 года № 313 и постановлением Верховного Совета Российской Федерации от 19 февраля 1993 года
№ 4524-1 был принят Закон РФ “О федеральных органах правительственной связи и информации”, в соответствии с которым образовано Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
Статья 11 данного закона предоставила ФАПСИ права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно ФАПСИ этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых (защищенных) с помощью шифровальных средств систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности.
|
|
|
Полномочия государственных органов по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств защиты такой информации определены Законом РФ от 21 июля 1993 года № 5485-1 “О государственной тайне” с изменениями и дополнениями, внесенными Федеральным законом от 6 октября 1997 года № 131-ФЗ “О внесении изменений и дополнений в Закон Российской Федерации “О государственной тайне”.
Статья 27 этого закона предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (Гостехкомиссия России, ФАПСИ, Министерство обороны, и Министерство безопасности РФ, правопреемником которого является Федеральная служба безопасности России).
Во исполнение этого закона в августе 1993 года Правительством Российской Федерации принято специальное постановление, которое полностью определяет порядок создания и использования криптографических (шифровальных) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну, начиная от стадии подготовки технического задания на проведение научно-исследовательских работ до серийного производства и установки шифровальной техники в сложные закрытые (защищенные) системы и комплексы обработки, хранения и передачи информации.
|
|
|
В начале 1994 года Президентом РФ и Правительством РФ был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. В первую очередь, это распоряжение Президента России от 11 февраля 1994 года
№ 74-П “О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники”. Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптографических функций, подлежат экспортному контролю. Кроме того, порядок импорта и экспорта шифровальных средств регулируется постановлением правительства от 15.04.94 № 331 “О внесении дополнений и изменений в постановление Правительства Российской Федерации от 06.11.92 № 854 “О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации” и от 10.12.92 № 959 “О поставках продукции и отходов производства, свободная реализация которых запрещена”, а также постановлением от 01.07.94 № 758 “О мерах по совершенствованию государственного регулирования экспорта товаров и услуг”. Затем 31 октября 1996 года этот перечень был дополнен постановлением Правительства № 1299, которым утверждено “Положение о порядке лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации”.
Перечисленные документы установили, в частности, что ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно по лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направленный на предотвращение утечки секретных сведений и технологий при вывозе из страны средств защиты информации.
Предоставленные Гостехкомиссии России и ФАПСИ права по определению порядка осуществления и лицензирования деятельности в области защиты информации нашли свое отражение в “Положении о государственном лицензировании деятельности в области защиты информации”, которое утверждено 27 апреля 1994 года совместным решением № 10 Гостехкомиссии России и ФАПСИ, разграничившим сферы компетенции этих двух ведомств и определившим механизм практического лицензирования, действующего в настоящее время.
Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено постановлением правительства от 24.12.94 № 1418 “О лицензировании отдельных видов деятельности”. Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности любых организационно-правовых форм, включая и физических лиц.
Как уже отмечалось, важным шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федерального законаот 20.02.95
№ 24-Ф3 “Об информации, информатизации и защите информации”. Данный закон впервые официально вводит понятие “ конфиденциальной информации ”, которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены (имитозащиты) и подтверждения подлинности ее отправителя и получателя (аутентификации сторон). В соответствии со статьей 5 “юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью”. При этом “юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования”. Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронною цифровую подпись, и порядку их использования.
Подписанный 3 апреля 1995 года Указ Президента Российской Федерации № 334 “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации” запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Пункты 2 и 3 данного документа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется на средства защиты не только информации, содержащей сведения, составляющие государственную тайну, но и любой государственно значимой информации независимо от грифа ее секретности. Кроме того, Указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФАПСИ, а также правоохранительные, таможенные и налоговые органы страны.
