2014-02-12
1887
Тема 7. Лицензирование и сертификация в области защиты информации
Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня.
Первым по времени открытым правовым нормативным актом, который бы регулировал вопросы оборота средств криптографической защиты информации, является принятое 28 мая 1991 года постановление Верховного Совета СССР № 2195-1 "О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензии)". Этим документом был утвержден перечень отдельных видов деятельности, которыми предприятия на территории страны вправе заниматься только при наличии у них специального разрешения или лицензии.
19 февраля 1993 года Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" № 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федераций и закрытых (защищенных) с помощью шифровальных средств, систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности.
|
|
|
Полномочия по лицензированию деятельности, в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств ее защиты предоставлены Федеральному агентству законом Российской Федерации от 21.07.93 "О государственной тайне" № 5485-1. Статья 20 этого закона определила государственные органы, ответственные за защиту такой информации. Статья 27 предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (ФАПСИ, Министерство обороны, Гостехкомиссия и Министерство безопасности, правопреемником которого является ФСБ).
|
|
|
Во исполнение этих законов в августе 1993 года Правительством Российской Федерации принято специальное постановление, которое полностью определяет порядок создания и использования криптографических (шифровальных) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну, начиная от стадии подготовки технического задания на проведение научно-исследовательских работ до серийного производства и установки шифровальной техники в сложные закрытые (защищенные) системы и комплексы обработки, хранения и передачи информации.
Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг № 5151-1 ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" РОСС.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации.
В начале 1994 года Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. В первую очередь, это распоряжение Президента России от 11 февраля 1994'г. № 74-П "О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения, и военной техники". Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптоаналитических функций, подлежат экспортному контролю. Во-вторых, постановление Правительства от 15.04.94 331 "О внесении дополнений и изменений в постановления Правительства Российской Федерации от 06.11.92 № 854 "О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации" и от 10.12.92 № 959 "О поставках продукции и отходов производства, свободная реализация которых запрещена". И, наконец, - постановление от 01.07.94 919 758 "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг". 31 октября 1996 г. этот перечень был дополнен постановлением Правительства N 1299, которым утверждено Положение "О порядке лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации".
Перечисленные документы установили в том числе, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней в стране может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ о выдаче лицензии. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направленный на предотвращение утечки секретных сведений и технологий при вывозе из страны средств защиты информации.
|
|
|
Предоставленные Федеральному агентству законами "О федеральных органах правительственной связи и информации" и "О государственной тайне" права по определению порядка осуществления и лицензированию деятельности в области защиты информации нашли свое отражение в "Положении о государственном лицензировании деятельности в области, защиты информации", которое утверждено 27 апреля 1994 года совместным решением № 10 ФАПСИ и Гостехкомиссии России, разграничившим сферы компетенции двух этих ведомств и определившим механизм практического лицензирования, действующий по настоящее время.
Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено постановлением Правительства от 24.12.94 № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы включая и физических лиц.
Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России Федерального закона "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ. Данный закон впервые официально вводит понятие "'конфиденциальной информации", которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
|
|
|
Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, - реализующим электронную цифровую подпись, и порядку их использования в информационно - телекоммуникационных системах.
Так, статья 19 закона "Об информации, информатизации и защите информации" устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания граждан и организаций, а также обязательность получения, лицензий для организаций, осуществляющих проектирование и производство средств защиты информации.
Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: предотвращение утечки, хищения утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных сведений; сохранение государственной тайны и конфиденциальности информации.
Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах на органы государственной власти.
Очень важна статья 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации. Пунктом 3 риск, связанный с использованием сертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (владельца) систем и средств. Риск, связанный с использованием информации, полученной из таких систем, относится на потребителя информации. Пункт 4 устанавливает право собственника документов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, проведения анализа достаточности мер защиты его ресурсов, систем и получения консультаций.
Статья 23 Закона "Об информации, информатизации и защите информации" посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.
Подписанный 3 апреля 1995 года Указ Президента Российской Федерации № 334 "О мерах, по соблюдению законности в области разработки, производства, реализации, и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Пункты 2, 3 данного документа устанавливают обязательное использование исключительно, сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с Центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется теперь не только на средства защиты информации, содержащей сведения, составляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. Кроме того, Указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФАПСИ, а также правоохранительные, таможенные и налоговые органы страны.
В течение первой половины 1995 года Правительством Российской Федерации во исполнение закона "О государственной тайне" приняты постановление от 15 апреля 1995 года № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и постановление от 26.06.95 № 608 "О сертификации средств зашиты информации".
Указанные постановления формируют механизм получения предприятиями и организациями, независимо от их организационно-правовой формы, лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств защиты, предназначенных для защиты секретной информации. В частности, пункт 2 Положения, утвержденного постановлением № 333, устанавливает органы, уполномоченные на ведение лицензионной деятельности, связанной с проведением работ со сведениями, составляющими государственную тайну. Таковыми являются Федеральная служба безопасности России и ее территориальные органы, ФАПСИ, Гостехкомиссия и Служба внешней разведки.
Тем же пунктом определяются полномочия перечисленных ведомств:
• выдача лицензий по допуску предприятий и организаций к проведению работ, связанных с использованием секретных сведений, на территории Российской Федерации возлагается на органы ФСБ, а за границей - СВР России;
· выдача лицензий на право создания средств защиты информации возлагается на Гостехкомиссию и ФАПСИ;
· выдача лицензий на право осуществления мероприятий и(или) оказания услуг в области защиты государственной тайны возлагается на ФСБ и ее территориальные органы, Гостехкомиссию, ФАПСИ и СВР.
Постановление от 15.04.95 № 333 устанавливает, что лицензия на право деятельности по проведению работ, связанных с использованием сведений составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.
Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию. Статьи Положения определяют участников системы сертификации средств защиты информации, их права и обязанности; схемы проведения сертификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертификации, контроля за качеством сертифицированных изделий, а также ответственность сторон за выполнение ими своих обязательств в системе сертификации. Кроме того, данным Положением к средствам защиты информации отнесены и средства контроля эффективности защиты информации.
Принятый Государственной Думой Федеральный закон "Об участии в международном информационном обмене" от 5 июня 1996 года N 85-ФЗ определяет необходимость сертификации средств международного информационного обмена и необходимость лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставляет ФАПСИ право участвовать в определении перечней документированной информации, вывоз которой из Российской Федерации, и иностранных информационных продуктов, ввоз которых в Российскую Федерацию ограничен, определять порядок: лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией, а также определять порядок сертификации средств и аттестования систем международного информационного обмена.
Перечисленные нормативные акты определили полномочия и компетенции ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.
Лицензированию Федеральным агентством в соответствии с его компетенцией подлежит деятельность по следующим направлениям:
• создание средств защиты информации;
· осуществление мероприятий и оказание услуг по защите государственной тайны;
· деятельность, связанная с шифровальными средствами;
· предоставление услуг в области шифрования, информации;
· выявление технических устройств скрытого съема информации, электронных закладных устройств и программных закладок в технических средствах и помещениях государственных структур;
· создание систем и комплексов телекоммуникаций органов государственной власти Российской Федерации;
· создание закрытых (защищенных) с использованием шифровальных средств систем и комплексов телекоммуникаций;
· создание и реализация средств выявления технических устройств скрытого съема информации, электронных закладных устройств и программных закладок.
Указанные направления включают определенное множество отдельных видов деятельности, к которым относятся разработка, производство, реализация (продажа), эксплуатация, монтаж, установка (инсталляция), наладка, сертификационные испытания, ввоз в страну, вывоз из страны и другие.
Сертификации Федеральным агентством в соответствии с его компетенцией подлежат:
· средства (системы, комплексы) криптографической защиты информации;
· средства выявления закладных устройств и программных закладок;
· защищенные технические средства обработки информации;
· закрытые (защищенные) информационные системы и комплексы телекоммуникаций.
В своей деятельности по лицензированию и сертификации ФАПСИ руководствуется положениями указанных выше нормативных актов и строго придерживается предоставленными ему ими правами и полномочиями.
