Другие законы и нормативные акты

Следующим законом, имеющим важное значение в сфере информационной безопасности, является Закон РФ "О лицензировании отдельных видов деятельности" от 8 августа 2001 года, № 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии:

  • • распространение шифровальных (криптографических) средств;
  • • техническое обслуживание шифровальных (криптографических) средств;
  • • предоставление услуг в области шифрования информации;
  • • разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
  • • выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;
  • • выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
  • • разработка и (или) производство средств защиты конфиденциальной информации;
  • • техническая защита конфиденциальной информации;
  • • разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ). ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. (Устаревшие данные: 1 июля 2003 года Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) было упразднено. Указ Президента РФ от 11.03.2003 № 308 "О мерах по совершенствованию государственного управления в области безопасности Российской Федерации". 9 марта 2004 года Гостехкомиссия России была преобразована в Федеральную службу по техническому и экспортному контролю Российской Федерации (ФСТЭК России) Указ Президента России № 314. от 9 марта 2004 — "О системе и структуре федеральных органов исполнительной власти".) Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламентированы соответствующими указами Президента и постановлениями Правительства РФ, которые мы здесь перечислять не будем.

В эпоху глобальных коммуникаций важную роль играет Закон РФ "Об участии в международном информационном обмене" от 4 июля 1996 года, № 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе "Об информации...", основным защитным средством являются лицензии и сертификаты.

Согласно пункту 2 статьи 9: "Защита конфиденциальной информации государством распространяется только на ту деятельность по международному информационному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена. Выдача сертификатов и лицензий возлагается на Комитет при Президенте Российской Федерации по политике информатизации, Государственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Российской Федерации".

Еще одна цитата из того же Закона — статья 17 "Сертификация информационных продуктов, информационных услуг, средств международного информационного обмена":

  • 1. "При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гарантирующий соответствие данных продуктов и услуг требованиям договора. В случае невозможности сертификации ввозимых на территорию Российской Федерации информационных продуктов, информационных услуг ответственность за использование данных продуктов и услуг лежит на импортере.
  • 2. Средства международного информационного обмена, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации.
  • 3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом "О связи".
  • 10 января 2002 года Президентом РФ был подписан чрезвычайно важный закон "Об электронной цифровой подписи", № 1-ФЗ (принят Государственной Думой 13 декабря 2001 года, сейчас действует закон от 06.04.2011 N 63-ФЗ, ред. от 28.06.2014), развивающий и конкретизирующий приведенные выше положения закона "Об информации...". Его роль поясняется в статье 1.
  • 1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
  • 2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

  • • электронный документ;
  • • электронная цифровая подпись;
  • • владелец сертификата ключа подписи;
  • • средства электронной цифровой подписи
  • • сертификат средств электронной цифровой подписи;
  • • закрытый ключ электронной цифровой подписи;
  • • сертификат ключа подписи;
  • • пользователь сертификата ключа подписи;
  • • информационная система общего пользования;
  • • корпоративная информационная система.

Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

  • • сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
  • • подтверждена подлинность электронной цифровой подписи в электронном документе;
  • • электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
  • • закон определяет сведения, которые должен содержать сертификат ключа подписи:
  • • уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
  • • фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в сертификат ключа подписи;
  • • открытый ключ электронной цифровой подписи;
  • • наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
  • • наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;
  • • сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

В заключение раздела отметим, что в области информационной безопасности законы реально работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны руководящие документы Гостехкомиссии РФ, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года "Руководящий документ по межсетевым экранам", вводящий в официальную сферу использования один из самых современных классов защитных средств.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний, второе (более существенное) — доминирование на современном этапе развития аппаратно-программных продуктов зарубежного производства.

На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, оборонных), в принципе, может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания "закладных" элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо ущерба для национальной безопасности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >