Организационно-правовые вопросы защиты информации в условиях новых экономических отношений
Беззубцев О.А., Ковалев А.Н.

Организационно-правовые вопросы защиты информации в условиях новых экономических отношений

_______________________________________________

О.А. Беззубцев, А.Н. Ковалев



Приступая к рассмотрению проблематики информационной безопасности, необходимо прежде всего рассмотреть и проанализировать условия, при которых решаются задачи, стоящие в области защиты информации, особенно в такой деликатной сфере, как защита информации криптографическими методами.

Сейчас уже практически всем очевидно, что информация стала стратегическим национальным ресурсом. Естественным следствием данного факта является необходимость надежной защиты информации, что достигается построением системы защиты, представляющей собой взаимоувязанный комплекс различных мер и методов, обеспечивающих достижение целей, стоящих перед системой защиты. В настоящее время общепризнано, что основой любой надежной системы защиты являются шифровальные средства (средства криптографической защиты). Однако до недавнего времени шифровальные средства в нашей стране использовались только в интересах государственных органов, а их разработка была прерогативой исключительно специальных служб и немногих специализированных государственных предприятий. Происходящие в стране изменения в политической и экономической жизни и порожденные ими процессы затронули все сферы деятельности и породили острую потребность в средствах защиты информации, особенно в шифровальных средствах, во всех приложениях, где осуществляется обработка, хранение и передача информации. Наиболее важным и характерным результатом новых реалий является возникновение принципиально новых явлений, о которых до недавнего времени не могло быть и речи - открытой криптографии и рынка средств защиты информации. Дополнительная острота в сложившуюся ситуацию привносилась следующими обстоятельствами. Во-первых, стихийностью и быстротой возникновения рынка средств защиты информации с активным предложением со стороны разработчиков и продавцов шифр средств, при условии отсутствия специальных знаний, требуемого опыта и квалификации как у многих из них, так и у большинства потребителей предлагаемых на рынке изделий. Во-вторых, бурным внедрением современных информационных технологий во все сферы деятельности общества, характеризующиеся появлением новых информационных потоков и широкой номенклатурой используемых программных и аппаратных средств обработки и телекоммуникаций, при невозможности использования в этих условиях унифицированных, всеохватывающих и обладающих достаточной полнотой средств и механизмов защиты на фоне отсутствия на тот момент широкой номенклатуры сертифицированных шифровальных средств. В-третьих, практически полным отсутствием необходимой правовой базы, которая определяла права и обязанности субъектов деятельности в области защиты информации и позволяла бы эффективно регулировать отношения в этой области, защищая как товаропроизводителя, так, что еще более важно, и потребителя продукции на рынке средств защиты информации. Наибольшую актуальность в этой связи, наряду с насыщением рынка средствами защиты информации, построением на их базе защищенных многопрофильных информационных и телекоммуникационных систем и обеспечением потребителя их услугами, приобрела проблема организационно-правового обеспечения работ по защите информации для всех, как государственных, так и коммерческих организаций и учреждений по всем видам деятельности в этой области-разработки, производства, реализации, эксплуатации средств защиты, оказания услуг по защите информации и другой деятельности, связанной со средствами защиты информации.

Как уже указывалось в различных работах, опубликованных в последнее время и посвященных данной проблематике, правовая база, регулирующая отношения в области защиты информации, к началу 90-х годов была практически не развита. Благодаря усилиям всех органов государственной власти, а также деятельности ряда государственных и коммерческих организаций, в этой сфере произошли существенные изменения. Конечно, нельзя сказать, что последствия правового нигилизма, имевшего место быть последние годы, полностью преодолены и задачи формирования законодательства, адекватно отражающего современные реалии и отвечающего им, успешно решены. Работа по разработке нового и совершенствованию положений действующего законодательства идет и будет продолжаться с учетом того фактора, что область информатизации и защиты информации является бурно развивающейся, что само по себе требует внесения соответствующих изменений. Главными итогами этой работы на данный момент, на наш взгляд, являются следующие. Во-первых, имеется хорошая основа всем субъектам деятельности в области защиты информации осуществлять свою деятельность и строить отношения с другими субъектами этой деятельности в соответствии с реальными нормами права. Во-вторых, определены полномочия государственных органов и принципы государственного регулирования деятельности в области защиты информации и построения государственной системы защиты информации в общей системе безопасности страны. В-третьих, осуществлен переход от силовых методов воздействия к общепринятым в мировой практике методам и средствам управления и регулирования.

Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных актов Российской Федерации различного уровня. Приятно отметить, что одним из первых открытых нормативных актов, на законодательном уровне регулировавшем отношения в сфере защиты информации был принятый 19 февраля 1993 года Верховным Советом Российской Федерации закон "О федеральных органах правительственной связи и информации" № 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Той же статьей данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых (защищенных) с помощью шифровальных средств, систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит лицензирование деятельности и сертификацию в области защиты информации и дата его принятия -19 февраля 1996 г. - является исходной точкой, от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.

Нормы лицензирования деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также сертификации средств ее защиты определены законом Российской Федерации от 21.07.93 "О государственной тайне" № 5485-1. Статья 20 этого закона определила государственные органы, ответственные за защиту такой информации. Статья 27 предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств (ФАПСИ, Министерство обороны, Гостехкомиссия и Министерство безопасности, правопреемником которого является ФСБ).

Во исполнение этих законов в августе 1993 года Правительством Российской Федерации принято специальное постановление, которое полностью определяет порядок создания и использования криптографических (шифровальных) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну, от стадии подготовки технического задания на проведение научно-исследовательских работ до серийного производства и установки шифровальной техники в сложные закрытые (защищенные) системы и комплексы обработки, хранения и передачи информации.

Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг" № 5151-1 ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" POCC.RU.0001.030001. Данный документ определил перечень средств защиты информации, подлежащих сертификации в ФАПСИ, организационную структуру системы сертификации ФАПСИ, а также установил основные правила проведения сертификационных исследований.

В начале 1994 года Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним. В первую очередь, это распоряжение Президента России от 11 февраля 1994 г. № 74-П "О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники". Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптоаналитических функций, подлежат экспортному контролю. Во-вторых, постановление Правительства от 15.04.94 № 331 "О внесении дополнений и изменений в постановления Правительства Российской Федерации от 06.11.92 № 854 "О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) матерритории Российской Федерации" и от 10.12.92 № 959 "О поставках продукции и отходов производства, свободная реализация которых запрещена". И, наконец, - постановление от 01.07.94 № 758 "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг". 31 октября 1996 г. этот перечень был дополнен постановлением Правительства № 1299, которым утверждено Положение "О порядке лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации".

Перечисленные документы установили в том числе, что ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ним может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ о выдаче лицензии. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направленный на предотвращение утечки секретных сведений и технологий при вывозе из страны средств защиты информации.

Предоставленные Федеральному агентству законами "О федеральных органах правительственной связи и информации" и "О государственной тайне" права по определению порядка осуществления и лицензированию деятельности в области защиты информации нашли свое развитие в "Положении о государственном лицензировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением №10 ФАПСИ и Гостехкомиссии России, разграничившим сферы компетенции двух этих ведомств и определившим механизм практического лицензирования, действующий по настоящее время.

Обязательное государственное лицензирование деятельности в области защиты информации криптографическими методами, а также в области выявления электронных устройств перехвата информации в технических средствах и помещениях государственных структур введено постановлением Правительства от 24.12.94 № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации, независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физических лиц.

Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России Федерального закона "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ. Данный закон впервые официально вводит понятие "конфиденциальной информации", которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается. Кроме того, закон определяет электронную цифровую подпись как средство защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекоммуникационных системах. Так, статья 19 устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания граждан и организаций, а также обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации. Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: предотвращение утечки, хищения, утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных сведений; сохранение государственной тайны и конфиденциальности информации. Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, на органы государственной власти. Очень важна статья 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации. Пунктом 3 риск, связанный с использованием сертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (владельца) систем и средств. Риск, связанный с использованием информации, полученной из таких систем, относится на потребителя информации. Пункт 4 устанавливает право собственника документов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Статья 23 посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.

Подписанный 3 апреля 1995 года Указ Президента Российской Федерации № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ. Пункты 2, 3 данного документа устанавливают обязательное использование исключительно сертифицированных средств защиты информации во всех государственных структурах, в том числе и в государственных банках Российской Федерации, на предприятиях, работающих по государственному заказу, а также на предприятиях и в организациях при их информационном взаимодействии с Центральным банком России и его структурными подразделениями. Таким образом, обязательность сертификации распространяется теперь не только на средства защиты информации, содержащей сведения, составляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. Кроме того, Указ формирует механизм реализации перечисленных выше законодательных актов, возлагая ответственность за их выполнение на ФАПСИ, а также правоохранительные, таможенные и налоговые органы страны.

В течение первой половины 1995 года Правительством Российской Федерации во исполнение закона "О государственной тайне" приняты постановление от 15 апреля 1995 года № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и постановление от 26.06.95 № 608 "О сертификации средств защиты информации".

Указанные постановления формируют механизм получения предприятиями и организациями, независимо от их организационно-правовой формы, лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств защиты, предназначенных для защиты секретной информации.

В частности, пункт 2 Положения, утвержденного постановлением № 333, устанавливает органы, уполномоченные на ведение лицензионной деятельности, связанной с проведением работ со сведениями, составляющими государственную тайну. Таковыми являются Федеральная служба безопасности России и ее территориальные органы, ФАПСИ, Гостехкомиссия и Служба внешней разведки. Тем же пунктом определяются полномочия перечисленных ведомств:

  • выдача лицензий по допуску предприятий и организаций к проведению работ, связанных с использованием секретных сведений, на территории Российской Федерации возлагается на органы ФСБ, а за границей - СВР России;
  • выдача лицензий на право создания средств защиты информации возлагается на Гостехкомиссию и ФАПСИ;
  • выдача лицензий на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны возлагается на ФСБ и ее территориальные органы, Гостехкомиссию, ФАПСИ и СВР.

Постановление от 15.04.95 № 333 устанавливает, что лицензия на право деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.

Постановление от 26 июня 1995 года № 608 устанавливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию. Статьи Положения определяют участников системы сертификации средств защиты информации, их права и обязанности; схемы проведения сертификационных испытаний; порядок выдачи, приостановления и аннулирования сертификатов; порядок оплаты услуг по сертификации, контроля за качеством сертифицированных изделий, а также ответственность сторон за выполнение ими своих обязательств в системе сертификации. Кроме того, данным Положением к средствам защиты информации отнесены и средства контроля эффективности защиты информации.

Принятый Государственной Думой Федеральный закон "Об участии в международном информационном обмене" от 5 июня 1996 года N 85-ФЗ определяет необходимость сертификации средств международного информационного обмена и необходимость лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставляет ФАПСИ право участвовать в определении перечней документированной информации, вывоз которой из Российской Федерации, и иностранных информационных продуктов, ввоз которых в Российскую Федерацию, ограничен, определять порядок лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией, а также определять порядок сертификации средств и аттестования систем международного информационного обмена.

Приведенный анализ законодательной базы показывает, что наименее проработанными в ней на данный момент времени остаются вопросы, регламентирующие контроль за деятельностью юридических и физических в области защиты информации, и нормы, определяющие ответственность за нарушение законодательства в этой области. На данный момент времени такие нормы определены только во вступившем в действие в январе 1997 года Уголовном кодексе Российской Федерации.


&copy Информационное общество, 1997, вып. 1, с. 37-41.