О журнале
Рекомендации
Методологические вопросы лицензирования и сертификации в области защиты информации
Беззубцев О.А., Ковалев А.Н., Селезнев И.А.
________________________________________
О.А. Беззубцев, А.Н. Ковалев, И.А. Селезнев
Возможность продуктивного осуществления любой деятельности в значительной степени определяется наличием развитого инструментария для выполнения всего требуемого комплекса работ. В своем законченном виде инструмент осуществления лицензионной и сертификационной деятельности представляет собой построенные и развернутые системы лицензирования и сертификации.
Прежде чем перейти к рассмотрению принципов, правил и механизма функционирования систем лицензирования и сертификации рассмотрим факторы, влияющие на их построение. Во-первых, данные системы являются составными частями государственной системы защиты информации и, следовательно, порядок их построения и функционирования определяется имеющейся нормативной правовой базой и вытекающими из нее требованиями. Вторым фактором является статус Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) как межведомственного органа, обеспечивающего координацию и регулирование деятельности, связанной с защитой информации криптографическими методами всех организаций страны, независимо от формы собственности, включая установление контроля за рынком соответствующих товаров и услуг. В-третьих, необходимость решения вытекающей из требований нормативных актов задачи создания современной отрасли производства средств криптографической защиты информации в условиях действия новых экономических отношений, выпускающей качественные средства защиты, удовлетворяющие новым технологиям обработки информации. Четвертым фактором является реальная, сложившаяся на рынке средств защиты информации и в целом в стране ситуация, не давшая возможности разработки подходов к проведению лицензирования: разработка принципов и правил проведения лицензирования осуществлялась одновременно с осуществлением практического лицензирования. Также одновременно с практикой происходило и сейчас еще продолжается становление инфраструктуры систем лицензирования и сертификации. И, наконец, последним фактором, который здесь хотелось бы отметить является практический опыт, накопленный Федеральным агентством в отношениях с предприятиями - разработчиками и производителями шифрсредств, и опыт исследований шифровальных средств, предназначенных для защиты сведений, составляющих государственную тайну.
Одними из основных целей государственного регулирования в области зашиты информации, также во многом определяющими методологию лицензирования и сертификации являются надежная защита любой конфиденциальной информации и предотвращение ущерба для пользователей за счет исключения появления некачественных средств защиты, создаваемых структурами, не имеющими для этого необходимой научно-технической базы, и исключения непрофессионализма в решении вопросов безопасности.
С учетом рассмотренных выше факторов можно определить следующие принципы деятельности ФАПСИ по лицензированию и сертификации:
1. Соответствия действующим российским законодательным и нормативным актам.
2. Системного и комплексного подхода к решению вопросов лицензирования и сертификации.
3. Обеспечения надежной защиты информации, составляющей государственную тайну или иной конфиденциальной информации.
4. Дифференцированного подхода к отдельным видам деятельности и средствам защиты.
5. Наложение на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации (реализуются путем формулирования специальных требований, предъявляемых к заявителю, и особых условий (ограничений), включаемых в лицензию).
6. Соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно-методической, технической и технологической оснащенности, режимным требованиям, проверяемом в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов.
7. Четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с ФАПСИ.
8. Централизованности выдачи, учета, приостановления и отзыва лицензий и сертификатов.
9. Доступности и открытости систем лицензирования и сертификации в рамках вышеперечисленных принципов.
Основные правила, регламентирующие порядок проведения лицензирования:
1. Лицензирование в области защиты информации является обязательным.
2. Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена.
3. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии выдаются талью предприятиям, зарегистрированным на территории Российской Федерации.
4. Лицензия ФАПСИ выдается только на основании результатов специальное экспертизы заявителя на соответствие требованиям к предприятию на право деятельности в области защиты информации по заявленному направлению работ и аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью.
Данное положение устанавливает одну из основных норм, определяющих сущностные и процедурные аспекты системы лицензирования ФАПСИ: лицензия может быть выдана не каждому заявителю, то есть предприятию, подавшему все необходимые и правильно оформленные документы, а только предприятию, обладающему соответствующими возможностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия и осуществляется в ходе специальной экспертизы путем экспертных оценок специалистами специально создаваемых, с учетом профиля заявляемых видов деятельности, комиссий факта удовлетворения требованиям, предъявляемым к предприятиям. С данными требованиями заявитель может быть ознакомлен в Лицензионном центре ФАПСИ. Кроме того, по результатам специальной экспертизы заявителя определяются состав и конкретная формулировка разрешенных видов деятельности, а также условия их осуществления. Уточнение формулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов:
- уровня конфиденциальности защищаемой информации;
- уровня секретности сведений, используемых при осуществлении заявляемой деятельности;
- типа используемого криптографического алгоритма;
- способа технической реализации изделия;
- уровня квалификации персонала;
- назначения изделия, наличия или отсутствия сертификата на него;
- страны - производителя изделия;
- категории помещений и технических средств.
5. Решение ФАПСИ о выдаче лицензии дается предприятию, подавшему заявление на его получение, на основании результатов технической экспертизы изделия и (или) специальной экспертизы заявителя.
Основными задачами технической экспертизы являются установление соответствия предъявляемого изделия заявляемым характеристикам (классу, типу шифровальных средств) и проверка возможного использования в коммерческих шифрередствах алгоритмов и способов их реализации, составляющих государственную тайну.
6. Лицензия, выданная ФАПСИ, действует на всей территории Российской Федерации, если иное не оговорено в ней особо.
7. Передача лицензии другим юридическим лицам запрещена.
8. Лицензия имеет ограниченный срок действия, по истечении которого осуществляется переоформление лицензии в порядке, предусмотренном для ее выдачи.
9. Лицензирование осуществляется на платной основе.
10. Для получения лицензии или решения о выдаче лицензии предприятие обязано представить определенный перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФАПСИ.
11. Рассмотрение заявления и специальная экспертиза должны проводиться в сроки, ограниченные соответствующими нормативными актами.
12. Отказ заявителю в выдаче лицензии должен быть мотивирован.
Заявителю может быть отказано в получении лицензии в следующих случаях:
при наличии в документах, представленных заявителем, недостоверной или искаженной информации;
отрицательного заключения по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безопасности;
отрицательного заключения по результатам аттестации руководителя предприятия или лица, уполномоченного им на ведение лицензируемой деятельности;
отрицательного заключения по результатам технических экспертиз.
13. При ликвидации предприятия выданная лицензия теряет юридическую силу.
В случае реорганизации предприятия, изменения его дислокации или наименования юридического лица, утраты лицензии осуществляется ее переоформление.
Переоформление лицензии в указанных случаях, за исключением изменения наименования юридического лица, осуществляется в порядке, предусмотренным для ее выдачи.
14. Выданная лицензия может быть приостановлена или аннулирована.
Приостановление или аннулирование лицензии осуществляется в случаях:
- представления лицензиатом соответствующего заявления;
- обнаружения недостоверных данных в документах, представленных для получения лицензии;
- нарушения лицензиатом условий действия лицензии;
- невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления ими деятельности предприятия в соответствии с законодательством Российской Федерации;
- ликвидации предприятия.
Приостановление действия лицензии влечет за собой прекращение деятельности лицензиата по виду деятельности (работ, услуг), указанному в лицензии, до устранения выявленных нарушений.
15. Решение ФАПСИ о выдаче лицензии на ввоз (вывоз) шифровальных средств выдается только на конкретную партию изделий. Наличие заключенных договоров не является основанием для выдачи положительного решения о возможности ввоза (вывоза) шифровальных средств.
Данные нормы соответствуют установленному порядку внешнеэкономической деятельности. Заключаемые договора, как правило, содержат статью, учитывающую форс-мажорные обстоятельства, предусматривающие возможный отказ уполномоченных государственных органов в выдаче лицензии на ввоз (вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этапностью и сроками поставок, оговоренных конкретным договором.
Порядок осуществления лицензирования.
1. Лицензионная деятельность ФАПСИ включает следующие действия:
- прием, регистрацию и рассмотрение заявления на лицензирование избранных Заявителем видов деятельности;
- организацию проведения специальной экспертизы Заявителя;
- организацию проведения технической экспертизы средств защиты информации, являющихся продуктом или объектом лицензионной деятельности;
- оформление, выдачу или отказ в выдаче лицензии или решения о возможности получения
лицензии в другом органе, уполномоченном на ведение лицензионной деятельности;
- контроль за деятельностью лицензиатов и соблюдением ими лицензионных условий;
- переоформление лицензий;
- приостановление и аннулирование лицензий;
- принятие мер административного воздействия на нарушителей лицензионных условий.
2. ФАПСИ осуществляет лицензирование деятельности в области защиты информации по вопросам, отнесенным нормативными актами Российской Федерации к его компетенции только в разрешительном порядке.
Разрешительный порядок предусматривает выдачу или отказ в выдаче лицензий или решений о выдаче лицензий ФАПСИ после проведения специальной и (или) технической экспертизы, рассмотрения заявления Лицензионным центром ФАПСИ и принятия решения руководством ФАПСИ.
3. Заниматься деятельностью в области защиты информации по вопросам, отнесенным нормативными актами Российской Федерации к компетенции ФАПСИ, с получением лицензий или решений о выдаче лицензий могут как юридические лица - предприятия, организации и учреждения (далее - предприятия) независимо от их организационно-правовой формы зарегистрированные на территории Российской Федерации, так и физические лица.
Физическим лицам, осуществляющим предпринимательскую деятельность без образования юридического лица, лицензии или решения о выдаче лицензии могут выдаваться, как правило, только на эксплуатацию шифровальных средств для защиты информации, не составляющей государственную тайну.
4. Лицензия выдается заявителю на право проведения работ по конкретным видам деятельности на срок от трех до пяти лет. Предприятие или гражданин может иметь несколько лицензий на различные виды деятельности.
5. Все документы, представленные для получения лицензии или решения о возможности получения лицензии в другом органе, уполномоченном на ведение лицензионной деятельности, регистрируются в ФАПСИ. Копий всех документов должны быть заверены нотариусом.
Заявление принимается к рассмотрению только при наличии всех необходимых документов, фактической оплаты Заявителем рассмотрения заявления и поступления в ФАПСИ результатов специальной и технической экспертиз. О завершении рассмотрения заявления и необходимости оплаты выдачи лицензии (решения) Заявитель извещается дополнительно.
Заявитель несет ответственность за достоверность представленных сведений. В ходе рассмотрения заявления ФАПСИ вправе произвести проверку достоверности представляемых сведений.
6. Оформление документов о выдаче или отказе в выдаче лицензии (решения о возможности получения лицензии) осуществляется в течение 30 дней с момента принятия заявления к рассмотрению в целом.
В случае необходимости проведения дополнительной, в том числе независимой, экспертизы, организуемой ФАПСИ без участия Заявителя, решение о выдаче или отказе в выдаче лицензии (решения) принимается в 15-дневный срок после получения экспертного заключения, но не позднее 60 дней со дня подачи принятия заявления к рассмотрению.
В зависимости от сложности и объема подлежащих экспертизе материалов в отдельных обоснованных случаях генеральным директором ФАПСИ срок оформления документов о выдаче или отказе в выдаче лицензии (решения) может быть увеличен дополнительно на 30 дней.
7. Если деятельность заявителя связана с защитой сведений, составляющих государственную тайну, необходимым условием получения лицензии ФАПСИ является наличие лицензии ФСБ России по допуску к проведению работ с указанными сведениями.
8. Лицензия на проведение сертификационных испытаний средств защиты по требованиям безопасности выдается по результатам аккредитации только специализированным предприятиям, имеющим соответствующие тематические подразделения, которые могут осуществить полномасштабные исследования шифровальных средств и (или) иных технических средств защиты информации.
9. Лицензия на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в конкретных корпоративных наложенных сетях типа "Банк-Клиент", системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню "С" выдается заявителю, который будет эксплуатировать данную конкретную корпоративную наложенную сеть (далее - организатор сети). Под уровнем "С" при этом понимается криптографическая защита информации на уровне потребителя. Информационно-телекоммуникационные системы создаются предприятием самостоятельно на основе сертифицированных средств криптографической защиты информации (СКЗИ), предназначенных для защиты конфиденциальной информации, встраивание которых в прикладные системы должно происходить с выполнением интерфейсных и криптографических протоколов, определенной технической документацией на СКЗИ.
Обязанности по обеспечению безопасности применения шифровальных средств устанавливаются договорами, заключаемыми организатором сети с пользователями сети. Пользователи сети эксплуатируют сертифицированные шифровальные средства без оформления лицензий.
При необходимости, Лицензионный центр ФАПСИ выдает пользователям такой сети по их заявкам заверенную копию лицензии организатора сети с указанием их наименования и юридического адреса. Наличие подобной лицензии или ее копии не освобождает организатора сети и пользователей его корпоративной сети от необходимости получения отдельных лицензий на право эксплуатации иных шифровальных средств.
Для создания соответствующих условий осуществления лицензируемой деятельности заявитель вправе приобрести опытную партию сертифицированных шифровальных средств, а также комплект необходимой технической или эксплуатационной документации до получения лицензии.
При этом заявители на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа "Банк-Клиент", системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню "С" вместо представления органа государственной власти Российской Федерации могут представлять копию государственной лицензии на основной вид деятельности.
Специальная экспертиза таких заявителей проводится уполномоченным аттестационным центров на основании заявки и представленного заявителем перечня сведений, подтверждающих выполнение им соответствующих требований ФАПСИ, а также условий действия сертификатов соответствия на эксплуатируемые шифровальные средства.
10. При лицензировании предоставления услуг по шифрованию информации лицензиату вменяется в обязанность обеспечить конфиденциальность переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся этими услугами, а в необходимых случаях обеспечить возможность приведения оперативно-розыскных и следственных мероприятий в отношении указанных лиц в соответствии с действующим законодательством Российской Федерации. Указанные условия формулируются в тексте лицензии.
Лицензии на эксплуатацию шифровальных средств в защищенных с их помощью системах и комплексах телекоммуникаций взаимоувязанной сети связи выдаются только при наличии соответствующих сертификатов и лицензий Министерства связи Российской Федерации.
11. В области подготовки и переподготовки специалистов по защите информации лицензия выдается только на согласованные в ходе специальной экспертизы учебные курсы, дисциплины, программы, специальности и специализации. Экспертиза заявителей в данной области осуществляется с привлечением специалистов Академии криптографии РФ.
12. Лицензирование ввоза и вывоза шифровальных средств, их составных частей и нормативно-технической документации к ним (в том числе, если они осуществляются на основании Заключенных межгосударственных соглашений и рамках деятельности Координационного совета по обеспечению безопасности шифровальных средств и их эксплуатации в системах правительственной и закрытой ведомственной связи государств-участников СНГ) производится установленным порядком исключительно на основании решений ФАПСИ о выдаче лицензий. Вопрос о вывозе может быть положительно решен в случаях:
- шифровальные средства поставляются на основании специального решения Правительства Российской Федерации;
- шифровальные средства ранее вывозились за пределы Российской Федерации;
- шифровальные средства разработаны как коммерческие и вывоз их не нанесет ущерба безопасности государства.
Ввоз в страну импортных шифровальных средств ограничен. Исключение могут составлять только:
- шифровальные средства для связи российских предприятий с зарубежными партнерами, филиалов и представительств зарубежных компаний с штаб-квартирами и своими филиалами без права продажи или передачи этих средств другим физическим или юридическим лицам и права предоставления услуг в области шифрования информации;
- средства шифрования и электронной цифровой подписи, предназначенные для защиты информации в международных системах электронных платежей.
Разрешение на ввоз шифровальных средств дается, как правило, для реализации заранее определенному потребителю без права передачи и перепродажи.
Порядок проведения сертификации средств защиты информации ФАПСИ основан на следующих основных принципах и правилах:
1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны, или обязательность сертификации которых установлена нормативными актами Российской Федерации.
В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Банком России, а также для средств и защищенных систем государственных предприятий или предприятий, на которых размещен государственный заказ.
2. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.
Отсюда следует, что изделия, реализованные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а равно изделия, реализующие алгоритмы иностранной разработки, или импортные шифровальные средства на сертификацию не принимаются.
3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию ФАПСИ на соответствующие виды деятельности.
Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар предлагаемый на рынок, могут только предприятия, имеющие лицензию.
4. Принятие на сертификацию только готовых изделий в целом, а не их составных частей или отдельных компонент.
5. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, с учетом условий их эксплуатации.
6. Двухступенчатостъ процесса сертифицикации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).
7. Дифференцированность подхода к уровню защиты различных видов информации.
© Информационное общество, 1997, вып. 2-3, с. 51-55.