Другие законы и нормативные акты

Следующим законом, имеющим важное значение в сфере информационной безопасности, является Закон РФ " О лицензировании отдельных видов деятельности" от 8 августа 2001 года, № 128-ФЗ (Принят Государственной Думой 13 июля 2001 года).

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии:

• распространение шифровальных (криптографических) средств;
• техническое обслуживание шифровальных (криптографических) средств;
• предоставление услуг в области шифрования информации;
• разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
• выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;
• выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка и (или) производство средств защиты конфиденциальной информации;
• техническая защита конфиденциальной информации;
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ). ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. (Устаревшие данные: 1 июля 2003 года Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) было упразднено. Указ Президента РФ от 11.03.2003 № 308 " О мерах по совершенствованию государственного управления в области безопасности Российской Федерации". 9 марта 2004 года Гостехкомиссия России была преобразована в Федеральную службу по техническому и экспортному контролю Российской Федерации (ФСТЭК России) Указ Президента России № 314. от 9 марта 2004 — " О системе и структуре федеральных органов исполнительной власти".) Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламентированы соответствующими указами Президента и постановлениями Правительства РФ, которые мы здесь перечислять не будем.

В эпоху глобальных коммуникаций важную роль играет Закон РФ " Об участии в международном информационном обмене" от 4 июля 1996 года, № 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе " Об информации...", основным защитным средством являются лицензии и сертификаты.

Согласно пункту 2 статьи 9: " Защита конфиденциальной информации государством распространяется только на ту деятельность по международному информационному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена. Выдача сертификатов и лицензий возлагается на Комитет при Президенте Российской Федерации по политике информатизации, Государственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Российской Федерации".

Еще одна цитата из того же Закона — статья 17 " Сертификация информационных продуктов, информационных услуг, средств международного информационного обмена":

1. " При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гарантирующий соответствие данных продуктов и услуг требованиям договора. В случае невозможности сертификации ввозимых на территорию Российской Федерации информационных продуктов, информационных услуг ответственность за использование данных продуктов и услуг лежит на импортере.
2. Средства международного информационного обмена, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации.
3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом " О связи".

10 января 2002 года Президентом РФ был подписан чрезвычайно важный закон " Об электронной цифровой подписи", № 1-ФЗ (принят Государственной Думой 13 декабря 2001 года, сейчас действует закон от 06.04.2011 N 63-ФЗ, ред. от 28.06.2014), развивающий и конкретизирующий приведенные выше положения закона " Об информации...". Его роль поясняется в статье 1.

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

• электронный документ;
• электронная цифровая подпись;
• владелец сертификата ключа подписи;
• средства электронной цифровой подписи
• сертификат средств электронной цифровой подписи;
• закрытый ключ электронной цифровой подписи;
• сертификат ключа подписи;
• пользователь сертификата ключа подписи;
• информационная система общего пользования;
• корпоративная информационная система.

Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в электронном документе;
• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
• закон определяет сведения, которые должен содержать сертификат ключа подписи:
• уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
• фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в сертификат ключа подписи;
• открытый ключ электронной цифровой подписи;
• наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
• наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;
• сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

В заключение раздела отметим, что в области информационной безопасности законы реально работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны руководящие документы Гостехкомиссии РФ, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года " Руководящий документ по межсетевым экранам", вводящий в официальную сферу использования один из самых современных классов защитных средств.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний, второе (более существенное) — доминирование на современном этапе развития аппаратно-программных продуктов зарубежного производства.

На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, оборонных), в принципе, может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания " закладных" элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо ущерба для национальной безопасности.