Материал: Щерба В.В. Криптографическая защита информации
111
тронный требуют адекватного законодательного подкрепления. Здесь, несомненно, одной из актуальнейших проблем является придание законного статуса различного рода электронным документам и данным, подтверждение их юридической силы. В связи с этим трудно переоценить значимость принятия в 2002 г. Федерального закона «Об электронной цифровой подписи», установившего правовые условия
ееприменения в электронных документах.
Вматериалах настоящей лекции рассматриваются основные аспекты организационно-правового регулирования применения криптографических средств защиты информации. Для изучения предлагаются следующие учебные вопросы:
1. Лицензирование в сфере криптографической защиты информации.
2. Сертификация в сфере криптографической защиты информации.
Лицензирование в сфере криптографической защиты информации
Сегодня можно с уверенностью утверждать, что в нашей стране в сфере информационных технологий сформировался вполне самостоятельный сегмент защиты информации. В качестве одного из факторов, препятствующих его развитию, иногда отмечается наличие «избыточных административных барьеров». При этом под избыточными барьерами подразумевается сама процедура лицензирования соответствующих видов деятельности. Справедливости ради следует отметить, что это звучит не только в отношении деятельности в области криптографической защиты информации. Чтобы более полно осветить суть проблемы, обратимся к истории.
Как известно, в 90-х годах XX в. любая деятельность, связанная с криптографией, являлась исключительной прерогативой специальных служб и их подведомственных предприятий. Деятельность эта была засекречена, и даже само появление слова «криптография» в открытых источниках было невозможным. После того как в нашей стране произошли перемены и был взят курс на реформирование практически всех общественных отношений, завеса секретности была снята и с криптографии. Стремительное развитие информационных технологий требовало ее применения в сфере защиты информации. В этой ситуации, как показало время, было принято единственно правильное решение о недопустимости «анархии» в сфере информационной безопасности, что, к сожалению, имело место в ряде других областей
112
экономики. Печальные последствия резкого перехода к «свободному рынку» хорошо известны, и в начале 90-х годов XX в. подобные тенденции стали проявляться и в рассматриваемой сфере.
Как уже отмечалось, в 1993 г. государственные регулирующие функции в отношении рынка защиты информации, в частности криптографической защиты информации, стали реформироваться.
Вначале 1994 г. Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. Одновременно Правительством было принято постановление от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности». Это постановление явилось ключевым нормативным актом вплоть до принятия Государственной Думой одноименного закона. Постановление распространило механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы.
Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным Собранием Российской Федерации в 1995 г. закона «Об информации, информатизации и защите информации». Этим законом введены основные понятия и термины в области защиты информации; определены основные цели ее защиты. В частности, для государственных организаций, обрабатывающих информацию ограниченного доступа, установлено требование обязательного использования сертифицированных информационных систем и соответствующих средств защиты. В том же году вышел Указ Президента Российской Федерации № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Указ запретил любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации без лицензии Федерального агентства правительственной связи и информации России (ФАПСИ).
Всентябре 1998 г. был принят Федеральный закон «О лицензировании отдельных видов деятельности», который ввел единый порядок
113
лицензирования, а также определил виды лицензируемой деятельности в области криптографической защиты информации.
Вапреле 2000 г. Постановлением Правительства Российской Федерации № 326 «О лицензировании отдельных видов деятельности» лицензирование указанных видов деятельности отнесено к исключительной компетенции Федерального агентства.
Вавгусте 2001 г. взамен действующего с 1998 г. закона принят новый Федеральный закон «О лицензировании отдельных видов деятельности», вступивший в силу 10 февраля 2002 г. В соответствии с его нормами (ст. 17) лицензированию, в частности, подлежат следующие виды деятельности:
– деятельность по распространению шифровальных (криптографических) средств;
– деятельность по техническому обслуживанию шифровальных (криптографических) средств;
– предоставление услуг в области шифрования информации;
– разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
– деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей.
Анализируя тексты двух законов «О лицензировании отдельных
видов деятельности», нового и старого, специалисты нередко отмечают1 « … тенденцию к либерализации требований к организациям, осуществляющим деятельность в области защиты конфиденциальной информации и процедуры их лицензирования. Например, закон от 1998 г. предусматривал единые требования как к организациям, специализирующимся на защите информации, содержащей сведения, составляющие государственную тайну, так и к организациям, специализирующимся на защите конфиденциальной информации. Вновь при-
1Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Законодательство Российской Федерации и криптография. М. : «Защита информации. Конфидент», 2002. № 1.
114
нятый закон распространяется только на последних, при этом процедура лицензирования для них упрощена».
Не оспаривая приведенные тезисы, следует отметить, на наш взгляд, более значимое положение, введенное Законом. По существу, в отличие от прежней редакции, Федеральный закон вывел «из свободного оборота» деятельность по защите государственной тайны. Частью 2 ст. 1 устанавливается, что действие закона не распространяется, в том числе на деятельность, связанную с защитой государственной тайны. Следовательно, закон установил, что лицензированию подлежит, а значит, и может осуществляться только деятельность индивидуальных предпринимателей и юридических лиц по защите, в том числе криптографической, лишь конфиденциальной информации. Таким образом, деятельность по защите государственной тайны, в том числе с применением криптографических средств, закон фактически передал уполномоченным государственным органам. Представляется, что это положение является одним из важнейших в стратегии обеспечения информационной безопасности Российской Федерации, способствующее сохранению сведений, составляющих государственную тайну, снижающее уровень многих «информационных» угроз, в том числе уровень возможного «информационного» противодействия в отношении органов государственной власти и управления страны.
К сожалению, в тексте ч. 1 ст. 17 Федерального закона, устанавливающей перечень видов деятельности, подлежащих лицензированию, соответствующий акцент сделан только в наименовании двух видов деятельности в сфере защиты информации, а именно: деятельность по разработке и (или) производству средств защиты конфиденциальной информации, деятельность по технической защите конфиденциальной информации1. В перечне видов деятельности, связанных с оборотом криптографических средств защиты информации, подобное уточнение отсутствует, что при недостаточно внимательном прочтении текста закона может повлечь ошибочное толкование.
Полномочия по лицензированию деятельности в сфере оборота криптографических средств защиты информации, а также по сертификации криптографических средств предоставлены Федеральной службе безопасности Российской Федерации (правопреемнику ФАПСИ).
1 Выделено автором лекции.
115
Рассмотрим теперь определение таких понятий, как «лицензирование» и «сертификация» в области защиты информации. К сожалению, зачастую эти термины путают; путают и объекты, к которым они относятся, и, как следствие, нормы, относящиеся к одному понятию, приписываются другому. Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (направления, виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и иными нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, состав, виды и статус которых также предписываются нормативными актами. При этом за органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля деятельности лицензиата. Здесь термины «деятельность», «право», «правило», «мероприятие», «статус» имеют общепризнанный смысл, их определения можно уточнить в любом толковом словаре. Важно подчеркнуть, и это вытекает из рассмотренной нами формулы, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий (передающий) кого-либо правом деятельности, и субъект, получающий указанное право. Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый (иначе процесс лицензирования вообще теряет смысл), а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и являющимися их неотъемлемой частью требованиями к заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим критериям. В данной области мы оперируем следующими основными терминами. Лицензирование в области защиты информации – деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации и осуществлении контроля за лицензиатом. Лицензия – надлежащим образом оформленный официальный документ, который дает право на осуществление указанного в нем вида деятельности в области защиты информации в течение установ-