116
ленного срока, а также определяет условия его осуществления. Решение о выдаче лицензии – надлежащим образом оформленный официальный документ, который дает возможность оформления лицензии на указанный в нем вид деятельности с учетом оговоренных в нем условий. Заявитель в области защиты информации – предприятие, представившее документы, необходимые для получения лицензии или решения о выдаче лицензии. Требования к заявителю – комплекс определенных условий, норм и критериев, регламентирующих возможности и деятельность лицензиата, уровень производственной, испытательной, технологической, нормативно-методической базы предприятия, научный и инженерно-технический уровень персонала, а также мероприятия по обеспечению сохранности доверяемой конфиденциальной информации, соответствие которым проверяется в ходе специальной экспертизы заявителя. Лицензиат – сторона, получившая право на проведение работ в области защиты информации.
Сертификация в сфере криптографической защиты информации
Сертификация – это процесс, осуществляемый в отношении такой категории, как «изделие», когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. В рассматриваемой области это подтверждение соответствия средства защиты информации как определенной конкретной технической реализации некоторого алгоритма заданным стандартам на этот алгоритм или описанию алгоритма, а также удовлетворения этим средством установленным требованиям по безопасности. Особо при этом следует подчеркнуть три момента. Во-первых, процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организацион- но-технические, и организационные средства и меры. Во-вторых, сертификации может подвергаться только готовое, законченное изделие. В-третьих, требования по безопасности включают количественные критерии и нормы, и поэтому, в отличие от других процедур, входящих в процесс лицензирования и сертификации, процедуры сертифи-
117
кационных испытаний базируются на формальных методах и развитой метрологической базе.
Многие термины, используемые в области сертификации, определены Федеральным законом Российской Федерации «О техническом регулировании». С учетом этого представляется целесообразным дать определения понятий, связанных с рассматриваемой проблематикой.
Сертификация средств защиты информации – деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации. Сертификат на средство защиты информации – надлежащим образом оформленный документ, выданный по правилам системы сертификации и подтверждающий соответствие средства защиты информации требованиям по безопасности информации. Из вышеизложенного явствует, что лицензирование и сертификация представляют собой совершенно различные процессы с точки зрения их объектов и используемых методов. Однако с точки зрения технологии их осуществления эти процессы во многом идентичны: и в том и в другом случае проверяется соответствие (удовлетворение) определенным требованиям, и в том и в другом случае выходные документы оформляются и выдаются на основании заключений экспертных организаций, специально уполномоченных на проведение подобных экспертиз. Более того, в ряде случаев эти процессы тесно переплетаются, поскольку для выдачи лицензии на некоторые виды деятельности или для принятия решения о выдаче лицензии на ввоз или вывоз шифрсредств требуется проведение технической экспертизы.
В заключение раздела отметим некоторые прикладные аспекты применения рассмотренной нормативной базы. Одним из них является политика разумного протекционизма в отношении отечественных разработчиков криптографических средств защиты информации. В настоящее время группа организаций, осуществляющих разработку и производство криптографических средств защиты информации, защищенных с их помощью систем и комплексов телекоммуникаций сравнительно не многочисленна по сравнению, например, с группой организаций, специализирующихся на встраивании криптографических средств в телекоммуникационные и информационные системы, распространении конечного продукта, его техническом обслуживании. Это объясняется тем, что ранее специалистов-разработчиков (в первую очередь криптографов) специализированные учебные заведения гото-
118
вили в небольшом количестве, необходимом для нужд государства, и практический опыт, позволяющий осуществлять собственные разработки, нарабатывался коллективами таких специалистов не один год.
В целях создания благоприятного климата для деятельности отечественных разработчиков криптографических средств защиты информации и в рамках законодательства существует возможность упростить процесс реализации продукции этих организаций. Основными потребителями криптографических средств защиты информации на сегодняшний день являются организаторы корпоративных информационных систем, которые предоставляют своим клиентам услуги защищенного информационного обмена. Федеральная служба безопасности осуществляет лицензирование деятельности только организатора корпоративной системы. Использование криптографических средств защиты информации пользователями корпоративных информационных систем не требует наличия лицензии. Подобная мера, естественно, способствует повышению спроса на криптографические средства защиты информации со стороны организаторов корпоративных информационных систем, а значит, оказывает благоприятное воздействие и на деятельность разработчиков.
Как уже отмечалось, важным аспектом государственной политики является поддержка отечественных производителей криптографических средств защиты информации. Однако это не означает тотального запрета на иностранные средства. Нельзя не учитывать особенностей сложившейся международной кредитно-финансовой инфраструктуры, предусматривающих применение импортных криптографических средств защиты информации. Кроме того, на территории Российской Федерации работают представительства и филиалы иностранных компаний, которые также используют для связи с головными офисами криптографические средства защиты информации зарубежного производства.
Принимая во внимание, что подобные случаи совершенно неизбежны в процессе нормального развития отечественной экономики, Федеральная служба безопасности (ФСБ) на основе тщательного анализа каждой конкретной ситуации выдает лицензии на деятельность, связанную с использованием иностранных криптографических средств защиты информации.
Одним из актуальных моментов государственного регулирования оборота средств криптографической защиты информации, которому
119
уделяется пристальное внимание, является решение вопроса о ввозевывозе криптографических средств защиты информации или средств обработки, хранения или передачи информации, которые по кодам товарной номенклатуры могут быть отнесены к таковым и на основании законодательства Российской Федерации не пропускаются таможенными органами без разрешения ФСБ. Порядок ввоза-вывоза таких товаров следующий.
Ввоз-вывоз шифровальных средств может быть осуществлен только на основании лицензии Минэкономразвития России, выдаваемой на основании решения ФСБ о возможности его осуществления. При ввозе и вывозе товаров, классифицируемых по кодам товарной номенклатуры внешнеэкономической деятельности (ТН ВЭД) 8471, 847330, 854389900, 854390900, которые подпадают под компетенцию ФСБ, организации, ввозящие или вывозящие товары, или таможенные органы обращаются в Федеральную службу безопасности с целью проведения экспертизы товаров и получения решения о возможности их ввоза-вывоза.
Универсальной методики отнесения аппаратных, программных и аппаратно-программных средств к криптографическим средствам защиты информации не существует, что определяется сущностью самого объекта анализа. Решение вопроса о том, относится или не относится аппаратное, программное или аппаратно-программное средство к криптографическим средствам защиты информации, принимается в каждом конкретном случае по результатам технической экспертизы документации и, как правило, образцов изделия. Федеральная служба безопасности при этом руководствуется широким перечнем документов, в том числе определением шифровальных средств (средств криптографической защиты информации), данным в «Системе сертификации средств криптографической защиты информации (Системе сертификации СКЗИ)» РОСС RU.0001. 030001 от 15.11.93. и определением понятия шифра, приведенном в ГОСТ 28147-89.
Экспертиза с целью установления принадлежности конкретных изделий к шифровальным средствам проводится по запросу организации (частного лица) или таможенного органа Лицензионным и сертификационным центром ФСБ либо по его поручению аккредитованными ФСБ сертификационными испытательными центрами по получении от заинтересованной стороны необходимого комплекта документации и технических описаний, а также, как уже говорилось, образцов изделий. О результатах экспертизы заявитель уведомляется в письменном виде.
120
Библиографический список
1.Указ Президента Российской Федерации от 3 апреля 1995 г.
№334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
2.Информационная технология. Криптографическая защита информации. Функция хэширования // ГОСТ Р 34.11-94. М., 1994.
3.Процедура выработки и проверки электронно-цифровой подписи на основе асимметрического, криптографического алгоритма // ГОСТ 3410-94. М., 1994.
4.Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования // ГОСТ 28147-89. М.,
1990.
5.Алфёров А. П., Зубов А. Ю., Кузьмин А. С., Черёмушкин А. В. Основы криптографии : учебное пособие. М. : Гелиос АРВ, 2002.
6.Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Законодательство Российской Федерации и криптография. М. : Защита информации. Конфидент, 2002. № 1.
7.Burmtster M., Desmedt У. A secure and efficient conference keу distribution sуstem / Advances in Crуptologу – EUROCRУPT`89. LNCS 434. 1990.