Сфера компетенции в вопросах лицензирования и сертификации

 

 

Ефимов А.И., начальник отдела Государственной технической комиссии при Президенте Российской Федерации

 

В сферу деятельности Государственной технической комиссии при Президенте Российской Федерации, образованной в 1992 году Указом Президента РФ № 9, входит государственное лицензирование деятельности по защите информации и сертификация специальных технических средств. Кроме того, этот коллегиальный орган отвечает за координацию усилий по решению других задач, связанных с защитой информации.

Актуальность решения проблемы защиты информации вытекает из интенсивного развития процесса информатизации общества. Владение информационными ресурсами создает предпосылки для прогрессивного развития, в то время как искажение информации, блокирование процесса ее получения или внедрение ложной информации способствуют принятию ошибочных решений. Вместе с тем это весьма специфический продукт. Без четких границ, определяющих информацию как объект права, применение любых законодательных норм по отношению к ней весьма проблематично.

До недавнего времени это было довольно важной причиной, усложняющей регулирование правовых отношений в информационной сфере. Однако с вступлением в силу Гражданского кодекса Российской Федерации (I часть) впервые в правовой практике России законодательно определяется информация как объект права (ст. 128), но не раскрывается само понятие «информация».

Федеральный Закон «Об информации, информатизации и защите информации», направленный на регулирование взаимоотношений в этой сфере, дает необходимые разъяснения (ст. 2).

«Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать».

Этим законом определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника (ст. 4.1, ст. 6.1). При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним (ст. 6.7).

Информация с ограниченным доступом

Законом «Об информации, информатизации и защите информации» впервые вводится понятие документированной информации с ограниченным доступом (ст. 10.2), которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (то есть представляющую коммерческую, личную, служебную и другие тайны).

Государство имеет право выкупа информации, представляющей собой государственную тайну, у физических и юридических лиц. При этом собственник информационных ресурсов, содержащих государственную тайну, вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти (ст. 6.3).

Таким образом, законом предусматривается некоторая категория информации, требующей определенных ограничений в ее использовании, а сама информация требует защиты.

Цели защиты информации

Основными целями защиты информации являются (ст. 20):

-  предотвращение утечки, хищения, искажения, подделки;

-  предотвращение угроз безопасности личности, общества, государства;

-  предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

-  защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;

-  сохранение государственной тайны, конфиденциальности документированной информации.

Государство, владея информацией, представляющей национальное достояние или содержащей сведения ограниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику (ст. 21.1), изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты.

Однако любые директивные ограничения при использовании информации в период становления рыночных отношений малоэффективны. Контроль за использованием информации в современных условиях проще всего осуществлять через лицензирование деятельности предприятий и организаций, работающих с информацией и выполняющих работы по ее защите. Качество же средств и систем, предназначенных для обработки информации и ее защиты, контролируется через систему обязательной сертификации.

Защита информации в широком смысле сводится к защите так называемого национального информационного ресурса (потенциала) - совокупности информационных технологий и непосредственно информации, циркулирующей в обществе.

 

Правовая основа лицензирования

 

Основным нормативным документом в этой области является постановление Правительства Российской Федерации от 24 декабря 1994 года № 1418 «О лицензировании отдельных видов деятельности». Надо отметить, что Гражданский кодекс Российской Федерации предполагает, что любые ограничения прав и свобод граждан в целом и занятие отдельными видами деятельности в частности допускаются только на законодательном уровне (ст. 49.1).

К моменту выхода указанного постановления уже существовал целый ряд законов Российской Федерации, прямо предусматривающих лицензирование отдельных видов деятельности. Поэтому постановление позволяет не распространять его на те виды деятельности, особый порядок лицензирования которых определен законами Российской Федерации или указами Президента РФ (ст. 15).

Первыми среди таких актов являются Указ Президента Российской Федерации 1992 года № 9 «О создании Государственной технической комиссии при Президенте Российской Федерации» и последовавшее за ним Распоряжение Президента РФ № 829, утверждающее Положение о Гостехкомиссии России. Распоряжение Президента определило, что работы по защите информации от ее утечки по техническим каналам могут осуществляться только на основании лицензии (п. 4), и разрешило Гостехкомиссии России в пределах ее компетенции выдавать предприятиям и организациям такие лицензии. Обеспечение работ по государственному лицензированию деятельности, связанной с защитой информации и сертификацией систем и средств информатизации и связи, средств защиты информации, возложено на центральный аппарат Гостехкомиссии России (п. 6).

В целях формирования системы лицензирования деятельности в области защиты информации в 1994 году решением Гостехкомиссии России № 10 введено в действие «Положение о государственном лицензировании деятельности в области защиты информации». Оно определяет порядок выдачи лицензий и границы компетенции государственных органов в этих вопросах.

Согласно Указу Президента РФ 1992 года № 9, решения Гостехкомиссии России в пределах ее компетенции являются обязательными для всех органов государственного управления, объединений, концернов, ассоциаций, предприятий, организаций и учреждений Российской Федерации. Следовательно, это решение приобретает силу обязательного подзаконного акта.

Государственная система лицензирования в области защиты информации включает в себя систему допуска к оказанию услуг по защите информации на предприятиях и в организациях государственного сектора и контроля за качеством и эффективностью их деятельности. Полный перечень видов услуг, подлежащих лицензированию, определен в Положении о государственном лицензировании деятельности в области защиты информации.

Лицензия на право выполнения работ по защите информации выдается согласно этому перечню на основании результатов всесторонней оценки (экспертизы) предприятия, подавшего заявку на получение такой лицензии. Лицензия выдается заявителю на каждый конкретный вид деятельности на срок до 3 лет.

В Положении отмечается, что предприятия, получившие лицензии, несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

Необходимо отметить, что система лицензирования деятельности в области защиты информации вступила в силу с 1 января 1995 года и к настоящему времени развернута сеть отраслевых и региональных лицензионных центров, аккредитованных Гостехкомиссией России. По их представлению выдано около 100 лицензий.

Вопросы защиты информации, составляющей государственную тайну, регулируются Законом Российской Федерации 1993 года № 5485-1 «О государственной тайне». Статья 27 этого закона гласит, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий на проведение этих работ.

Сами же средства защиты должны иметь сертификат, удостоверяющий, что они соответствуют требованиям по защите (ст. 28). Организация сертификации средств защиты информации этим законом возложена на Гостехкомиссию России, ФСБ, ФАПСИ, Минобороны России в пределах их компетенции.

Развитием положений данного закона является вышедшее 15 апреля 1995 года постановление Правительства Российской Федерации № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны». Оно и определяет пределы компетенции органов, уполномоченных на ведение лицензионной деятельности (п. 2):

-  по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - ФСБ России и ее территориальные органы - на территории РФ, СВР России - за рубежом;

-  на право проведения работ, связанных с созданием средств защиты информации, - Гостехкомиссия России и ФАПСИ в пределах их компетенции;

-  на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - ФСБ России и ее территориальные органы, ФАПСИ, Гостехкомиссия России, СВР России в пределах их компетенции.

Нельзя не упомянуть и о ближайших перспективах в совершенствовании законодательной базы в области лицензионной деятельности. В настоящее время Минэкономики России по поручению Правительства РФ работает над созданием законопроекта «Об основах лицензирования отдельных видов деятельности».

Этот законопроект определяет правовые и организационные основы лицензирования и направлен на обеспечение единой государственной политики в этой области. Он защищает жизненно важные интересы личности, общества и государства, устанавливает государственный контроль за деятельностью в области лицензирования.

Законопроектом устанавливается разрешительный порядок осуществления отдельных видов деятельности и не допускается использование лицензирования в целях ограничения конкуренции или для создания доминирующего положения на рынке товаров и услуг.

 

Правовая основа сертификации

 

Законом Российской Федерации «О защите прав потребителей» в России введена обязательная сертификация товаров (работ, услуг), на которые установлены требования по обеспечению безопасности жизни, здоровья потребителей и охраны окружающей среды, предотвращению вреда имуществу потребителей.

Одновременно с этим законом введена в действие разработанная на основе международного опыта система сертификации ГОСТ Р, которая устанавливает порядок работ по обязательной сертификации. Правовой основой этой системы является Закон Российской Федерации «О сертификации продукции и услуг». Здесь же определены права, обязанности и ответственность участников процесса сертификации.

Необходимость сертификации средств защиты, применяемых при обработке информации, составляющей государственную тайну, закреплена в Законе Российской Федерации «О государственной тайне». Что же касается вопросов защиты служебной, экономической, профессиональной и другой важной информации, то следует отметить, что на уровне законодательства они пока регулируются слабо.

Как уже отмечалось, распоряжением Президента № 829 определено, что центральный аппарат Гостехкомиссии России обеспечивает работу по осуществлению сертификации систем и средств информатики и связи, средств защиты информации и контроля. Таким образом, Гостехкомиссия России является одним из элементов общероссийской системы сертификации и выполняет свои функции в пределах своей компетенции.

Федеральными органами по сертификации определены: Гостехкомиссия России, ФАПСИ, ФСБ, Минобороны. Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны. Постановление Правительства Российской Федерации от 26 июня 1995 года № 608 определяет, что все средства защиты информации подлежат обязательной сертификации в рамках конкретных систем сертификации, которые создаются федеральными органами по сертификации в пределах компетенции, определенной для них законодательными актами. В этой системе предусматривается сертификация программных, программно-аппаратных и аппаратных средств защиты информации. Перечень средств, подлежащих сертификации в данной системе, введен в действие в январе 1996 года.

Логическим продолжением и развитием положений Закона «Об информации, информатизации и защите информации», затрагивающих проблему сертификации, становятся организационно- распорядительные документы, устанавливающие основные принципы и организационную структуру системы сертификации, а также правила и конкретный порядок сертификации.

Такие документы разработаны Гостехкомиссией России и зарегистрированы Госстандартом России за № РОСС RU.0001.01БИ00 в 1995 году как «Система сертификации средств защиты информации по требованиям безопасности информации». К ним относятся:

-  «Положение о сертификации продукции по требованиям безопасности информации»;

-  «Положение об аккредитации экспертных комитетов и испытательных лабораторий по сертификации продукции по требованиям безопасности информации»;

-  «Положение по аттестации объектов информатики по требованиям безопасности информации» и ряд других.

Под сертификацией продукции по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям стандартов по безопасности информации или иных нормативно-технических документов, утвержденных Гостехкомиссией России.

Система сертификации средств защиты информации предусматривает сертификацию технических, программно-технических, программных средств, систем вычислительной техники и связи, средств защиты и средств контроля эффективности защиты по требованиям безопасности информации.

Основными целями сертификации продукции, определенными Положением, являются:

-  защита потребителей от приобретения товаров и услуг, которые опасны для их информации;

-  содействие экспорту и повышение конкурентоспособности продукции, предназначенной в той или иной степени для обеспечения безопасности информации.

При сертификации могут подтверждаться как отдельные характеристики, так и весь комплекс характеристик продукции, связанных с обеспечением безопасности информации.

Сертификация продукции базируется на действующих в стране системе стандартизации и фонде нормативно-технической документации по безопасности информации, а также системе аккредитации органов по сертификации продукции, органов надзора и испытательных центров (лабораторий).

Существует также сформированная ФАПСИ и зарегистрированная Госстандартом России в 1993 году за № РОСС RU 0001.03001 «Система сертификации средств криптографической защиты информации (СКЗИ)», которая определяет порядок сертификации средств защиты информации, использующих шифрование и криптографию.

Эти системы сертификации технических и программных средств направлены на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации - предпринимателей и граждан России - потребителей продукции и услуг от недобросовестной работы исполни