Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
13.6. Лицензирование и сертификация в области обеспечения безопасности информацииДейственными инструментами государственного регулирования отношений в области защиты информации в условиях рыночных отношений являются процедуры лицензирования и сертификации. Лицензирование — процедура выдачи на определенный срок специальных разрешений на ведение соответствующих видов деятельности — лицензий. Правовые основы деятельности в области лицензирования определены Федеральным законом от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности». В соответствии со ст. 4 данного закона к лицензируемым видам деятельности относятся такие виды деятельности, «осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства». Суть лицензирования заключается в разрешении юридическим лицам или индивидуальным предпринимателям (лицензиатам) заниматься определенными видами деятельности только при соблюдении обязательных требований и условий. Такие требования и условия устанавливаются соответствующими положениями о лицензировании конкретных видов деятельности. Осуществляют лицензионную деятельность (первоначальную проверку наличия у лицензиата соответствующих условий, выдачу лицензий и ведение соответствующих реестров, последующий контроль за соблюдением установленных требований и условий) лицензирующие органы — федеральные органы исполнительной власти и органы исполнительной власти субъектов федерации. Перечень лицензирующих органов утвержден постановлением Правительства Российской Федерации от 26 января 2006 г. № 45. Лицензии выдаются на определенный срок на каждый конкретный вид деятельности. В случае выявления неоднократных или грубых нарушений лицензионных требований и условий лицензирующие органы вправе наложить административное взыскание и приостановить действие лицензии, установив срок устранения лицензиатом нарушений. Если в установленный срок лицензиат не устранил указанные нарушения, лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии. Согласно ст. 17 Федерального закона «О лицензировании отдельных видов деятельности» в области защиты информации обязательному лицензированию подлежат следующие виды деятельности: 1) деятельность по распространению шифровальных (криптографических) средств; 2) деятельность по техническому обслуживанию шифровальных (криптографических) средств; 3) предоставление услуг в области шифрования информации; 4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; 5) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); 6) деятельность по разработке и (или) производству средств защиты конфиденциальной информации; 7) деятельность по технической защите конфиденциальной информации; 8) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность. В соответствии с постановлением Правительства Российской Федерации от 26 января 2006 г. № 45 полномочия государственных органов по лицензированию перечисленных выше видов деятельности распределены следующим образом. 1. Федеральная служба по техническому и экспертному контролю (ФСТЭК России) лицензирует деятельность по технической защите конфиденциальной информации. 2. Федеральная служба безопасности (ФСБ России) лицензирует деятельность: - по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность; - выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, когда указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); - распространению шифровальных (криптографических) средств; - техническому обслуживанию шифровальных (криптографических) средств; - предоставлению услуг в области шифрования информации; - разработке и производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем. Лицензированием деятельности по разработке и (или) произнодству средств защиты конфиденциальной информации занимается ФСТЭК России, а в части разработки и (или) производства таких средств, устанавливаемых на объектах высших органов государственной власти — ФСБ России (Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденное постановлением Правительством РФ от 27 мая 2002 г. № 348). Порядок лицензирования деятельности по технической защите конфиденциальной информации определен в соответствующем положении, утвержденном постановлением Правительства РФ от 15 сентября 2006 г. №504. Еще один вид деятельности, подлежащий обязательному лицензированию, это деятельность, связанная с использованием и защитой сведений, составляющих государственную тайну. В соотиетствии с ч. 2 ст. 1 Федерального закона «О лицензировании отдельных видов деятельности» действие этого закона не распространяется на такую деятельность. Обязательное требование лиценшрования допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, содержится в ст. 27 Закона РФ «О государственной тайне». Лицензия на осуществление указанных выше видов деятельности выдается после обязательного проведения следующих предварительных мероприятий. 1. Специальная экспертиза предприятия, организации или учреждения, целью которой является проверка выполнения ряда условий, таких как: - соблюдение требований нормативно-методических документов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам; - наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны; - наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. 2. Государственная аттестация руководителей, ответственных за защиту сведений, составляющих государственную тайну. Органами, уполномоченными на ведение лицензионной работы по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну; являются: ФСБ России — в части работ, осуществляемых на территории Российской Федерации, и Служба внешней разведки Российской Федерации (СВР России) — в части работ, осуществляем мых за рубежом. Подзаконную нормативную базу в сфере лицензирования деятельности, связанной с использованием сведений, составляющих государственной тайны, составляют следующие акты: - Положение о лицензировании деятельности предприятий учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществление ем мероприятий и (или) оказанием услуг по защите государственной тайны, утвержденное постановлением Правительства РФ от 15 апреля 1995 г. № 333; - Инструкция о порядке проведения специальных экспертиз по допуску предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, утвержденная приказом директора ФСБ России от 23 августа 1995 г. № 28. В соответствии со ст. 29 Федерального закона «О связи» «деятельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии». Лицензирующим органом в области услуг связи является Министерство информационных технологий и связи Российской Федерации (Мининформсвязи России). Согласно положениям федеральных законов «Об электронной цифровой подписи» и «О лицензировании отдельных видов деятельности» лицензированию подлежит деятельность по предоставлению услуг в области электронной цифровой подписи. Лицензирующим органом является Федеральное агентство по информационным технологиям, подчиненное Мининформсвязи России. Еще одним высокоэффективным средством государственного контроля в условиях рыночной экономики, когда большая часть предприятий практически не зависит от государства, является подтверждение соответствия продукции, процессов производства, эксплуатации, работ, услуг или иных объектов установленным требованиям (техническим регламентам, стандартам или условиям договора). Основным нормативным правовым актом в области подтверждения соответствия вообще и сертификации в частности является Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», который заменил собой прежний Закон РФ от 10 июня 1993 г. № 5151-1 «О сертификации продукции и услуг». Законодательно установлены два вида подтверждения соответствия — добровольное и обязательное. Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации (ст. 21 Федерального закона «О техническом регулировании»). Обязательное подтверждение соответствия осуществляется в формах декларирования соответствия и обязательной сертификации. Применительно к рассматриваемым проблемам в настоящее время осуществляется только обязательная сертификация. В соответствии со ст. 2 Федерального закона «О техническом регулировании» процедуру сертификации осуществляет независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация — орган по сертификации, т.е. юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации. Органы сертификации, осуществляющие обязательную сертификацию, должны быть аккредитованы в порядке, устанавливаемом Правительством Российской Федерации. Аккредитация органов по сертификации и испытательных лабораторий (центров) осуществляется в целях подтверждения компетентности органов по сертификации, обеспечения доверия изготовителей, продавцов и приобретателей к деятельности органов по сертификации и аккредитованных испытательных лабораторий и создания условий для признания результатов деятельности органов по сертификации и аккредитованных испытательных лабораторий (центров). Совокупность всех органов по сертификации, правил выполнения работ по сертификации и правил функционирования всей системы в целом образует систему сертификации. Все системы сертификации подлежат обязательной государственной регистрации в Федеральном агентстве по техническому регулированию и метрологии, подведомственном Министерству промышленности и энергетики Российской Федерации. Документом, подтверждающим соответствие продукции установленным требованиям (техническим требованиям, стандартам) или условиям договора является сертификат соответствия, выдаваемый на срок, установленный соответствующим техническим регламентом. Сертификат выдается, как правило, на все изделие в целом. Рассмотрим вопросы сертификации отдельных объектов подробнее. В соответствии с п. 8 ст. 14 Федерального закона «Об информации, информационных технологиях и о защите информации» «технические средства, предназначенные для обработки информации содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства, Российской Федерации о техническом регулировании». Статья 41 Федерального закона «О связи» устанавливает обязательную сертификацию средств связи, которую осуществляет Мининформсвязи России. Напомним, что одним из условий получения лицензии для осуществления работ со сведениями, составляющими государственную тайну, является наличие на предприятии сертифицированных средств защиты информации. К средствам защиты информации относятся технические, криптографические, программные и другие средства, а также средства, в которых они реализованы, и средства контроля эффективности защиты информации (ст. 2 Закона РФ «О государственной тайне»). В соответствии со ст. 28 Закона РФ «О государственной тайне» и Положением о сертификации средств защиты информации, yтвержденном постановлением Правительства РФ от 25 июня 1995 г. № 608, организация сертификации средств защиты информации возлагается на ФСТЭК России, ФСБ России и Минобороны России согласно функциям, возложенным на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. |