Другиезаконыинормативныеактывобластиинформационнойбезопасности.

СледуялогикеЗакона"Обинформации,информатизацииизащитеинформации",мыпродолжимнашобзорЗаконом"Олицензированииотдельныхвидовдеятельности"от4мая2011годаномер99-ФЗ.

Начнемсосновныхопределений.

Лицензия –специальноеразрешениенаосуществлениеконкретноговидадеятельностиприобязательномсоблюдениилицензионныхтребованийиусловий,выданноелицензирующиморганомюридическомулицуилииндивидуальномупредпринимателю.

Лицензируемыйвиддеятельности –виддеятельности,наосуществлениекоторогонатерриторииРоссийскойФедерациитребуетсяполучениелицензиивсоответствииснастоящимФедеральнымзаконом.

Лицензирование –мероприятия,связанныеспредоставлениемлицензий,переоформлениемдокументов,подтверждающихналичиелицензий,приостановлениемивозобновлениемдействиялицензий,аннулированиемлицензийиконтролемлицензирующихоргановзасоблюдениемлицензиатамиприосуществлениилицензируемыхвидовдеятельностисоответствующихлицензионныхтребованийиусловий.

Лицензирующиеорганы –федеральныеорганыисполнительнойвласти,органыисполнительнойвластисубъектовРоссийскойФедерации,осуществляющиелицензированиевсоответствииснастоящимФедеральнымзаконом.

Лицензиат –юридическоелицоилииндивидуальныйпредприниматель,имеющиелицензиюнаосуществлениеконкретноговидадеятельности."

Статья12Законаустанавливаетпереченьвидовдеятельности,наосуществлениекоторыхтребуютсялицензии.Насбудутинтересоватьследующиевиды:

1) разработка,производство,распространениешифровальных(криптографических)средств,информационныхсистемителекоммуникационныхсистем,защищенныхсиспользованиемшифровальных(криптографических)средств,выполнениеработ,оказаниеуслугвобластишифрованияинформации,техническоеобслуживаниешифровальных(криптографических)средств,информационныхсистемителекоммуникационныхсистем,защищенныхсиспользованиемшифровальных(криптографических)средств(заисключениемслучая,еслитехническоеобслуживаниешифровальных(криптографических)средств,информационныхсистемителекоммуникационныхсистем,защищенныхсиспользованиемшифровальных(криптографических)средств,осуществляетсядляобеспечениясобственныхнуждюридическоголицаилииндивидуальногопредпринимателя);

2) разработка,производство,реализацияиприобретениевцеляхпродажиспециальныхтехническихсредств,предназначенныхдлянегласногополученияинформации;

3) деятельностьповыявлениюэлектронныхустройств,предназначенныхдлянегласногополученияинформации(заисключениемслучая,еслиуказаннаядеятельностьосуществляетсядляобеспечениясобственныхнуждюридическоголицаилииндивидуальногопредпринимателя);

4) разработкаипроизводствосредствзащитыконфиденциальнойинформации;

5) деятельностьпотехническойзащитеконфиденциальнойинформации;

6) производствоиреализациязащищеннойотподделокполиграфическойпродукции.

Основнымилицензирующимиорганамивобластизащитыинформацииявляются Федеральноеагентствоправительственнойсвязииинформации(ФАПСИ) и ГостехкомиссияРоссии. ФАПСИведаетвсем,чтосвязаноскриптографией,Гостехкомиссиялицензируетдеятельностьпозащитеконфиденциальнойинформации.Этижеорганизациивозглавляютработыпосертификациисредствсоответствующейнаправленности.Крометого,ввозивывозсредствкриптографическойзащитыинформации(шифровальнойтехники)инормативно-техническойдокументациикнейможетосуществлятьсяисключительнонаоснованиилицензииМинистерствавнешнихэкономическихсвязейРоссийскойФедерации,выдаваемойнаоснованиирешенияФАПСИ.ВсеэтивопросырегламентированысоответствующимиуказамиПрезидентаипостановлениямиПравительстваРФ,которыемыздесьперечислятьнебудем.

ВэпохуглобальныхкоммуникацийважнуюрольиграетЗакон "Обучастиивмеждународноминформационномобмене" от4июля1996годаномер85-ФЗ(принятГосударственнойДумой5июня1996года).Внем,какивЗаконе"Обинформации...",основнымзащитнымсредствомявляютсялицензииисертификаты.Процитируемнесколькопунктовизстатьи9.

2. Защитаконфиденциальнойинформациигосударствомраспространяетсятольконатудеятельностьпомеждународномуинформационномуобмену,которуюосуществляютфизическиеиюридическиелица,обладающиелицензиейнаработусконфиденциальнойинформациейииспользующиесертифицированныесредствамеждународногоинформационногообмена.ВыдачасертификатовилицензийвозлагаетсянаКомитетприПрезидентеРоссийскойФедерациипополитикеинформатизации,ГосударственнуютехническуюкомиссиюприПрезидентеРоссийскойФедерации,ФедеральноеагентствоправительственнойсвязииинформацииприПрезидентеРоссийскойФедерации.ПорядоквыдачисертификатовилицензийустанавливаетсяПравительствомРоссийскойФедерации.

3. Приобнаружениинештатныхрежимовфункционированиясредствмеждународногоинформационногообмена,тоестьвозникновенияошибочныхкоманд,атакжекоманд,вызванныхнесанкционированнымидействиямиобслуживающегоперсоналаилииныхлиц,либоложнойинформациейсобственникиливладелецэтихсредствдолженсвоевременносообщитьобэтомворганыконтролязаосуществлениеммеждународногоинформационногообменаисобственникуиливладельцувзаимодействующихсредствмеждународногоинформационногообмена,впротивномслучаеоннесетответственностьзапричиненныйущерб.

Ещеоднацитата–теперьизстатьи17тогожеЗакона.

Статья17:" Сертификацияинформационныхпродуктов,информационныхуслуг,средствмеждународногоинформационногообмена.

1. Приввозеинформационныхпродуктов,информационныхуслугвРоссийскуюФедерациюимпортерпредставляетсертификат,гарантирующийсоответствиеданныхпродуктовиуслугтребованиямдоговора.ВслучаеневозможностисертификацииввозимыхнатерриториюРоссийскойФедерацииинформационныхпродуктов,информационныхуслугответственностьзаиспользованиеданныхпродуктовиуслуглежитнаимпортере.
2. Средствамеждународногоинформационногообмена,которыеобрабатываютдокументированнуюинформациюсограниченнымдоступом,атакжесредствазащитыэтихсредствподлежатобязательнойсертификации.
3. Сертификациясетейсвязипроизводитсявпорядке,определяемомФедеральнымзаконом"Освязи…".

10января2002годаПрезидентомбылподписаноченьважныйзакон" Обэлектроннойцифровойподписи" номер1-ФЗ(принятГосударственнойДумой13декабря2001года),развивающийиконкретизирующийприведенныевышеположениязакона"Обинформации...".ВнастоящеевремяонутратилсилувсвязиспринятиемновогоФедеральногозаконот06.04.2011N63-ФЗ(ред.от28.06.2014)"Обэлектроннойподписи".Егорольпоясняетсявстатье1.

 

1. ЦельюнастоящегоФедеральногозаконаявляетсяобеспечениеправовыхусловийиспользованияэлектроннойцифровойподписивэлектронныхдокументах,присоблюдениикоторыхэлектроннаяцифроваяподписьвэлектронномдокументепризнаетсяравнозначнойсобственноручнойподписивдокументенабумажномносителе.

2. НастоящийФедеральныйзаконрегулируетотношениявобластииспользованияэлектронныхподписейприсовершениигражданско-правовыхсделок,оказаниигосударственныхимуниципальныхуслуг,исполнениигосударственныхимуниципальныхфункций,присовершениииныхюридическизначимыхдействий,втомчислевслучаях,установленныхдругимифедеральнымизаконами(вред.Федеральногозаконаот05.04.2013N60-ФЗ).

 

Законвводитследующиеосновныепонятия(Статья2):

1) Электронныйдокумент -документ,вкотороминформацияпредставленавэлектронно-цифровойформе.

2) Электроннаяподпись -информациявэлектроннойформе,котораяприсоединенакдругойинформациивэлектроннойформе(подписываемойинформации)илиинымобразомсвязанастакойинформациейикотораяиспользуетсядляопределениялица,подписывающегоинформацию;

3) Сертификатключапроверкиэлектроннойподписи -электронныйдокументилидокументнабумажномносителе,выданныеудостоверяющимцентромлибодовереннымлицомудостоверяющегоцентраиподтверждающиепринадлежностьключапроверкиэлектроннойподписивладельцусертификатаключапроверкиэлектроннойподписи;

4) Квалифицированныйсертификатключапроверкиэлектроннойподписи (далее-квалифицированныйсертификат)-сертификатключапроверкиэлектроннойподписи,выданныйаккредитованнымудостоверяющимцентромилидовереннымлицомаккредитованногоудостоверяющегоцентралибофедеральныморганомисполнительнойвласти,уполномоченнымвсфереиспользованияэлектроннойподписи(далее-уполномоченныйфедеральныйорган);

5) Владелецсертификатаключапроверкиэлектроннойподписи -лицо,которомувустановленномнастоящимФедеральнымзакономпорядкевыдансертификатключапроверкиэлектроннойподписи;

6) Ключэлектроннойподписи -уникальнаяпоследовательностьсимволов,предназначеннаядлясозданияэлектроннойподписи;

7) Ключпроверкиэлектроннойподписи -уникальнаяпоследовательностьсимволов,однозначносвязаннаясключомэлектроннойподписиипредназначеннаядляпроверкиподлинностиэлектроннойподписи(далее-проверкаэлектроннойподписи);

8) Удостоверяющийцентр -юридическоелицоилииндивидуальныйпредприниматель,осуществляющиефункциипосозданиюивыдачесертификатовключейпроверкиэлектронныхподписей,атакжеиныефункции,предусмотренныенастоящимФедеральнымзаконом;

9) Аккредитацияудостоверяющегоцентра -признаниеуполномоченнымфедеральныморганомсоответствияудостоверяющегоцентратребованиямнастоящегоФедеральногозакона;

10) Средстваэлектроннойподписи -шифровальные(криптографические)средства,используемыедляреализациихотябыоднойизследующихфункций-созданиеэлектроннойподписи,проверкаэлектроннойподписи,созданиеключаэлектроннойподписииключапроверкиэлектроннойподписи;

11) Средстваудостоверяющегоцентра -программныеи(или)аппаратныесредства,используемыедляреализациифункцийудостоверяющегоцентра;

12) Участникиэлектронноговзаимодействия -осуществляющиеобменинформациейвэлектроннойформегосударственныеорганы,органыместногосамоуправления,организации,атакжеграждане;

13) Корпоративнаяинформационнаясистема -информационнаясистема,участникиэлектронноговзаимодействиявкоторойсоставляютопределенныйкруглиц;

14) Информационнаясистемаобщегопользования -информационнаясистема,участникиэлектронноговзаимодействиявкоторойсоставляютнеопределенныйкруглицивиспользованиикоторойэтимлицамнеможетбытьотказано.

 

СогласноЗакону,электроннаяцифроваяподписьвэлектронномдокументеравнозначнасобственноручнойподписивдокументенабумажномносителеприодновременномсоблюденииследующихусловий:

1) Информациявэлектроннойформе,подписаннаяквалифицированнойэлектроннойподписью,признаетсяэлектроннымдокументом,равнозначнымдокументунабумажномносителе,подписанномусобственноручнойподписью,кромеслучая,еслифедеральнымизаконамиилипринимаемымивсоответствиисниминормативнымиправовымиактамиустановленотребованиеонеобходимостисоставлениядокументаисключительнонабумажномносителе.

2) Информациявэлектроннойформе,подписаннаяпростойэлектроннойподписьюилинеквалифицированнойэлектроннойподписью,признаетсяэлектроннымдокументом,равнозначнымдокументунабумажномносителе,подписанномусобственноручнойподписью,вслучаях,установленныхфедеральнымизаконами,принимаемымивсоответствиисниминормативнымиправовымиактамиилисоглашениеммеждуучастникамиэлектронноговзаимодействия.Нормативныеправовыеактыисоглашениямеждуучастникамиэлектронноговзаимодействия,устанавливающиеслучаипризнанияэлектронныхдокументов,подписанныхнеквалифицированнойэлектроннойподписью,равнозначнымидокументамнабумажныхносителях,подписаннымсобственноручнойподписью,должныпредусматриватьпорядокпроверкиэлектроннойподписи.Нормативныеправовыеактыисоглашениямеждуучастникамиэлектронноговзаимодействия,устанавливающиеслучаипризнанияэлектронныхдокументов,подписанныхпростойэлектроннойподписью,равнозначнымидокументамнабумажныхносителях,подписаннымсобственноручнойподписью,должнысоответствоватьтребованиямстатьи9настоящегоФедеральногозакона.

3) Есливсоответствиисфедеральнымизаконами,принимаемымивсоответствиисниминормативнымиправовымиактамиилиобычаемделовогооборотадокументдолженбытьзаверенпечатью,электронныйдокумент,подписанныйусиленнойэлектроннойподписьюипризнаваемыйравнозначнымдокументунабумажномносителе,подписанномусобственноручнойподписью,признаетсяравнозначнымдокументунабумажномносителе,подписанномусобственноручнойподписьюизаверенномупечатью.Федеральнымизаконами,принимаемымивсоответствиисниминормативнымиправовымиактамиилисоглашениеммеждуучастникамиэлектронноговзаимодействиямогутбытьпредусмотреныдополнительныетребованиякэлектронномудокументувцеляхпризнанияегоравнозначнымдокументунабумажномносителе,заверенномупечатью.

4) Однойэлектроннойподписьюмогутбытьподписанынесколькосвязанныхмеждусобойэлектронныхдокументов(пакетэлектронныхдокументов).Приподписанииэлектроннойподписьюпакетаэлектронныхдокументовкаждыйизэлектронныхдокументов,входящихвэтотпакет,считаетсяподписаннымэлектроннойподписьютоговида,которойподписанпакетэлектронныхдокументов.

 

Законопределяетсведения,которыедолженсодержатьсертификатключапроверкиэлектроннойподписи:

1) датыначалаиокончаниясрокаегодействия;

2) фамилия,имяиотчество(еслиимеется)-дляфизическихлиц,наименованиеиместонахождения-дляюридическихлицилиинаяинформация,позволяющаяидентифицироватьвладельцасертификатаключапроверкиэлектроннойподписи;

3) ключпроверкиэлектроннойподписи;

4) наименованиеиспользуемогосредстваэлектроннойподписии(или)стандарты,требованиямкоторыхсоответствуютключэлектроннойподписииключпроверкиэлектроннойподписи;

5) наименованиеудостоверяющегоцентра,которыйвыдалсертификатключапроверкиэлектроннойподписи;

6) инаяинформация,предусмотреннаячастью2статьи17настоящегоФедеральногозакона,-дляквалифицированногосертификата.

 

Цифровыеподписимогутприменятьсядлялюбойформыдокумента,обрабатываемогоэлектроннымспособом,например,приподписиэлектронныхплатежей,денежныхпереводов,контрактовисоглашений.Цифровыеподписимогутбытьреализованыприиспользованиикриптографическогометода,основывающегосянаоднозначносвязаннойпареключей,гдеодинключиспользуетсядлясозданияподписи(секретный/личныйключ),адругой—дляпроверкиподписи(открытыйключ).

Необходимосособойтщательностьюобеспечиватьконфиденциальностьличногоключа,которыйследуетхранитьвсекрете,таккаклюбойимеющийкнемудоступможетподписыватьдокументы(платежи,контракты),темсамымфальсифицируяподписьвладельцаключа.Крометого,оченьважназащитацелостностиоткрытогоключа,котораяобеспечиваетсяприиспользованиисертификатаоткрытогоключа

Следуетуделятьвниманиевыборутипаикачествуиспользуемогоалгоритмаподписиидлинеключей.Необходимо,чтобыкриптографическиеключи,используемыедляцифровыхподписей,отличалисьоттех,которыеиспользуютсядляшифрования.

Можетпотребоватьсяналичиеспециальныхконтрактовилидругихсоглашений,чтобыподдерживатьиспользованиецифровыхподписейвслучаях,когдазаконодательствовотношениицифровыхподписейнедостаточноразвито.Необходимовоспользоватьсяконсультациейюриставотношениизаконовинормативныхактов,которыемогутбытьприменимымивотношениипредполагаемогоиспользованииорганизациейцифровыхподписей.

Вобластиинформационнойбезопасностизаконыреальнопреломляютсяиработаютчерезнормативныедокументы,подготовленныесоответствующимиведомствами.ВэтойсвязиоченьважныруководящиедокументыГостехкомиссииРоссии,определяющиетребованиякклассамзащищенностисредстввычислительнойтехникииавтоматизированныхсистем.Особенновыделимутвержденныйвиюле1997годаРуководящийдокументпомежсетевымэкранам,вводящийвофициальнуюсферуодинизсамыхсовременныхклассовзащитныхсредств.

Всовременноммиреглобальныхсетейнормативно-правоваябазадолжнабытьсогласованасмеждународнойпрактикой.Особоевниманиеследуетобратитьнато,чтожелательнопривестироссийскиестандартыисертификационныенормативывсоответствиесмеждународнымуровнеминформационныхтехнологийвообщеиинформационнойбезопасностивчастности.Естьцелыйрядоснованийдлятого,чтобыэтосделать.Одноизних–необходимостьзащищенноговзаимодействиясзарубежнымиорганизациямиизарубежнымифилиаламироссийскихкомпаний.Второе(болеесущественное)–доминированиеаппаратно-программныхпродуктовзарубежногопроизводства.

Назаконодательномуровнедолженбытьрешенвопрособотношенииктакимизделиям.Здесьнеобходимовыделитьдвааспекта:независимостьвобластиинформационныхтехнологийиинформационнуюбезопасность.Использованиезарубежныхпродуктоввнекоторыхкритическиважныхсистемах(впервуюочередь,военных),впринципе,можетпредставлятьугрозунациональнойбезопасности(втомчислеинформационной),посколькунельзяисключитьвероятностивстраиваниязакладныхэлементов.Втожевремя,вподавляющембольшинствеслучаевпотенциальныеугрозыинформационнойбезопасностиносятисключительновнутреннийхарактер.Втакихусловияхнезаконностьиспользованиязарубежныхразработок(ввидусложностейсихсертификацией)приотсутствииотечественныханалоговзатрудняет(иливообщеделаетневозможной)защитуинформациибезсерьезныхнатооснований.

Проблемасертификацииаппаратно-программныхпродуктовзарубежногопроизводствадействительносложна,однако,какпоказываетопытевропейскихстран,решитьееможно.СложившаясявЕвропесистемасертификациипотребованияминформационнойбезопасностипозволилаоценитьоперационныесистемы,системыуправлениябазамиданныхидругиеразработкиамериканскихкомпаний.ВхождениеРоссиивэтусистемуиучастиероссийскихспециалистоввсертификационныхиспытанияхвсостоянииснятьимеющеесяпротиворечиемеждунезависимостьювобластиинформационныхтехнологийиинформационнойбезопасностьюбезкакого-либоущербадлянациональнойбезопасности.

Подводяитог,можнонаметитьследующиеосновныенаправлениядеятельностиназаконодательномуровне:

· разработкановыхзаконовсучетоминтересоввсехкатегорийсубъектовинформационныхотношений;

· обеспечениебалансасозидательныхиограничительных(впервуюочередьпреследующихцельнаказатьвиновных)законов;

· интеграциявмировоеправовоепространство;

· учетсовременногосостоянияинформационныхтехнологий.