О дерегулировании гражданской защиты информации. v0.1
В документе аргументируется подход к дерегулированию гражданской защиты информации и гражданской криптографии, полностью исключающий или сокращающий косвенное вмешательство (неценовое регулирование) государства в функционирование и развитие рынка услуг по гражданской защите информации, включая криптографическую защиту и цифровую подпись. Приведено два варианта комплекса мер: полное снятие неценового регулирования и опциональная замена лицензионных и сертификационных требований на требование раскрытия информации (конкурентные модели регулирования).
О дерегулировании гражданской защиты информации
Prompolit.ru; Версия 0.1; 10-15.10.02; составитель Отставнов
Todo
- - дописать :)
- - проверить на мелкую фактуальную грязь (номерки и даты, введение в действие отдельных НПА);
- - привести к стилистическому единообразию.
Summary
В документе аргументируется подход к дерегулированию гражданской защиты информации и гражданской криптографии, полностью исключающий или сокращающий косвенное вмешательство (неценовое регулирование) государства в функционирование и развитие рынка услуг по гражданской защите информации, включая криптографическую защиту и цифровую подпись. Приведено два варианта комплекса мер: полное снятие неценового регулирования и опциональная замена лицензионных и сертификационных требований на требование раскрытия информации (конкурентные модели регулирования).
1. Анамнез
Можно спорить о том, насколько новая (2001 г.) редакция ФЗ “О лицензировании отдельных видов деятельности” либерализовала рынки в целом, однако по отношению к специфическому рынку гражданской защиты информации (ГЗИ) ситуация значительно ухудшилась, особенно, если учитывать крайне неудачные положения ФЗ “Об электронной цифровой подписи” (2002 г.). Число лицензируемых видов деятельности возросло с 7 до 10 (не считая близких деятельностей по выявлению средств негласного получения информации и разработки и производства инструментария такой деятельности).
В результате принятия этих двух законов (и серии сопутствующих подзаконных актов) сфера оказалась охвачена достаточно плотной “сеткой” неценового регулирования, включающей лицензирование и сертификацию в части (некриптографических) “средств защиты информации”, лицензирование и сертификацию в части “криптографических средств защиты информации”, лицензирование, сертификацию и регистрацию в части средств “электронной цифровой подписи”.
1.1 Лицензирование ГЗИ
1.1.1 ФЗ "О лицензировании отдельных видов деятельности" предусматривает лицензирование следующих видов деятельности в области шифрования, защиты информации и ЭЦП:
1) деятельность по распространению шифровальных (криптографических) средств;
2) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
3) предоставление услуг в области шифрования информации;
4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
5) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
6) деятельность по технической защите конфиденциальной информации;
7) деятельность по выдаче сертификатов ключей электронных цифровых подписей,
8) деятельность по регистрации владельцев электронных цифровых подписей,
9) деятельность по оказанию услуг, связанных с использованием электронных цифровых подписей
10) деятельность по подтверждению подлинности электронных цифровых подписей.
Положения данного закона не распространяются на деятельность, связанную с защитой государственной тайны.
1.1.2 Указ Президента РФ от 3 апреля 1995 г. # 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" содержит общую норму о запрете деятельность юридических и физических лиц, связанной с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации. Хотя ФЗ “О лицензировании...” покрывает эту область и предусматривает приведение законодательства в соответствии со своими нормами, Указ # 334 формально не отменен и на него продолжают ссылаться.
1.1.3. В настоящее время приняты следующие подзаконные акты, устанавливающих основания и порядок получения лицензий на деятельность по защите конфиденциальной информации:
1) положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации (утверждено постановлением Правительства РФ от 27 мая 2002 г. # 348);
2) положение о лицензировании деятельности по технической защите конфиденциальной информации (утверждено постановлением Правительства РФ от 30 апреля 2002 г. # 290);
3) положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (утверждено постановлением Правительства РФ от 23 сенября 2002 г. # 691);
4) положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств (утверждено постановлением Правительства РФ от 23 сенября 2002 г. # 691);
5) положение о лицензировании деятельности по предоставлению услуг в области шифрования информации (утверждено постановлением Правительства РФ от 23 сенября 2002 г. # 691);
6) положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем (утверждено постановлением Правительства РФ от 23 сенября 2002 г. # 691).
1.1.4 Лицензирование деятельности связанной с защитой конфиденциальной информации, осуществляет Государственная техническая комиссия при Президенте Российской Федерации. Лицензирование разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах высших федеральных органов власти, осуществляет Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Лицензирование деятельности, связанной с криптографическими средствами, осуществляет ФАПСИ.
В случае осуществления деятельности по разработке и (или) производству средств защиты конфиденциальной информации, лицензируемой ФАПСИ, к соискателям лицензии предъявляются требования:
1) соблюдения лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе: обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;
2) наличия условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;
3) аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета в соответствии с требованиями по защите информации с использованием лицензионных программного обеспечения для электронно-вычислительных машин и баз данных;
4) выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий, а нормативные правовые акты по разработке, конструкторская документация и технические условия обеспечивают соответствие показателей продукции нормам и требованиям, установленным Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в пределах его компетенции;
5) наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;
6) наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией "специалист по защите информации" и производственным стажем в области лицензируемой деятельности не менее 5 лет.
Эти требования не предъявляются при осуществлении деятельности, лицензируемой Гостехкомиссией.
1.1.5 Федеральный закон от 10 января 2002 г. # 1-ФЗ "Об ЭЦП" предусматривает, что лицензированию подлежит деятельность удостоверяющего центра. При этом ФЗ содержит положение о том, что удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти. Фактически это означает, что данные требования должны включаться в лицензионные условия.
1.1.6 ФЗ "Об информации…", статья 5, устанавливает, что право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Эти положения (как и положения ст.5 ФЗ "Об ЭЦП") корреспондируют перечню лицензируемых видов деятельности в области ЭЦП, установленному ФЗ "О лицензировании отдельных видов деятельности".
1.1.7 Лицензирующие органы осуществляют контроль за соблюдением лицензиатом лицензионных требований. Контроль осуществляется путем проведения плановых и внеплановых проверок, а по результатам таких проверок составляется акт о выполнении (невыполнении) лицензиатом лицензионных требований и условий с указанием конкретных нарушений и сроком их устранения, с которым обязательно знакомится лицензиат.
1.2 Сертификация ГЗИ
1.2.1.Положение о необходимости сертификации средств защиты информации содержится в п.2 Указа Президента РФ от 3 апреля 1995 г. # 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" (с изм. и доп. от 25 июля 2000 г.). Он предусматривает необходимость запрета на:
1) использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации,
2) размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ.
Таким образом, Указ предусматривает необходимость сертификации только шифровальных средств и средств технической защиты информации, используемых государственными организациями и предприятиями и предприятиями, выполняющими госзаказ.
Существует также ряд НПА, опреляющих номенклатуру и порядок сертификации средств, предназначенных для защиты сведений, составляющих государственную тайну. В связи со спецификой данного исследования, эти акты здесь не рассматриваются.
1.2.2. Постановление Правительства РФ от 21 апреля 2000 г. # 368 "О Межведомственной комиссии по интеллектуальным картам" предусматривает необходимость использования в автоматизированных системах федерального значения с интеллектуальными картами только отечественных сертифицированных средств защиты информации.
1.2.3. Единого предметного перечня шифровальных средств и средств защиты информации, подлежащих обязательной сертификации, нет. В сводную Номенклатуру продукции и услуг (работ), в отношении которых законодательными актами Российской Федерации предусмотрена их обязательная сертификация, введенную в действие постановлением Госстандарта РФ от 23 февраля 1998 г. # 5 положения о необходимости сертификации средств защиты информации не вошли.
1.2.4 В отношении средств защиты информации, не содержащей государственную тайну, сертификация осуществляется в общем порядке.
1.2.5 Приказ ФАПСИ от 23 сентября 1999 г. # 158 "Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (ПКЗ-99)" предусматривает, что при принятии решения о необходимости криптографической защиты подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования данного Положения являются обязательными для:
1) государственных органов и государственных организаций;
2) юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ;
3) негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
4) других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
В отношении иных лиц требования Положения носят рекомендательный характер
2.1. Федеральный закон от 10 января 2002 г. # 1-ФЗ "Об электронной цифровой подписи" (Ст.5 Пункт 4) предусматривает, что при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. При возникновении убытков в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, убытки должны возмещаться создателями или распространителями этих средств. В корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей вообще не допускается.
1.2.6 ФЗ "Об ЭЦП" предусматривает, что сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
Это положение означает, что применяются общие положения, установленные Законом РФ от 10 июня 1993 г. # 5151-I "О сертификации продукции и услуг" и Правила по проведению сертификации в Российской Федерации (утв. постановлением Госстандарта РФ от 10 мая 2000 г. # 26).
1.2.7 Положение ФЗ "Об ЭЦП" не позволяет сделать вывод о том, подлежат ли средства ЭЦП, используемые в корпоративных информационных системах, обязательной сертификации, или их сертификация добровольная. В сводную Номенклатуру продукции и услуг (работ), в отношении которых законодательными актами Российской Федерации предусмотрена их обязательная сертификация, введенную в действие постановлением Госстандарта РФ от 23 февраля 1998 г. # 5 положения о необходимости сертификации средств ЭЦП не вошли; иных правовых актов, устанавливающих перечень средств ЭЦП, подлежащих обязательной сертификации, не принято.
1.2.8 ФЗ "Об ЭЦП” предусматривает необходимость ведения удостоверяющим центром реестра сертификатов ключей подписей, который ведется удостоверяющим центром. Удостоверяющий центр обеспечивает актуальность реестра и возможность свободного доступа к нему участников информационных систем. Это, видимо, должно считаться одним из лицензионных требований.
2. Анализ
2.1 Соответствие заявленным целям
2.1.1 Источником норм о лицензировании ГЗИ являются ФЗ “О лицензировании...”, ФЗ “Об ЭЦП” и (сомнительный в смысле сохранения своего действия) Указ # 334.
Согласно ФЗ “О лицензировании...”, “к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием”. ФЗ “Об ЭЦП” не содержит особой мотивировки применения института лицензирования к перечисляемым в нем деятельностям, поэтому, очевидно, к ним применима та же формулировка. Указ # 334 также не содержит особой мотивировки (если не считать таковой поэтическое вступление к нему).
Соответственно, возвращаясь к вопросу об уместности нахождения той или иной деятельности в списке лицензируемых, а также о точности ее определения, необходимо задаться вопросами о том:
1) влечет ли эта деятельность прямой, специфический и недопустимый риск нанесения ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства или культурному наследию народов Российской Федерации, и если да, то в чем он состоит;
2) если да, то не может ли этот риск элиминироваться или снижаться иными, менее грубыми, чем лицензирование, формами государственного регулирования (вмешательства).
2.2.2 Ввиду раздробленности норм, касающихся (обязательной) сертификации, найти в действующем законодательстве единый перечень целей, в которых вводится этот институт, не представляется возможным.
Однако pending legislation содержит законопроект (принятый в первом чтении) “Об основах технического регулирования...”, определяющий обязательную сертификацию как институт технического регулирования, сопряженный необходимым образом с институтом технической регламентации. Ввод же в действие государственного технического регламента мотивируется, согласно законопроекту, весьма похоже на мотивировку введения института лицензирования в соответствующем ФЗ и еще более узким списком: “только в целях обеспечения: защиты жизни, здоровья физических лиц, в том числе их отдельных категорий, имущества физических или юридических лиц, государственного или муниципального имущества; охраны окружающей среды, в том числе жизни и здоровья животных или растений”.
Соответственно, весьма сходны и вопросы к уместности нахождения тех или иных товаров и услуг в списке сертифицируемых:
1) представляют ли они прямой и недопустимый риск нанесения ущерба жизни, здоровью физических лиц, имуществу физических или юридических лиц, государственному или муниципальному имуществу или окружающей среде, и если да, то в чем он состоит;
2) если да, то не может ли этот риск элиминироваться или снижаться иными, менее грубыми, чем сертификация, формами государственного регулирования (вмешательства).
Какого-либо обоснования соответствия перечисленным лицензируемым деятельностям в области ГЗИ и перечисленным сертифицируемым продуктам и услугам нами не найдено, поэтому ниже мы проводим самостоятельный анализ.
2.2 Определенность объекта регулирования
Рассмотрим вопрос об объекте регулирования на примере принятого 23.09.02 Правительством Постановления N 691 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с криптографическими (шифровальными) средствами” (этот НПА выбран из-за его свежести (он еще не подвергался критическому разбору) и развернутости).
Как это обычно бывает с такого рода документами, даже беглый анализ показывает, что четкого определения объекта регулирования в нем нет, точнее, определения есть, но они тавтологические (например --- и это типичный пример: “К шифровальным (криптографическим) средствам относятся ... средства шифрования ... реализующие алгоритмы криптографического преобразования ...”).
...
... “средств” не бывает
... Объект регулирования утерян.
2.3 Реализуемость регулирования (конституционное отступление)
Рассмотрим, в порядке отступления, достаточно тонкий вопрос о препятствиях, возникающих при попытке проведения комплекса регуляторных мер, содержащихся в перечисленных актах, на примере того же Постановления N 691 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с криптографическими (шифровальными) средствами”.
Правительство (п.1) пытается, как и в ряде ранее принимавшихся актов, подвести под регулирование ФАПСИ “программные ... системы и комплексы”, что, при отсутствии законодательного определения этого понятия, позволяет предположить, что исполнительная власть стремится регулировать написание и распространение определенного вида программ для ЭВМ, т.е. ввести цензуру литературных произведений (ст. 7.1 ФЗ “Об авторском праве и смежных правах”) определенного жанра, что прямо запрещено законом (Ст 29.7 Конституции). Понятно, что любая попытка воспрепятствовать правам автора программы (либо правам собственника экземпляров этой программы) будет немедленно блокирована судом.
Ввиду мощной конституционной защиты свободы литературного творчества и авторских прав на программы и невозможности на деле осуществлять цензуру последних, под реальной юрисдикцией органов исполнительной власти (ФАПСИ в случае “криптографической” и Гостехкомиссии в случае “некриптографической” защиты информации) остается узкая и ускользающая сфера аппаратной защиты информации --- хотя свобода творчества, в общем и целом, распространяется и на такого рода разработки (Ст. 44.1 Конституции), в законодательстве отсутствует сколько-нибудь эффективный механизм защиты этой свободы (соответствующий механизму запрета цензуры в случае с произведениями), поэтому границы защиты такого рода разработок остаются спорным вопросом.
Соответственно, вне зависмости от (благих либо низких) целей вводимого регулирования, за его пределами останется фактически неисчерпаемая сфера чисто программной реализации защиты информации, в большинстве случаев предоставляющая конкуретные решения любых возникающих у граждан и организаций практических задач.
В совокупности это привело к стагнации рынка и устойчивым схемам нерыночного извлечения дохода группой “лицензированных производителей” “сертифицированных средств”.
Допущенные ошибки необходимо исправить на следующем шаге реформ.
...
3. Предлагаемые меры
Ч.Ч.Ч Ответить на так поставленные вопросы однозначно не представляется возможным. Следует разделить различные ситуации применения средств защиты информации как минимум на четыре группы:
0) применение для защиты сведений, содержащих государственную тайну. Такие ситуации выходят за пределы гражданской защиты информации и относятся к специальной защите информации;
1) применение государственными органами и организациями для собственных нужд и при коммуникации с другими лицами (государственными органами и организациями, частными и общественными организациями, гражданами и другими физическими лицами);
2) применение частными и общественными организациями, гражданами и другими физическими лицами в случаях, когда существенно затрагиваются интересы третьих (не состоящих в договорных отношениях с ними) лиц;
3) применение частными и общественными организациями, гражданами и другими физическими лицами в случаях, когда существенно затрагиваются интересы третьих (не состоящих в договорных отношениях с ними) лиц (например, сохранение и передача персональных данных о лицах, либо сведений, содержащих коммерческую тайну, при условиях, что особого договора, регламентирующего порядок обращения с такими данными и сведениями, нет);
4) применение частными и общественными организациями, гражданами и другими физическими лицами для коммуникации с государственными органами и организациями;
5) применение частными и общественными организациями, гражданами и другими физическими лицами для собственных нужд и коммуникации между собой.
Специальная защита информации (0) может регулироваться внутриведомственными или межведомственными актами, и не относится к анализируемой нами теме.
В ситуациях (1-3) возможно, риски следует признать существенными, и задаться вопросом, не могут ли они быть купированы иными, менее грубыми, чем сертификация и лицензирование, регуляторными средствами (например, обязательным страхованием), и если нет, оставить соответствующие услуги в списке сертифицируемых. В любом случае, это не случай для лицензирования.
В ситуациях (4-5) специфических рисков однозначно нет. Это не случай для лицензирования. Однако, ввиду технической сложности (и, соответственно, неочевидности для среднего потребителя свойств и возможностей) СЗИ, можно оставить в списке сертифицируемых те из них, относительно которых производителем или поставщиком не декларирована исчерпывающая информация об их устройстве, функционировании и свойствах (т.е. ввести альтернативное регулирование: через институт сертификации или (по выбору производителя) через институт декларирования/раскрытия информации), позволяющая потенциальному или актуальному пользователю обратиться к независимой экспертизе. (Следует честно отметить, что последнее решение в отношении программ не снимает конфликта регуляторных мер с запретом цензуры, описанного выше в Коституционном отступлении 2.3.)
...
4. Прогноз: Почему от отмены не станет хуже?
5. Реализация
Для реализации указанных мер по дерегулированию необходимы следующие законодательные шаги:
Отдельным ФЗ “О внесении поправок в законодательство о лицензировании и сертификации”:
1) Указ Президента N334 “О соблюдении законности...” --- отменить. Обязательную сертификацию средств шифрования и цифровой подписи ограничить средствами, применяемыми гос. органами и их контракторами (субконтракторами);
2) из ФЗ “О лицензировании...” виды деятельности, связанные со средствами защиты информации, шифровальными средствами (средствами криптографической защиты информации) и средствами цифровой подписи, --- исключить либо изменить;
3) в ФЗ “Об ЭЦП” --- внести поправки;
4) подзаконные акты (постановления Правительства и отдельных органов исполнительной власти) --- обязать привести в соответствие.
Источники
1. Платформа реформирования системы неценового регулирования. Версия 1.0 (Экспертный совет по промышленной политике, www.prompolit.ru)
2. Предложения по корректировке нормативных актов, регламентирующих деятельность участников рынка ИКТ и порождающих административные барьеры (Фонд “Новая экономика”, http://www.neweco.ru/main.html?r=146).