О дерегулировании гражданской защиты информации. V1.0

В документе аргументируется подход к дерегулированию гражданской защиты информации и гражданской криптографии, полностью исключающий или сокращающий косвенное вмешательство (неценовое регулирование) государства в функционирование и развитие рынка услуг по гражданской защите информации, включая криптографическую защиту и цифровую подпись.
Чрезмерному и непоследовательному регулированию сферы следует атрибутировать наблюдающуюся стагнацию рынков защиты информации, низкий уровень их использования гражданами и организациями, и, как следствие, низкую информационную защищенность последних.
Приведено два варианта комплекса мер: полное снятие неценового регулирования с гражданской сферы и опциональная замена лицензионных и сертификационных требований на требование раскрытия информации (конкурентные модели регулирования).
Меры предполагают классификацию услуг, связанных с защитой информации, по основанию возникновения недопустимых рисков, и требуют внесения поправок в ряд федеральных законов, а также приведения в соответствии с ними корпуса подзаконных актов.


О дерегулировании гражданской защиты информации

Prompolit.ru; Версия 1.0; 18.10.02; составитель Отставнов

1. Положение дел

1.1 Можно спорить о том, насколько новая (2001 г.) редакция ФЗ “О лицензировании отдельных видов деятельности” либерализовала рынки в целом, однако по отношению к специфическому рынку гражданской защиты информации (ГЗИ) ситуация значительно ухудшилась, особенно, если учитывать крайне неудачные положения ФЗ “Об электронной цифровой подписи” (2002 г.). Число лицензируемых видов деятельности возросло с 7 до 10 (не считая близких деятельностей по выявлению средств негласного получения информации и разработки и производства инструментария такой деятельности).

1.2 В результате принятия этих двух законов (и серии сопутствующих подзаконных актов) сфера оказалась охвачена достаточно плотной “сеткой” неценового регулирования, включающей лицензирование и сертификацию в части (некриптографических) “средств защиты информации”, лицензирование и сертификацию в части “криптографических средств защиты информации”, лицензирование, сертификацию и регистрацию в части средств “электронной цифровой подписи”.

1.3 Подробное описание регулирования вынесено в Приложение А. Здесь следует отметить, что регулирование сферы предполагает применение институтов:

1) обязательного лицензирования деятельности “по распространению шифровальных (криптографических) средств”, “по техническому обслуживанию шифровальных (криптографических) средств”, “по разработке и (или) производству средств защиты конфиденциальной информации”, “по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем”, “разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем”, “по выдаче сертификатов ключей электронных цифровых подписей”, “по регистрации владельцев электронных цифровых подписей”, “по оказанию услуг, связанных с использованием электронных цифровых подписей”, “по подтверждению подлинности электронных цифровых подписей”, “предоставление услуг в области шифрования информации” с сопутствующими контрольно-надзорными мерами;

2) техническое регулирование (обязательную сертификацию продуктов и услуг) в поименнованых областях, также с сопутствующими контрольно-надзорными мерами.

При этом сфера покрывается применением института практически целиком, исключения непоследовательны и делаются на случайных основаниях.

2. Анализ

2.1 Соответствие заявленным целям

2.1.1 Источником норм о лицензировании гражданской защиты информации являются ФЗ “О лицензировании...”, ФЗ “Об ЭЦП” и (сомнительный в смысле сохранения своего действия) Указ # 334.

Согласно ФЗ “О лицензировании...”, “к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием”. ФЗ “Об ЭЦП” не содержит особой мотивировки применения института лицензирования к перечисляемым в нем деятельностям, поэтому, очевидно, к ним применима та же формулировка. Указ # 334 также не содержит особой мотивировки (если не считать таковой поэтическое вступление к нему).

Соответственно, возвращаясь к вопросу об уместности нахождения той или иной деятельности в списке лицензируемых, а также о точности ее определения, необходимо задаться вопросами о том:

1) влечет ли эта деятельность прямой, специфический и недопустимый риск нанесения ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства или культурному наследию народов Российской Федерации, и если да, то в чем он состоит;

2) если да, то не может ли этот риск устраняться (снижаться) иными, менее грубыми, чем лицензирование, формами государственного регулирования (вмешательства).

2.2.2 Законом РФ "О сертификации продукции и услуг" установлено, что “[c]ертификация осуществляется в целях: создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле; содействия потребителям в компетентном выборе продукции; защиты потребителя от недобросовестности изготовителя (продавца, исполнителя); контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества; подтверждения показателей качества продукции, заявленных изготовителем”.

При этом, указанное определение относится как к обязательной, так и к добровольной сертификации товаров и услуг. Об обязательной же сертификации сказано, что она “осуществляется в случаях, предусмотренных законодательными актами Российской Федерации”, без какой-либо отсылки к вышеперечисленным целям. То есть, Закон не препятствует установлению обязательной сертификации в связи с любой из них.

Ввиду раздробленности правовых норм, касающихся обязательной сертификации, найти в действующем законодательстве единый перечень целей, в которых вводится этот институт, также не представляется возможным.

Однако среди проходящих процедуру принятия законопроектов мы находим законопроект (принятый в первом чтении) “Об основах технического регулирования...”, определяющий обязательную сертификацию как институт технического регулирования, сопряженный необходимым образом с институтом технической регламентации. Ввод же в действие государственного технического регламента мотивируется, согласно законопроекту, весьма сходно с приведенной мотивировкой введения института лицензирования в соответствующем ФЗ и еще более узким списком: “только в целях обеспечения: защиты жизни, здоровья физических лиц, в том числе их отдельных категорий, имущества физических или юридических лиц, государственного или муниципального имущества; охраны окружающей среды, в том числе жизни и здоровья животных или растений”.

Соответственно, весьма сходны и вопросы к уместности нахождения тех или иных товаров и услуг в списке сертифицируемых:

1) представляют ли они прямой и недопустимый риск нанесения ущерба жизни, здоровью физических лиц, имуществу физических или юридических лиц, государственному или муниципальному имуществу или окружающей среде, и если да, то в чем он состоит;

2) если да, то не может ли этот риск устраняться или снижаться иными, менее грубыми, чем сертификация, формами государственного регулирования (вмешательства).

Какого-либо обоснования соответствия перечисленным лицензируемым деятельностям в области гражданской защиты информации и перечисленным сертифицируемым продуктам и услугам нами не найдено, поэтому ниже мы проводим самостоятельный анализ.

2.2 Определенность объекта регулирования

2.2.1 Рассмотрим вопрос об объекте регулирования на примере принятого 23.09.02 Правительством Постановления 691 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с криптографическими (шифровальными) средствами” (этот НПА выбран из-за его свежести (он еще не подвергался критическому разбору) и развернутости).

Как это обычно бывает с такого рода документами, даже беглый анализ показывает, что четкого определения объекта регулирования в нем нет, точнее, определения есть, но они тавтологические (например --- и это типичный пример: “К шифровальным (криптографическим) средствам относятся ... средства шифрования ... реализующие алгоритмы криптографического преобразования ...”).

2.2.2 Попытка сыграть роль “адвоката дьявола” и уточнить это определение, исходя из современных общих научно-технических представлений о криптографии, положения не улучшает, так как “криптографическими” свойствами обладает весьма широкий класс математических преобразований, широко реализованных в самых разных произведениях (программах), устройствах, изделиях и т.п.

Более того, основная тенденция технического развития такова, что специализированные “средства” используются все реже, а все чаще соответствующая функциональность интегрируется в более сложные произведения, товары или услуги. Например, сегодня для защищенного телефонного разговора широкий пользователь вряд ли будет использовать специализированный “шифратор” --- это дорого и непрактично --- а скорее воспользуется “звонком” поверх защищенного (штатными средствами операционной системы) Интернет-соединения.

Буквальное прочтение определений, таким образом, покажет, что исполнительная власть претендует на регулирование чуть ли не всего спектра электронных устройств (вплоть до и включая сложную бытовую технику), причем этот спектр постоянно расширяется.

2.2.3 Беглый взгляд на практику правоприменения, насчитывающую уже семь лет, однако, показывает, что регулирующие ведомства сначала явочным порядком, а потом закрепляя это в нормативных актах, исключают из сферы своего внимания целые классы услуг, товаров и т.п. Каких-либо теоретико-правовых оснований для этого не просматривается, зато весьма правдоподобным кажется предположение, что выводятся из-под регуляторного контроля просто те приложения, которые ведомства контролировать не в состоянии. Например, то же Постановление исключает из лицензиумых деятельность по распространению:

-- криптографических средств, являющихся штатными компонентами операционных систем (попытка зарегулировать распространение ОС, при том, что большинство современных ОС содержат в себе ту или иную криптофункциональность, просто заблокировало бы рынок и, кроме того, чревато весьма неприятными столкновениями с крупными (зарубежными) поставщиками и их не менее могущественными (отечественными) клиентами, включая государственные ведомства);

-- криптографических средств, встроенных в смарт-карты (поскольку это было бы равносильно запрету на эмиссию и пользоние смарт-картами);

-- мобильных телефонов (поскольку отечественных производителей просто нет, и это заблокировало бы импорт и развитие мобильной связи)

и т.п. Следует отметить, что список исключений во многом совпадает со списком исключений из мер по экспортному контролю за “шифровальными средствами”, выработанным в конце 1990х гг. американским Министерством торговли, до того, как экспорт криптографии из США был полностью либерализован. Заметим также, что ограничений на внутренний оборот средств гражданской криптографии с США не было. Возможно, именно при заимствовании формулировок, в Постановление # 661 из-за некачественного перевода попало конституционно сомнительное положение, обсуждаемое ниже в 2.3.

Подобные оговорки вводятся тем же Постановлением в отношении техобслуживания, предоставления услуг и разработки и производства. Вполне симметричные изъятия содержатся и в НПА Государственной технической комиссии.

2.2.4 Ввиду таких существенных изъятий смысл остающихся ограничений не вполне ясен. Возможно, единственной их реальной функцией остается контроль за госзаказами в этой сфере и недопуск на рынок госзаказа игроков (как отечественных, так и зарубежных), работающих вне ведомственной юрисдикции, свободных от чрезмерного регулирования и, соответственно, более экономически эффективных.

2.3 Реализуемость регулирования

2.3.1 Рассмотрим, в порядке отступления, достаточно тонкий вопрос о препятствиях, возникающих при попытке проведения комплекса регуляторных мер, содержащихся в перечисленных актах, на примере того же Постановления 691 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с криптографическими (шифровальными) средствами”.

2.3.2 Правительство (п.1) пытается, как и в ряде ранее принимавшихся актов, подвести под регулирование ФАПСИ “программные ... системы и комплексы”, что, при отсутствии законодательного определения этого понятия, позволяет предположить, что исполнительная власть стремится регулировать написание и распространение определенного вида программ для ЭВМ, т.е. ввести цензуру литературных произведений (ст. 7.1 ФЗ “Об авторском праве и смежных правах”) определенного жанра, что прямо запрещено законом (Ст 29.7 Конституции). Понятно, что любая попытка воспрепятствовать правам автора программы (либо правам собственника экземпляров этой программы) будет немедленно блокирована судом.

Ввиду особой конституционной защиты свободы литературного творчества и авторских прав на программы и невозможности на деле осуществлять цензуру последних, под реальной юрисдикцией органов исполнительной власти (ФАПСИ в случае “криптографической” и Гостехкомиссии в случае “некриптографической” защиты информации) остается узкая и ускользающая сфера аппаратной защиты информации --- хотя свобода творчества, в общем и целом, распространяется и на такого рода разработки (Ст. 44.1 Конституции), в законодательстве отсутствует сколько-нибудь эффективный механизм защиты этой свободы (соответствующий механизму запрета цензуры в случае с произведениями), поэтому границы защиты такого рода разработок остаются спорным вопросом.

2.3.4 Соответственно, вне зависмости от прагматической мотивированности вводимого регулирования, за его пределами останется фактически неисчерпаемая сфера чисто программной реализации защиты информации, в большинстве случаев предоставляющая конкурентные решения любых возникающих у граждан и организаций практических задач.

2.4 Эффекты регулирования

2.4.1 Любые регуляторные меры, вне зависимости от того, достигают ли они заявленных целей, влекут за собой специфические издержки [1].

2.4.2 Предполагая, что конечной целью введенных регуляторных мер является снижение рисков (угроз) информационной безопасности, следует заметить, что рациональный пользователь средств информационной безопасности, очевидно, будет реализовывать модель экономического поведения, в первом приближении соответствующую выбору между четырьмя альтернативами:

1) пользования сертифицированными средствами защиты информации (“от лицензированных производителей”);

2) пользования несертифицированными средствами защиты информации;

3) отказа от пользования средствами защиты информации вообще;

4) альтернативных путей снижения рисков (например, отказа от автоматической или автоматизированной обработки информации в пользу ручной, отказа от передачи информации по сетям связи в пользу передачи ее на осязаемых носителях и т.п.).

2.4.3 Соответственно:

1) Стоимость использования сертифицированных средств включает в себя издержки соблюдения регуляторных мер (и “административную ренту”), заложенные, как правило, в цену, и, в общем и в среднем, будет выше, чем несертифицированных.

2) Стоимость использования несертифицированных средств (с учетом упомянутой неопределенности границ действия регуляторных мер) включает в себя риск столкнуться с претензиями регулирующих органов или претерпеть санкции.

3) Цена отказа от использования средств защиты информации --- повышенный риск потерпеть ущерб от несанкционированного доступа либо модификации информации.

4) Цена альтернативных путей --- издержки ручной обработки либо передачи информации.

2.4.4 Для (потенциального) игрока на рынке выбор еще проще: он может либо принять на себя издержки подпадения под ведомственное регулирование, либо заниматься какой-то похожей деятельностью, принимая на себя риски того, что она будет подведена под регулируемую категорию и он претерпит санкции, либо же вовсе уйти с этого рынка.

2.4.5 Очевидно, что при прочих равных введение (ужесточение) регуляторных мер повышает для пользователя как стоимость (1), так и стоимость (2), делая их менее предпочтительными вариантами, чем (3) и (4). Для игрока же оно --- прямой повод уйти на другие рынки, снижая тем самым предложение.

Оправданным с точки зрения цели, реконструированной выше в п. 2.4.1, такое ужесточение могло бы быть, если бы это повышение с избытком компенисровалось преимуществами (снижением рисков) пользования сертифицированными средствами, т.е. если было бы показано, что все или большинство сертифицированных средств серьезно снижают риски информационной безопасности, а большинство присутствующих на рынке несертифицированных --- нет.

2.4.6 В отсутствии такой демонстрации, весьма правдоподобным кажется, что введение регуляторных мер в итоге,

1) снижает, а не повышает информационную безопасность субъектов информационных взаимодействий в совокупности, поскольку подталкивает последних к отказу от использования средств защиты информации вообще, сокращает предложение на рынке;

2) тормозит автоматизацию бизнес-операций, поскольку подталкивает бизнесы к сохранению ручных способов обработки информации.

3. Предлагаемые меры

3.1 Допущенные ошибки необходимо исправить на следующем шаге реформ. Доступный инструментарий неценового дерегулирования включает [1]:

- полное снятие техрегулятивных/лицензионных требований без замены их какой-либо иной регулятивной формой (полное дерегулирование);

- замена лицензирования на техрегулирование (в том числе, техрегламентацию и обязательную сертификацию);

- замена технического регулирования на информационное (раскрытие информации, декларирование соответствия);

- принудительное отраслевое саморегулирование (обязательное членство в СРО) как альтернатива лицензированию и техрегулированию или организация рынков;

- обязательное частное лицензирование/сертификация как альтернатива государственным;

- обязательное страхование ответственности как альтернатива сертификации и лицензированию;

- комбинирование названных методов.

3.2 Применимыми в данном случае являются полное дерегулирование и замена лицензирования на техрегулирование (стандартизацию с обязательным декларированием соответствия).

3.3 Однако требуется еще уточнить объект регулирования, ответив на выше (п.2.1) поставленные вопросы.

Ответить на так поставленные вопросы однозначно не представляется возможным. Следует разделить различные ситуации применения средств защиты информации как минимум на следующие группы:

0) применение для защиты сведений, содержащих государственную тайну. Такие ситуации выходят за пределы гражданской защиты информации и относятся к специальной защите информации;

1) применение государственными органами и организациями для собственных нужд и при коммуникации с другими лицами (государственными органами и организациями, частными и общественными организациями, гражданами и другими физическими лицами);

2) применение частными и общественными организациями, гражданами и другими физическими лицами в случаях, когда существенно затрагиваются интересы третьих (не состоящих в договорных отношениях с ними) лиц;

3) применение частными и общественными организациями, гражданами и другими физическими лицами в случаях, когда существенно затрагиваются интересы третьих (не состоящих в договорных отношениях с ними) лиц (например, сохранение и передача персональных данных о лицах, либо сведений, содержащих коммерческую тайну, при условиях, что особого договора, регламентирующего порядок обращения с такими данными и сведениями, нет);

4) применение частными и общественными организациями, гражданами и другими физическими лицами для коммуникации с государственными органами и организациями;

5) применение частными и общественными организациями, гражданами и другими физическими лицами для собственных нужд и коммуникации между собой.

Специальная защита информации (0) может регулироваться внутриведомственными или межведомственными актами, и не относится к анализируемой нами теме.

В ситуациях (1-3) возможно, риски следует признать существенными, и задаться вопросом, не могут ли они быть купированы иными, менее грубыми, чем сертификация и лицензирование, регуляторными средствами (например, обязательным страхованием), и если нет, оставить соответствующие услуги в списке сертифицируемых. В любом случае, это не случай для лицензирования.

В ситуациях (4-5) специфических рисков, которые нельзя было бы предотвратить или снизить силами самих субъектов пользования средствами защиты информации, однозначно нет. Это не случай для лицензирования.

3.4 Однако, ввиду технической сложности (и, соответственно, неочевидности для среднего потребителя свойств и возможностей) СЗИ, можно оставить в списке сертифицируемых те из них, относительно которых производителем или поставщиком не декларирована исчерпывающая информация об их устройстве, функционировании и свойствах (т.е. ввести альтернативное регулирование: через институт сертификации или (по выбору производителя) через институт декларирования/раскрытия информации), позволяющая потенциальному или актуальному пользователю обратиться к независимой экспертизе. (Следует отметить, что при всей привлекательности последнее решение в отношении программ не снимает конфликта регуляторных мер с запретом цензуры, описанного выше в 2.3.).

Интересно, что ведомственный регулятор сам отчасти склоняется к такому подходу, по крайней мере, в пункте “Положения о лицензированию деятельности по распространению шифровальных (криптографических) средств” распространение операционных систем выводится из-под лицензирования с оговоркой: “техническая документация ... на которые является доступной, в том числе, и для проверки”.

4. Прогноз

4.1 Дерегулирование рынков гражданской защиты информации позволит:

1) снизить барьеры для входа на рынок, стимулировать конкуренцию

2) расширить ассортимент создаваемых товаров и услуг.

3) создать смежные рынки услуг (таких, как добровольная сертификация, добровольное страхование информационных рисков)

4) снизить степень произвола в действиях регулятора и, соответственно, корруптогенность регулирования;

5) освободить гос. ведомства от несвойственных им функций, снизив соответствующие бюджетные затраты и сократив аппарат.

4.2 Каких-либо серьезных побочных отрицательных эффектов не предвидится, поскольку сохранится государственная сертификация средств специальной защиты информации, и те потребители, которые довольны существующей системой и находят ее полезной, смогут продолжать пользоваться услугами государственных сертификационных центров. Бизнесы, находящие для себя полезной государственную сертификацию, также смогут проходить ее на добровольных основах.

4.3 Тем не менее, для придания реформе более эволюционного характера, ее шаги можно разделить на два этапа. На первом (1-2 года) для указанных подпадающих под дерегулирование областей применения вводится обязательное декларирование соответствия как альтернатива обязательной сертификации. На втором этапе (по прошествии 1-2 лет) само декларирование соответствия переводится в разряд добровольных процедур. Предполагается, что, при относительной компактности соответствующих рынков одно-двухгодичного срока будет достаточно для формирования спроса на рынках добровольной сертификации и страхования информационных рисков.

5. Реализация

Для реализации указанных мер по дерегулированию необходимы следующие законодательные шаги:

Отдельным ФЗ “О внесении поправок в законодательство о лицензировании и сертификации”:

1) Указ Президента 334 “О соблюдении законности...” --- отменить. Обязательную сертификацию средств шифрования и цифровой подписи ограничить средствами, применяемыми гос. органами и их контракторами (субконтракторами);

2) из ФЗ “О лицензировании...” виды деятельности, связанные со средствами защиты информации, шифровальными средствами (средствами криптографической защиты информации) и средствами цифровой подписи, --- исключить либо изменить;

3) в ФЗ “Об ЭЦП” --- внести поправки;

4) подзаконные акты (постановления Правительства и отдельных органов исполнительной власти) --- обязать привести в соответствие.

Для реализации замены лицензирования/сертификации на декларирование и раскрытие информации необходима:

5) разработка законодательства об информационном регулировании (декларировании и раскрытии информации).

Приложение

А. Применимые нормативно-правовые акты

Подготовлено на основе [2] с учетом задач настоящего исследования и внесенных со времени публикации [2] изменений.

À.1 Лицензирование гражданской защиты информации

А.1.1 ФЗ "О лицензировании отдельных видов деятельности" предусматривает лицензирование следующих видов деятельности в области шифрования, защиты информации и ЭЦП:

1) деятельность по распространению шифровальных (криптографических) средств;

2) деятельность по техническому обслуживанию шифровальных (криптографических) средств;

3) предоставление услуг в области шифрования информации;

4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

5) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

6) деятельность по технической защите конфиденциальной информации;

7) деятельность по выдаче сертификатов ключей электронных цифровых подписей,

8) деятельность по регистрации владельцев электронных цифровых подписей,

9) деятельность по оказанию услуг, связанных с использованием электронных цифровых подписей

10) деятельность по подтверждению подлинности электронных цифровых подписей.

Положения данного закона не распространяются на деятельность, связанную с защитой государственной тайны.

А.1.2 Указ Президента РФ от 3 апреля 1995 г. # 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" содержит общую норму о запрете деятельность юридических и физических лиц, связанной с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации. Хотя ФЗ “О лицензировании...” покрывает эту область и предусматривает приведение законодательства в соответствии со своими нормами, Указ # 334 формально не отменен и на него продолжают ссылаться.

А.1.3. В настоящее время приняты следующие подзаконные акты, устанавливающих основания и порядок получения лицензий на деятельность по защите конфиденциальной информации:

1) положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации;

2) положение о лицензировании деятельности по технической защите конфиденциальной информации;

3) положение о лицензировании деятельности по распространению шифровальных (криптографических) средств;

4) положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств;

5) положение о лицензировании деятельности по предоставлению услуг в области шифрования информации;

6) положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

А.1.4 Лицензирование деятельности связанной с защитой конфиденциальной информации, осуществляет Государственная техническая комиссия при Президенте Российской Федерации. Лицензирование разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах высших федеральных органов власти, осуществляет Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Лицензирование деятельности, связанной с криптографическими средствами, осуществляет ФАПСИ.

В случае осуществления деятельности по разработке и (или) производству средств защиты конфиденциальной информации, лицензируемой ФАПСИ, к соискателям лицензии предъявляются требования:

1) соблюдения лицензиатом режима конфиденциальности при обращении со сведениями, которые ему доверены или стали известны по работе: обеспечение ограничения круга лиц, допущенных к конфиденциальной информации, установление порядка допуска лиц к работам, связанным с использованием конфиденциальной информации, организация обеспечения безопасности ее хранения, обработки и передачи по каналам связи и установление обладателем конфиденциальной информации требований к обеспечению безопасности этой информации;

2) наличия условий, предотвращающих несанкционированный доступ к средствам защиты конфиденциальной информации, обеспечивающих хранение нормативной и эксплуатационной документации, инсталляционных дискет и дистрибутивов программных и программно-аппаратных средств защиты конфиденциальной информации в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками, а также хранение дубликатов ключей от металлических шкафов (хранилищ, сейфов) и входных дверей в сейфе ответственного лица, назначенного руководством лицензиата;

3) аттестование средств обработки информации, используемых для разработки средств защиты конфиденциальной информации, а также для автоматизированного учета в соответствии с требованиями по защите информации с использованием лицензионных программного обеспечения для электронно-вычислительных машин и баз данных;

4) выполнение требований государственных стандартов Российской Федерации, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, в соответствии с которыми конструкторская документация лицензиата имеет номер, зарегистрированный в государственном реестре разрабатывающих предприятий, а нормативные правовые акты по разработке, конструкторская документация и технические условия обеспечивают соответствие показателей продукции нормам и требованиям, установленным Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в пределах его компетенции;

5) наличие системы учета изменений, внесенных в техническую и конструкторскую документацию, и системы учета готовой продукции;

6) наличие у руководителя лицензиата и (или) уполномоченного им лица высшего образования и (или) профессиональной подготовки в области защиты информации с квалификацией "специалист по защите информации" и производственным стажем в области лицензируемой деятельности не менее 5 лет.

Эти требования не предъявляются при осуществлении деятельности, лицензируемой Гостехкомиссией.

А.1.5 Федеральный закон от 10 января 2002 г. # 1-ФЗ "Об ЭЦП" предусматривает, что лицензированию подлежит деятельность удостоверяющего центра. При этом ФЗ содержит положение о том, что удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти. Фактически это означает, что данные требования должны включаться в лицензионные условия.

А.1.6 ФЗ "Об информации…", статья 5, устанавливает, что право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Эти положения (как и положения ст.5 ФЗ "Об ЭЦП") корреспондируют перечню лицензируемых видов деятельности в области ЭЦП, установленному ФЗ "О лицензировании отдельных видов деятельности".

А.1.7 Лицензирующие органы осуществляют контроль за соблюдением лицензиатом лицензионных требований. Контроль осуществляется путем проведения плановых и внеплановых проверок, а по результатам таких проверок составляется акт о выполнении (невыполнении) лицензиатом лицензионных требований и условий с указанием конкретных нарушений и сроком их устранения, с которым обязательно знакомится лицензиат.

А.2 Сертификация гражданской защиты информации

А.2.1.Положение о необходимости сертификации средств защиты информации содержится в п.2 Указа Президента РФ от 3 апреля 1995 г. # 334 "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" (с изм. и доп. от 25 июля 2000 г.). Он предусматривает необходимость запрета на:

1) использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации,

2) размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ.

Таким образом, Указ предусматривает необходимость сертификации только шифровальных средств и средств технической защиты информации, используемых государственными организациями и предприятиями и предприятиями, выполняющими госзаказ.

Существует также ряд НПА, опреляющих номенклатуру и порядок сертификации средств, предназначенных для защиты сведений, составляющих государственную тайну. В связи со спецификой данного исследования, эти акты здесь не рассматриваются.

А.2.2. Постановление Правительства РФ от 21 апреля 2000 г. # 368 "О Межведомственной комиссии по интеллектуальным картам" предусматривает необходимость использования в автоматизированных системах федерального значения с интеллектуальными картами только отечественных сертифицированных средств защиты информации.

А.2.3. Единого предметного перечня шифровальных средств и средств защиты информации, подлежащих обязательной сертификации, нет. В сводную Номенклатуру продукции и услуг (работ), в отношении которых законодательными актами Российской Федерации предусмотрена их обязательная сертификация, введенную в действие постановлением Госстандарта РФ от 23 февраля 1998 г. # 5 положения о необходимости сертификации средств защиты информации не вошли.

А.2.4 В отношении средств защиты информации, не содержащей государственную тайну, сертификация осуществляется в общем порядке.

А.2.5 Приказ ФАПСИ от 23 сентября 1999 г. # 158 "Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (ПКЗ-99)" предусматривает, что при принятии решения о необходимости криптографической защиты подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования данного Положения являются обязательными для:

1) государственных органов и государственных организаций;

2) юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ;

3) негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;

4) других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.

В отношении иных лиц требования Положения носят рекомендательный характер

2.1. Федеральный закон от 10 января 2002 г. # 1-ФЗ "Об электронной цифровой подписи" (Ст.5 Пункт 4) предусматривает, что при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. При возникновении убытков в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, убытки должны возмещаться создателями или распространителями этих средств. В корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей вообще не допускается.

А.2.6 ФЗ "Об ЭЦП" предусматривает, что сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Это положение означает, что применяются общие положения, установленные Законом РФ от 10 июня 1993 г. # 5151-I "О сертификации продукции и услуг" и Правила по проведению сертификации в Российской Федерации (утв. постановлением Госстандарта РФ от 10 мая 2000 г. # 26).

А.2.7 Положение ФЗ "Об ЭЦП" не позволяет сделать вывод о том, подлежат ли средства ЭЦП, используемые в корпоративных информационных системах, обязательной сертификации, или их сертификация добровольная. В сводную Номенклатуру продукции и услуг (работ), в отношении которых законодательными актами Российской Федерации предусмотрена их обязательная сертификация, введенную в действие постановлением Госстандарта РФ от 23 февраля 1998 г. # 5 положения о необходимости сертификации средств ЭЦП не вошли; иных правовых актов, устанавливающих перечень средств ЭЦП, подлежащих обязательной сертификации, не принято.

А.2.8 ФЗ "Об ЭЦП” предусматривает необходимость ведения удостоверяющим центром реестра сертификатов ключей подписей, который ведется удостоверяющим центром. Удостоверяющий центр обеспечивает актуальность реестра и возможность свободного доступа к нему участников информационных систем. Это, видимо, должно считаться одним из лицензионных требований.

Источники

1. Платформа реформирования системы неценового регулирования. Версия 1.0 (Экспертный совет по промышленной политике, www.prompolit.ru).

2. Предложения по корректировке нормативных актов, регламентирующих деятельность участников рынка ИКТ и порождающих административные барьеры (Фонд “Новая экономика”, www.neweco.ru/main.html?r=146).


18 октябрь 2002

Связь и информационная политика