Защита информации и лицензирование и сертификация в области информационной безопасности

 2) выполнение работ, оказание услуг в области шифрования информации;

3) техническое обслуживание криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств;

4) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;

5) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации;

6) разработка и производство средств защиты конфиденциальной информации;

7) деятельность по технической защите конфиденциальной информации.

В соответствии с Постановлением Правительства РФ от 21 ноября 2011 г.

№ 957 полномочия государственных органов по лицензированию перечисленных выше видов деятельности распределены следующим образом²⁶:

1. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) лицензирует деятельность по технической защите конфиденциальной информации.

Порядок лицензирования деятельности определен в Положении о лицензировании деятельности по технической защите конфиденциальной информации²⁷.

2. Федеральная служба безопасности (ФСБ России) лицензирует:

- деятельность по разработке, производству, распространению криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств;

- выполнение работ, оказание услуг в области шифрования информации;

- техническое обслуживание криптографических средств, информационных систем и телекоммуникационных систем, защищенных с использованием криптографических средств;

- деятельность по разработке, производству, реализация и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации;

- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации.

Порядок лицензирования деятельности, связанной с криптографическими средствами определен Постановлением Правительства РФ от 16 апреля 2012 г. № 313.

3.  Лицензированием  деятельности по разработке и  (или) производству средств защиты  конфиденциальной информации занимается  ФСТЭК России, а в части разработки и производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента Российской Федерации, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, - ФСБ России²⁸.

К соискателям лицензии предъявляются требования о наличии  у него комплекта необходимых  для осуществления лицензируемой  деятельности нормативных правовых и нормативно-технических документов (по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю), наличие помещений (соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании), производственного, испытательного и контрольно-измерительного оборудования (прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию) и подготовленных специалистов в области защиты информации (имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации). Так же необходимым является использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.

Технические, криптографические, программные и другие средства, предназначенные  для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации²⁹, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.

Система сертификации средств  защиты информации представляет собой  совокупность участников сертификации, осуществляющих ее по установленным правилам.

Системы сертификации создаются  Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.

Федеральным законом  «Об электронной цифровой подписи» устанавливается обязательность сертификации средств электронной цифровой подписи». При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи³⁰. Сертификацию средств электронной цифровой подписи осуществляет ФСТЭК.

Кодекс Российской Федерации  об административных правонарушениях³¹ содержит ряд соответствующих статей, устанавливающих ответственность за нарушения в области сертификации и лицензирования:

- ст. 13.12 – за нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации;

за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации;

за нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну;

за грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации.

- ст. 13.13 – за незаконную деятельность в области защиты информации:

занятия видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна);

занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии.

- ст. 19.19 – за нарушение  обязательных требований государственных  стандартов, правил обязательной  сертификации, нарушение требований нормативных документов.

Таким образом, в настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Конечно нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена. Важно другое - можно констатировать, что уже имеется неплохая законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства. 

Заключение

 

Защита информации является неотъемлемой частью деятельности современных организаций, обеспечивающей их нормальное функционирование и в современных условиях проблема защиты информации от неправомерного овладения требует привлечения особого внимания специалистов в целях предотвращения разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращения противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечения правового режима документированной информации как объекта собственности; сохранения конфиденциальности документированной информации. При этом защита информации должна осуществляться комплексно, действуя во всех направлениях.

Информационное законодательство РФ предусматривает   государственное  регулирование отношений в области защиты информации, направленное на обеспечение прав субъектов в информационных процессах и при их разработке, производстве и применении информационных систем, технологии и средств их обеспечения. Некоторые виды деятельности, направленные на обеспечение информационной безопасности подлежат обязательному лицензированию и сертификации. То есть законодательная база, вполне позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии требованиями действующих нормативных актов, а с другой - уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.

 

Список источников и литературы

 

1. Конституция Российской Федерации. Государственные символы России. – Новосибирск: Сиб. унив. изд-во, 2009. – 48 с.
2. Кодекс об административных правонарушениях.  Новосибирск: Сиб. унив. изд-во, 2012
3. Гражданский кодекс Российской Федерации (части первая, вторая, третья, четвертая): По состоянию на 1 марта 2012 года. – Новосибирск: Сиб. унив. изд-во, 2012
4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». // Собрание законодательства РФ. 2006. № 31 (ч.1)
5. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». // Собрание законодательства Российской Федерации. 2002, № 2
6. Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности». // Собрание законодательства Российской Федерации. 2011, № 19, ст. 2716
7. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». [Электронный ресурс] :

http://www.consultant.ru/online/base/?req=doc;base=LAW;n=112701

8. Постановление Правительства РФ от 21 ноября 2011 г. № 957 «Об организации лицензирования отдельных видов деятельности». // Собрание законодательства Российской Федерации. 2011, № 48, ст. 6931
9. Постановление Правительства РФ от 3 февраля 2012 г.  № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». // Собрание законодательства Российской Федерации. 2012, № 7
10. Постановление Правительства РФ от 3 марта 2012 г. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». // Собрание законодательства Российской Федерации. 2012,  №10
11. Постановление Правительства РФ от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» // Собрание законодательства Российской Федерации. 1995,  № 27
12. ГОСТ Р 50922-2006. Защита информации. Основные термины и

определения. [Электронный ресурс] : http://www.termika.ru/dou/docs/detail.php?ID=1660

13. Бачило И.Л. Информационное право. М.: Высшее образование. 2009
14. Березюк Л.П. Организационное обеспечение информационной безопасности: учебное пособие. Хабаровск: Издательство ДВГУПС, 2008
15. Варлатая С.К.,  Шаханова М.В. Аппаратно-программные средства и методы защиты информации. Владивосток, 2007
16. Железняк В.К. Защита информации от утечки по техническим каналам. СПб., 2006
17. Молдовян А., Молдовян Н.А., Советов Б.Я. Криптография. СПб., 2001
18. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. Владивосток: Издательство Дальневосточного Университета, 2010
19. Парошин А.А. Нормативно-правовые аспекты защиты информации: Учебное пособие. Владивосток: Издательство Дальневосточного Университета, 2010
20. Парошин А.А. Технология защиты информации: программа курса. Владивосток: Издательство Дальневосточного Университета, 2010
21. Советов Б.Я., Цехановский В.В. Информационные технологии: учебник для бакалавров. СПб., 2011
22. Советов Б.Я., Цехановский В.В. Теоретические основы автоматизированного управления. М.: Высшая школа, 2006
23. Яковлев А.В., Безбогов А.А., Родин В.В., Шамкин В.Н. Криптографическая защита информации. Тамбов, 2006

¹ Березюк Л.П. Организационное обеспечение информационной безопасности: учебное пособие. Хабаровск: Издательство ДВГУПС, 2008;

Парошин А.А. Технология защиты информации: программа курса. Владивосток: Издательство Дальневосточного Университета, 2010;