Вопрос 2 Лицензирование и сертификация в области обеспечения безопасности информации

Электронный документ как доказательство

С точки зрения правового режима важным является вопрос о возможности использования электронного документа в качестве доказательства.

При возникновении вопроса об авторстве и подлинности под­писи назначается судебная экспертиза. Обычно, когда документ существует в бумажном виде, для установления авторства подпи­си назначается графологическая экспертиза. В случае, если доку­мент представлен в электронном виде, проводится техническая экспертиза.

Юридическая сила электрон­ной цифровой подписи признается при наличии программно-технических средств, обеспечивающих идентификацию подписи и при соблюдении установленного режима их использования.

ГК РФ и ФЗ «Об информа­ции, информационных технологиях и о защите информации» при­знается возможность использования электронно-цифровой подписи для удостоверения электронных документов и существует проце­дура создания бумажных копий, которые имеют одинаковую юри­дическую силу с подлинником, то электронные документы под­падают под традиционное понятие «письменные доказательства».

Действенными инструментами государственного регулирования отношений в области защиты информации в условиях рыночных отношений являются процедуры лицензирования и сертификации.

Лицензирование — процедура выдачи на определенный срок спе­циальных разрешений на ведение соответствующих видов деятель­ности — лицензий. Правовые основы деятельности в области ли­цензирования определены Федеральным законом от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности». В соот­ветствии со ст. 4 данного закона к лицензируемым видам деятель­ности относятся такие виды деятельности, «осуществление кото­рых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государ­ства».

Суть лицензирования заключается в разрешении юридическим лицам или индивидуальным предпринимателям (лицензиатам) заниматься определенными видами деятельности только при со­блюдении обязательных требований и условий. Перечень лицензирую­щих органов утвержден постановлением Правительства Россий­ской Федерации от 26 января 2006 г. № 45.

Лицензии выдаются на определенный срок на каждый конк­ретный вид деятельности. В случае выявления неоднократных или грубых нарушений лицензионных требований и условий лицензи­рующие органы вправе наложить административное взыскание и приостановить действие лицензии, установив срок устранения лицензиатом нарушений. Если в установленный срок лицензиат не устранил указанные нарушения, лицензирующий орган обязан обратиться в суд с заявлением об аннулировании лицензии.

Согласно ст. 17 Федерального закона «О лицензировании от­дельных видов деятельности» в области защиты информации обя­зательному лицензированию подлежат следующие виды деятель­ности:

деятельность по распространению шифровальных (крипто­графических) средств;

деятельность по техническому обслуживанию шифроваль­ных (криптографических) средств;

предоставление услуг в области шифрования информации;

разработка, производство шифровальных (криптографиче­ских) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телеком­муникационных систем;

деятельность по выявлению электронных устройств, пред­назначенных для негласного получения информации, в помеще­ниях и технических средствах (за исключением случая, если ука­занная деятельность осуществляется для обеспечения собствен­ных нужд юридического лица или индивидуального предпринима­теля);

деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

деятельность по технической защите конфиденциальной информации;

разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпри­нимателями и юридическими лицами, осуществляющими пред­принимательскую деятельность.

Федеральная служба по техническому и экспертному контро­лю (ФСТЭК России) лицензирует деятельность по технической защите конфиденциальной информации.

Федеральная служба безопасности (ФСБ России) лицензиру­ет деятельность:

по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначен­ных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;

выявлению электронных устройств, предназначенных для не­гласного получения информации, в помещениях и технических средствах (за исключением случая, когда указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

распространению шифровальных (криптографических) средств;

техническому обслуживанию шифровальных (криптографи­ческих) средств;

предоставлению услуг в области шифрования информации;

разработке и производству шифровальных (криптографиче­ских) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, теле­коммуникационных систем.

Лицензированием деятельности по разработке и (или) произ­водству средств защиты конфиденциальной информации занима­ется ФСТЭК России, а в части разработки и (или) производства таких средств, устанавливаемых на объектах высших органов госу­дарственной власти — ФСБ России.

Еще один вид деятельности, подлежащий обязательному ли­цензированию, это деятельность, связанная с использованием и защитой сведений, составляющих государственную тайну.

Лицензия на осуществление указанных выше видов деятельно­сти выдается после обязательного проведения следующих предва­рительных мероприятий.

Специальная экспертиза предприятия, организации или уч­реждения, целью которой является проверка выполнения ряда условий, таких как:

соблюдение требований нормативно-методических докумен­тов по режиму секретности, противодействию иностранным тех­ническим разведкам и защите информации от утечки по техниче­ским каналам;

наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подго­товленных сотрудников для работы по защите информации, уро­вень квалификации которых достаточен для обеспечения защиты государственной тайны;

наличие на предприятии средств защиты информации, име­ющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Государственная аттестация руководителей, ответственных за защиту сведений, составляющих государственную тайну.

Органами, уполномоченными на ведение лицензионной рабо­ты по допуску предприятий к проведению работ, связанных с ис­пользованием сведений, составляющих государственную тайну, являются: ФСБ России — в части работ, осуществляемых на тер­ритории Российской Федерации, и Служба внешней разведки Рос­сийской Федерации (СВР России) — в части работ, осуществляе­мых за рубежом.

В соответствии со ст. 29 Федерального закона «О связи» «дея­тельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии». Лицензирующим органом в области услуг связи является Министерство информационных технологий и связи Российской Федерации (Мининформсвязи России).

Согласно положениям федеральных законов «Об электронной цифровой подписи» и «О лицензировании отдельных видов дея­тельности» лицензированию подлежит деятельность по предо­ставлению услуг в области электронной цифровой подписи. Ли­цензирующим органом является Федеральное агентство по ин­формационным технологиям, подчиненное Мининформсвязи России.

Еще одним высокоэффективным средством государственного контроля является под­тверждение соответствия продукции, процессов производства, эксплуатации, работ, услуг или иных объектов установленным требованиям (техническим регламентам, стандартам или услови­ям договора).

Основным нормативным правовым актом в области подтверж­дения соответствия вообще и сертификации в частности является Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техниче­ском регулировании».

Законодательно установлены два вида подтверждения соответ­ствия — добровольное и обязательное.

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации (ст. 21 Федерального закона «О техни­ческом регулировании»).

Обязательное подтверждение соответствия осуществляется в формах декларирования соответствия и обязательной сертифика­ции. Применительно к рассматриваемым проблемам в настоящее время осуществляется только обязательная сертификация.

В соответствии со ст. 2 Федерального закона «О техническом регулировании» процедуру сертификации осуществляет незави­симая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация — орган по сертификации, т.е. юри­дическое лицо или индивидуальный предприниматель, аккреди­тованные в установленном порядке для выполнения работ по сер­тификации.

Документом, подтверждающим соответствие продукции уста­новленным требованиям (техническим требованиям, стандартам) или условиям договора является сертификат соответствия, выда­ваемый на срок, установленный соответствующим техническим регламентом.

Тех­нические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты ин­формации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

Одним из условий получения лицензии для осу­ществления работ со сведениями, составляющими государствен­ную тайну, является наличие на предприятии сертифицирован­ных средств защиты информации. К средствам защиты информа­ции относятся технические, криптографические, программные и другие средства, а также средства, в которых они реализованы, и средства контроля эффективности защиты информации.

Устанавливается обязательность сертификации средств электрон­ной цифровой подписи, используемых в открытых информацион­ных системах, которую осуществляет Федеральная служба техни­ческого и экспертного контроля.