Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Регулирование отрасли информационной безопасности развивается по мере роста ценности данных

Регулирование отрасли информационной безопасности развивается по мере роста ценности данныхЗаконодательство России в области информационной безопасности активно развивается. Постепенно выстраивается единая система государственного регулирования в сфере защиты информации. И это не удивительно, ведь ценность данных растет день ото дня. Их защита необходима всем – государственным органам, бизнесу и простым гражданам.

Основополагающим в области ИБ в России эксперты и юристы считают федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации», устанавливающий общие принципы защиты информации. Он заменил близкий по теме, но устаревший закон от 20 февраля 1995 года №24-ФЗ «Об информации, информатизации и защите информации». Его действие распространяется на все виды деятельности, связанные с информацией, включая обеспечение ее защиты и применение информационных технологий.

В новом законе изменено понятие «информация». Теперь это сведения (сообщения, данные) независимо от формы их представления. Также введено понятие «информационные технологии» - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

В законе определено только два субъекта, работающих с информацией. Во-первых, обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. И, во-вторых, оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

В статье 5 указано, что информация в зависимости от категории доступа к ней подразделяется на общедоступную, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

В отношении ограничения доступа к информации статьей 9 определено, что оно устанавливается федеральными законами. При этом обязательным является соблюдение конфиденциальности. Федеральными законами так же устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Защита информации определена в статье 16 как принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, и от иных неправомерных действий в отношении такой информации, а так же соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к информации.

В этой же статье определены требования к обладателю информации и оператору информационной системы, которые обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней и, наконец, постоянный контроль за обеспечением уровня защищенности информации. Список требований является исчерпывающим и достаточным для предотвращения угрозы конфиденциальности, целостности и доступности защищаемой информации.

Требования закона «Об информации…» к средствам защиты информации

В тоже время в законе имеются только два требования к средствам защиты информации. Во-первых, технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании – это требование прямо отсылает к новой редакции закона «О техническом регулировании».

Во-вторых, федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Ограничения в осуществлении определенных видов деятельности проявляются в необходимости получения лицензии от уполномоченного органа исполнительной власти, в тематике данной статьи: Федеральной службы безопасности (ФСБ) или Федеральной службы по техническому и экспортному контролю (ФСТЭК) России. Эти виды деятельности определены в федеральном законе от 8 августа 2001 года №128-ФЗ «О лицензировании отдельных видов деятельности» в последней редакции от 05 февраля 2007 года. Их список: деятельность по распространению шифровальных (криптографических) средств; деятельность по техническому обслуживанию шифровальных (криптографических) средств; предоставление услуг в области шифрования информации и, наконец, деятельность по технической защите конфиденциальной информации.

Ограничениями в использовании определенных средств защиты информации также являются требования применения при эксплуатации различных информационных сетей и систем только сертифицированных средств защиты информации.

Это требование, в частности, декларирует постановление Правительства Российской Федерации от 15 августа 2006 года №504 «О лицензировании деятельности по технической защите конфиденциальной информации», которое будет рассмотрено ниже.

Кто должен защищать информацию?

В статье 17 закона №149-ФЗ прописано право лиц на защиту своих прав, законных интересов и компенсацию вреда, связанных с разглашением информации ограниченного доступа. При этом возмещение убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

Тем самым законодатель прямо указывает на необходимость защиты информации ее обладателем. Это положение полностью совпадает с определением в статье 139 Гражданского Кодекса: «информация составляет служебную или коммерческую тайну в случае, когда … обладатель информации принимает меры к охране ее конфиденциальности», а также с положениями закона от 29 июля 2004 года №98-ФЗ «О коммерческой тайне» в последней редакции от 18 декабря 2006 года. В статье 3 закона №98-ФЗ сказано: «информация, составляющая коммерческую тайну (секрет производства), - сведения … в отношении которых обладателем таких сведений введен режим коммерческой тайны».

Закон «О персональных данных»

В развитие темы ограничения доступа к информации, необходимо рассмотреть подписанный Президентом Российской Федерации 27 июля 2007 года федеральный закон №152-ФЗ «О персональных данных». Требования этого закона относятся практически ко всем органам власти и самоуправления, юридическим и физическим лицам. При этом персональные данные определены как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Законом определен в качестве оператора государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В соответствии со статьей 19 закона №152-ФЗ, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В свою очередь, конфиденциальность определена как обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

В отношении конфиденциальности персональных данных закон весьма лаконичен. В части 1 статьи 7 сказано: «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи». А часть 2 говорит о том, что «обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных или в отношении общедоступных персональных данных».

Перечисленные положения позволяют назвать рассматриваемый закон как очень жесткий. Персональные данные имеются практически во всех организациях, начиная от ДЭЗов, поликлиник, до операторов связи и этот перечень можно продолжать до бесконечности. И это означает, что все эти организации попадают под требования постановления Правительства Российской Федерации от 15 августа 2006 года №504 «О лицензировании деятельности по технической защите конфиденциальной информации».

Небольшое отступление: в соответствии с указом Президента Российской Федерации от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера» в редакции от 23 сентября 2005 года, в этот перечень включены: персональные данные; сведения, составляющие тайну следствия и судопроизводства, сведения о защищаемых лицах и мерах защиты; служебная тайна; сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законодательно (врачебная, адвокатская и т.д.); коммерческая тайна, а так же сведения о сущности изобретения, полезной модели.

Требования лицензии на техническую защиту конфиденциальной информации

Из этого перечня становится ясно, что практически невозможно назвать организацию, в которой не имеется ни одного из видов конфиденциальной информации, подлежащей обязательной защите. И во все эти организации могут прийти представители ФСТЭК для проверки наличия лицензии на техническую защиту конфиденциальной информации. В Положении, утвержденном постановлением №504, перечислены следующие лицензионные требования.

Во-первых, наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации.

Во-вторых, наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании.

В-третьих, наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию.

В-четвертых, использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации.

В-пятых, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.

А также наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Для многих организаций единственным способом выполнения этих требований будет привлечение для обслуживания их информационных систем специализированных фирм, что должно положительно сказаться на рынке информационной безопасности. Таким же фактором развития рынка является обязанность использования при обработке конфиденциальной информации сертифицированных средств защиты информации и аттестация автоматизированных систем.

Небольшие в настоящее время объемы проверок со стороны ФСТЭК можно объяснить несоответствием между количеством организаций, которые должны получать указанные выше лицензии и существующими возможностями ФСТЭК по контролю. Но количество проверок может резко вырасти. Здесь надо провести аналогию с лицензированием видов деятельности, связанных с шифровальными (криптографическими) средствами. Положения о лицензировании утверждены постановлением Правительства от 23 сентября 2002 №691 и небольшое по началу количество проверок со стороны лицензирующего органа - ФСБ России, превратилось через 3 года во всеобъемлющий жесткий контроль. Необходимо учитывать, что безлицензионная деятельность или деятельность с нарушением лицензионных требований приводит к уголовной и административной ответственности. Среди видов наказаний крупные штрафы, приостановление деятельности и лишение свободы.

Закон «О техническом регулировании»

Следующим необходимо рассмотреть федеральный закон от 27 декабря 2002 года «О техническом регулировании», в который 1 мая 2007 года внесены важные изменения. В статье 5 данного закона говорится (извлечения): «в отношении продукции используемой в целях защиты сведений, относимых к информации ограниченного доступа обязательными являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности и технической защиты информации.

Особенности технического регулирования в части установления обязательных требований федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности и технической защиты информации в отношении продукции указанной в пункте 1 настоящей статьи устанавливаются Президентом Российской Федерации и Правительством Российской Федерации». А особенности стандартизации и оценки соответствия продукции, устанавливаются Правительством Российской Федерации.

Из данной статьи следует, что во-первых, вопросы стандартизации и сертификации в области безопасности конфиденциальной информации относятся к компетенции Правительства Российской Федерации. Во-вторых, требования, которые предъявляют ФСБ и ФСТЭК к средствам защиты конфиденциальной информации являются обязательными для выполнения. И, в-третьих, полномочия ФСБ и ФСТЭК должны быть определены документами, изданными Президентом или Правительством Российской Федерации.

Полномочия ФСБ и ФСТЭК в области защиты информации недавно были уточнены и расширены последними указами Президента Российской Федерации № 799 от 27 июля 2006 года и №1321 от 30 ноября 2006 года соответственно, но общее разделение ответственности осталось прежним: ФСБ отвечает за безопасность конфиденциальной информации в высших органах власти и за шифровальные средства, а ФСТЭК отвечает за некриптографическую защиту конфиденциальной информации.

Рассмотренные документы позволяют сказать, что новые и недавно измененные законодательные акты постепенно составляют единую систему государственного регулирования в области защиты информации.

В заключении необходимо упомянуть о документах, которые могут появиться в течение этого года. Их принятие связано с процедурой вступления России в ВТО и они касаются порядка ввоза на территорию Российской Федерации шифровальных средств. Наиболее серьезные изменения должны быть для средств с малой длиной ключа (для симметричного алгоритма не более 56 бит), обеспечивающих криптографическую защиту исключительно канала управления, а так же устройств беспроводной связи с дальностью действия не более 400 метров. Перечень таких шифровальных средств и новые процедуры оформления разрешительных документов пока только согласовываются различными федеральными органами, поэтому пока о конкретных сроках ввода в действие новых нормативных документов ничего сказать нельзя.

Сергей Снежков

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS