Специальные экспертизы предприятий выполняются по направлениям режима секретности, противодействия иностранной технической разведке, защиты информации от утечки по техническим каналам.
Специальные экспертизы организуются и проводятся:
– ФСБ РФ и территориальными органами безопасности, Гостехкомиссией РФ, ФАПСИ и их органами на местах, другими министерствами и ведомствами РФ, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий;
– отраслевыми аттестационными центрами министерств и ведомств, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, для проведения специальных экспертиз на подведомственных им предприятиях;
– региональными аттестационными центрами ФСБ РФ и территориальных органов безопасности, Гостехкомиссии РФ, ФАПСИ и их органов на местах, а также администрацией субъектов РФ, для проведения экспертиз на вневедомственных предприятиях.
Проведение специальных экспертиз осуществляется экспертными комиссиями, которые формируются при ФСБ РФ и территориальных органах безопасности, Гостехкомиссии РФ, ФАПСИ и их органах на местах и в аттестационных центрах.
Составы экспертных комиссий утверждаются ФСБ РФ или территориальными органами безопасности по согласованию с подразделениями Гостехкомиссии РФ, ФАПСИ, осуществляющими лицензионную деятельность, или с их органами на местах.
Для проведения специальных экспертиз предприятия обращаются в ФСБ РФ или в территориальные органы безопасности, которые дают соответствующее поручение аттестационному центру (в случае проведения экспертизы с участием Гостехкомиссии РФ, ФАПСИ или их органов на местах) либо экспертной комиссии (в случае проведения экспертизы ФСБ РФ или территориальным органом безопасности).
Результаты работы экспертной комиссии оформляются актом, утверждаемым ее председателем, в котором дается заключение о готовности (неготовности) предприятия осуществлять работы, связанные с использованием сведений, составляющих государственную тайну. Акт специальной экспертизы прилагается к заявлению о выдаче лицензии, которое направляется предприятием в ФСБ РФ или территориальный орган безопасности.
Специальная экспертиза проводится по договору между предприятием и органом лицензирования или проводящим ее аттестационным центром. Основанием для заключения предприятием договора на проведение специальной экспертизы с ФСБ РФ, территориальным органом безопасности или аттестационным центром является уведомление предприятия ФСБ РФ или территориальным органом безопасности о проведении специальной экспертизы.
Государственная аттестация руководителей предприятий осуществляется органами, уполномоченными вести лицензионную деятельность, а также органами, руководители которых наделены полномочиями по отнесению к государственной тайне сведений относительно подведомственных предприятий. Методические рекомендации по организации и проведению государственной аттестации руководителей предприятий разрабатывает Межведомственная комиссия по защите государственной тайны.
Особый порядок организации и проведения экспертиз установлен в отношении предприятий, учреждений и организаций, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, предназначенных для эксплуатации в российских загранучреждениях, а также осуществлением в них мероприятий или оказанием услуг по защите государственной тайны. Специальные экспертизы таких предприятий организуются Комиссией Службы внешней разведки РФ по лицензированию К работе в них привлекаются специалисты, компетентные в соответствующих областях защиты государственной тайны (режим секретности, противодействие иностранным техническим разведкам, защита информации от утечки по техническим каналам) и имеющие необходимую форму допуска.
§ 5. Сертификация средств защиты информации
Средства защиты информации, находящейся в режиме государственной тайны, должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Согласно ст. 28 Закона РФ "О государственной тайне" организация сертификации средств защиты информации возлагается на Гостехкомиссию РФ, ФСБ РФ, ФАПСИ, Минобороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. В развитии Закона РФ "О государственной тайне" Постановлением Правительства РФ от 26 июня 1995 г. № 608 утверждено Положение о сертификации средств защиты информации. Данное Положение устанавливает общий порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Согласно Положению средствами защиты информации являются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Система сертификации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам. Системы сертификации создаются Гостехкомиссией РФ, ФАПСИ, ФСБ РФ, Минобороны РФ, СВР РФ. В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией по защите государственной тайны положения об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Так, ФСБ РФ создана система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ).
Основные цели создания, организационная структура системы сертификации СЗИ-ГТ, порядок проведения сертификации этих средств, порядок регистрации сертифицированных средств, а также порядок проведения инспекционного контроля за сертифицированными средствами установлены Положением о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденным приказом ФСБ РФ от 13 ноября 1999 г. № 564.
Основными целями создания данной системы сертификации являются:
– обеспечение национальной безопасности в сфере информации;
– формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;
– содействие формированию рынка защищенных информационных технологией и средств их обеспечения;
– регулирование и контроль разработки, а также последующего производства средств защиты информации;
– содействие потребителям в компетентном выборе средств защиты информации;
– защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
– подтверждение показателей качества продукции, заявленных изготовителями.
Органы по сертификации системы СЗИ-ГТ проводят обязательную сертификацию средств защиты информации, используемых при работе со сведениями, составляющими государственную тайну, в том числе иностранного производства. Номенклатура СЗИ-ГТ разрабатывается ФСБ РФ на основании видов средств защиты информации, подлежащих сертификации в системе сертификации СЗИ-ГТ, и утверждается по согласованию с Межведомственной комиссией по защите государственной тайны.
По инициативе разработчика, изготовителя или потребителя может проводиться добровольная сертификация средств защиты информации, не предназначенных для работы со сведениями, составляющими государственную тайну.
Сертификация СЗИ-ГТ осуществляется аккредитованными органами по сертификации, а испытания проводятся в аккредитованных испытательных центрах или лабораториях. Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ РФ и Межведомственной комиссией по защите государственной тайны.
Организационную структуру данной системы сертификации образуют:
– ФСБ РФ (федеральный орган исполнительной власти, уполномоченный проводить работу по обязательной сертификации средств защиты информации);
– центральный орган системы сертификации (создается при необходимости);
– органы по сертификации СЗИ-ГТ;
– испытательные центры (лаборатории);
– учебно-методический центр;
– заявители (разработчики, изготовители, продавцы, потребители СЗИ-ГТ).
ФСБ РФ в пределах своей компетенции осуществляет, в частности, функции по:
– созданию системы сертификации и установлению правил проведения сертификации;
– представлению на государственную регистрацию в Госстандарт РФ системы сертификации СЗИ-ГТ и ее знаки соответствия;
– организации функционирования системы сертификации;
– определению номенклатуры СЗИ-ГТ;
– установлению правил аккредитации и выдачи лицензий на проведение работ по сертификации;
– утверждению нормативных документов, на соответствие которым проводится сертификация СЗИ-ГТ в системе сертификации, и методических документов по проведению сертификационных испытаний.
– ведению государственного реестра сертифицированных средств защиты информации, аккредитованных в системе сертификации СЗИ-ГТ, органов по сертификации и испытательных центров (лабораторий), других участников сертификации, а также выданных и аннулированных сертификатов соответствия и лицензий на применение знака соответствия.
Органы по сертификации СЗИ-ГТ в пределах установленной области аккредитации, в частности:
– проводят идентификацию средств защиты информации;
– определяют схему сертификации конкретных средств защиты;
– разрабатывают предложения по номенклатуре СЗИ-ГТ;
– оформляют экспертное заключение по сертификации СЗИ-ГТ, сертификаты соответствия и лицензии на применение знака соответствия и представляют их в ФСБ РФ для регистрации в государственном реестре;
– выдают сертификаты соответствия и лицензии на применение знака соответствия;
– представляют заявителю перечень испытательных центров (лабораторий), в которых могут проводиться испытания конкретного СЗИ-ГТ;
– приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия.
Испытательные центры (лаборатории) в пределах установленной области аккредитации, в частности:
– разрабатывают, утверждают программы и методики проведения сертификационных испытаний;
– осуществляют отбор образцов СЗИ-ГТ для проведения сертификационных испытаний;
– осуществляют сертификационные и инспекционные испытания СЗИ-ГТ, оформляют технические заключения и протоколы сертификационных испытаний;
– обеспечивают сохранность образцов СЗИ-ГТ и конфиденциальность информации.
Учебно-методический центр:
– осуществляет подготовку, переподготовку и повышение квалификации кадров;
– осуществляет подготовку и аттестацию экспертов;
– участвует в разработке и совершенствовании нормативных и методических документов в системе сертификации СЗИ-ГТ.
Заявители (разработчики, изготовители, продавцы) должны иметь лицензию на соответствующий вид деятельности и обязаны, в частности:
– применять сертификат и знак соответствия СЗИ-ГТ, руководствуясь правилами системы сертификации;
– указывать в сопроводительной технической документации сведения о сертификате на СЗИ-ГТ, обеспечивать доведение этой информации до потребителя;
– принимать меры для обеспечения стабильности характеристик СЗИ-ГТ, определяющих безопасность информации;
– извещать орган по сертификации, проводивший сертификацию, обо всех изменениях в технологии, конструкции (составе) сертифицированного СЗИ-ГТ и технической документации на него для принятия решения о необходимости проведения повторной сертификации данного СЗИ-ГТ.
Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ-ГТ в своей области аккредитации.
Проведению сертификации предшествует подача заявки на сертификацию, осуществляемая заявителем. Заявка с указанием схемы проведения сертификации, государственных стандартов и иных нормативно-методических документов направляется в орган по сертификации, который обязан в десятидневный срок передать копию заявки на проведение сертификации продукции в ФСБ РФ.
В месячный срок после получения заявки орган по сертификации СЗИ-ГТ направляет заявителю решение на проведение сертификации, в котором указывается перечень испытательных центров, область аккредитации которых позволяет проводить сертификационные испытания данного СЗИ-ГТ.
После получения решения заявитель представляет средство защиты в испытательный центр или (в отдельных случаях) в орган по сертификации. Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром.
Результаты испытаний оформляются протоколами и техническим заключением, которые направляются органу по сертификации и заявителю.
Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение. При соответствии результатов испытаний требованиям нормативных документов данный орган оформляет сертификат соответствия и лицензию на применение знака соответствия, которые вместе с копией экспертного заключения направляет в ФСБ РФ для регистрации в государственном реестре. Срок действия сертификата соответствия устанавливается не более чем на пять лет.
Заявителю сертификат соответствия и лицензия на применение знака соответствия выдаются после их регистрации в государственном реестре системы сертификации СЗИ-ГТ.
Инспекционный контроль за сертифицированными СЗИ-ГТ осуществляет орган по сертификации, проводивший сертификацию с привлечением в случае необходимости испытательного центра.
Глава XI
Правовые вопросы обеспечения информационной безопасности
Дополнительная литература
Бачило И. Л. Методология решения правовых проблем в области информационной безопасности // Информатика и вычислительная техника. 1992. № 2–3; Волокитин А. В., Копылов В. А. Информационная безопасность и информационное законодательство // Сборник научно-технической информации. Сер. 1 1996. № 7; Фатьянов А. А. Концептуальные основы обеспечения безопасности на современном этапе // Безопасность информационных технологий. 1999. № 1. С. 26–40; Ярочкин В. И. Информационная безопасность. Учебное пособие. М., 2000; Бачило И. П., Лопатин В. И., Федотов М. А. Информационное право: Учебник/ Под ред. акад. Б. Н. Топорнина. СПб. 2001. С. 408–480; Копылов В. А. Информационное право: Учебник. М., 2002. С. 218–231.
§ 1. Понятие информационной безопасности, основные задачи и методы ее обеспечения
Понятие информационной безопасности. Понятие информационной безопасности в российской юридической терминологии не является устоявшимся по причине отсутствия единого методологического основания, на базе которого только и могут быть определены его сущность, степень необходимости использования и границы применения. К сожалению, это методологическое основание до сих пор не выработано, что отчетливо проявляется не только в обсуждении понятия информационной безопасности на страницах учебных и научных изданий, но и в текстах официальных документов, в том числе нормативных актов.
Легальное определение информационной безопасности сформулировано в ст. 2 Федерального закона "Об участии в международном информационном обмене", согласно которой это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Данное определение со значительными содержательными изменениями получило развитие в Доктрине информационной безопасности Российской Федерации (далее – Доктрина), являющейся совокупностью официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности государства. В соответствии с п. 1 Доктрины под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.