Александр Кришталюк - Правовые аспекты системы безопасности

– лицензирование деятельности предприятий по оказанию услуг в этой области;

– функции государственного органа по сертификации продукции по требованиям безопасности информации.

Государственная система защиты информации дополняется системой контроля защищенности информации в лице уполномоченных государством органов (Гостехкомиссией РФ), осуществляющих обязательный контроль за выполнением требований по защите информации, являющейся собственностью государства. Такие контрольные органы могут предоставлять для собственников негосударственной конфиденциальной информации услуги по оценке соответствия уровня защищенности этой информации установленным требованиям, о чем подробно написано в главе 19.

Необходимость существования государственной системы защиты информации и соответствующих организационных структур подтверждается не только в условиях так называемой административно-командной системы, но и в странах с развитыми рыночными отношениями. Зарождающаяся правовая основа защиты информации, приобретающая особенно большое значение в условиях сосуществования различных форм собственности, может опираться только на конкретные организационные структуры, осуществляющие законотворческую деятельность и являющиеся базой механизма реализации законов. Нельзя забывать, что и органы юстиции, являющиеся неотъемлемой принадлежностью любого государства, в случае противоправной деятельности по отношению к информации, должны опираться на определенные организационные структуры.

Важными элементами государственной системы защиты информации являются подсистемы лицензирования деятельности предприятий по оказанию услуг в области защиты информации и сертификации средств защиты информации. Функционирование указанных систем должно стимулировать разработку и внедрение современных, высококачественных технических средств и защитить потребителя продукции и услуг от недобросовестной работы исполнителя.

Система лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию). Это диктуется тем обстоятельством, что государственным и, в конечном счете, коммерческим структурам необходима доброкачественная продукция, действительно обеспечивающая защиту информации.

Система лицензирования в области защиты информации в настоящее время основана на Законе "О государственной тайне"; Положениях "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и "О государственном лицензировании деятельности в области защиты информации".

В Законе "О государственной тайне" (ст. 27) вводится новая правовая норма – обязательное лицензирование деятельности предприятий, учреждений и организаций при их допуске к выполнению работ, связанных с использованием сведений, составляющих государственную тайну; к созданию средств защиты информации, а также к осуществлению мероприятий и оказанию услуг по защите государственной тайны.

Организационную структуру системы государственного лицензирования образуют:

– государственные органы по лицензированию;

– лицензионные центры;

– предприятия, претендующие на получение лицензии;

– предприятия-потребители услуг и продукции.

Следует отметить, что указанный пакет документов предусматривает в качестве обязательного условия функционирование этой системы на предприятиях государственного сектора, которая в то же время может быть использована по желанию потребителя и на предприятиях с другими формами собственности.

Согласно положениям, предприятие-заявитель, претендующее на получение лицензии, может обратиться с соответствующей заявкой в любой из лицензионных центров по отраслевому или региональному признаку и после обследования, проведенного экспертной комиссией, учитывающей техническую оснащенность предприятия-заявителя, опыт практической работы и готовность персонала, наличие нормативно-технических документов в выбранном направлении деятельности, получить лицензию на право оказания услуг сторонним предприятиям в этой области. При этом закрепляется также положение об обязательной государственной аттестации руководителей предприятий, ответственных за защиту сведений, составляющих государственную тайну.

Следует отметить, что на проведение работ по защите информации в собственных нуждах приобретение лицензии не требуется.

Под сертификацией продукции на требования безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата и знака соответствия с определенной степенью достоверности подтверждается, что продукция соответствует требованиям стандартов по безопасности информации или иных нормативно-технических документов, утвержденных органом государственного управления в этой области (в настоящее время Гостехкомиссией РФ).

Система предусматривает сертификацию технических, программно-технических, программных средств, систем, сетей вычислительной техники, как законченной научно-технической продукции, средств защиты и контроля эффективности защиты по требованиям безопасности информации.

Основные принципы, организационная структура системы сертификации продукции по требованиям безопасности информации, а также правила проведения сертификации этой продукции изложены в "Положении о сертификации средств защиты информации".

Положение о сертификации средств защиты определяет.

1) структуру, взаимоотношения и права организаций, специализирующихся в области защиты информации;

2) необходимый комплекс сведений при решении двух практических задач, организации сертификации разработанных средств защиты; целесообразности заключения договоров о разработке и покупке средств защиты информации.

Система сертификации продукции по требованиям безопасности информации направлена на: обеспечение прав собственника и владельца информации (владельца автоматизированной системы); сохранение в тайне информации, обрабатываемой средствами вычислительной техники; исключение несанкционированного ее искажения или уничтожения; поддержание АС в управляемом состоянии. Она призвана обеспечить потребителям средств вычислительной техники (СВТ) и АС безопасную обработку любой конфиденциальной или иной ценной информации.