Щерба В.В. Криптографическая защита информации

111

тронный требуют адекватного законодательного подкрепления. Здесь, несомненно, одной из актуальнейших проблем является придание законного статуса различного рода электронным документам и данным, подтверждение их юридической силы. В связи с этим трудно переоценить значимость принятия в 2002 г. Федерального закона «Об электронной цифровой подписи», установившего правовые условия

ееприменения в электронных документах.

Вматериалах настоящей лекции рассматриваются основные аспекты организационно-правового регулирования применения криптографических средств защиты информации. Для изучения предлагаются следующие учебные вопросы:

1. Лицензирование в сфере криптографической защиты информации.

2. Сертификация в сфере криптографической защиты информации.

Лицензирование в сфере криптографической защиты информации

Сегодня можно с уверенностью утверждать, что в нашей стране в сфере информационных технологий сформировался вполне самостоятельный сегмент защиты информации. В качестве одного из факторов, препятствующих его развитию, иногда отмечается наличие «избыточных административных барьеров». При этом под избыточными барьерами подразумевается сама процедура лицензирования соответствующих видов деятельности. Справедливости ради следует отметить, что это звучит не только в отношении деятельности в области криптографической защиты информации. Чтобы более полно осветить суть проблемы, обратимся к истории.

Как известно, в 90-х годах XX в. любая деятельность, связанная с криптографией, являлась исключительной прерогативой специальных служб и их подведомственных предприятий. Деятельность эта была засекречена, и даже само появление слова «криптография» в открытых источниках было невозможным. После того как в нашей стране произошли перемены и был взят курс на реформирование практически всех общественных отношений, завеса секретности была снята и с криптографии. Стремительное развитие информационных технологий требовало ее применения в сфере защиты информации. В этой ситуации, как показало время, было принято единственно правильное решение о недопустимости «анархии» в сфере информационной безопасности, что, к сожалению, имело место в ряде других областей

112

экономики. Печальные последствия резкого перехода к «свободному рынку» хорошо известны, и в начале 90-х годов XX в. подобные тенденции стали проявляться и в рассматриваемой сфере.

Как уже отмечалось, в 1993 г. государственные регулирующие функции в отношении рынка защиты информации, в частности криптографической защиты информации, стали реформироваться.

Вначале 1994 г. Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. Одновременно Правительством было принято постановление от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности». Это постановление явилось ключевым нормативным актом вплоть до принятия Государственной Думой одноименного закона. Постановление распространило механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы.

Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным Собранием Российской Федерации в 1995 г. закона «Об информации, информатизации и защите информации». Этим законом введены основные понятия и термины в области защиты информации; определены основные цели ее защиты. В частности, для государственных организаций, обрабатывающих информацию ограниченного доступа, установлено требование обязательного использования сертифицированных информационных систем и соответствующих средств защиты. В том же году вышел Указ Президента Российской Федерации № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Указ запретил любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации без лицензии Федерального агентства правительственной связи и информации России (ФАПСИ).

Всентябре 1998 г. был принят Федеральный закон «О лицензировании отдельных видов деятельности», который ввел единый порядок

113

лицензирования, а также определил виды лицензируемой деятельности в области криптографической защиты информации.

Вапреле 2000 г. Постановлением Правительства Российской Федерации № 326 «О лицензировании отдельных видов деятельности» лицензирование указанных видов деятельности отнесено к исключительной компетенции Федерального агентства.

Вавгусте 2001 г. взамен действующего с 1998 г. закона принят новый Федеральный закон «О лицензировании отдельных видов деятельности», вступивший в силу 10 февраля 2002 г. В соответствии с его нормами (ст. 17) лицензированию, в частности, подлежат следующие виды деятельности:

– деятельность по распространению шифровальных (криптографических) средств;

– деятельность по техническому обслуживанию шифровальных (криптографических) средств;

– предоставление услуг в области шифрования информации;

– разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

– деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей.

Анализируя тексты двух законов «О лицензировании отдельных

видов деятельности», нового и старого, специалисты нередко отмечают1 « … тенденцию к либерализации требований к организациям, осуществляющим деятельность в области защиты конфиденциальной информации и процедуры их лицензирования. Например, закон от 1998 г. предусматривал единые требования как к организациям, специализирующимся на защите информации, содержащей сведения, составляющие государственную тайну, так и к организациям, специализирующимся на защите конфиденциальной информации. Вновь при-

1Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Законодательство Российской Федерации и криптография. М. : «Защита информации. Конфидент», 2002. № 1.

115

Рассмотрим теперь определение таких понятий, как «лицензирование» и «сертификация» в области защиты информации. К сожалению, зачастую эти термины путают; путают и объекты, к которым они относятся, и, как следствие, нормы, относящиеся к одному понятию, приписываются другому. Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (направления, виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и иными нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, состав, виды и статус которых также предписываются нормативными актами. При этом за органом, уполномоченным на проведение лицензионной деятельности, закрепляется право на осуществление контроля деятельности лицензиата. Здесь термины «деятельность», «право», «правило», «мероприятие», «статус» имеют общепризнанный смысл, их определения можно уточнить в любом толковом словаре. Важно подчеркнуть, и это вытекает из рассмотренной нами формулы, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий (передающий) кого-либо правом деятельности, и субъект, получающий указанное право. Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый (иначе процесс лицензирования вообще теряет смысл), а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и являющимися их неотъемлемой частью требованиями к заявителю. Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленные документы и удовлетворяет соответствующим критериям. В данной области мы оперируем следующими основными терминами. Лицензирование в области защиты информации – деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации и осуществлении контроля за лицензиатом. Лицензия – надлежащим образом оформленный официальный документ, который дает право на осуществление указанного в нем вида деятельности в области защиты информации в течение установ-

116

ленного срока, а также определяет условия его осуществления. Решение о выдаче лицензии – надлежащим образом оформленный официальный документ, который дает возможность оформления лицензии на указанный в нем вид деятельности с учетом оговоренных в нем условий. Заявитель в области защиты информации – предприятие, представившее документы, необходимые для получения лицензии или решения о выдаче лицензии. Требования к заявителю – комплекс определенных условий, норм и критериев, регламентирующих возможности и деятельность лицензиата, уровень производственной, испытательной, технологической, нормативно-методической базы предприятия, научный и инженерно-технический уровень персонала, а также мероприятия по обеспечению сохранности доверяемой конфиденциальной информации, соответствие которым проверяется в ходе специальной экспертизы заявителя. Лицензиат – сторона, получившая право на проведение работ в области защиты информации.

Сертификация в сфере криптографической защиты информации

Сертификация – это процесс, осуществляемый в отношении такой категории, как «изделие», когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям. В рассматриваемой области это подтверждение соответствия средства защиты информации как определенной конкретной технической реализации некоторого алгоритма заданным стандартам на этот алгоритм или описанию алгоритма, а также удовлетворения этим средством установленным требованиям по безопасности. Особо при этом следует подчеркнуть три момента. Во-первых, процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организацион- но-технические, и организационные средства и меры. Во-вторых, сертификации может подвергаться только готовое, законченное изделие. В-третьих, требования по безопасности включают количественные критерии и нормы, и поэтому, в отличие от других процедур, входящих в процесс лицензирования и сертификации, процедуры сертифи-

117

кационных испытаний базируются на формальных методах и развитой метрологической базе.

Многие термины, используемые в области сертификации, определены Федеральным законом Российской Федерации «О техническом регулировании». С учетом этого представляется целесообразным дать определения понятий, связанных с рассматриваемой проблематикой.

Сертификация средств защиты информации – деятельность по подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации. Сертификат на средство защиты информации – надлежащим образом оформленный документ, выданный по правилам системы сертификации и подтверждающий соответствие средства защиты информации требованиям по безопасности информации. Из вышеизложенного явствует, что лицензирование и сертификация представляют собой совершенно различные процессы с точки зрения их объектов и используемых методов. Однако с точки зрения технологии их осуществления эти процессы во многом идентичны: и в том и в другом случае проверяется соответствие (удовлетворение) определенным требованиям, и в том и в другом случае выходные документы оформляются и выдаются на основании заключений экспертных организаций, специально уполномоченных на проведение подобных экспертиз. Более того, в ряде случаев эти процессы тесно переплетаются, поскольку для выдачи лицензии на некоторые виды деятельности или для принятия решения о выдаче лицензии на ввоз или вывоз шифрсредств требуется проведение технической экспертизы.

В заключение раздела отметим некоторые прикладные аспекты применения рассмотренной нормативной базы. Одним из них является политика разумного протекционизма в отношении отечественных разработчиков криптографических средств защиты информации. В настоящее время группа организаций, осуществляющих разработку и производство криптографических средств защиты информации, защищенных с их помощью систем и комплексов телекоммуникаций сравнительно не многочисленна по сравнению, например, с группой организаций, специализирующихся на встраивании криптографических средств в телекоммуникационные и информационные системы, распространении конечного продукта, его техническом обслуживании. Это объясняется тем, что ранее специалистов-разработчиков (в первую очередь криптографов) специализированные учебные заведения гото-

118

вили в небольшом количестве, необходимом для нужд государства, и практический опыт, позволяющий осуществлять собственные разработки, нарабатывался коллективами таких специалистов не один год.

В целях создания благоприятного климата для деятельности отечественных разработчиков криптографических средств защиты информации и в рамках законодательства существует возможность упростить процесс реализации продукции этих организаций. Основными потребителями криптографических средств защиты информации на сегодняшний день являются организаторы корпоративных информационных систем, которые предоставляют своим клиентам услуги защищенного информационного обмена. Федеральная служба безопасности осуществляет лицензирование деятельности только организатора корпоративной системы. Использование криптографических средств защиты информации пользователями корпоративных информационных систем не требует наличия лицензии. Подобная мера, естественно, способствует повышению спроса на криптографические средства защиты информации со стороны организаторов корпоративных информационных систем, а значит, оказывает благоприятное воздействие и на деятельность разработчиков.

Как уже отмечалось, важным аспектом государственной политики является поддержка отечественных производителей криптографических средств защиты информации. Однако это не означает тотального запрета на иностранные средства. Нельзя не учитывать особенностей сложившейся международной кредитно-финансовой инфраструктуры, предусматривающих применение импортных криптографических средств защиты информации. Кроме того, на территории Российской Федерации работают представительства и филиалы иностранных компаний, которые также используют для связи с головными офисами криптографические средства защиты информации зарубежного производства.

Принимая во внимание, что подобные случаи совершенно неизбежны в процессе нормального развития отечественной экономики, Федеральная служба безопасности (ФСБ) на основе тщательного анализа каждой конкретной ситуации выдает лицензии на деятельность, связанную с использованием иностранных криптографических средств защиты информации.

Одним из актуальных моментов государственного регулирования оборота средств криптографической защиты информации, которому

119

уделяется пристальное внимание, является решение вопроса о ввозевывозе криптографических средств защиты информации или средств обработки, хранения или передачи информации, которые по кодам товарной номенклатуры могут быть отнесены к таковым и на основании законодательства Российской Федерации не пропускаются таможенными органами без разрешения ФСБ. Порядок ввоза-вывоза таких товаров следующий.

Ввоз-вывоз шифровальных средств может быть осуществлен только на основании лицензии Минэкономразвития России, выдаваемой на основании решения ФСБ о возможности его осуществления. При ввозе и вывозе товаров, классифицируемых по кодам товарной номенклатуры внешнеэкономической деятельности (ТН ВЭД) 8471, 847330, 854389900, 854390900, которые подпадают под компетенцию ФСБ, организации, ввозящие или вывозящие товары, или таможенные органы обращаются в Федеральную службу безопасности с целью проведения экспертизы товаров и получения решения о возможности их ввоза-вывоза.

Универсальной методики отнесения аппаратных, программных и аппаратно-программных средств к криптографическим средствам защиты информации не существует, что определяется сущностью самого объекта анализа. Решение вопроса о том, относится или не относится аппаратное, программное или аппаратно-программное средство к криптографическим средствам защиты информации, принимается в каждом конкретном случае по результатам технической экспертизы документации и, как правило, образцов изделия. Федеральная служба безопасности при этом руководствуется широким перечнем документов, в том числе определением шифровальных средств (средств криптографической защиты информации), данным в «Системе сертификации средств криптографической защиты информации (Системе сертификации СКЗИ)» РОСС RU.0001. 030001 от 15.11.93. и определением понятия шифра, приведенном в ГОСТ 28147-89.

Экспертиза с целью установления принадлежности конкретных изделий к шифровальным средствам проводится по запросу организации (частного лица) или таможенного органа Лицензионным и сертификационным центром ФСБ либо по его поручению аккредитованными ФСБ сертификационными испытательными центрами по получении от заинтересованной стороны необходимого комплекта документации и технических описаний, а также, как уже говорилось, образцов изделий. О результатах экспертизы заявитель уведомляется в письменном виде.

120

Библиографический список

1.Указ Президента Российской Федерации от 3 апреля 1995 г.

№334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

2.Информационная технология. Криптографическая защита информации. Функция хэширования // ГОСТ Р 34.11-94. М., 1994.

3.Процедура выработки и проверки электронно-цифровой подписи на основе асимметрического, криптографического алгоритма // ГОСТ 3410-94. М., 1994.

4.Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования // ГОСТ 28147-89. М.,

1990.

5.Алфёров А. П., Зубов А. Ю., Кузьмин А. С., Черёмушкин А. В. Основы криптографии : учебное пособие. М. : Гелиос АРВ, 2002.

6.Беззубцев О. А., Мартынов В. Н., Мартынов В. М. Законодательство Российской Федерации и криптография. М. : Защита информации. Конфидент, 2002. № 1.

7.Burmtster M., Desmedt У. A secure and efficient conference keу distribution sуstem / Advances in Crуptologу – EUROCRУPT`89. LNCS 434. 1990.