Основы ИБ

7.3.2 Полномочия субъектов государственной системы

Президент Российской Федерации в пределах своих конституционных полномочий осуществляет руководство деятельностью федеральных органов исполнительной власти, органами и силами по обеспечению информационной безопасности Российской Федерации; обеспечивает их согласованное функционирование и взаимодействие; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по их реализации на основе Доктрины информационной безопасности.

Совет Безопасности Российской Федерации, полномочия которого определены Указом Президента Российской Федерации от 2.08.1999г. № 949, осуществляет подготовку решений Президента по вопросам обеспечения жизненно важных интересов личности, общества и государства. Для решения проблем в рассматриваемой нами области в составе Совета Безопасности образована Межведомственная комиссия по информационной безо-

пасности с полномочиями, утвержденными Указом Президента от 19.09.1997г. № 1037. К числу ее основных задач отнесены подготовка предложений по выработке основных направлений государственной политики в области обеспечения информационной безопасности; анализ и прогнозирование ситуации в рассматриваемой области; выявление источников угроз, оценка и подготовка предложений по их предотвращению; рассмотрение проектов федеральных целевых программ обеспечения информационной безопасности; участие в подготовке материалов для ежегодного послания и докладов Президента; подготовка предложений и информационно-аналитических материалов к заседаниям Совета Безопасности по вопросам состояния и совершенствования системы обеспечения информационной безопасности.

Палаты Федерального Собрания Российской Федерации, как основные органы законодательной власти, на основе Конституции Российской Федерации, а также по представлению Президента Российской Федерации и Правительства Российской Федерации

35

формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.

Правительство Российской Федерации в пределах своих конституционных полномочий, с учетом сформулированных в ежегодных посланиях Президента Российской Федерации Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности Российской Федерации, координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации. При формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области. Властные полномочия Правительства осуществляются путем издания постановлений и распоряжений, обязательных для исполнения на всей территории Российской Федерации.

Федеральные органы исполнительной власти (ФОИВ) в пределах своей компетенции, определяемой законодательством, обеспечивают исполнение нормативных правовых актов в области обеспечения информационной безопасности Российской Федерации; разрабатывают проекты нормативных правовых актов в этой области и представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации. Основными функциями рассматриваемых органов является осуществление на основе административно-государственных методов управления правоприменительной практики, а также практическая реализация задач по обеспечению информационной безопасности критически важных (ключевых) систем информационной инфраструктуры страны.

Практическую реализацию своих полномочий ФОИВ осуществляют путем создания инфраструктурных систем (подсистем) по решению локальных задач обеспечения информационной безопасности на основе механизмов государственного лицензирования деятельности в данной области, аккредитации и аттестации предприятий, учреждений, корпораций и фирм (далее объектовый уровень) различных форм собственности.

Межведомственные и государственные комиссии создаются Президентом Российской Федерации и Правительством Российской Федерации на временной и постоянной основе с целью координации деятельности органов государственной власти по комплексному решению отдельных вопросов и направлений обеспечения информационной безопасности. Примером такого государственного органа является Межведомственная комиссия (МВК) по защите государственной тайны, создание которой предусмотрено законом о государственной тайне. Указом Президента Российской Федерации от 20.01.1996г. № 71 установлено, что эта коллегиальная структура осуществляет координацию деятельности

36

органов государственной власти всех уровней в интересах разработки и выполнения госу-

дарственных программ, нормативных и методических документов по реализации законо-

дательства о государственной тайне. Решения комиссии обязательны для исполнения все-

ми субъектами на всей территории Российской Федерации.

Органы исполнительной власти субъектов Российской Федерации взаимодейству-

ют с федеральными органами исполнительной власти по вопросам исполнения законода-

тельства Российской Федерации, решений Президента Российской Федерации и Прави-

тельства Российской Федерации в области обеспечения информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации;

вносят в федеральные органы исполнительной власти предложения по совершенствова-

нию системы обеспечения информационной безопасности Российской Федерации. К ве-

дению субъектов Федерации в информационной сфере относится информация, которая не может быть отнесена к уровню федерального управления, а также информационные сис-

темы, созданные за счет средств местных бюджетов. Именно особенности функциониро-

вания таких систем должны учитываться при задании полномочий органов исполнитель-

ной власти субъектов Федерации.

Органы судебной власти осуществляют правосудие по делам о правонарушениях,

связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объ-

единений, чьи права были нарушены в связи с деятельностью по обеспечению информа-

ционной безопасности Российской Федерации.

Иные субъекты: корпорации, предприятия, учреждения и другие хозяйствующие субъекты как государственной, так и негосударственной формы собственности, общест-

венные организации и объединения, граждане, которые, действуя в своих интересах, не-

укоснительно соблюдают законодательство Российской Федерации в области обеспечения ИБ.

Право на возможность многообразия интересов различных субъектов закреплено в Конституции Российской Федерации, согласно п.1 статьи8 которой важнейшим принци-

пом развития страны является свобода экономической деятельности. Этот принцип пред-

полагает отсутствие прямого административного вмешательства государства в деятель-

ность хозяйствующих субъектов. В то же время в соответствии с п.3 статьи 55 федераль-

ным законом могут вводиться ограничения их интересов, в частности, необходимые для

37

обеспечения обороны страны и безопасности государства. Такие ограничения устанавли-

ваются законодательством как особые правовые формы государственного регулирования.

К ним относятся лицензирование отдельных видов деятельности и связанные с ним про-

цедуры аккредитации и аттестации, а также техническое регулирование (сертификация)

производства продукции, работ и услуг.

7.4 Лицензирование деятельности в области защиты информации

7.4.1 Общие основы лицензирования

Правовую основу отечественной инфраструктуры лицензирования деятельности в области защиты информации составляют соответствующие нормы закона о государствен-

ной тайне и федеральный закон о лицензировании отдельных видов деятельности от

08.08.2001г. [7.13]. Эти законы предусматривают наделение исполнительных органов го-

сударственной власти дополнительными полномочиями по выдаче специальных разреше-

ний (лицензий) юридическому лицу или индивидуальному предпринимателю (соискате-

лям лицензии - лицензиатам) на осуществление указанного в законах конкретного вида деятельности при обязательном соблюдении установленных нормативными правовыми актами лицензионных требований и условий. Кроме выдачи разрешений лицензирующие органы организуют дополнительно комплекс мероприятий по переоформлению докумен-

тов, приостановлению и возобновлению их действия, аннулированию лицензий, контролю соблюдения лицензиатами лицензионных требований и условий, ведению реестра лицен-

зий, в котором содержится вся совокупность данных о состоянии действия конкретной лицензии каждого лицензиата.

Отсутствие лицензий на осуществление предусмотренных законодательством ви-

дов деятельности согласно статье171 Уголовного Кодекса Российской Федерации [7.14]

квалифицируется как незаконное предпринимательство и в случае крупного ущерба вле-

чет за собой уголовную ответственность. Такое же деяние в области защиты информации в соответствии с Кодексом Российской Федерации об административных правонарушени-

ях ( статья 13.13) [7.15]наказывается существенным административным штрафом с кон-

фискацией средств защиты информации или без таковой.

Всилу комплексности и специфики различных видов работ по защите информации

вданной области создано несколько организационных систем лицензирования. Поэтому хозяйствующему субъекту-соискателю (лицензиату), при охвате всего спектра видов дея-

38

тельности в рассматриваемой области необходимо иметь несколько государственных раз-

решений.

Исторически первая государственная система лицензирования в области защиты информации была создана в соответствии с действующим законом о государственной тайне [7.6]. В статье 27 этого закона к лицензируемым видам деятельности отнесены:

проведение работ с использованием сведений, составляющих государствен-

ную тайну;

создание средств защиты информации;

осуществление мероприятий и (или) оказание услуг по защите государст-

венной тайны.

Статья 17 федерального закона о лицензировании отдельных видов деятельности

[7.13], действующего вне сферы защиты государственной тайны, уточняет этот перечень применительно к другим видам работ и расширяет его на всю сферу защиты иной инфор-

мации, относимой законом к сведениям ограниченного доступа. Специальные разрешения необходимо иметь при осуществлении следующих видов деятельности:

распространение шифровальных (криптографических) средств;

техническое обслуживание шифровальных (криптографических) средств;

предоставление услуг в области шифрования информации;

разработка, производство шифровальных (криптографических) средств, защищен-

ных с использованием шифровальных (криптографических) средств информацион-

ных систем, телекоммуникационных систем;

деятельность по выявлению электронных устройств, предназначенных для неглас-

ного получения информации, в помещениях и технических средствах (за исключе-

нием случая, если указанная деятельность осуществляется для обеспечения собст-

венных нужд юридического лица или индивидуального предпринимателя);

деятельность по разработке и (или) производству средств защиты конфиденциаль-

ной информации;

деятельность по технической защите конфиденциальной информации;

разработка, производство, реализация и приобретение в целях продажи специаль-

ных технических средств, предназначенных для негласного получения информа-

ции, индивидуальными предпринимателями и юридическими лицами, осуществ-

ляющими предпринимательскую деятельность.

В развитие закона о лицензировании отдельных видов деятельности Постановлени-

ем Правительства Российской Федерации «Об организации лицензирования отдельных

39

видов деятельности» от 26 января 2006 г. в состав ФОИВ в части лицензирования указанных видов деятельности по защите информации ограниченного доступа включены ФСБ и ФСТЭК России. В сферу исключительной компетенции ФСБ России входит лицензирование всех видов деятельности в области шифрования, создания и (или) использования криптографических средств; по выявлению электронных устройств негласного съема информации; по разработке, производству и обороту спецсредств негласного получения информации. ФСТЭК России наделен исключительными полномочиями по организации лицензирования деятельности в области противодействия технической разведке и технической защиты конфиденциальной информации.

ФСБ и ФСТЭК России являются также лицензирующими органами таких видов деятельности как по разработка и (или) производство технических средств защиты конфиденциальной информации. Разграничение их полномочий установлено в соответствующем Постановлении Правительства Российской Федерации от 31.08.2006 г. № 532 [7.17], в соответствии с которым к сфере компетенции ФСБ России относятся объекты высших органов государственной власти, остальные к сфере компетенции ФСТЭК России.

Организация мероприятий по лицензированию конкретных видов деятельности проводится на основании соответствующих Постановлений Правительства Российской Федерации, предусматривающих достаточно похожие организационно-

административные процедуры, но с определенным различием в уровне и объеме лицензионных требований. Наибольшие отличия имеют процедуры в области защиты государственной тайны, правовое регулирование которой осуществляется исключительно на основе закона о государственной тайне.

8.7.4.2 Защита государственной тайны

Организационный порядок и процедуры лицензирования деятельности в области защиты государственной тайны установлен Постановлением Правительства Российской Федерации от 15.04.1995 г. № 333 [7.18] (с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 30 апреля 1997 г. № 513; от 29 июля 1998 г. № 854; от 3 октября 2002 г. № 731; от 17 декабря 2004 г. № 807), охватывающим все виды деятельности, установленные законом о государственной тайне. Органами, уполномоченными на ведение лицензионной деятельности, являются:

по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, - ФС Б и ее территориальные органы (на территории Российской Федерации), СВР (за рубежом);

40

на право проведения работ, связанных с созданием средств защиты информации, -

ФСБ ,ФСТЭК и ее территориальные органы, СВР, Минобороны России, (в пределах их компетенции);

на право осуществления мероприятий и (или) оказания услуг в области защиты го-

сударственной тайны - ФСБ и ее территориальные органы, ФСТЭК и ее территориальные органы, СВР (в пределах их компетенции).

Лицензирование деятельности предприятий, подведомственным указанным упол-

номоченным органам государственной власти, составляющих государственную тайну,

осуществляется руководителями министерств и ведомств Российской Федерации, кото-

рым подчинены указанные предприятия.

Лицензионная деятельность указанных выше уполномоченных органов, координи-

руется МВК по защите государственной тайны.

К соискателям (лицензиатам) на право осуществления деятельности в области за-

щиты государственной тайны предъявляются наиболее сложные и объемные требования,

которые включают в себя:

соответствующее оформление заявления и пакета сопроводительных документов о выдаче лицензии с указанием конкретного вида деятельности;

проведение специальных экспертиз соблюдения требований нормативно-

методических документов по обеспечению режима секретности, противодействию технической разведке, зашиты информации от утечки по техническим каналам;

государственную аттестацию руководителей организаций-лицензиатов, организуе-

мую и проводимую в соответствии с Методическими рекомендациями МВК по за-

щите государственной тайны. От этой процедуры освобождаются руководители,

имеющие свидетельство об окончании учебных заведений, уполномоченных осу-

ществлять подготовку специалистов в области защиты государственной тайны, пе-

речень которых утверждается МВК по защите государственной тайны;

наличие в структуре лицензиата подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников с достаточным уровнем квалификации. При отсутствии такого подразделения возможен вариант обеспечения данного требования по договору с третьим лицом, имеющим соответ-

ствующую лицензию на оказание услуг по защите государственной тайны;

наличие средств защиты информации, сертифицированных на соответствие требо-

ваний по защите сведений соответствующей степени секретности.

Основным элементом организационной процедуры лицензирования деятельности

по защите государственной тайны являются специальные экспертизы, которые организу-

41

ются и проводятся ФСБ, ФСТЭК, СВР, Минобороны России, другими министерствами и ведомствами Российской Федерации, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им пред-

приятий. Организация и порядок проведения специальных экспертиз предприятий опре-

деляются инструкциями, которые разрабатываются лицензирующими органами и согласо-

вываются с МВК по защите государственной тайны.

Для проведения специальных экспертиз эти государственные органы создают атте-

стационные центры, которые получают лицензии в соответствии с требованиями к лицен-

зиатам в области защиты государственной тайны.

При положительном решении о выполнении всех лицензионных требований и ус-

ловий лицензиату выдается документ установленного образца с указанием уполномочен-

ного лицензирующего органа, реквизитов лицензиата, разрешенного вида деятельности,

существенных условий ее реализации, срока действия, регистрационного номера и даты выдачи. Срок действия может быть установлен от трех до пяти лет. После окончания ус-

тановленного срока действие лицензии аннулируется или продлевается в таком же поряд-

ке, как и для ее получения.

В период срока действия лицензии уполномоченные органы осуществляют кон-

троль выполнения лицензионных требований и могут приостанавливать или досрочно ан-

нулировать ее действие по следующему исчерпывающему перечню оснований:

просьба лицензиата;

обнаружение недостоверных данных в документах, представленных лицен-

зиатом;

нарушение лицензионных требований;

невыполнение требований предписаний или распоряжений уполномоченных органов государственной власти;

приостановление деятельности или ликвидация лицензиата в соответствии с

действующим законодательством.

После изменения обстоятельств приостановления действия лицензии срок ее дей-

ствия возобновляется по решению уполномоченного лицензирующего органа.

7.4.3 Техническая защита конфиденциальной информации

Несколько иное содержание имеют организационные процедуры лицензирования,

проводимые в соответствии с законом о лицензировании отдельных видов деятельности.

В качестве примера рассмотрим порядок лицензирования в области технической защиты

42

конфиденциальной информации, установленный в соответствующем положении, утвержденным Постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504 [7.19]. В соответствии с данным документом под технической защитой конфиденци-

альной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Разрешение на организацию и проведение таких работ выдается при соблюдении следующих лицензионных требований и условий:

а) наличие в штате лицензиата специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации (квалификационные требования);

б) наличие у лицензиата помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании (наличие активов);

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию (материальная база);

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации (аттестация объектов информатизации);

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем (защита интеллектуальной собственности);

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК России (нормативная база).

Исключительной новацией в этом списке лицензионных требований является условие д), связанное с обязательством лицензиата в полной мере соблюдать при автоматизи-

43

рованной обработке конфиденциальной информации правовые нормы охраны авторского права.

Для получения лицензии соискатель направляет или представляет в лицензирую-

щий орган следующие документы:

а) заявление о предоставлении лицензии и документы (копии документов), указан-

ные в пункте 1 статьи 9 Федерального закона «О лицензировании отдельных видов дея-

тельности» [7.13];

б) копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);

в) копии документов, подтверждающих право собственности, право хозяйственно-

го ведения или оперативного управления на помещения, предназначенные для осуществ-

ления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;

г) копии аттестатов соответствия защищаемых помещений требованиям безопасно-

сти информации;

д) копии технического паспорта автоматизированной системы с приложениями, ак-

та классификации автоматизированной системы по требованиям безопасности информа-

ции, плана размещения основных и вспомогательных технических средств и систем, атте-

стата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описа-

ние технологического процесса обработки информации в автоматизированной системе;

е) копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;

ж) сведения о наличии производственного и контрольно-измерительного оборудо-

вания, средств защиты информации и средств контроля защищенности информации, не-

обходимых для осуществления лицензируемой деятельности, с приложением копий доку-

ментов о поверке контрольно-измерительного оборудования;

з) сведения об имеющихся у соискателя лицензии нормативных правовых актах,

нормативно-методических и методических документах по вопросам технической защиты информации.

Указанный перечень документов является исчерпывающим и не подлежащим рас-

ширению. В отличие от области защиты государственной тайны, где основной организа-

44