Основы ИБ

ционной процедурой является специальная экспертиза, в данном случае лицензирующий орган (ФСТЭК) проводит лишь проверку полноты и достоверности сведений о соискателе лицензии. В срок, не превышающий 45 дней с даты поступления полного пакета докумен-

тов, лицензирующий орган принимает решение о предоставлении или об отказе в предос-

тавлении лицензии.

Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления документа,

подтверждающего наличие лицензии, с приложением аналогичного пакета документов.

Переоформление документа, подтверждающего наличие лицензии, осуществляется в по-

рядке и сроки, установленные статьей 11 Федерального закона «О лицензировании от-

дельных видов деятельности» [7.13]. Оно предусмотрено для случаев реорганизации ли-

цензиатов - юридических лиц в форме слияния или реорганизации лицензиата - юридиче-

ского лица в форме преобразования, изменения его наименования, места нахождения либо изменения имени, фамилии или места жительства индивидуального предпринимателя, а

также в случае изменения адресов мест осуществления лицензиатом - юридическим лицом или индивидуальным предпринимателем лицензируемой деятельности. В таких случаях заявитель обязан не позднее чем через пятнадцать дней подать заявление о переоформле-

нии документа, подтверждающего наличие лицензии, с приложением документов, под-

тверждающих указанные изменения или утрату документа, подтверждающего наличие лицензии. При переоформлении документа, подтверждающего наличие лицензии, лицен-

зирующий орган вносит соответствующие изменения в реестр лицензий. Переоформление документа, подтверждающего наличие лицензии, осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления.

В случае выявления неоднократных нарушений или грубого нарушения лицензиа-

том лицензионных требований и условий действие лицензии приостанавливается лицен-

зирующим органом с установлением срока устранения нарушений, не превышающим шести месяцев. При этом под грубым нарушением лицензионных требований и условий понимается невыполнение лицензиатом требований и условий, предусмотренных указан-

ными выше подпунктами «а», «в» - «д». В течение установленного срока лицензиат обя-

зан уведомить в письменной форме лицензирующий орган об устранении им нарушений,

повлекших за собой приостановление действия лицензии. Лицензирующий орган в трех-

дневный срок после получения соответствующего уведомления и проверки принимает решение о возобновлении ее действия и сообщает об этом в письменной форме лицензиа-

ту. Срок действия лицензии на время приостановления ее действия не продлевается.

45

В отличие от области защиты государственной тайны, где предусмотрена возмож-

ность административного порядка досрочного аннулирования лицензии, в рассматривае-

мой области лицензия может быть аннулирована лишь на основании судебного решения,

принимаемого по заявлению лицензирующего органа.

Лицензия в области технической защиты конфиденциальной информации теряет юридическую силу в случае ликвидации юридического лица или прекращения его дея-

тельности в результате реорганизации, за исключением его преобразования.

В заключение данного раздела следует отметить, что, несмотря на то, что лицензирующие органы могут проводить только документальную проверку, положитель-

ное решение о выдаче лицензии возможно лишь в случае серьезной предварительной под-

готовки соискателя, связанное с проведением работ по аттестации помещений и автомати-

зированных систем по требованиям безопасности информации. Конкретизация условий и порядка выполнения таких требований должна содержаться в соответствующих норма-

тивно-методических документах, разработанных ФСТЭК России в развитие положения,

утвержденного Постановлением Правительством Российской Федерации от 15 августа

2006 г. [7.19]

Уже существует хорошо отработанная практика проведения таких работ в виде так называемой аттестации объектов информатизации (ОИ) по требованиям безопас-

ности информации, которая в государственной системе защиты информации является обя-

зательной. Организацию этой деятельности также осуществляет ФСТЭК России как пра-

вопреемник Государственной технической комиссии при Президенте Российской Федера-

ции.

7.4.4 Аттестация объектов информатизации

Нормативной основой организации мероприятий по аттестации ОИ по тре-

бованиям безопасности информации является соответствующее положение, утвержденное Председателем Государственной технической комиссии при Президенте Российской Фе-

дерации 25 ноября 1994 г. [7.20].

Под аттестацией ОИ понимается комплекс организационно-технических мероприя-

тий, в результате которых посредством специального документа - «Аттестата соответст-

вия» подтверждается, что объект соответствует тpебованиям стандартов или иных норма-

тивно-технических документов по безопасности информации, утвержденных уполномо-

ченными органами государственной власти. Наличие на ОИ действующего «Аттестата со-

ответствия» дает право обpаботки инфоpмации с установленным уpовнем секpетности

(конфиденциальности) и на пеpиод вpемени, установленными в «Аттестате соответствия».

46

Обязательной аттестации в соответствии с рассматриваемым положением подлежат ОИ, предназначенные для обработки информации, составляющей государственную тайну,

управления экологически опасными объектами, ведения секретных переговоров. В ос-

тальных случаях аттестация носит добровольный характер (добровольная аттестация) и

может осуществляться по инициативе заказчика или владельца ОИ. Аттестация по тpебованиям безопасности инфоpмации пpедшествует началу обpаботки подлежащей за-

щите информации и вызвана необходимостью официального подтверждения эффективно-

сти комплекса используемых на конкретном ОИ мер и средств защиты инфоpмации.

При аттестации ОИ подтвеpждается его соответствие тpебованиям по защите инфоpмации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воз-

действиях на объект (высокочастотное навязывание и облучение, электромагнитное и ра-

диационное воздействие), от утечки или воздействия на нее за счет специальных уст-

ройств, встроенных в ОИ.

Аттестация предусматривает комплексную проверку (аттестационные испытания)

защищаемого ОИ в реальных условиях эксплуатации с целью оценки соответствия приме-

няемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбирае-

мой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

анализ исходных данных по аттестуемому ОИ;

предварительное ознакомление с аттестуемым ОИ;

проведение экспертного обследования ОИ и анализ разработанной документации по защите инфоpмации на этом объекте с точки зрения ее соответствия тpебованиям нор-

мативной и методической документации;

проведение испытаний отдельных средств и систем защиты инфоpмации на атте-

стуемом ОИ с помощью специальной контрольной аппаратуры и тестовых средств;

проведение испытаний отдельных средств и систем защиты инфоpмации в испыта-

тельных центрах (лабораториях) по сертификации средств защиты информации по

тpебованиям безопасности инфоpмации;

проведение комплексных аттестационных испытаний ОИ в реальных условиях экс-

плуатации;

анализ результатов экспертного обследования и комплексных аттестационных ис-

пытаний ОИ и утверждение заключения по результатам аттестации.

47

Анализ вышеприведенных выдержек из положения об аттестации объектов информатизации показывает, что, хотя данная инфраструктура в свое время создавалась как элемент государственной системы сертификации в области защиты информации, фак-

тически она является не чем иным как практически действующей системой аудита ин-

формационной безопасности в части противодействия технической разведке и утечке ин-

формации по техническим каналам. Поэтому можно полагать, что структура и основные организационные процедуры подобной аттестации и в будущем останутся без особых из-

менений.

Организационную структуру системы аттестации объектов информатизации

образуют:

федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК как правопреемник Гостехкомиссии России;

органы по аттестации объектов информатизации по требованиям безопасности ин-

формации;

испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

заявители (заказчики, владельцы, разработчики аттестуемых объектов информати-

зации).

Основу аттестации составляют соответствующие испытания объекта информатиза-

ции. На этом этапе:

осуществляется анализ организационной структуры объекта информатизации, ин-

формационных потоков, состава и структуры комплекса технических средств и про-

граммного обеспечения, системы защиты инфоpмации на объекте, разработанной документации и ее соответствия тpебованиям нормативной документации по защи-

те инфоpмации;

определяется правильность категорирования объектов ЭВТ и классификации авто-

матизированных систем при их аттестации, выбора и применения сертифицирован-

ных и несеpтифициpованных средств и систем защиты инфоpмации;

проводятся испытания несеpтифициpованных средств и систем защиты инфоpмации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

проверяется уровень подготовки кадров и распределение ответственности персона-

ла за обеспечение выполнения требований по безопасности инфоpмации;

48

проводятся комплексные аттестационные испытания ОИ в реальных условиях экс-

плуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обpаботки защищаемой инфоpмации;

оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведе-

нию системы защиты ОИ в соответствие с установленными требованиями и совер-

шенствованию этой системы, а также рекомендациями по контролю за функциони-

рованием ОИ.

Заключение по результатам аттестации с краткой оценкой соответствия ОИ

требованиям по безопасности информации, и выводом о возможности выдачи "Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя.

"Аттестат соответствия" выдается владельцу аттестованного ОИ органом по атте-

стации на период, в течение которого обеспечивается неизменность условий функциони-

рования ОИ и технологии обработки защищаемой информации, могущих повлиять на ха-

рактеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработ-

ки информации, средства и меры защиты), но не более чем на 3 года.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, кото-

рый принимает решение о необходимости проведения дополнительной проверки эффек-

тивности системы защиты ОИ.

При несоответствии аттестуемого объекта требованиям по безопасности информа-

ции и невозможности оперативно устранить отмеченные аттестационной комиссией не-

достатки, орган по аттестации принимает решение об отказе в выдаче "Аттестата соответ-

ствия".

В настоящее время предусмотрен исключительно административный порядок раз-

решения конфликтных ситуаций путем подачи апелляций в вышестоящий орган по атте-

стации или непосредственно в ФСТЭК России.

7.5 Техническое регулирование в области защиты информации

В отличие от процедур лицензирования, регламентирующих контроль вы-

полнения нормативно установленных требований к хозяйствующим субъектам по отдель-

ным видам экономической деятельности, система технического регулирования в целом

49

является более объемной и сложно организованной инфраструктурой. Само понятие «тех-

ническое регулирование» как определенная совокупность правовых норм, в корне изме-

нивших отечественную систему оценки соответствия (сертификации) продукции, работ и услуг, вошло в практику правотворческой деятельности всего лишь несколько лет тому назад. Официальным фактом «рождения» (легализации) этого понятия является вступле-

ние в силу Федерального закона от 27 декабря 2002 г. «О техническом регулировании»

[7.21]. Закон устанавливает основные принципы и является главным системообразующим элементом законодательства Российской Федерации в области технического регулирова-

ния. Согласно статье 2 упомянутого закона техническое регулирование - правовое регули-

рование отношений на основе трех крупных инфраструктурных составляющих, преду-

сматривающих правовой порядок:

разработки, принятия, применения и исполнения требований, обязательных для всех участников рассматриваемых производственных отношений;

разработки, принятия и применения требований, принимаемых участниками произ-

водственных отношений на добровольной основе. В этой части положения закона дополнительно распространяются и на сферу выполнения работ и оказания услуг;

оценки соответствия, под которой в соответствии с законом понимается «прямое или косвенное определение соблюдения требований, предъявляемых к объекту» регулирования.

Что же нового вносит рассматриваемый закон в существовавший до сих пор порядок государственного регулирования в области оценки соответствия? До его выхода законодательство устанавливало подтверждение соответствия (сертификацию) на основе законов о стандартизации и о сертификации продукции, работ и услуг. В них предусмат-

ривалось наделение органов государственной власти полномочиями по организации под-

тверждения соответствия (сертификации), которая проводилась на предмет выполнения требований нормативных документов, принимаемых на уровне уполномоченных ФОИВ

(министерств или ведомств). Основу таких требований составляли положения государст-

венных стандартов (так называемых ГОСТов), утверждаемых Госстандартом как органом государственной власти, уполномоченным в области метрологии и стандартизации. Все требования ГОСТ и других руководящих документов были обязательны к применению, а

их исполнение обеспечивалось предусмотренной законодательством государственной системой сертификации, в рамках которой были апробированы достаточно действенные организационные механизмы и процедуры подтверждения соответствия.

Новый закон существенно изменил суть и содержание оценки соответствия, под

которой в настоящее время понимается «документальное удостоверение соответствия

50

продукции или иных объектов, процессов производства, эксплуатации, хранения, пере-

возки, реализации и утилизации, выполнения работ или оказания услуг требованиям тех-

нических регламентов, положениям стандартов или условиям договоров». То есть, наряду со стандартами закон вводит новый вид нормативного правового документа - технический регламент, «… который принят международным договором Российской Федерации, ра-

тифицированным в порядке, установленном законодательством Российской Федерации,

или федеральным законом, или указом Президента Российской Федерации, или постанов-

лением Правительства Российской Федерации, и устанавливает обязательные для приме-

нения и исполнения требования к объектам технического регулирования".

При этом положения государственных стандартов и других руководящих документов отраслевого уровня получают правовой режим лишь в целях добровольного применения, так как «стандарт - документ, в котором в целях добровольного многократ-

ного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализа-

ции и утилизации, выполнения работ или оказания услуг. Стандарт также может содер-

жать требования к терминологии, символике, упаковке, маркировке или этикеткам и пра-

вилам их нанесения». В соответствии с этим определением «стандартизация - деятель-

ность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ или ус-

луг». Иными словами, сфера стандартизации теперь ограничена в основном вопросами унификации и совместимости, хотя и связанными, но не имеющими прямого отношения к проблеме обеспечения безопасности.

Таким образом, в общем случае решение вопросов метрологии и стандарти-

зации отдается на откуп саморегулированию (рыночной конкуренции), а главной заботой государства становится решение проблем обеспечения безопасности в соответствии с обя-

зательными требованиями, которые должны быть сосредоточены в федеральных техниче-

ских регламентах, имеющих силу нормативного правого акта.

В настоящее время в целом отечественная инфраструктура технического ре-

гулирования находится лишь в самой начальной стадии реформирования, поэтому задача формирования принципиально новых организационных процедур подтверждения соответ-

ствия в области информационной безопасности – дело достаточно отдаленного будущего.

В ближайшей перспективе, по крайней мере, на период до 2011 года, организация проце-

дур сертификации будет основываться на исключениях закона о техническом регулирова-

нии, позволяющих сохранить определенный объем полномочий ФОИВ по организации

51

обязательной сертификации средств защиты информации. Они установлены в статье 5 закона о техническом регулировании, определяющей его особенности в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

1. Обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безо-

пасности, обороны, внешней разведки, противодействия техническим разведкам и тех-

нической защиты информации, … и (или) государственными контрактами (договорами). 2. Особенности технического регулирования в части разработки и установления

обязательных требований государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, …, в отношении продукции (работ, услуг), объектов, указанных в пункте 1 настоящей статьи, … устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями.

Установленные в статье 5 исключения представляются вполне обоснованными, так как данная сфера защиты государственной тайны и других категорий информации ограниченного доступа подлежит обязательному государственному регулированию и не может быть отдана целиком на откуп рыночным отношениям.

Таким образом, с учетом исключений статьи 5 закона о техническом регулировании на протяжении достаточно длительного периода сохраняют свое действие соответствующие системы сертификации, предусмотренные законодательством о государственной тайне, а организационные процедуры, успешно апробированные в рамках таких систем, могут также лечь в основу будущих систем добровольной сертификации в рассматриваемой области.

7.5.2 Организационная схема сертификации средств защиты информации

Действующие системы сертификации технических средств защиты информации функционируют на основе соответствующего положения, утвержденного постановлением Правительства Российской Федерации от 26.06.1995 г. №608 [7.22](с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808). В соответствии с этим положением обязательная сертификация проводится в рамках некоторых систем сертификации, представляющих собой установ-

52

ленную совокупность, объектов и субъектов (участников) сертификации, а также правил ее проведения. К объектам обязательной сертификации отнесены технические, крипто-

графические, программные и другие средства, предназначенные для защиты сведений, со-

ставляющих государственную тайну, средства, в которых они реализованы, а также сред-

ства контроля эффективности защиты информации.

Участниками сертификации средств защиты информации являются: феде-

ральный орган по сертификации; центральный орган системы сертификации (создавае-

мый при необходимости) - орган, возглавляющий систему сертификации однородной про-

дукции; органы по сертификации средств защиты информации - органы, проводящие сер-

тификацию определенной продукции; испытательные лаборатории - лаборатории, прово-

дящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции; изготовители - продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств за-

щиты информации и испытательные лаборатории проходят аккредитацию на право про-

ведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по серти-

фикации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности Координацию работ по организации сертификации средств защиты информации осуществляет Межве-

домственная комиссия по защите государственной тайны (МВК по гостайне).

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Пра-

вительством Российской Федерации и федеральными органами исполнительной власти в пределах их компетенции.

Федеральными органами по сертификации средств защиты информации явля-

ются ФСБ, ФСТЭК, Минобороны и СВР России, уполномоченными проводить соответст-

вующие работы в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации

Главными особенностями отдельных систем сертификации, утвержденных в развитие рассмотренного правительственного постановления, является более четкое уточ-

нение и разграничение различных видов средств защиты информации, относящихся к той или иной системе сертификации. В качестве примера можно привести следующие межве-

домственные системы сертификации, действующие в настоящее время:

53

СЗИ-ГТ на основании Положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, утвержденного Приказом Директора ФСБ России от 13.11.99 г. № 564 [7.23];

СЗИИ по требованиям безопасности информации в соответствии с Положением, утвержденным Приказом Председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199 [7.24].

7.6Организационные структуры объектового уровня

Основной объем организационной деятельности, обеспечивающей функционирование и эксплуатацию комплексов обеспечения информационной безопасности, осуществляется на рабочих местах в различных объектах управленческой деятельности: органе государственной власти, корпорации, предприятии, учреждении, компании, фирме и других бизнес-структур как государственной, так и негосударственной формы собственности. Множественность таких форм, различие в целях, задачах, объемах и функциях деятельности на объектовом уровне не позволяют дать общепринятую схему их классификации. Поэтому в качестве примера рассмотрим лишь государственную систему защиты информации, в которой можно выделить следующие типовые структурные объекты деятельности по обеспечению информационной безопасности [7.32]:

службы контроля, надзора и обеспечения безопасности в аппаратах органов государственной власти;

специализированные предприятия и организации – лицензиаты в различных областях компетенции уполномоченных ФОИВ как разработчики средств и поставщики услуг по защите информации;

сертификационно-испытательные центры;

аттестационные центры;

службы безопасности и защиты информации объектового уровня.

Такой же подход применим и для объектов негосударственной формы собственности, хотя и не описывает все возможные варианты и виды предпринимательской и общественной деятельности. Каждый из указанных выше объектов имеет свой набор и перечень выполняемых функций, определяющих специфику соответствующей организационной деятельности.

Орган государственной власти. Службы контроля и надзора

54