Стандатризация программных средств
p align="left">* вычислительные машины и комплексы;* персональные ЭВМ; * устройства внешней памяти, ввода-вывода и от-ображения информации; * устройства подготовки и телеобработки данных. Поскольку основу сертификации по параметрам безопасности составляют общие требования к оборудо-ванию, остановимся подробнее на специфической для средств информатизации характеристике - электромаг-нитной совместимости. Обеспечение электромагнитной совместимости за-ключается в выполнении требований по допустимым уровням электромагнитных помех, создаваемых функ-ционирующими средствами, и требований к помехоустой-чивости технических средств при воздействии внешних электромагнитных помех. Невыполнение требований электромагнитной со-вместимости приводит к неэффективному использова-нию радиочастотного спектра, являющегося хотя и не расходуемым, но ограниченным ресурсом, к различным нарушениям в работе технических средств, а в ряде слу-чаев и к аварийным ситуациям. Сертификация средств информатизации по требо-ваниям электромагнитной совместимости и параметрам безопасности возложена на Госстандарт России и прово-дится органами (центрами) сертификации, аккредито-ванными Госстандартом в рамках Системы сертифика-ции ГОСТ Р. Вы, вероятно, не раз встречали в рекламных объяв-лениях по продаже компьютеров фразу "Товар сертифи-цирован". Иногда в рекламе указывается и регистраци-онный номер сертификата соответствия, например, "Сертификат соответствия № РОСС RU.ME67.B00373". Речь в этих случаях идет именно о сертификации по тре-бованиям электромагнитной совместимости и парамет-рам безопасности. Для получения подобного сертификата изготови-тель или поставщик технических средств информатиза-ции должен обратиться в аккредитованный Госстандар-том России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответ-ствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соот-ветствующие им нормативные документы. Необходимо иметь в виду, что сертификат соот-ветствия по требованиям электромагнитной совмести-мости и параметрам безопасности является необходи-мым, но в ряде случаев недостаточным условием полно-ты сертификации средств информатизации. Это объясняется тем, что данный сертификат соот-ветствия практически не затрагивает функциональных характеристик объекта и соответствия их современным требованиям. Такой сертификат дает вам только опреде-ленную уверенность в том, что предлагаемое оборудова-ние не создает недопустимого уровня помех и безопасно в эксплуатации. Упрощенно говоря, объект может не выполнять ряда возложенных на него, согласно имеющейся документации, функций или выполнять их некачественно, но, в полном соответствии с установлен-ными правилами, может получить сертификат по элек-тромагнитной совместимости и безопасности. Сертификация средств информатизации по функ-циональным характеристикам будет рассмотрена нами в следующих разделах. Обязательная сертификация средств защиты информацииЗаконом "Об информации, информатизации и за-щите информации" определено, что информационные ресурсы, то есть отдельные документы или массивы до-кументов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и за-щите, как всякое материальное имущество собственника. При этом собственнику предоставляется право само-стоятельно, в пределах своей компетенции, устанавли-вать режим защиты информационных ресурсов и досту-па к ним. Российская Федерация и ее субъекты являются соб-ственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъек-тов Российской Федерации. Законом "Об информации, информатизации и защи-те информации" введено также понятие документиро-ванной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государ-ственной тайне, и конфиденциальную (то есть представ-ляющую коммерческую, личную, служебную и другие тайны). В соответствии с положениями этого закона соб-ственник информационных ресурсов, содержащих госу-дарственную тайну, вправе распоряжаться этой соб-ственностью только с разрешения соответствующих ор-ганов государственной власти. Таким образом, законодательно определяется не-которая категория информации, которая требует опре-деленных ограничений в ее использовании, а сама ин-формация требует защиты. Целями защиты информации упомянутый Закон определяет: * предотвращение утечки, хищения, утраты, иска-жения, подделки информации; * предотвращение угроз безопасности личности, общества, государства; * предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи-рованию, блокированию информации; * предотвращение других форм незаконного вме-шательства в информационные ресурсы и инфор-мационные системы, обеспечение правового режи-ма документированной информации как объекта собственности; * защиту конституционных прав граждан на сохра-нение личной тайны и конфиденциальности персо-нальных данных, имеющихся в информационных системах; * сохранение государственной тайны, конфиденци-альности документированной информации в соот-ветствии с законодательством; * обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме-нении информационных систем, технологий и средств их обеспечения. Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра-ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе-циальные меры, обеспечивающие контроль ее использова-ния и качества защиты. Одной из таких мер является сертификация средств защиты информации. Необходимость сертификации средств защиты, применяемых при обработке информации, составляю-щей государственную тайну, закреплены в Законе Рос-сийской Федерации "О государственной тайне". Серти-фикации подлежат защищенные технические, программ-но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель-ной сертификации подлежат средства, в том числе и ино-странного производства, предназначенные для обработ-ки информации с ограниченным доступом, и прежде все-го составляющей государственную тайну, а также ис-пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си-стемы сертифицированных средств обработки информа-ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования. Порядок сертификации средств защиты информа-ции в Российской Федерации и ее учреждениях за рубе-жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го-да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея-тельности и сферу компетенции различных государ-ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе-дерации возлагается на Гостехкомиссию России и Феде-ральное агентство правительственной связи и информа-ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве-домственную комиссию по защите государственной тайны. Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по-скольку они, в допустимых пределах, достаточно широ-ко освещаются в печати. А вот название такого государ-ственного органа, как Гостехкомиссия России, некото-рым из наших читателей, возможно, незнакомо. Государственная техническая комиссия при Пре-зиденте Российской Федерации (Гостехкомиссия Рос-сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа-цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи-ческими методами. Непосредственное подчинение Президенту Россий-ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор-поративных влияний, гарантирует соответствие ее дея-тельности высшим государственным интересам. Гостех-комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми-тетов, первые заместители (заместители) этих руководи-телей. Решения Гостехкомиссии России являются обяза-тельными для исполнения всеми органами государствен-ного управления, предприятиями, организациями и уч-реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го-сударственную или служебную тайну. Директивными документами, в частности уже упо-минавшимся Положением "О сертификации средств за-щиты информации" установлено, что: В ведении Гостехкомиссии России нахо-дится сертификация программных и тех-нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа-ции, использующих эти методы. В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор-мации: * "Система сертификации средств защиты инфор-мации по требованиям безопасности информа-ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO; * "Система сертификации средств криптографи-ческой защиты информации (СКЗИ)", разработан-ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001. Эти системы сертификации технических и про-граммных средств направлены на защиту интересов го-сударства и государственного информационного ресур-са, а также интересов и прав собственников и владельцев информации -- предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей. Добровольная сертификация по функциональным параметрамДобровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обя-зательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации. Добровольная сертификация проводится для удо-стоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных эконо-мических преимуществ. В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств ин-форматизации, руководствуясь при этом указан-ными выше соображениями. Разработчик или постав-щик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводит-ся сертификация, формируются совместно заявителем и сертификационным центром. При положительных ре-зультатах испытаний средств информатизации, пред-ставленных для сертификации, заявитель получает сер-тификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертифика-ционным центром. В случае выявления недостатков в сертифицированном изделии они обращаются не-посредственно к поставщику, который обязан обеспе-чить доработку и повторные сертификационные испы-тания. В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Си-стеме сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом Рос-сии в установленном порядке. Основные принципы организации систем сертифи-кации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", яв-ляющейся одним из важнейших инструментов проведе-ния единой государственной научно-технической поли-тики в сфере информатизации России. Лекция 8. Лицензирование деятельности в сфере информатизацииОбщие принципы организа-ции работ по лицензированию деятельности в сфере информатизации в Российской ФедерацииПредметные области лицензи-руемой деятельности. Виды деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. Лицензирование деятельно-сти по международному информационному обмену. Предметные области лицензируемой деятельностиМы уже отмечали выше, что в соответствии с при-нятой терминологией "информатизация" как предметная область представляет собой организационный социаль-но-экономический и научно-технический процесс созда-ния условий для удовлетворения информационных по-требностей, базирующийся на массовом применении но-вых информационных технологий. В интересах госу-дарства и граждан отдельные виды предприниматель-ской деятельности в области информатизации целесооб-разно ограничить, т. е. на определенных условиях ввести разрешительную систему (лицензирование). Лицензирование должно ограничивать следующие виды деятельности: * создание и применение информационных техно-логий, включая программы для ЭВМ и другие ком-поненты средств информатизации; * формирование информационных ресурсов на основе использования современных информацион-ных технологий; * оказание услуг по информационному обеспе-чению потребителей информационных ресурсов при соблюдении требований безопасности для го-сударства, организаций, граждан, необходимых для предотвращения и ликвидации техногенных, ин-формационных и экономических угроз и их послед-ствий в сфере информатизации. За рубежом большое внимание уделяется вопросам защиты государственных информационных ресурсов, где обязательному лицензированию подлежат виды дея-тельности по защите информации и информационных ресурсов, организации доступа к базам данных и сетям передачи данных. Кроме того, лицензируется предостав-ление услуг в части использования программных про-дуктов. Принятый в России Закон "О лицензировании от-дельных видов деятельности" не распространяется на отношения, возникающие в связи с использованием ре-зультатов интеллектуальной деятельности. Поэтому в настоящее время разрешительная система на определен-ных условиях для вышеперечисленных видов деятель-ности регламентируется законодательством, регули-рующим сертификацию, патентным законодательством, законами об авторском праве и смежных правах, а также законом, определяющим участие в международном ин-формационном обмене. Проблема лицензирования отдельных элементов деятельности в сфере информатизации поставлена в Законе "Об информации, информатизации и защите инфор-мации": * в п. 4 ст. 7 указано, что для решения проблемы качественного формирования государственных ин-формационных ресурсов необходимо разработать и внедрить в практику порядок лицензирования дея-тельности организаций, специализирующихся на формировании государственных информационных ресурсов на основе договоров с соответствующими органами власти; * в п. 4 ст. 11 указано, что осуществление лицензи-онной деятельности в области работы с персональ-ными данными в связи с особенностями этой дея-тельности нуждается в дополнительном правовом регулировании; * в п. 3 ст. 19 указано, что организации, выполняю-щие работы в области проектирования, производ-ства средств защиты информации и обработки пер-сональных данных, должны получать лицензию на этот вид деятельности. Указанными статьями установлено, что порядок лицензирования определяется законодательством Рос-сийской Федерации. В тех случаях, когда разрешение на использование технических решений (изобретений, ноу-хау) дается не государством, а коллективным или индивидуаль-ным субъектом - собственником или, по поручению последнего, владельцем технического решения, приме-няется такая юридическая форма, как лицензионный договор. Рассмотрим специфику выделения трех вышепере-численных видов деятельности предметной области ин-форматизации, которая вызывает необходимость в ли-цензировании. Лицензирование деятельности в области создания и применения информационных технологийДля продукции серийного и массового производ-ства в области информатизации важное значение имеет Закон "О сертификации продукции и услуг". Он пред-усматривает лицензирование деятельности, связанной с маркированием продукции и услуг знаком соответствия этой продукции и услуг государственным стандартам. Этот Закон устанавливает обязательную регистрацию продукции и услуг в Государственном реестре продукции и услуг, а также обязанности Госстандарта России по установлению порядка лицензирования и ведения ука-занного Реестра. Защита и порядок использования программ для ЭВМ и баз данных, относимых к авторским произведе-ниям, регулируется Законом "Об авторском праве и смежных правах", а также Законом "О правовой охране программ для ЭВМ и баз данных". В тех случаях, когда осуществляется управление имущественными правами на коллективной основе, ког-да имущественные права на программу для ЭВМ или ба-зу данных, созданных в порядке выполнения служебных обязанностей, осуществляются работодателем, а также когда эти объекты отнесены к общественному достоя-нию, применяются нормы ст. 45 Закона "Об авторском праве и смежных правах". Полномочия на коллективное управление имущественными правами передаются непо-средственно обладателями авторских и смежных прав добровольно на основе письменных договоров, которые, не являются авторскими договорами. Пункт 3 ст. 45 Закона "Об авторском праве и смеж-ных правах" предусматривает, что организация, управляющая имущественными правами на коллективной основе, предоставляет лицензии пользователям на соот-ветствующие способы использования произведений и объектов смежных прав. В настоящее время в Законе "Об охране программ для ЭВМ и баз данных" нет соответствующей нормы, которая бы развивала это общее положение Закона "Об авторском праве и смежных правах". Закон "Об охране программ для ЭВМ и баз данных" вообще не говорит о лицензировании. Этот закон различает автор-ский договор и договор лицензионный. Государство в лице определенных своих органов ли-цензирует деятельность в области создания и применения информационных технологий и иных средств информати-зации в тех случаях, когда эта деятельность сопряжена с обеспечением информационной безопасности и когда госу-дарство обязано принять меры к защите государственной тайны, личной тайны граждан, служебной тайны, к за-щите персональной информации или к защите конфиден-циальной коммерческой информации в системе государ-ственного аппарата. Для решения вопросов создания и применения инфор-мационных технологий имеет важное значение Закон "О федеральных органах правительственной связи и ин-формации", который предусматривает право федераль-ных органов правительственной связи и информации осуществлять лицензирование и сертификацию систем и комплексов телекоммуникаций высших органов госу-дарственной власти РФ, а также закрытых систем и ком-плексов телекоммуникаций органов государственной власти субъектов РФ, центральных органов федеральной исполнительной власти, организаций, предприятий, бан-ков и других учреждений, расположенных на территории РФ, независимо от их ведомственной принадлежности и формы собственности. С проблемой разработки и пользования информа-ционными технологиями связана область обмена (экспорта и импорта) этой продукции. Право на экспорт технологий, связанных с обеспечением информационной безопасности страны, должно находиться под контролем государства. В этом случае должна идти речь о порядке лицензирования экспорта. Лицензирование деятельности в области формирования и ведения информационных ресурсовВ этой области на уровне закона регулируются правила лицензирования проведения работ, связанных со сведениями, составляющими государственную тайну. Ст. 27 Закона "О государственной тайне" устанавливает, что лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы и при определенных условиях. "Положение о лицензировании деятельности пред-приятий, учреждений и организаций по проведению ра-бот, связанных с использованием сведений, составляю-щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай-ны", утвержденное Постановлением Правительства Рос-сийской Федерации от 15 апреля 1995 года № 333, уста-навливает порядок лицензирования в вышеназванной области. Деятельность по международному информацион-ному обмену в части государственных информационных ресурсов, которые вывозятся за пределы Российской Фе-дерации, или документированной информации для пополнения государственных информационных ресурсов, которая ввозится на территорию Российской Федерации, подлежит лицензированию согласно Закону "Об участии в международном информационном обмене" (ст. 18), по-рядок лицензирования определяется "Положением о ли-цензировании деятельности по международному инфор-мационному обмену", утвержденным Постановлением Правительства РФ от 3 июня 1998 года № 564. Лицензирование услуг по информационному обеспечению потребителей информационных ресурсовДанные виды деятельности связаны с предоставле-нием информации пользователям в соответствии с их правовым статусом и с категориями информации по доступу. Очевидно, что обработка и предоставление инфор-мации с ограниченным доступом, если она осу-ществляется не собственником информации или не госу-дарственной организацией в соответствии с ее компетен-цией, потребует лицензии. Это, например, может касать-ся ведения кадастров, каталогов, любой мониторинговой деятельности. Такой вид услуг, как сбор, обработка и предостав-ление информации о гражданах - персональной инфор-мации - не в целях ее статистического учета и анализа также требует лицензии, если это не предусмотрено пря-мо правовым статусом лица, осуществляющего эту дея-тельность. Согласно статье 24 Конституции РФ сбор, хране-ние и распространение информации о частной жизни лица без его согласия не допускается. Принципиальным является то, что формируемые базы персональных дан-ных должны строго соответствовать целям сбора и ис-пользоваться исключительно в интересах конкретного лица при оказании ему услуг различного характера. Ли-цензирующий орган должен установить минимально не-обходимый для оказания услуг объем персональных данных, необходимость защиты информации, некоторые технологические аспекты ее сбора и актуализации, а также проконтролировать выполнение обязательств по целевому использованию информации персонального характера. В настоящее время в Госдуме РФ готовится законопроект "Об информации персонального характе-ра", принятие которого позволит установить порядок лицензирования данного вида услуг. Проведенный анализ предметных областей деятель-ности в сфере информатизации позволяет выделить в ка-честве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информа-ции и международный информационный обмен, к рассмот-рению которых мы и переходим. Лицензирование деятельности в области защиты информацииЗакон "Об информации, информатизации и защите информации" устанавливает общие правовые требова-ния к организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуля-ции в технических устройствах и информационных и те-лекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по за-щите конфиденциальной информации. Следует подчерк-нуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается. Кроме того, Закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверж-дения подлинности отправителя и получателя информа-ции. В соответствии со статьей 5 "юридическая сила до-кумента, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и те-лекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". Статья 19 Закона "Об информации, информатиза-ции и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты инфор-мации. Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите инфор-мации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих ин-формацию с ограниченным доступом, в негосударствен-ных структурах возлагается на органы государственной власти. Таким образом, система государственного лицен-зирования деятельности в области защиты информации в Российской Федерации является составной частью го-сударственной системы защиты информации. Действующими нормативно-правовыми документа-ми в качестве основных государственных органов по ли-цензированию деятельности в области защиты информа-ции определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ). Обязательное государственное лицензирование деятельности в области защиты информации криптогра-фическими методами, а также в области выявления элек-тронных устройств перехвата информации в технических средствах и помещениях государственных структур вве-дено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты ин-формации, независимо от ее характера и степени секрет-ности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физиче-ских лиц. Указ Президента Российской Федерации от 3 апре-ля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и экс-плуатации шифровальных средств, а также предоставле-ния услуг в области шифрования информации" запре-щает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифро-вальных средств, предоставлением услуг в области шиф-рования информации, без лицензии ФАПСИ. Постановлением Правительства РФ от 15 апреля 1995 года № 333 "О лицензировании деятельности пред-приятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляю-щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай-ны" устанавливается, что лицензия на право деятель-ности по проведению работ, связанных с использовани-ем сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном пред-приятии всех необходимых условий для сохранения до-веренных ему секретных сведений, и государственной ат-тестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну. Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм лицензирова-ния определены в "Положении о государственном лицен-зировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ. Этим положением, в частности, определены сле-дующие перечни видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России и ФАПСИ. Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России: * Сертификация, сертификационные испытания защищенных технических средств обработки ин-формации (ТСОИ), технических средств защиты информации, технических средств контроля эффек-тивности мер защиты информации, защищенных программных средств обработки информации, про-граммных средств по требованиям безопасности, программных средств защиты информации, про-граммных средств контроля защищенности инфор-мации. * Аттестация систем информатизации, автоматизи-рованных систем управления, систем связи и пере-дачи данных, технических средств приема, передачи и обработки подлежащей защите информации, тех-нических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также поме-щений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных доку-ментов по безопасности информации и контроль защищенности информации в этих системах, техни-ческих средствах и помещениях. * Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслужива-ние защищенных ТСОИ, технических средств защи-ты информации, технических средств контроля эф-фективности мер защиты информации, защищен-ных программных средств обработки информации, программных средств защиты информации, про-граммных средств контроля защищенности инфор-мации. * Проведение специсследований на побочные элек-тромагнитные излучения и наводки (ПЭМИН) ТСОИ. * Проектирование объектов в защищенном испол-нении. * Подготовка и переподготовка кадров в области защиты информации по видам деятельности, пере-численным в данном перечне. Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ: Деятельность названных выше организаций по ли-цензированию в области защиты информации осу-ществляется на основании следующих принципов: * Соответствия действующим российским законо-дательным и нормативным актам. * Обеспечения надежной защиты информации, со-ставляющей государственную тайну, или иной кон-фиденциальной информации. * Дифференцированного подхода к отдельным ви-дам деятельности и средствам защиты. * Наложения на лицензиата обязательств по вы-полнению требований Российского законодатель-ства и иных нормативных актов в области защиты информации. * Соответствия заявителей и лицензиатов требова-ниям по профессиональной подготовке, норматив-но-методической, технической и технологической оснащенности, режимным требованиям, проверяе-мым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятель-ностью лицензиатов. * Четкой регламентации предоставляемых лицен-зиату прав и полномочий, а также механизма его взаимодействия с Гостехкомиссией и ФАПСИ. * Централизации выдачи, учета, приостановления и отзыва лицензий и сертификатов. * Доступности и открытости систем лицензирова-ния и сертификации в рамках вышеперечисленных принципов. Собственно лицензирование деятельности в области защиты информации включает следующие действия: * выдачу лицензий - рассмотрение заявления на лицензирование, оформление и выдачу лицензий, переоформление лицензий; * проведение специальной экспертизы заявителя; *проведение аттестации руководителя предприя-тия или лиц, уполномоченных им для руководства лицензируемой деятельностью; * проведение технической экспертизы изделий. В заключение рассмотрения вопроса о лицензирова-нии деятельности в области защиты информации необхо-димо подчеркнуть следующие обстоятельства: * Лицензирование в области защиты информации является обязательным. Здесь необходимо иметь в виду, что для занятия деятельностью в области защиты информации необходимо получение права на ее осуществле-ние. Конкретные виды деятельности вводятся в виде перечисления в соответствующих норма-тивных актах. * Деятельность в области защиты информации фи-зических и юридических лиц, не прошедших лицензи-рование, запрещена. Субъекты, не получившие право на осуществле-ние деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим законодатель-ством. Лицензирование деятельности по международному информационному обменуСогласно ст. 18 Закона "Об участии в международ-ном информационном обмене" одним из видов лицензи-рования в области связи и информатизации в Российской Федерации является лицензирование деятельности по международному информационному обмену. Деятельность по международному информационно-му обмену включает: * сбор, обработку, хранение и передачу информа-ции, а также использование документированной информации и информационных ресурсов при международном информационном обмене; * создание документированной информации и ин-формационных продуктов для целей международ-ного информационного обмена; * получение документированной информации, ин-формационных ресурсов, информационных про-дуктов; * оказание информационных услуг. Целью лицензирования деятельности по междуна-родному информационному обмену является предотвра-щение незаконного вывоза за пределы территории Россий-ской Федерации государственных информационных ресур-сов и обеспечение контроля за использованием средств федерального бюджета и средств бюджетов субъектов Российской Федерации, выделяемых для пополнения госу-дарственных информационных ресурсов. Объектами международного информационного об-мена являются: документированная информация, ин-формационные ресурсы, информационные продукты, информационные услуги и средства международного информационного обмена. Объектами международного информационного об-мена по вышеуказанному Закону являются только информационные ресурсы государственной собствен-ности, произведенное или приобретаемые за бюджетные средства. Следовательно, отношения по оформлению лицен-зии на международный информационный обмен затра-гивает группу субъектов, в числе которых не только ли-цензиар -- орган, выдающий лицензию; лицензиат -- лицо, получающее лицензию, но орган, в ведении кото-рого находятся государственные информационные ре-сурсы и который представляет государство как соб-ственника. Таким образом, включение физического ли-ца, действующего без образования юридического лица, в число лицензиаров на международный информационный обмен требует предварительного договора будущего ли-цензиара с соответствующим органом государственной власти. Основанием для осуществления лицензирования деятельности в области международного информацион-ного обмена должно быть согласие и органа государ-ственной власти на кандидатуру лицензиата, подтверж-денное письменно и, как правило, договором. Субъектами международного информационного об-мена могут являться: * Российская Федерация; * субъекты Российской Федерации; * органы государственной власти и органы местно-го самоуправления; * физические и юридические лица Российской Фе-дерации; * физические и юридические лица иностранных го-сударств; * лица без гражданства. В соответствии с "Положением о лицензировании деятельности по международному информационному обмену", утвержденному Постановлением Правитель-ства РФ от 03 июля 1998 года № 564, федеральным орга-ном исполнительной власти, уполномоченным на ведение лицензионной деятельности по международному обмену федеральными информационными ресурсами и информаци-онными ресурсами, находящимися в совместном ведении Российской Федерации и субъектов Российской Федера-ции, определен Государственный комитет Российской Федерации по связи и информатизации (как мы уже от-мечали, его правопреемником являлся Государственный комитет Российской Федерации по телекоммуникациям, в настоящее время - Министерство Российской Федера-ции по связи и информатизации), а лицензирование деятелъности по международному информационному обмену информационными ресурсами субъектов Российской Фе-дерации уполномочены осуществлять органы исполни-тельной власти субъектов Российской Федерации. Методическое обеспечение лицензирования дея-тельности по международному информационному обме-ну осуществляет Минсвязи России. Порядок взаимодействия Минсвязи России с органа-ми исполнительной власти субъектов Российской Федера-ции включает: * организацию разработки методического обес-печения, в том числе лицензионных требований и условий (рекомендуемых);
Страницы: 1, 2, 3, 4, 5, 6, 7, 8
|