Главная страница - Конъюнктурный анализ средств безопасности

О роли государства в регулировании разработки, производства и обращения средств защиты информации



С момента возникновения на территории бывшего СССР ряда независимых образований и формирования России как самостоятельного государства остро встал вопрос о необходимости коренной переработки законодательной базы страны во всех областях деятельности общества и государства. В полной мере это относилось и к сфере деятельности, связанной с вопросами обеспечения информационной безопасности как Российской Федерации в целом, так и по отдельным частным направлениям этой проблемы.К настоящему времени достаточно много в этом отношении нашими законодательными органами уже сделано.В качестве примеров можно указать принятие целого ряда важных законов таких, как ФЗ «Об информации, информатизации и защите информации», ФЗ «Об участии в международном информационном обмене», недавно принятые Закон об ЭЦП и Закон о связи т.д. Наконец, следует отметить утверждение Президентом страны «Доктрины информационной безопасности РФ» и принятие других нормативных актов.Вместе с тем считать проблему полностью решенной пока нельзя. Этому вопросу было даже посвящено одно из заседаний МВК по информационной безопасности СБ РФ, по результатам которого был выпущен документ «Основные, направления совершенствования нормативной базы в области обеспечения информационной безопасности РФ», в котором были даны соответствующие рекомендации, предназначенные, в первую очередь, для органов и субъектов, имеющих право законодательной инициативы.Одним из вопросов, который подвергается постоянным дискуссиям, является вопрос о роли государства в области разработки, производства и обращения средств защиты информации.С одной стороны чрезмерная зарегулированность обращения средств защиты (про крайней мере в части криптографических средств) приводит к появлению таких тупиков, как невозможность осуществления государственного контроля за перемещением через рубеж средств защиты информации, реализованных программным способом с учетом того, что соответствующий алгоритм можно передать по глобальной сети Интернет; нелогичность контроля со стороны государства за производством и обращением средств криптографической защиты невысокого уровня стойкости для тех потребителей, для которых такого уровня достаточно. А такая ситуация у нас в стране до недавнего времени реально существовала.С другой стороны, полный уход государства с этого поля деятельности, очевидно, недопустим, хотя бы потому, что нередко речь идет о защите государственно значимой информации, вплоть до информации, составляющей гостайну.К настоящему времени определенные продвижения здесь уже есть. Так, как было сообщено представителем бывшего ФАПСИ на проходивших весной этого года парламентских слушаниях на тему "Проблемы законодательного регулирования правоотношений в сфере информатики" в настоящее время не требуется получения лицензии на проведение работ по средствам защиты информации, реализующим криптографические алгоритмы, не обладающие высоким уровнем стойкости (а именно, симметричные алгоритмы с длиной ключа до 40 бит, а также асимметричные - с длиной криптографического ключа до 128 бит включительно). Считается, что если сам потребитель идет на приобретение и использование подобного шифровального средства, то государственный контроль за производством, распространением и т.д. этих средств не нужен и осуществляться не будет.Вместе с тем, что касается деятельности, направленной на обеспечение необходимого уровня защищенности чувствительной информации, сопряженной с возможностью нанесения ущерба правам, законным интересам граждан, обороне и безопасности государства, включая и защиту гостайны, такая деятельность, по-видимому, должна относиться к сфере, регулируемой государством.Представляется, что на этом водоразделе можно было бы достигнуть компромисса, но последнее не устраивает некоторых разработчиков проектов законодательных актов в области создания и использования средств защиты информации, мотивирующих свое несогласие тем, что это будет тормозить процесс развития и широкого внедрения информационных технологий у нас в стране.Казалось, что с выходом (для многих, кстати, довольно неожиданным) «Закона о техническом регулировании», дискуссию на эту тему можно закрывать, поскольку, на первый взгляд, этот закон достаточно четко описал поле, на котором государство осуществляет регулирующие и контролирующие функции во всех областях производства, включая и сферу безопасности IT-технологий.В действительности это не так. По прочтении закона возникает целый ряд вопросов, требующих, мягко говоря, разъяснений компетентных органов.Так, сферы деятельности, в которых признается законность жесткого государственного регулирования, сведены всего к следующим позициям:• сведения, составляющие гостайну или относимые в соответствии с законодательством РФ к информации ограниченного доступа; • защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;• охрана окружающей среды, жизни или здоровья животных илирастений;• предупреждение действий, вводящих в заблуждение приобретателей.Тем самым, ни о какой главенствующей роли государства в сфере защиты информации, если она не несет в себе признаков гостайны или информации ограниченного доступа, в том числе и в критически важных секторах экономики, речи в законе не идет. Конечно, в ряде случаев можно провести логическую цепочку доказательств или обоснований, сводящих защиту подобной информации к одной из указанных выше позиций. Но все это нужно проводить опять-таки соответствующими законами и примет ли их Госдума - вопрос, ответ на который весьма неоднозначен.Очевидно, что в разрешении этой неопределенной ситуации многое будет зависеть от позиций и активности уполномоченных в этих вопросах органов исполнительной власти и других участников процесса.Как было сообщено ответственным представителем Гостехкомиссии РФ на прошедшей в г. Сочи в сентябре этого года конференции «Обеспечение информационной безопасности. Региональные аспекты» в настоящее время идет работа над теми документами, которые необходимо разработать и ввести в действие для того, чтобы данный Закон о техническом регулировании действовал без ущерба для безопасности государства. Эта работа ведется Госстандартом России, Минэкономразвития и Гостекомиссией России по поручению Правительства и на основании Статьи 5 указанного закона, согласно которой (в упрощенной редакции) в случае отсутствия требований технических регламентов в отношении оборонной продукции, поставляемой по государственному оборонному заказу, и продукции, сведения о которой являются информацией ограниченного доступа, обязательными являются требования, установленные федеральными органами исполнительной власти.Одновременно начинается разработка трех регламентов в области Защиты информации: на 2004 год запланирована разработка общего технического регламента «Безопасность информационных технологий»; в 2005-2006 годах планируется разработка специальных технических регламентов – «Требования к средствам и системам безопасных информационных технологий» и «Требования по защите информации, обрабатываемой на объектах информатизации».В целом, однако, и Статья 5 и указанные выше мероприятия далеко не покрывают всего поля возможного присутствия государства в сфере правоотношений в области защиты информации. Так, что касается прав личности, критических технологий и т.п., находящихся вне зоны действия Статьи 5, то здесь роль государства пока четко не очерчена. Попытка решить часть этой проблемы, касающейся критических технологий, делается в разрабатываемой в соответствии с ФЦП «Электронная Россия» Концепцией защиты государственных систем от НСД, в которых, очевидно, циркулирует и обрабатывается информация, выходящая за рамки установленных Статьей 5 границ.Несколько слов о лицензировании. Закон «О техническом регулировании» не отменяет действующих нормативных документов о лицензировании и, в частности, положений Федерального Закона «О лицензировании отдельных видов деятельности» №128-ФЗ от 8 августа 2001г. Хотя такие инициативы со стороны некоторых субъектов, работающих над совершенствованием законодательной базы в области информатизации постоянно идут. В то же время некоторые изменения в ряд нормативных документов, по-видимому, будут сделаны. В частности, это касается Указа Президента РФ №334от 3 апреля 1995г., «положения ПШ 96» и «Положения ПКЗ 99». Однако кардинальных изменений в ближайшее время, по нашим оценкам, не ожидается.В целом Закон «О техническом регулировании» существенно снижает нагрузку на госорганы в области регулирования рынка обращения средств защиты информации и переводит эти вопросы в область общественного саморегулирования, в частности, через инструмент добровольной сертификации.В этой связи существенно возрастает роль общественных коммерческих и некоммерческих объединений, действующих в рассматриваемой сфере. Многое будет зависеть от активности и готовности этих объединений к работе в новых условиях. В этой связи хотел бы привести один положительный пример. В июне этого года Госстандартом РФ зарегистрирована»Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности» («Ай Ти Сертифика»), которая разработана Ассоциацией «ЕВРААС» и будет действовать на ее базе. Ассоциации защиты информации, которую я здесь представляю, было предложено войти в эту систему в качестве одного из соисполнителей. Это предложение мы приняли и в настоящее время участвуем в разработке необходимых организационно-нормативных документов по обеспечению практической деятельности этой системы добровольной сертификации. Хотел бы при этом отметить, что большую помощь в разработке идеи создания этой системы и принципов ее функционирования в рамках действующего законодательства оказал аппарат Гостехкомиссии РФ.И. наконец, еще одна сфера, где государственное регулирование или точнее государственное присутствие крайне желательно. Речь идет о подготовке кадров в области информационной безопасности, включающую в себя, безусловно, и вопросы защиты информации. Эта, ранее сильно закрытая тематика, столь бурно развилась за последние 10 лет, что наше образовательная система просто не «поспела» за этим развитием. Конечно, на этой волне «актуальности» образовалось значительное число различного рода курсов, школ семинаров и т.п., в большинстве своем коммерческого толка, но все это по отдельным частным направлениям и вопросам из рассматриваемой области. Время, однако, требует того, чтобы в условиях движения передовых развитых стран, к числу которых несмотря на все наши трудности переходного периода безусловно следует относить и Россию, к так называемому «информационному обществу» комплексное изучение проблематики информационной безопасности, включая гуманитарные, правовые и технологические аспекты, стало обязательной составной частью вузовского образования.За решение этой национально значимой задачи планирует взяться созданный в этом году Институт проблем информационной безопасности МГУ им. М.В.Ломоносова, основной целью создания которого является разработка на базе высокого научного потенциала МГУ и с привлечением научных сил других организаций фундаментальных проблем обеспечения информационной безопасности Российской Федерации.В заключение хотел бы отметить желательность постепенной реализации процесса либерализации и смягчения государственного контроля за данным видом деятельности по мере готовности к этому всех заинтересованных сторон. В «Законе о техническом регулировании» необходимые временные рамки для этого предусмотрены.

Емельянов Г.В., Председатель Совета МОО «Ассоциация защиты информации», член-корреспондент Академии криптографии РФ, кандидат физ.мат наук




Похожие по содержанию материалы раздела: Классификация информаторов Искусственный интеллект вычислит террористов Технические средства и технологии на службе безопасности в США Хакеры не считают себя преступниками Обеспечение безопасности стационарных объектов Взаимодействие правоохранительных органов с населением в антитеррористической деятельности Шпионаж теперь узаконен Немного об оружии и о защите свидетеля Книга «Служба безопасности предприятия». ГЛАВА II. ПРАВОВОЙ СТАТУС СЛУЖБЫ БЕЗОПАСНОСТИ ЭЛЕКТРОШОК ПО РУССКИ. Защита для каждого - 100% ДЕНЬГИ ИЗ ВОЗДУХА РЫНОК ИНФОРМАЦИОННЫХ РЕСУРСОВ ПРЕСС-РЕЛИЗ брифинга в ГУВД МО: «Борьба с наркобизнесом. Этнические группировки торговцев наркотиками» СОЗДАНИЕ ЭФФЕКТИВНЫХ ПРАВОВЫХ ИНСТРУМЕНТОВ НАДЛЕЖАЩЕЙ ОХРАНЫ ФОНОГРАММ И МУЗЫКАЛЬНЫХ ПРОИЗВЕДЕНИЙ ЦИФРОВЫЕ КОДЫ НА ПРОИЗВЕДЕНИЯ И ФОНОГРАММЫ

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация