Смекни!
smekni.com

Стандатризация программных средств (стр. 11 из 37)

Проведенный анализ предметных областей деятель­ности в сфере информатизации позволяет выделить в ка­честве основных направлений работ по лицензированию деятельности в сфере информатизации защиту информа­ции и международный информационный обмен, к рассмот­рению которых мы и переходим.

Лицензирование деятельности в области защиты информации

Закон "Об информации, информатизации и защите информации" устанавливает общие правовые требова­ния к организации защиты информации с ограниченным доступом в процессе ее обработки, хранения и циркуля­ции в технических устройствах и информационных и те­лекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по за­щите конфиденциальной информации. Следует подчерк­нуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.

Кроме того, Закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения или подмены, а также как средство подтверж­дения подлинности отправителя и получателя информа­ции. В соответствии со статьей 5 "юридическая сила до­кумента, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и те­лекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".

Статья 19 Закона "Об информации, информатиза­ции и защите информации" определяет обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты инфор­мации.

Важно отметить, что в соответствии с п. 3 статьи 21 контроль за соблюдением требований к защите инфор­мации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих ин­формацию с ограниченным доступом, в негосударствен­ных структурах возлагается на органы государственной власти.

Таким образом, система государственного лицен­зирования деятельности в области защиты информации в Российской Федерации является составной частью го­сударственной системы защиты информации.

Действующими нормативно-правовыми документа­ми в качестве основных государственных органов по ли­цензированию деятельности в области защиты информа­ции определены Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации (ФАПСИ).

Обязательное государственное лицензирование деятельности в области защиты информации криптогра­фическими методами, а также в области выявления элек­тронных устройств перехвата информации в технических средствах и помещениях государственных структур вве­дено Постановлением Правительства РФ от 24 декабря 1994 года № 1418 "О лицензировании отдельных видов деятельности". Данное постановление распространяет механизм обязательного лицензирования на все виды деятельности в области криптографической защиты ин­формации, независимо от ее характера и степени секрет­ности, на все субъекты этой деятельности, независимо от их организационно-правовой формы, включая и физиче­ских лиц.

Указ Президента Российской Федерации от 3 апре­ля 1995 года № 334 "О мерах по соблюдению законности в области разработки, производства, реализации и экс­плуатации шифровальных средств, а также предоставле­ния услуг в области шифрования информации" запре­щает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифро­вальных средств, предоставлением услуг в области шиф­рования информации, без лицензии ФАПСИ.

Постановлением Правительства РФ от 15 апреля 1995 года № 333 "О лицензировании деятельности пред­приятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляю­щих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тай­ны" устанавливается, что лицензия на право деятель­ности по проведению работ, связанных с использовани­ем сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации, независимо от формы его собственности, исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном пред­приятии всех необходимых условий для сохранения до­веренных ему секретных сведений, и государственной ат­тестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.

Сферы компетенции Гостехкомиссии России и ФАПСИ, а также практический механизм лицензирова­ния определены в "Положении о государственном лицен­зировании деятельности в области защиты информации", которое утверждено 27 апреля 1994 года совместным решением Гостехкомиссии России и ФАПСИ.

Этим положением, в частности, определены сле­дующие перечни видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России и ФАПСИ.

Перечень видов деятельности в области защиты информации, подлежащих лицензированию Гостехкомиссией России:

Сертификация, сертификационные испытания защищенных технических средств обработки ин­формации (ТСОИ), технических средств защиты информации, технических средств контроля эффек­тивности мер защиты информации, защищенных программных средств обработки информации, про­граммных средств по требованиям безопасности, программных средств защиты информации, про­граммных средств контроля защищенности инфор­мации.

• Аттестация систем информатизации, автоматизи­рованных систем управления, систем связи и пере­дачи данных, технических средств приема, передачи и обработки подлежащей защите информации, тех­нических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также поме­щений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных доку­ментов по безопасности информации и контроль защищенности информации в этих системах, техни­ческих средствах и помещениях.

• Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслужива­ние защищенных ТСОИ, технических средств защи­ты информации, технических средств контроля эф­фективности мер защиты информации, защищен­ных программных средств обработки информации, программных средств защиты информации, про­граммных средств контроля защищенности инфор­мации.

• Проведение специсследований на побочные элек­тромагнитные излучения и наводки (ПЭМИН) ТСОИ.

• Проектирование объектов в защищенном испол­нении.

• Подготовка и переподготовка кадров в области защиты информации по видам деятельности, пере­численным в данном перечне.

Перечень видов деятельности в области защиты информации, подлежащих лицензированию ФАПСИ:

Деятельность названных выше организаций по ли­цензированию в области защиты информации осу­ществляется на основании следующих принципов:

Соответствия действующим российским законо­дательным и нормативным актам.

• Обеспечения надежной защиты информации, со­ставляющей государственную тайну, или иной кон­фиденциальной информации.

• Дифференцированного подхода к отдельным ви­дам деятельности и средствам защиты.

• Наложения на лицензиата обязательств по вы­полнению требований Российского законодатель­ства и иных нормативных актов в области защиты информации.

• Соответствия заявителей и лицензиатов требова­ниям по профессиональной подготовке, норматив­но-методической, технической и технологической оснащенности, режимным требованиям, проверяе­мым в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятель­ностью лицензиатов.

• Четкой регламентации предоставляемых лицен­зиату прав и полномочий, а также механизма его взаимодействия с Гостехкомиссией и ФАПСИ.

• Централизации выдачи, учета, приостановления и отзыва лицензий и сертификатов.

• Доступности и открытости систем лицензирова­ния и сертификации в рамках вышеперечисленных принципов.

Собственно лицензирование деятельности в области защиты информации включает следующие действия:

• выдачу лицензий - рассмотрение заявления на лицензирование, оформление и выдачу лицензий, переоформление лицензий;

• проведение специальной экспертизы заявителя;

•проведение аттестации руководителя предприя­тия или лиц, уполномоченных им для руководства лицензируемой деятельностью;