БЕЗОПАСНОСТЬ
До недавнего времени законодательство по защите информации не претерпевало никаких серьезных изменений: жестко регламентировалась деятельность в области защиты сведений, составляющих государственную тайну. Сфера же конфиденциальной информации регламентировалась слабо, а точнее - никак. Однако нынешний год стал годом серьезных изменений. Я имею в виду уже работающий Федеральный закон РФ “О лицензировании отдельных видов деятельности” и вводимый в действие Кодекс об административных правонарушениях.
Первый закон был принят Государственной Думой 13 июля 2001 г. и подписан Президентом России 8 августа. Он вступил в действие через 6 месяцев с момента подписания, т. е. в начале февраля текущего года. В статье 17 данного закона перечислены виды деятельности, требующие лицензирования. К ним, в частности, отнесены:
- разработка и (или) производство средств защиты конфиденциальной информации;
- техническая защита конфиденциальной информации, а также деятельность, связанная с криптографической защитой информации и недавно принятым Законом “Об электронной цифровой подписи”.
Область шифровальных средств и услуг, как и область государственной тайны, я оставлю за рамками статьи, сконцентрировав свое внимание на защите конфиденциальной информации.
Что же такое конфиденциальная информация? Согласно утвержденному 6 марта 1997 г. Указу Президента России № 188, к сведениям конфиденциального характера можно отнести:
- персональные данные гражданина;
- тайну следствия и судопроизводства;
- служебную тайну;
- врачебную, нотариальную, адвокатскую тайну, тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.;
- коммерческую тайну;
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Следует заметить, что к конфиденциальной относится до 70-80% всей информации, циркулирующей в ИС различных государственных и, что немаловажно, коммерческих предприятий, а также физических лиц.
Теперь перейдем к самому закону о лицензировании. Первый из указанных выше видов деятельности не вызывает ни нареканий, ни вопросов. Исторически сложилось так, что российские разработчики средств защиты информации (СЗИ) получали лицензию Государственной технической комиссии при Президенте Российской Федерации на право осуществления деятельности в области защиты информации, в том числе и на разработку СЗИ. А вот второй пункт более интересен. Его формулировка настолько обтекаема, что непонятно, к кому он относится? Например, его легко можно применить и к фирмам - владельцам информационных систем, обрабатывающих конфиденциальную информацию. Представьте, что у нас есть Интернет-магазин, где продаются различные книги, компакт-диски и т. д. Продажа товара невозможна без регистрации покупателя, который предоставляет о себе какие-то личные сведения, сохраняемые в БД. А эти сведения “о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность”, являются персональными данными. Аналогичная ситуация с банками и любыми другими компаниями, накапливающими сведения о клиентах. Далее события могут развиваться двумя путями:
1) защита конфиденциальной информации обязывается законом (например, Законом “об информации, информатизации и защите информации”). По этому пути идут многие государственные структуры или организации, имеющие доступ к сведениям, составляющим собственность государства;
2) защита конфиденциальной информации обеспечивается самим собственником или владельцем информационной системы с целью повышения своей конкурентоспособности, заботы о клиентах и т. д. В данном случае защита не обязательна, но ее отсутствие влечет за собой нанесение ущерба клиентам и т. д.
В обоих случаях какие-никакие защитные меры все же принимаются. А это, как явственно следует из новой редакции Федерального закона “О лицензировании отдельных видов деятельности”, уже требует наличия соответствующей лицензии. Таким образом, в итоге мы получаем необходимость лицензирования практически любой фирмы, работающей на территории России.
Что дальше? На первый взгляд, можно поступить, как многие компании поступили в свое время с нашумевшим Указом Президента № 334 от 3 апреля 1995 г. “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации”. Данный указ запрещал использование несертифицированных в ФАПСИ средств криптографической защиты информации (включая средства электронной цифровой подписи). В пункте 6 этого документа ФСБ, МВД и ФАПСИ предлагалось выявлять нарушителей данного указа. А дальше что? Правильно - ничего. Никаких подзаконных актов, регламентирующих процедуру наказания нарушителей, разработано не было, чем многие компании и воспользовались. Аналогичным образом можно было бы поступить и сейчас, если бы не одно “но”.
С 1 июля этого года вступает в силу новая редакция Кодекса РФ “Об административных правонарушениях” (принят Госдумой 20 декабря 2001 г., подписан Президентом 30 декабря 2001 г.), в котором предусмотрено наказание за незаконную деятельность в области защиты информации (ст.13.13). В данной статье записано, что “занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой”.
Мало того, даже получив соответствующую лицензию, вы можете подвергнуться наказанию, если применяете несертифицированные средства защиты информации. Это предусмотрено в статье 13.12 (п. 2) - “использование несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой”.
К чему приведет ввод в действие названных законодательных актов? Во-первых, теперь у соответствующих органов появляется возможность давления практически на любую компанию, которая до недавнего времени и не знала, что ей нужна лицензия. Во-вторых, возникнет огромное число компаний-консультантов, паразитирующих на трудностях получения необходимой лицензии. В-третьих, сертификационные лаборатории ждет наплыв производителей и поставщиков, желающих иметь вожделенный сертификат на свою продукцию. А как известно, где деньги, там и повод для злоупотреблений. Поэтому можно предположить, что появится большое число продуктов, имеющих необходимый сертификат, за которым реально ничего не стоит. Тем более что отечественная система сертификации не лишена недостатков.
На эту тему, кстати, до сих пор ведется жаркая дискуссия “Еще раз о сертификации средств защиты” в форуме сервера www.sec.ru. В дискуссии участвуют и потребители средств защиты, и производители, и представители сертификационных лабораторий. Число сертификационных лабораторий не так велико, а сроки выдачи сертификата составляют несколько месяцев. Это, разумеется, приведет к тому, что спрос существенно превысит предложение и соответствующие структуры либо не справятся с потоком заявок на получение сертификата, либо будут проводить испытания “абы как”, либо, что хуже всего, выдавать сертификат за “энную” сумму денег. Тем более, что многие производители и поставщики не заинтересованы в проведении испытаний в полном объеме, им лишь требуется разрешительная бумага.
И опять - хотелось как лучше, а получится, скорее всего, как всегда. Желание регулировать такую важную для страны область, как обеспечение информационной безопасности, обернется очередной неудачей и профанацией хорошей идеи. Читатель может спросить меня, что же делать. Вариантов несколько. Можно ничего не делать и, в надежде на нерасторопность отечественных регулирующих органов, просто плыть по течению. А можно подсуетиться и обезопасить себя от проблем в будущем, получив соответствующую лицензию и заменив несертифицированные средства защиты на функционально аналогичные, но имеющие сертификат. Тем более что таких решений на отечественном рынке достаточно - как российского, так и зарубежного производства.
С автором можно связаться по адресу: luka@infosec.ru.
