Правовые аспекты лицензирования программного обеспечения и информационных технологий в области защиты информации

Приводимые ниже совокупности правил и принципов, положенных в основу своей деятельности ФАПСИ по лицензированию в области защиты информации и построения соответствующей системы, отвечают, на наш взгляд, указанным критериям.

Рассмотрим правила построения и функционирования системы лицензирования ФАПСИ, вытекающие из приведенных выше нормативных актов и основанные на правах и полномочиях, предоставленных ими Федеральному агентству.

1. Лицензирование в области защиты информации является обязательным.

Данное правило устанавливает, что для занятия деятельностью в области защиты информации одного желания мало и необходимо получение права на ее осуществление. Причем распространяется это требование на все без исключения направления и отдельные виды деятельности. Поскольку не существует определений понятий "направление" и "отдельный вид деятельности", они вводятся в виде перечисления в соответствующих нормативных актах.

2. Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена.

Из содержания данного правила вытекает, что субъекты, не получившие право на осуществление деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим Гражданским кодексом и законодательством об административной и уголовной ответственности.

3. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии на право осуществления деятельности в области защиты информации, лицензирование которой относится к компетенции Федерального агентства, выдаются, в основном, юридическим лицам - предприятиям, организациям и учреждениям, независимо от их организационно-правовой формы (далее - предприятия).

Данное правило, однако, лишь на первый взгляд ущемляет интересы физических лиц, которым не предоставляются права на промышленную, коммерческую деятельность, связанную с шифровальными средствами. Включение данного постулата обусловлено рядом факторов. Во-первых, разработка (производство, монтаж, наладка и т.д.) шифровальных средств требует участия высококлассных специалистов разного профиля. Во-вторых, требованиям, предъявляемым ФАПСИ к заявителю, физическое лицо удовлетворить не в состоянии. В-третьих, для проведения работ в этой области необходимо, зачастую, обеспечение выполнения режимных требований и (для ознакомления, например, с нормами требований по безопасности) наличия допуска к сведениям, составляющим государственную тайну. Лицензии выдаются конкретным юридическим лицам - предприятиям, а не министерствам, ведомствам или ассоциациям в целом. Если разрешаемая в лицензии деятельность не является для лицензиата основной, то в лицензии указывается структурное подразделение, которому предоставляется право осуществления указанного в лицензии вида деятельности.

4. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии выдаются только предприятиям, зарегистрированным на территории Российской Федерации.

5. Лицензия ФАПСИ выдается только на основании результатов специальной экспертизы заявителя на соответствие требованиям к предприятию на право деятельности в области защиты информации по заявленному направлению работ и аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью.

Данное положение устанавливает одну из основных норм, определяющих сущностные и процедурные аспекты системы лицензирования ФАПСИ: лицензия может быть выдана не каждому заявителю, то есть предприятию, подавшему все необходимые и правильно оформленные документы, а только предприятию, обладающему соответствующими возможностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия и осуществляется в ходе специальной экспертизы путем экспертных оценок специалистами специально создаваемых, с учетом профиля заявляемых видов деятельности, комиссий факта удовлетворения требованиям, предъявляемым к предприятиям. С данными требованиями заявитель может быть ознакомлен в Лицензионном центре ФАПСИ. Кроме того, по результатам специальной экспертизы заявителя определяются состав и конкретная формулировка разрешенных видов деятельности, а также условия их осуществления. Уточнение формулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов:

уровня конфиденциальности защищаемой информации;

уровня секретности сведений, используемых при осуществлении заявляемой деятельности;

типа используемого криптографического алгоритма;

способа технической реализации изделия;

уровня квалификации персонала;

назначения изделия, наличия или отсутствия сертификата на него;

страны - производителя изделия;

категории помещений и технических средств.

6. Решение ФАПСИ о выдаче лицензии дается предприятию, подавшему заявление на его получение, на основании результатов технической экспертизы изделия и(или) специальной экспертизы заявителя.

Основными задачами технической экспертизы являются установление соответствия предъявляемого изделия заявляемым характеристикам (классу, типу шифровальных средств) и проверка возможного использования в коммерческих шифрсредствах алгоритмов и способов их реализации, составляющих государственную тайну.

7. Лицензия, выданная ФАПСИ, действует на всей территории Российской Федерации, если иное не оговорено в ней особо.

Могут, например, налагаться следующие ограничения:

для региональных представителей, работающих по договорам на реализацию шифрсредств, - в рамках сферы их деятельности;

для фирм-разработчиков - разработка криптографических средств защиты и защищенных средств и систем в интересах региональных государственных и коммерческих структур.

8. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии подписываются генеральным директором Федерального агентства или лица, его замещающего, и заверяются гербовой печатью ФАПСИ.

9. Передача лицензии другим юридическим лицам запрещена.

10. Лицензия имеет ограниченный срок действия, по истечении которого осуществляется переоформление лицензии в порядке, предусмотренном для ее выдачи.

Данные нормы определены постановлением Правительства Российской Федерации от 24.12.94 N 1418 для всех систем лицензирования.

11. Лицензирование осуществляется на платной основе.

Размер платы за рассмотрение заявления и за выдачу лицензии фиксирован. Размер платы за специальную экспертизу определяется договором на ее проведение.

12. Для получения лицензии или решения о выдаче лицензии предприятие обязано представить определенный перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФАПСИ.

Представляемые заявителем документы регистрируются в уполномоченном подразделении Федерального агентства по мере их поступления. Заявление регистрируется только при наличии всех требуемых для оформления лицензии документов.

13. Рассмотрение заявления и специальная экспертиза должны проводиться в сроки, ограниченные соответствующими нормативными актами.

На настоящий момент продолжительность рассмотрения заявления установлена сроком 30 суток с момента поступления всех необходимых документов (с возможностью увеличения этого срока в отдельных случаях еще максимум на 60 суток). Специальная экспертиза имеет аналогичную продолжительность с момента заключения договора на ее проведение.

14. Отказ заявителю в выдаче лицензии должен быть мотивирован.

Заявителю может быть отказано в получении лицензии в следующих случаях:

при наличии в документах, представленных заявителем, недостоверной или искаженной информации;

отрицательного заключения по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безопасности;

отрицательного заключения по результатам аттестации руководителя предприятия или лица, уполномоченного им на ведение лицензируемой деятельности;

отрицательного заключения по результатам технических экспертиз.

15. При ликвидации предприятия выданная лицензия теряет юридическую силу.

В случае реорганизации предприятия, изменения его дислокации или наименования юридического лица, утраты лицензии осуществляется ее переоформление.

Переоформление лицензии в указанных случаях, за исключением изменения наименования юридического лица, осуществляется в порядке, предусмотренным для ее выдачи.

16. Выданная лицензия может быть приостановлена или аннулирована.

Приостановление или аннулирование лицензии осуществляется в случаях:

представления лицензиатом соответствующего заявления;

обнаружения недостоверных данных в документах, представленных для получения лицензии;

нарушения лицензиатом условий действия лицензии;

невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления ими деятельности предприятия в соответствии с законодательством Российской Федерации;

ликвидации предприятия.

Приостановление действия лицензии влечет за собой прекращение деятельности лицензиата по виду деятельности (работ, услуг), указанному в лицензии, до устранения выявленных нарушений.

17. Решение ФАПСИ о выдаче лицензии на ввоз(вывоз) шифровальных средств выдается только на конкретную партию изделий. Наличие заключенных договоров не является основанием для выдачи положительного решения о возможности ввоза(вывоза) шифровальных средств.

Данные нормы соответствуют установленному порядку внешнеэкономической деятельности. Заключаемые договора, как правило, содержат статью, учитывающую форс-мажорные обстоятельства, предусматривающие возможный отказ уполномоченных государственных органов в выдаче лицензии на ввоз(вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этапностью и сроками поставок, оговоренных конкретным договором.

Деятельность по лицензированию в области зашиты информации осуществляется на основании следующих принципов:

Соответствия действующим российским законодательным и нормативным актам.

Системного и комплексного подхода к решению вопросов лицензирования и сертификации.

Обеспечения надежной защиты информации, составляющей государственную тайну или иной конфиденциальной информации.

Дифференцированного подхода к отдельным видам деятельности и средствам защиты.

Наложения на лицензиата обязательств по выполнению требований Российского законодательства и иных нормативных актов в области защиты информации.

Соответствия заявителей и лицензиатов требованиям по профессиональной подготовке, нормативно-методической, технической и технологической оснащенности, режимным требованиям, проверяемом в ходе проведения обязательной экспертизы заявителей и постоянного контроля за деятельностью лицензиатов.

Четкой регламентации предоставляемых лицензиату прав и полномочий, а также механизма его взаимодействия с ФАПСИ.

Централизованности выдачи, учета, приостановления и отзыва лицензий и сертификатов.

Доступности и открытости систем лицензирования и сертификации в рамках вышеперечисленных принципов.

Собственно лицензирование деятельности предприятий в области защиты информации включает следующие действия:

выдачу лицензий (решений о выдаче лицензий) - подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий (решений о выдаче лицензий), переоформление лицензий;

проведение специальной экспертизы заявителя;

проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью;

проведение технической экспертизы изделий.

Рассмотрим подробнее отдельные фазы процесса лицензирования.

А. Рассмотрение заявления и выдача лицензий

Для получения лицензии заявитель представляет заявление по форме, представленной в Приложении, с указанием:

наименования и организационно-правовой формы, юридического адреса, номера расчетного счета и реквизитов соответствующего банка;

вида (видов) деятельности с формулировкой видов в соответствии с "Положением о государственном лицензировании в области защиты информации";

срока действия лицензии.

Заявление подписывается руководителем предприятия (либо лицом его замещающим) с расшифровкой подписи и заверяется основной печатью предприятия. Заявление на лицензирование подается на имя генерального директора Федерального агентства и направляется только почтой по адресу:

103031, г. Москва 31, Большой Кисельный переулок, ФАПСИ.

Переписка по рабочим материалам и конкретным вопросам, возникающим в ходе процесса лицензирования, в том числе представление дополнительных или ранее не представленных материалов, осуществляется с уполномоченным подразделением Лицензионного центра ФАПСИ:

121351, г. Москва 351, а/я 59, Отдел лицензирования и сертификации ФАПСИ.

Заявление о выдаче лицензии принимается к рассмотрению только при наличии всех необходимых, определенных нормативными актами, документов, включающих, в первую очередь, заключение по результатам специальной экспертизы, подтверждающее наличие на предприятии необходимых условий для проведения работ по заявленным видам деятельности и соответствие их предъявляемым ФАПСИ требованиям, а также копию документа, подтверждающего прохождение аттестации руководителем предприятия. Заявитель несет ответственность за достоверность представленных сведений. В ходе рассмотрения заявления ФАПСИ вправе произвести проверку достоверности представляемых сведений.

К заявлению на получение лицензии прилагаются:

копия свидетельства о государственной регистрации предприятия;

копии учредительных документов (устава, договора и т.д.) с предъявлением оригиналов, если копии не заверены нотариусом;

копии документов, подтверждающих право собственности, право полного хозяйственного ведения, и (или) договора аренды на имущество, необходимое на ведение заявленной деятельности;

справка налогового органа о постановке на учет;

представление органов государственной власти Российской Федерации с рекомендацией или ходатайством о выдаче лицензии;

документ, подтверждающий оплату рассмотрения заявления.

Проведение специальной экспертизы осуществляется экспертными комиссиями, формируемыми либо Лицензионным центром ФАПСИ, либо аттестационными центрами в рамках определенных этим центрам полномочий.

В настоящее время Федеральным агентством аккредитованны на проведение специальных экспертиз предприятий-заявителей три аттестационных центра на базе следующих организаций и предприятий:

НТЦ ФАПСИ, аттестат аккредитации от 13.08.96 N АТФ/001-02.005;

ЗАО "МО ПНИЭИ", аттестат аккредитации от 13.08.96 N АТФ/057-04.002;

"Общественное объединение "Ассоциация документальной электросвязи", аттестат аккредитации от 04.12.96 NАТФ/057-05.002.

В принципе возможны два варианта проведения лицензирования:

1. Предприятие подает заявление на получение лицензии со всеми перечисленными выше документами, считая его одновременно и заявкой на проведение специальной экспертизы, результаты которой затем прилагаются к поданному заявлению. Датой принятия заявления к рассмотрению в этом случае считается дата утверждения экспертного заключения.

2. Предприятие заранее, на основании отдельной заявки, получает экспертное заключение в Лицензионном центре ФАПСИ или в рекомендованном ему аттестационном центре и вместе с другими требуемыми документами направляет его с заявлением. Датой принятия заявления к рассмотрению в этом случае считается дата регистрации в ФАПСИ полного пакета всех необходимых правильно оформленных документов.

Первый вариант является основным, и дальнейшее изложение будет вестись применительно к нему. Второй вариант целесообразно применять в тех случаях, когда остро не стоит вопрос первичной предварительной оценки документов лицензиата, например, при лицензировании эксплуатации шифровальных средств.

Решение о выдаче или отказе в выдаче лицензии принимается в течение 30 дней со дня принятия заявления к рассмотрению. Выдача лицензий или мотивированных отказов в выдаче лицензий, принятие решений о приостановлении или аннулировании лицензий является прерогативой генерального директора ФАПСИ. Оформленная надлежащим образом лицензия (подписанная генеральным директором ФАПСИ, удостоверенная гербовой печатью Агентства, имеющая уникальный номер, проставленный срок действия и дату регистрации ее в Государственном реестре лицензий ФАПСИ) вручается лицензиату установленным порядком. Копия лицензии хранится в Лицензионном центре Федерального агентства.

Лицензионный центр ФАПСИ вправе на этапе предварительного рассмотрения заявления согласовать с предприятием вопрос о снятии заявления или изменения запрашиваемого объема работ. Если заявление оформлено правильно и в приложении имеются все необходимые документы, то Лицензионный центр ФАПСИ регистрирует поступившие документы и направляет заявителю уточненные для него требования по конкретным видам деятельности, а также указывает аттестационный центр, который будет проводить специальную экспертизу.

Подготовленное на основании требований обоснование необходимых условий для осуществления работ по заявленным видам деятельности заявитель представляет в определенный для него аттестационный центр, после чего заключается договор на проведение специальной экспертизы. Если представленная документация или сведения не полны, ФАПСИ не принимает такое заявление к рассмотрению.

Б. Специальная экспертиза предприятий

Организация и проведение специальных экспертиз предприятий, в целом, возлагается на Лицензионный центр ФАПСИ или уполномоченный аттестационный центр.

Специальная экспертиза заявителя осуществляется на основании заявки предприятия, содержащей лицензируемые виды деятельности и перечни необходимых для их обеспечения производственного и испытательного оборудования, нормативной и методической документации, имеющихся на предприятии, краткой характеристики состава и квалификации персонала предприятия.

Как указывалось в подразделе А., специальная экспертиза заявителя может быть проведена как до подачи заявления на лицензирование, так и в ходе его рассмотрения. В последнем случае просьба о проведении специальной экспертизы заявителя должна фигурировать в заявлении на лицензирование, к которому в дополнение к документам, перечисленным выше, должна быть приложена справка с указанием сведений, перечисленных в предыдущем абзаце. Время на проведение специальной экспертизы заявителя в этом случае в отведенный на рассмотрение заявления на лицензирование срок не включается.

Специальная экспертиза заявителя осуществляется экспертной комиссией, состав которой и примерные сроки работы доводятся до заявителя официальным порядком.

В случае необходимости аттестация руководителей предприятий или лиц, уполномоченных ими на руководство лицензируемой деятельностью, может быть проведена Лицензионным центром ФАПСИ или аттестационным центром в ходе проведения специальной экспертизы предприятия. Экспертная комиссия вправе засчитать в качестве документа об аттестации руководителя предприятия официальный документ о прохождении переподготовки по соответствующему профилю на курсах, имеющих лицензию на осуществление учебной деятельности и право квалифицировать уровень полученных знаний.

Расходы на специальную экспертизу, а также на аттестацию руководителя предприятия полностью относятся на счет заявителя. Экспертиза проводится на основе хозяйственного договора между Лицензионным центром ФАПСИ или аттестационным центром и предприятием-заявителем. Оплата работы членов экспертной комиссии производится исключительно центром, осуществлявшим экспертизу, за счет средств, получаемых в соответствии с указанным договором.

Конкретный порядок проведения специальных экспертиз заявителей, методические рекомендации по организации и проведению аттестации руководителей предприятий или лиц, уполномоченных ими на руководство лицензируемой деятельностью, определяются ведомственной инструкцией, разрабатываемой Лицензионным центром ФАПСИ, которая раскрывает и уточняет рассмотренные в настоящей работе аспекты.

В. Техническая экспертиза изделий

От результатов этой экспертизы зависит решение таких вопросов, как:

необходимость лицензирования своей деятельности тем или иным предприятием;

необходимость и возможность получение разрешения на ввоз в страну или вывоз из нее конкретных средств защиты информации;

и т. д.

Целями такой экспертизы являются:

обоснованное отнесение какого-либо аппаратного, аппаратно-программного или программного средства или его функциональной части, встроенного блока, программного модуля к категориям средств защиты информации, средств криптографической защиты информации (шифровальных средств) и(или) защищенного оборудования;

обоснованное отнесение научно-технической и(или) нормативно-технической документации или технологии к категориям информации и технологии двойного применения, которые могут быть использованы при создании военной техники;

определение уровня защищенности конфиденциальной информации при ее обработке, хранении и передаче по линиям связи, а также эффективности контроля ее защиты в конкретных защищенных системах и комплексах телекоммуникаций, объектах информатики и информационно-телекоммуникацион-ных системах и комплексах;

определение уровня эффективности обнаружения закладных электронных устройств перехвата информации техническими средствами;

контроль за деятельностью лицензиатов в области защиты информации.

Техническая экспертиза проводится на основании решения Федерального агентства или Лицензионного центра ФАПСИ либо самим Лицензионным центром, либо, по его поручению, аккредитованными аттестационными или испытательными сертификационными центрами (лабораториями),, а также в предусмотренных законодательными или иными нормативными актами Российской Федерации случаях на основании обращений судебных, правоохранительных, таможенных, налоговых органов или отдельных предприятий, по заявлениям субъектов лицензионной и внешнеторговой деятельности в области защиты информации.

Примером такой экспертизы может служить определение правильности отнесения ввозимого или вывозимого товара к категории шифровальных средств и, следовательно, его классификации по группе 8473 кодов товарной номенклатуры внешней экономической деятельности (кодов ТН ВЭД). В качестве другого примера приведем оценку стойкости телефонного шифратора с целью его правильной классификации как скремблера.

Данный раздел посвящен более подробному рассмотрению вопрпосов лицензирования деятельности банков, предприятий, организаций и учреждений в области эксплуатации средств криптографической защиты информации. Если разработка, производство, реализация шифровальных средств осуществляется относительно небольшим числом предприятий и организаций, то вопросы лицензирования эксплуатации подобных средств и оказания услуг с их использованием затрагивает интересы несравненно большего числа предприятий, организаций и учреждений. В первую очередь к таким организациям следует отнести банки и другие финансово-кредитные организации, широко применяющие шифровальные средства и средства электронной цифровой подписи для защиты информации, составляющей банковскую или коммерческую тайну, но не содержащей сведения составляющие государственную тайну.

В общем случае, как и все иные юридические лица, банк может заявлять права на осуществление любой деятельности, связанной с защитой информации в системах электронного документооборота. Поэтому более правильно, с учетом ситуации, которая "де-факто" сложилась в стране, говорить о видах деятельности, на которые необходимо получить лицензию.

На наш взгляд, таких видов деятельности три (в соответствии с перечнем видов деятельности, подлежащих лицензированию ФАПСИ):

эксплуатация шифровальных средств для защиты информации при ее обработке, хранении и передаче по каналам связи и(или) средств электронной цифровой подписи (независимо от способа реализации и контекста использования этих средств), а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт;

оказание услуг по защите (шифрованию) информации;

монтаж, установка (инсталляция), наладка шифровальных средств для защиты информации при ее обработке, хранении и передаче по каналам связи и(или) средств электронной цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт.

Как уже отмечалось выше, в соответствии с имеющимися законодательными и нормативными актами лицензию должно получать каждое юридическое лицо, осуществляющее деятельность в области защиты информации. Для представляющих наибольший интерес защищенных криптографическими средствами систем обмена и расчета "банк-клиент" это означает, что в классическом варианте за лицензией на эксплуатацию шифровальных средств должен обращаться как сам банк, так и его клиенты, являющиеся абонентами сети электронного документооборота. Однако, учитывая особенности банковского документооборота, ФАПСИ проработало вопрос о возможности применения иного порядка лицензирования установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа "Банк-Клиент", системах финансового и фондового рынка при защите информации по уровню "С". В принципе, данный порядок лицензирования перечисленных видов деятельности может быть распространен на другие предприятия, организации и учреждения Российской Федерации.

Под уровенем "С" при этом полагается криптографическая защита информации на уровне потребителя. Информационно-телекоммуникационные системы создаются предприятием самостоятельно на основе сертифицированных СКЗИ, предназначенные для защиты конфиденциальной информации, встраивание которых в прикладные системы должно происходить с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

Если коротко характеризовать разработанный порядок, то можно сказать, что банку (или предприятию-организатору сети) будет выдаваться лицензия на право эксплуатации всей защищенной криптографическими средствами сети, включающей всех его клиентов. А именно:

1.Лицензия на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в конкретных корпоративных сетях типа "Банк-Клиент", системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню "С" может выдаваться заявителю, который будет эксплуатировать сеть указанного типа (далее - организатор сети). Обязанности по обеспечению безопасности применения СКЗИ устанавливаются договорами, заключаемыми организатором сети с пользователями сети. Пользователи сети эксплуатируют сертифицированные СКЗИ без оформления лицензий.

При необходимости Лицензионный центр ФАПСИ выдает пользователям такой сети по их заявкам заверенную копию лицензии организатора сети с указанием их наименования и юридического адреса. Вместе с тем, наличие подобной лицензии или ее копии не освобождает организатора сети и пользователей его корпоративной сети от необходимости получения отдельных лицензий на право эксплуатации иных средств криптографической защиты информации.

2. Для создания соответствующих условий осуществления лицензируемой деятельности заявитель вправе приобрести у изготовителя или его представителя опытную партию сертифицированных средств криптографической защиты информации, а также комплект необходимой технической или эксплуатационной документации до получения лицензии.

3. Вместо представления органа государственной власти Российской Федерации заявитель в данном случае в праве представлять копию государственной лицензии на основной вид своей деятельности (например, копию банковской лицензии).

4.Специальная экспертиза заявителей на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, в корпоративных сетях типа "Банк-Клиент", системах финансового и фондового рынка, предприятий, организаций и учреждений Российской Федерации при защите информации по уровню "С" проводится аттестационным центром на основании заявки и представленного заявителем перечня сведений, подтверждающих выполнение им соответствующих требований ФАПСИ, а также условий действия сертификатов соответствия на эксплуатируемые шифровальные средства.

В настоящий момент ФАПСИ разработало несколько видов требований к предприятиям, претендующим на получение лицензии Федерального агентства. Имеющиеся типовые требования конкретизируются и дифференцируются с учетом специфики отдельных видов деятельности и заявителей. В рассматриваемом случае к заявителю на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню "С" предъявляются следующие требования:

На предприятии-заявителе руководством должны быть выделены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ.

Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены в специально разработанных документах, утвержденных руководством предприятия, с учетом эксплуатационной документации на СКЗИ.

На предприятии должны быть созданы условия, обеспечивающие сохранность конфиденциальной информации, доверенной предприятию юридическими и физическими лицами, пользующимися его услугами.

Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и шифрключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.

Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры предприятия.

При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.

Для хранения шифрключей, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством предприятия.

Устанавливаемый руководителем предприятия порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ.

Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.

Все поступающие для использования шифрключи и инсталляционные дискеты должны браться на предприятии на поэкземплярный учет в выделенных для этих целей журналах.

Учет и хранение носителей шифрключей и инсталляционных дискет, непосредственная работа с ними поручается руководством предприятия специально выделенным работникам предприятия. Эти работники несут персональную ответственность за сохранность шифрключей.

Учет изготовленных для пользователей шифрключей, регистрация их выдачи для работы, возврата от пользователей и уничтожения ведется на предприятии.

Хранение шифрключей, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

Наряду с этим должна быть предусмотрена возможность раздельного безопасного хранения рабочих и резервных шифрключей, предназначенных для использования в случае компрометации рабочих шифрключей в соответствии с правилами пользования СКЗИ.

При пересылке шифрключей клиентам предприятия должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию.

В случае отсутствия у оператора СКЗИ индивидуального хранилища шифрключи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.

Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов.

К работе с СКЗИ допускаются решением руководства предприятия только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ.

Руководитель предприятия или лицо, уполномоченное на руководство заявленными видами деятельности, должно иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.

В настоящее время сертификация средств защиты информации, отнесенных к компетенции ФАПСИ, определяется "Системой сертификации средств криптографической защиты информации (СКЗИ)" РОСС RU.0001.030001. Данный документ представляет собой нормативный акт, который включает в себя положения и нормы, определяющие правила и общий порядок проведения сертификации в рассматриваемой предметной области. Он базируется на законе Российской Федерации "О сертификации продукции и услуг", иных нормативных актах, утвержденных Госстандартом России, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. С другой стороны, учтены и обобщены особенности и накопленный многолетний опыт работы ФАПСИ в области защиты информации, оценки качества разрабатываемых и производимых средств защиты, а также права и обязанности Федерального агентства, предоставленные ему российским законодательством.

Порядок проведения сертификации средств защиты информации ФАПСИ основан на следующих основных принципах и правилах:

1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны, или обязательность сертификации которых установлена нормативными актами Российской Федерации.

В настоящее время такое требование установлено для средств защиты информации в системах электронного документооборота, используемых для обмена с Банком России, а также для средств и защищенных систем государственных предприятий или предприятий, на которых размещен государственный заказ.

2. Обязательность использования криптографических алгоритмов, являющихся стандартами или ранее рекомендованных либо разработанных ФАПСИ.

Специально подчеркнем, что факт одобрения ФАПСИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям. Это одобрение может быть осуществлено путем утверждения алгоритма:

в качестве государственного стандарта;

Правительством Российской Федерации;

Федеральным агентством.

Отсюда следует, что изделия, реализованные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ФАПСИ, а равно изделия, реализующие алгоритмы иностранной разработки, или импортные шифровальные средства на сертификацию не принимаются.

3. Принятие на сертификацию только изделий от заявителей, имеющих лицензию ФАПСИ на соответствующие виды деятельности.

Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар предлагаемый на рынок, могут только предприятия, имеющие лицензию.

4. Принятие на сертификацию только готовых изделий в целом, а не их составных частей или отдельных компонент.

В различных публикациях специалисты ФАПСИ неоднократно указывали, что сами по себе даже высоконадежные криптографические алгоритмы или отдельные блоки и модули (аппаратные, аппаратно-программные и программные), реализующие часть процесса защиты, не могут обеспечить требуемого уровня защиты информации в комплексе. Например, без реализации специальных мер эти средства могут быть просто обойдены или необходимая информация может быть получена за счет побочных электромагнитных излучений и наводок. Для систем и комплексов, которые включают совокупность некоторого множества явно различимых как самостоятельное изделие функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них.

5. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, с учетом условий их эксплуатации.

6. Двухступенчатость процесса сертифицикации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется Центральным органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).

7. Дифференцированность подхода к уровню защиты различных видов информации.

Например, в зависимости от полноты реализуемой защиты для системы конфиденциального электронного документооборота устанавливаются три уровня обеспечения безопасности (сертификации):

Уровень "А" - сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;

Уровень "В" - сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;

Уровень "С" - сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.

8. Принятие Центральным органом по сертификации и испытательными центрами (лабораториями) на себя ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.

9. Сертификационные испытания средств криптографической защиты информации могут осуществляться только аккредитованными ФАПСИ испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности к шифровальным средствам соответствующего класса удостоверяет только сертификат ФАПСИ.

10. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.

Организационная структура системы сертификации ФАПСИ включает в себя ФАПСИ как Государственный орган по сертификации средств криптографической защиты информации, Центральный орган системы сертификации и Испытательные центры (лаборатории) средств защиты информации и заявителей.

ФАПСИ как Государственный орган по сертификации создает систему сертификации средств защиты информации, устанавливает правила проведения сертификации конкретных средств защиты информации в этой системе, организует обязательную государственную сертификацию этих средств, устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации, определяет центральный орган системы сертификации, устанавливает правила признания зарубежных сертификатов, рассматривает апелляции по вопросам сертификации, выдает сертификаты.

Центральный орган системы сертификации организует и осуществляет работы по сертификации средств защиты информации, координирует деятельность испытательных центров (лабораторий), разрабатывает номенклатуру средств защиты информации, подлежащих сертификации, совершенствует методы и средства испытаний, разрабатывает нормативные и методические документы системы сертификации, готовит материалы для аккредитации испытательных центров (лабораторий), ведет государственные реестры аккредитованных испытательных центров (лабораторий) и сертифицированных продуктов, назначает испытательный центр (лабораторию) для проведения испытаний конкретных средств защиты информации, утверждает программы и методики испытаний конкретных средств защиты информации, осуществляет экспертизу материалов сертификационных испытаний средств защиты информации на соответствие предъявляемым требованиям, готовит материалы для выдачи сертификатов, осуществляет научно-технический контроль за стабильностью характеристик сертифицированных изделий и состоянием их производства, а также за деятельностью испытательных центров (лабораторий).

Испытательные центры (лаборатории) средств защиты информации осуществляют испытания конкретных СЗИ на основании нормативных и методических материалов Центрального органа системы сертификации, оформляют и представляют в Центральный орган системы сертификации протоколы испытаний, готовят и согласовывают с Центральным органом системы сертификации программы и методики испытаний конкретных средств защиты информации, принимают участие в совершенствовании методов и средств испытаний, разработке нормативной и методической документации, участвуют в проверке технических характеристик сертифицированной им продукции и проверке условий ее производства.

В настоящее время Федеральным агентством аккредитованны на проведение сертификационных испытаний средств криптографической защиты информации в Системе сертификации РОСС RU.0001.030001 три испытательных центра и две испытательных лаборатории на базе следующих организаций и предприятий:

НТЦ ФАПСИ, аттестат аккредитации от 07.12.94 N АФ/Ц00-01.001, лицензия на право проведения сертификационных испытаний N ЛФ/02-1;

Научно-исследовательский институт автоматики РГНПО "Автоматика", аттестат аккредитации от 13.09.95 N АФ/Ц00-02.002, лицензия на право проведения сертификационных испытаний N ЛФ/01-15;

Пензенский филиал НТЦ ФАПСИ, аттестат аккредитации от 13.09.95 N АФ/Ц03-03.003, лицензия на право проведения сертификационных испытаний N ЛФ/02-14;

НПО "Импульс", аттестат аккредитации от 12.11.96 N АФ/Л11-04.004, лицензия на право проведения сертификационных испытаний N ЛФ/01-68;

НПП "Сигнал", аттестат аккредитации от 12.11.96 N АФ/Л12-05.005, лицензия на право проведения сертификационных испытаний N ЛФ/01-71.

Заявители (разработчики, изготовители, поставщики и потребители) сертифицированной продукции обеспечивают соответствие средств защиты информации требованиям нормативных и методических документов, на соответствие которым они были сертифицированы, незамедлительно извещают Центральный орган системы сертификации о всех изменениях в технологии, конструкции (составе) средств защиты информации, которые могут оказать влияние на свойства этих изделий, обеспечивают беспрепятственное выполнение инспекционного контроля за сертифицированной продукцией, приостанавливают производство или прекращают реализацию средств защиты информации, не отвечающих предъявляемым требованиям или по истечении срока действия сертификата.

Заявление на сертификацию средств защиты информации и полный комплект технической документации подаются в Центральный орган по сертификации, который назначает испытательный центр (лабораторию) для проведения испытаний.

При отсутствии всех необходимых документов заявление на проведение сертификации не принимается.

Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром (лабораторией).

Сертификация (экспертиза материалов испытаний и подготовка документов для выдачи сертификата) осуществляется Центральным органом по сертификации на безвозмездной основе.

При отсутствии аккредитованных испытательных центров (лабораторий) испытания подлежащей сертификации продукции проводятся Центральным органом по сертификации на безвозмездной основе.

Испытания средств защиты информации проводятся на образцах, конструкция, состав и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю. Номера образцов продукции, на которых проводились сертификационные испытания, и технических условий на них включаются в текст сертификата.

Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).

Указанный срок должен учитывать время, необходимое на экспертизу.

Результаты испытаний оформляются протоколами, которые направляются в Центральный орган по сертификации, а копии - заявителю.

При отрицательном заключении экспертизы заявителю отказывается в выдаче сертификата.

Сертификат выдается на срок до 5 лет и подписывается генеральным директором Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Действие выданного сертификата может быть приостановлено или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации.

Причинами приостановления и аннулирования сертификата могут быть:

а) изменение нормативных и методических документов на средства защиты информации или их элементов, на испытания и контроль;

б) изменения конструкции, состава или комплектности средства защиты информации;

в) невыполнение требований технологии или технических условий на изделие;

г) отказ заявителя в допуске для проведения научно-технического и инспекционного контроля.

По состоянию на декабрь месяц 1996 года Федеральным агентством выдан 161 сертификат на средства криптографической защиты информации, в том числе 25 на шифровальные средства, предназначенные для защиты конфиденциальной коммерческой и банковской информации. В соответствии с установленным порядком, подлинники сертификатов выдаются основному заказчику и разработчику шифровальных средств с предоставлением им права выдачи потребителям заверенных копий.

В заключение настоящей работы авторы хотели бы отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, естественно, следует, что отдельные положения, изложенные в данной статье, могут быть изменены, уточнены или дополнены. Естественно, будут пополняться и список лицензиатов, и перечень сертифицированных средств криптографической защиты информации. Все эти уточнения, пополнения и изменения будут по мере возможностей доводиться до сведения заинтересованных лиц и организаций, в том числе и через средства массовой информации.



Литература

1. "О федеральных органах правительственной связи и информации" от 19.02.93 N 4524-1.

2. "О государственной тайне" от 21.07.93 N 5485-1.

3. "О сертификации продукции и услуг" от 10.06.93 N 5151-1.

4. "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ.

5. "О связи" от 16.02.95 N 15-ФЗ.

6. "О защите прав потребителей" от 07.02.92 N 2300-1.

7. "Об авторском праве и смежных правах" от 09.07.93 N 5352-1.

8. "Патентный закон Российской Федерации" от 23.09.92 N 3519-1.

9. "О стандартизации" от 10.06.93 N 5154-1.

10. "О рекламе" от 18.07.95. N 108-ФЗ

11. "О правовой охране программ для электронных вычислительных машин и баз даных" от 23.09.92. N 3523-1

12. "О правовой охране топологии интегральных микросхем" от 23.09.92. N 3526-1

13. "Об участии в международном информационном обмене" от 04.07.96. N85 ФЗ

14. Указы и распоряжения Президента Российской Федерации

15. "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3.04.95 N 334.

16. распоряжение Президента Российской Федерации "О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники" от 11.02.94 N 74-рп.

17. "О лицензировании отдельных видов деятельности" от 24.12.94 N 1418.

18. "О лицензировании и квотировании экспорта и импорта товаров (работ, услуна территории Российской Федерации" от 06.11.92 N 854.

19. "О поставках продукции и отходов производства, свободная реализация которых запрещена" от 10.12.92 N 959.

20. "О внесении дополнений и изменений в постановления Правительства Российской Федерации от 06.11.92 N 854 и от 10.12.92 N 959" от 15.04.94 N 331.

21. "Об утверждении Положения о порядке контроля за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники" от 10.03.94 N 197.

22. "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг" от 01.07.94 N 758.

23. "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (илуслуг по защите государственной тайны" от 15.04.95 N 333.

24. "О сертификации средств защиты информации" от 26.06.95 N 608.

25. "Система сертификации средств криптографической защиты информации" (Система сертификации СКЗИ)" РОСС RU.0001.030001 от 15.11.93.

26. "Правила по проведению сертификации в Российской Федерации" от 16.02.94 N 3.

27. "Положение о государственном лицензировании деятельности в области защиты информации" от 27.04.94 N 10.

28. "Положение об испытательном центре (лабораторисредств криптографической защиты информации (ИЦ СКЗИ), аккредитованном ФАПСИ на испытания СКЗИ по требованиям безопасности информации".

29. "Положение о лицензировании деятельности в области связи в Российской Федерации".

30. "Временное положение об аттестационном центре ФАПСИ, аккредитованном на проведение работ в области защиты информации". http://www.iso27000.ru/chitalnyi-zai/sertifikaciya-i-attestaciya/o-licenzirovanii-i-sertifikacii-v-oblasti-zaschity-informacii