Правовые основы разработки и использования СКЗИ
М. Н. Семкин,
к. т. н., доцент кафедры защиты
информации Академии ФАПСИ
Согласно обзору, составленному Информационным центром защиты конфиденциальности информации в электронных системах, Россия относится к числу стран с жестким контролем применения криптографических средств.
Мировая практика использования криптографических средств защиты информации выявила серьезное противоречие, связанное с правовым обеспечением этого процесса.
С одной стороны, бесконтрольное шифрование информации, передаваемой по каналам передачи данных и хранящейся в различных базах данных, может значительно осложнить возможности государства по пресечению противоправных действий в различных областях. При этом силовые структуры при попытках законными способами негласно получить требуемую информацию о физических и юридических лицах сталкиваются с проблемой вскрытия содержания этой информации.
С другой стороны, правительственное регулирование применения криптографических методов защиты информации наносит существенный ущерб правам человека на обеспечение конфиденциальности сведений, составляющих личную или семейную тайну, и персональных данных. Эти права защищаются статьей 12 «Всеобщей декларации прав человека».
Как показывает практика, таких нарушений со стороны государства в мире становится все больше. Госдепартамент США в своем докладе о практике соблюдения прав человека, представленном в 1996 году, сообщал о получивших широкое распространение незаконных и неконтролируемых подключениях к линиям связи для прослушивания в более чем 90 странах.
По данным французской национальной комиссии по контролю за незаконными подключениями, для перехвата информации в этой стране ежегодно производится до 100 тысяч таких подключений. Недавно принятый в Великобритании закон разрешает наблюдение за адвокатами и священниками. В Германии продлено действие закона, разрешающего прослушивание в журналистских офисах. Европейский парламент опубликовал в январе 1998 года доклад, в котором сообщается, что Агентство национальной безопасности США осуществляет массовый контроль в европейских системах связи.
Информационным центром защиты конфиденциальности информации в электронных системах (EPIC – Electronic Privacy Information Center) был составлен обзор, дающий представление о национальной политике и законодательстве в области криптографии большинства стран и территорий земного шара. В соответствии с этим обзором страны разделены на три группы по характеру принятой и реализуемой политики контроля криптографии. Этим группам присвоены следующие обозначения:
зеленая – страны, практически не ограничивающие свободного применения криптографии;
желтая – страны, намеревающиеся ввести определенный контроль криптографии, включая ее применение внутри страны и экспорт программных средств двойного назначения;
красная – страны, осуществляющие контроль криптографии и ее применение внутри страны.
Анализ полученных сведений показывает, что в настоящее время в большинстве стран мира отсутствует контроль за применением криптографии, аппаратные и программные криптографические средства защиты информации могут производиться, использоваться и продаваться без каких-либо ограничений (зеленая группа). К красной группе с жестким контролем применения криптографических средств относятся такие страны, как Белоруссия, КНР, Израиль, Пакистан, Россия и Сингапур. Еще в меньшем количестве стран рассматриваются возможности введения новых мер контроля. Это Индия, Южная Корея и США. Более того, в настоящее времяСША проводит активную политику по введению международного контроля применяемых в различных странах криптографических ключей и выдачи таких ключей таким странам, как Бразилия, Сингапур, Южная Африка и др.
В 1997 году Организацией экономического сотрудничества и развития были приняты «Основные принципы политики в области криптографии», направленные на поиск компромисса между интересами государства и личности в рассматриваемом вопросе. В соответствии с этим документом правительствам рекомендовано содействовать применению криптографии для защиты данных и в коммерческих операциях, соблюдая основные права человека на личную тайну, учитывая при этом интересы национальной безопасности и правоохранительных органов. Международные консультации и сотрудничество должны способствовать выработке правильной политики в области криптографии ввиду присущего информационным и коммуникационным сетям международного характера, а также трудностей определения и юридической защиты границ в современном информационном пространстве.
Законодательством РФ ответственность за разработку, производство и применение шифровальных средств возложено на Федеральное агентство правительственной связи и информации.
В соответствии с Законом РФ «О федеральных органах правительственной связи и информации» от 19 февраля 1993 года ФАПСИ, кроме главной своей функции обеспечения безопасности правительственной связи, обязано:
координировать на безвозмездной основе в интересах обеспечения государственной и иной охраняемой законом тайны деятельность организаций, предприятий, учреждений независимо от их ведомственной принадлежности и форм собственности в области разработки, производства и поставки шифровальных средств и оборудования специальной связи;
координировать деятельность центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений по обеспечению криптографической и инженерно-технической безопасности шифрованной связи в РФ и ее учреждениях за рубежом, снабжать их ключевыми документами.
При этом федеральные органы правительственной связи и информации имеют право:
определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в РФ; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг;
определять порядок и обеспечивать выдачу лицензий на экспорт и импорт шифровальных средств и нормативно-технической документации на их производство и использование; участвовать в определении порядка и в обеспечении выдачи лицензий на экспорт и импорт защищенных технических средств передачи, обработки и хранения секретной информации;
осуществлять государственный контроль за состоянием криптографической и инженерно-технической безопасности шифрованной связи в органах государственной власти субъектов РФ, в центральных органах федеральной исполнительной власти, в организациях, на предприятиях, в банках и иных учреждениях независимо от их ведомственной принадлежности, а также секретно-шифровальной работы в учреждениях, находящихся за рубежом РФ (кроме секретного делопроизводства в загранаппаратах Службы внешней разведки РФ).
Таким образом, все вопросы, связанные с разработкой, производством, закупкой и применением шифровальных средств независимо от области их использования должны координироваться ФАПСИ. При этом, если такие средства предназначены для защиты государственной тайны, указанные вопросы находятся в полном ведении ФАПСИ. В соответствии с Указом Президента РФ № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.1995 запрещается использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), не имеющих сертификата ФАПСИ.
Для информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (конфиденциальной информации), они регулируются специальным «Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденным Приказом генерального директора ФАПСИ № 158 от 23 сентября 1999 года.
В соответствии с этим Положением при обмене подлежащей обязательной защите конфиденциальной информацией, не содержащей сведений, составляющих государственную тайну, участники этого обмена обязаны согласовывать с ФАПСИ вопросы, связанные с использованием средств криптографической защиты (СКЗИ). К таким участникам относятся:
государственные органы и организации;
негосударственные организации и физические лица при необходимости обмена конфиденциальной информацией с государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
другие организации независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
При этом под СКЗИ понимаются аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие криптографические алгоритмы преобразования информации:
при ее обработке, хранении и передаче по каналам связи;
при ее защите от несанкционированного доступа в процессе обработки и хранения;
при защите от навязывания ложной информации, включая имитозащиту и «электронную подпись».
Кроме того, к СКЗИ относятся аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
Рассматриваемое Положение определяет также для юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие лицензированию ФАПСИ, порядок разработки, производства и реализации СКЗИ.
«Защита информации. Конфидент», №3, 2001, с.33-35.