Законодательство Российской Федерации и криптография
Политика ФАПСИ в области распространения и использования криптосредств
О. А. Беззубцев,
начальник Лицензионного
и сертификационного центра
ФАПСИ
В. Н. Мартынов,
заместитель начальника
Лицензионного
и сертификационного центра
ФАПСИ
В. М. Мартынов,
ведущий инженер отдела
Лицензионного
и сертификационного центра
ФАПСИ
Законодательное регулирова ние работ и услуг, связанных с криптографией, как частный случай лицензирования отдельных видов деятельности. Критерии определения лицензируемых видов деятельности
В соответствии со статьей 4 Федерального закона от 8 августа 2001 года, № 128-ФЗ «О лицензировании отдельных видов деятельности» к лицензируемым видам деятельности относятся те, «осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием».
Как следует из приведенной цитаты, деятельность в области криптографической защиты информации, которая в числе прочих регулируется упомянутым законом, требует пристального внимания со стороны государства. Необходимость государственного регулирования деятельности организаций, работающих в сфере защиты информации, продиктована обязанностью государства защищать как интересы личности, общества, так и страны в целом.
Сегодня можно с уверенностью утверждать, что в России в рамках рынка информационных технологий сформировался вполне самостоятельный сегмент защиты конфиденциальной информации. В качестве одного из факторов, препятствующих его развитию, иногда отмечается наличие «избыточных административных барьеров». При этом под избыточными барьерами подразумевается сама процедура лицензирования соответствующих видов деятельности. Справедливости ради следует отметить, что это звучит не только в отношении деятельности в области криптографической защиты информации.
Для того чтобы более полно осветить суть проблемы, обратимся к истории. Как известно, чуть более 10 лет назад любая деятельность, связанная с криптографией, являлась исключительной прерогативой специальных служб и их подведомственных предприятий. Деятельность эта была засекречена, и даже само появление слова «криптография» в открытых источниках было невозможным.
После того как в нашей стране произошли известные политические перемены и был взят курс на рыночные преобразования, завеса секретности была снята и с криптографии. Стремительное развитие информационных технологий требовало заполнения вакуума в области средств защиты информации. В этой ситуации, как показало время, было принято единственно правильное решение о недопустимости «анархии» в отрасли информационной безопасности, что, к сожалению, имело место в ряде других областей экономики. Печальные последствия резкого перехода к «свободному рынку» хорошо известны, и в начале 90-х годов подобные тенденции стали проявляться и в сфере информационной безопасности.
В 1993 году было решено трансформировать государственные регулирующие функции в отношении рынка средств и услуг информационной безопасности, и в качестве механизма такого регулирования был выбран институт лицензирования соответствующей деятельности. Разумеется, такой механизм в условиях демократического правового общества должен был быть четко определен нормативными правовыми актами. Так началась работа по созданию отечественного законодательства в области защиты информации.
Обзор нормативной правовой базы Российской Федерации, регламентирующей деятельность в области защиты информации, с 1994 года по настоящее время. Тенденции ее развития
В начале 1994 года Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. Одновременно Правительством было принято постановление от 24.12.94 № 1418 «О лицензировании отдельных видов деятельности». Это постановление явилось ключевым нормативным актом вплоть до принятия Государственной думой одноименного закона. Постановление распространило механизм обязательного лицензирования на все виды деятельности в области криптографической защиты информации независимо от ее характера и степени секретности, на все субъекты этой деятельности, независимо от их организационно-правовой формы.
Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России закона «Об информации, информатизации и защите информации». Этим законом введены основные понятия и термины в области защиты информации. Также закон определил основные цели защиты информации.
3 апреля 1995 года вышел Указ Президента Российской Федерации № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Указ запретил любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации без лицензии ФАПСИ.
В сентябре 1998 года был принят Федеральный закон «О лицензировании отдельных видов деятельности», который ввел единый порядок лицензирования, а также установил, что лицензированию в Российской Федерации подлежит следующая деятельность в области защиты информации:
распространение шифровальных средств;
техническое обслуживание шифровальных средств;
предоставление услуг в области шифрования информации;
проектирование средств защиты информации и обработки персональных данных;
производство средств защиты информации и обработки персональных данных;
осуществление права удостоверения идентичности электронной цифровой подписи;
деятельность по использованию технических средств, предназначенных для выявления электронных устройств, служащих для негласного получения информации.
В апреле 2000 года Постановлением Правительства Российской Федерации № 326 «О лицензировании отдельных видов деятельности» лицензирование видов деятельности по пунктам 1, 2, 3 и 6 отнесено к исключительной компетенции Федерального агентства.
В августе 2001 взамен действующего с 1998 года принят новый закон «О лицензировании отдельных видов деятельности», вступающий в силу 10 февраля 2002 года, который в целом сохраняет лицензирование перечисленных выше видов деятельности.
Сравнительный анализ двух законов «О лицензировании отдельных видов деятельности» показывает тенденцию к либерализации требований к организациям, осуществляющим деятельность в области защиты конфиденциальной информации и процедуры их лицензирования. Так, закон от 1998 года предусматривал единые требования как к организациям, специализирующимся на защите информации, содержащей сведения, составляющие государственную тайну, так и к организациям, специализирующимся на защите конфиденциальной информации. Вновь принятый закон распространяется только на последних, при этом процедура лицензирования для них упрощена.
Развитие информационных технологий, объективная тенденция перехода с традиционного бумажного документооборота на электронный, как стало ясно уже практически всем, требуют адекватного законодательного подкрепления. В этой связи Федеральное агентство придает большое значение разработке и принятию блока так называемых «электронных законов».
Одной из актуальнейших проблем в этом плане является придание законного статуса различного рода электронным документам и данным, подтверждение их юридической силы. С одной стороны, в соответствии с Гражданским кодексом Российской Федерации и Федеральным законом «Об информации, информатизации и защите информации», юридическая сила электронного документа может быть подтверждена электронной цифровой подписью. А с другой стороны, законодательно не определены даже такие основные понятия, как собственно электронный документ и его реквизиты. Поэтому разработка и скорейшее принятие Федерального закона «Об электронной цифровой подписи», целью которого является определение правовых условий использования электронной цифровой подписи, обеспечивающих ее юридическую равнозначность собственноручной подписи, является, на наш взгляд, наиболее важной в ближайшее время задачей.
Для ее решения Федеральным агентством как одним из соразработчиков данного закона в прошедшем году были предприняты значительные усилия.
Варианты проекта закона обсуждались в различных государственных и негосударственных структурах. Были проведены специальные слушания и семинары, на которых свое мнение высказали специалисты, работающие в данной сфере. Все это позволило привести текст законопроекта в соответствие с накопленным в этой области мировым и отечественным опытом и приблизить его к потребностям и реалиям сегодняшнего дня. Результатом проделанной работы явилось принятие Государственной думой в первом чтении проекта федерального закона «Об электронной цифровой подписи». Используя наработанный опыт взаимодействия как с государственными структурами, так и с негосударственными организациями, в настоящее время завершена подготовка проекта ко второму чтению с учетом замечаний депутатов.
Политика ФАПСИ в отношении оборота российских СКЗИ – поддержка легитимного разработчика
Теперь от описания нормативной правовой базы, регулирующей отношения субъектов в области криптографической защиты информации, перейдем к прикладным аспектам ее применения. Одним из них является политика разумного протекционизма в отношении отечественных разработчиков СКЗИ.
В настоящее время группа организаций, осуществляющих разработку и производство СКЗИ, защищенных с их помощью систем и комплексов телекоммуникаций сравнительно не многочисленна по сравнению, например, с группой организаций, специализирующихся на встраивании СКЗИ в телекоммуникационные и информационные системы, распространении конечного продукта, его техническом обслуживании. Данный факт объясняется тем, что ранее специалистов-разработчиков, в первую очередь – криптографов, специализированные учебные заведения готовили в небольшом количестве, необходимом для нужд государства, и практический опыт, позволяющий осуществлять собственные разработки, нарабатывался коллективами таких специалистов не один год.
В целях создания благоприятного климата для деятельности отечественных разработчиков СКЗИ и в рамках законодательства существует возможность упростить процесс реализации продукции этих организаций.
Основными потребителями СКЗИ на сегодняшний день являются организаторы корпоративных информационных систем, которые предоставляют своим клиентам услуги защищенного информационного обмена. Федеральное агентство осуществляет лицензирование деятельности только организатора корпоративной системы. Использование СКЗИ клиентами не требует наличия лицензии ФАПСИ.
Подобная мера, по нашему мнению, способствует повышению спроса на СКЗИ со стороны организаторов корпоративных информационных систем, а значит, оказывает благоприятное воздействие и на деятельность разработчиков СКЗИ.
Политика ФАПСИ в отношении оборота иностранных СКЗИ – стремление к оптимальному сочетанию поддержки отечественного производителя и учета международных реалий
Как уже отмечалось, важным аспектом политики Федерального агентства является поддержка отечественных производителей СКЗИ. Однако это не означает тотального запрета на иностранные средства.
Нельзя не учитывать особенностей сложившейся международной кредитно-финансовой инфраструктуры, предусматривающих применение нероссийских СКЗИ.
Кроме того, на территории Российской Федерации работают представительства и филиалы иностранных компаний, которые также используют для связи с головными офисами СКЗИ зарубежного производства.
Принимая во внимание, что подобные случаи совершенно неизбежны в процессе нормального развития отечественной экономики, Федеральное агентство на основе тщательного анализа каждой конкретной ситуации выдает лицензии на деятельность, связанную с использованием иностранных СКЗИ.
Одним из актуальных моментов государственного регулирования оборота средств криптографической защиты информации, которому Федеральное агентство уделяет пристальное внимание, является решение вопроса о ввозе-вывозе СКЗИ или средств обработки, хранения или передачи информации, которые по кодам товарной номенклатуры могут быть отнесены к таковым и на основании законодательства Российской Федерации не пропускаются таможенными органами без разрешения ФАПСИ. Порядок ввоза-вывоза таких товаров следующий.
Ввоз-вывоз шифровальных средств может быть осуществлен только на основании лицензии Минэкономразвития России, выдаваемой на основании решения ФАПСИ о возможности его осуществления. При ввозе и вывозе товаров, классифицируемых по кодам товарной номенклатуры внешнеэкономической деятельности (ТН ВЭД) 8471, 847330, 854389900, 854390900, которые подпадают под компетенцию ФАПСИ, организации, ввозящие или вывозящие товары, или таможенные органы обращаются в Федеральное агентство с целью проведения экспертизы товаров и получения решения ФАПСИ о возможности их ввоза-вывоза.
Универсальной методики отнесения аппаратных, программных и аппаратно-программных средств к СКЗИ не существует, что определяется сущностью самого объекта анализа. Решение вопроса о том, относится или не относится аппаратное, программное или аппаратно-программное средство к СКЗИ, принимается в каждом конкретном случае по результатам технической экспертизы документации и, как правило, образцов изделия. ФАПСИ при этом руководствуется широким перечнем документов, в том числе определением шифровальных средств (средств криптографической защиты информации), данным в «Системе сертификации средств криптографической защиты информации (Системе сертификации СКЗИ)» РОСС RU.0001.030001 от 15.11.93. и определением понятия шифра, приведенном в ГОСТ 28147-89. Оба указанных документа являются открытыми и доступными.
Экспертиза с целью установления принадлежности конкретных изделий к шифровальным средствам проводится по запросу организации (частного лица) или таможенного органа Лицензионным и сертификационным центром ФАПСИ, либо по его поручению – аккредитованными ФАПСИ сертификационными испытательными центрами по получении от заинтересованной стороны необходимого комплекта документации и технических описаний, а также, как уже говорилось, образцов изделий. О результатах экспертизы заявитель уведомляется в письменном виде.
В рамках проведения контроля за оборотом и использованием СКЗИ Федеральное агентство совместно с региональными структурами и правоохранительными органами проводит работу по выявлению фактов несанкционированного провоза шифровальных средств через таможенную границу, использования, продажи шифровальных средств, а также упоминания этих средств в печати, рекламе, появления их на выставках.
«Защита информации. Конфидент», №1. 2002, с. 14-18.