Правовые основы обеспечения информационной безопасности

     Безопасность  информации – это состояние защищенности информации (ее данных), при которой  обеспечены её конфиденциальность, доступность  и целостность. Конфиденциальность информации – это принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно, содержащиеся в них сведения без согласия собственника экономического субъекта. За исключением случаев, предусмотренных законодательными актами. Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при которой субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

     Примечание. К правам доступа относятся: право  на чтение, изменение, копирование, уничтожение  информации, а также права на изменение, использование, уничтожение ресурсов. Целостность информации – является одним из трех основных критериев информационной безопасности объекта. Обеспечение достоверности и полноты информации и методов ее обработки. Не всегда обязательные категории модели безопасности: невозможность отказа от авторства; подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий; достоверность – свойство соответствия предусмотренному поведению или результату; аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

     В Государственном стандарте РФ приводится следующая рекомендация использования  терминов «безопасность» и «безопасный»: «безопасность» и «безопасный» следует  применять только для выражения  уверенности и гарантий риска. Не следует, употреблять эти слова  в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации.

     Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо: выявить требования защиты информации, специфические для данного объекта защиты; учесть требования национального и международного Законодательства; использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; определить подразделения, ответственные за реализацию и поддержку СОИБ; распределить между подразделениями области ответственности в осуществлении требований СОИБ.

     На  базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты; реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости, пересмотр и корректировку СОИБ и СМИБ. Как видно, из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ, корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы. 
 
 
 
 
 
 
 

Глава 3. Лицензирование и сертификация в области информационной безопасности 

   Система лицензирования направлена на создание условий, при которых право заниматься работами, связанными с информацией ограниченного доступа, для стороннего заказчика предоставлено только организациям имеющим на этот вид соответствующее разрешение (лицензию).

   Лицензия  – это разрешение, выдаваемое специально уполномоченным органом государственного управления или местного самоуправления на осуществление в течение установленного в нем срока видов деятельности, которые в соответствии  с действующим законодательством подлежит лицензированию.

   В основе правового обеспечения процесса лицензирования в РФ лежит Федеральный закон № 128-ФЗ «О лицензировании отдельных видов деятельности» от  08 августа 2001 г. Он определяет перечень видов деятельности, на осуществление которых обязательно требуется лицензия. В области обеспечения информационной безопасности к таким видам деятельности отнесены:

   - деятельность по распространению шифровальных (криптографических) средств;

   - деятельность по техническому обслуживанию шифровальных (криптографических) средств;

   - предоставление услуг в области шифрования информации;

   - разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

   - деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

   - деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

   - деятельность по технической защите конфиденциальной информации;

   - разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;

   - деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией;⁶

    Система государственного лицензирования деятельности в области информационной безопасности является составной частью государственной защиты информации, и ее деятельность находится в ведении государственных органов, которые в пределах своей компетенции осуществляют лицензирование следующих видов деятельности: проведение работ, связанных с использованием сведений, составляющих государственную тайну; проведение работ, связанных с созданием средств защиты информации; осуществление мероприятий и (или) оказание услуг в области защиты ГТ.

    Для получения лицензии заявитель предоставляет  в соответствующий орган, уполномоченный на ведение лицензионной деятельности, заявление о предоставлении лицензии, в котором указываются: полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, место его нахождения, адреса мест осуществления лицензируемого вида деятельности, который намерен осуществлять заявитель, государственный регистрационный номер записи о создании юридического лица и данные документа, подтверждающего факт внесения сведений о юридическом лице в единый государственный реестр юридических лиц, - для юридического лица; фамилия, имя и (в случае, если имеется) отчество индивидуального предпринимателя, место его жительства, адреса мест осуществления лицензируемого вида деятельности, который намерен осуществлять заявитель, данные документа, удостоверяющего его личность, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя и данные документа, подтверждающего факт внесения сведений об индивидуальном предпринимателе в единый государственный реестр индивидуальных предпринимателей, - для индивидуального предпринимателя; идентификационный номер налогоплательщика и данные документа о постановке соискателя лицензии на учет в налоговом органе; лицензируемый вид деятельности в соответствии с пунктом 1 статьи 17 Федеральный закон от 08.08.2001 N 128-ФЗ (ред. от 29.12.2010) "О лицензировании отдельных видов деятельности", который соискатель лицензии намерен осуществлять.

    К заявлению о предоставлении лицензии прилагаются на бумажном носителе или  в форме электронного документа: копии учредительных документов (с представлением оригиналов в случае, если верность копий не засвидетельствована в нотариальном порядке) - для юридического лица; документ, подтверждающий уплату государственной пошлины за предоставление лицензии; копии документов, перечень которых определяется положением о лицензировании конкретного вида деятельности и которые свидетельствуют о наличии у соискателя лицензии возможности выполнения лицензионных требований и условий, в том числе документов, наличие которых при осуществлении лицензируемого вида деятельности предусмотрено федеральными законами.⁷

Лицензирующий орган принимает решение о  предоставлении или об отказе в предоставлении лицензии в срок, не превышающий  сорока пяти дней со дня поступления  заявления о предоставлении лицензии и прилагаемых к нему документов. Указанное решение оформляется соответствующим актом лицензирующего органа.

    Структура системы обязательной сертификации средств защиты информации, порядок проведения сертификации этих средств защиты по требованиям безопасности информации, а также государственный контроль и надзор за сертификацией и сертифицированными средствами защиты информации. Под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России).

    В соответствии с Законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 "О сертификации средств защиты информации", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации".

    Под объектами инфоpматизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Основные  принципы, организационная структура  системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации".

    Целями  создания системы  сертификации являются:

- обеспечение реализации требований государственной системы защиты информации;

- создание условий для качественного и эффективного обеспечения потребителей сертифицированными средствами защиты информации;

- обеспечение национальной безопасности в сфере информатизации;

- содействие формированию рынка защищенных информационных технологий и средств их обеспечения;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современных требований по защите информации;

- поддержка проектов и программ информатизации.

    Основными схемами сертификации средств защиты информации являются:

- для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;

- для серийного производства средств защиты информации- проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, по решению органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с органом по сертификации по требованиям безопасности информации могут быть использованы и другие схемы сертификации, применяемые в международной практике. Органы по сертификации средств защиты информации в пределах установленной области аккредитации:

- определяют схему проведения сертификации конкретных средств защиты информации с учетом предложений заявителя;

- уточняют требования на соответствие которым проводятся сертификационные испытания;

- рекомендуют заявителю испытательный центр (лабораторию);

- утверждают программы и методики проведения сертификационных испытаний;

- проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний этих средств;