p align="left">В соответствии с положениями этого закона соб-ственник информационных ресурсов, содержащих госу-дарственную тайну, вправе распоряжаться этой соб-ственностью только с разрешения соответствующих ор-ганов государственной власти. Таким образом, законодательно определяется не-которая категория информации, которая требует опре-деленных ограничений в ее использовании, а сама ин-формация требует защиты. Целями защиты информации упомянутый Закон определяет: * предотвращение утечки, хищения, утраты, иска-жения, подделки информации; * предотвращение угроз безопасности личности, общества, государства; * предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи-рованию, блокированию информации; * предотвращение других форм незаконного вме-шательства в информационные ресурсы и инфор-мационные системы, обеспечение правового режи-ма документированной информации как объекта собственности; * защиту конституционных прав граждан на сохра-нение личной тайны и конфиденциальности персо-нальных данных, имеющихся в информационных системах; * сохранение государственной тайны, конфиденци-альности документированной информации в соот-ветствии с законодательством; * обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме-нении информационных систем, технологий и средств их обеспечения. Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра-ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе-циальные меры, обеспечивающие контроль ее использова-ния и качества защиты. Одной из таких мер является сертификация средств защиты информации. Необходимость сертификации средств защиты, применяемых при обработке информации, составляю-щей государственную тайну, закреплены в Законе Рос-сийской Федерации "О государственной тайне". Серти-фикации подлежат защищенные технические, программ-но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель-ной сертификации подлежат средства, в том числе и ино-странного производства, предназначенные для обработ-ки информации с ограниченным доступом, и прежде все-го составляющей государственную тайну, а также ис-пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си-стемы сертифицированных средств обработки информа-ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования. Порядок сертификации средств защиты информа-ции в Российской Федерации и ее учреждениях за рубе-жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го-да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея-тельности и сферу компетенции различных государ-ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе-дерации возлагается на Гостехкомиссию России и Феде-ральное агентство правительственной связи и информа-ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве-домственную комиссию по защите государственной тайны. Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по-скольку они, в допустимых пределах, достаточно широ-ко освещаются в печати. А вот название такого государ-ственного органа, как Гостехкомиссия России, некото-рым из наших читателей, возможно, незнакомо. Государственная техническая комиссия при Пре-зиденте Российской Федерации (Гостехкомиссия Рос-сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа-цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи-ческими методами. Непосредственное подчинение Президенту Россий-ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор-поративных влияний, гарантирует соответствие ее дея-тельности высшим государственным интересам. Гостех-комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми-тетов, первые заместители (заместители) этих руководи-телей. Решения Гостехкомиссии России являются обяза-тельными для исполнения всеми органами государствен-ного управления, предприятиями, организациями и уч-реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го-сударственную или служебную тайну. Директивными документами, в частности уже упо-минавшимся Положением "О сертификации средств за-щиты информации" установлено, что: В ведении Гостехкомиссии России нахо-дится сертификация программных и тех-нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа-ции, использующих эти методы. В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор-мации: * "Система сертификации средств защиты инфор-мации по требованиям безопасности информа-ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO; * "Система сертификации средств криптографи-ческой защиты информации (СКЗИ)", разработан-ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001. Эти системы сертификации технических и про-граммных средств направлены на защиту интересов го-сударства и государственного информационного ресур-са, а также интересов и прав собственников и владельцев информации -- предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей. Добровольная сертификация по функциональным параметрамДобровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обя-зательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации. Добровольная сертификация проводится для удо-стоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных эконо-мических преимуществ. В общем случае упрощенную схему добровольной сертификации можно представить следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик средств ин-форматизации, руководствуясь при этом указан-ными выше соображениями. Разработчик или постав-щик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводит-ся сертификация, формируются совместно заявителем и сертификационным центром. При положительных ре-зультатах испытаний средств информатизации, пред-ставленных для сертификации, заявитель получает сер-тификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем. Последние не имеют непосредственных контактов с сертифика-ционным центром. В случае выявления недостатков в сертифицированном изделии они обращаются не-посредственно к поставщику, который обязан обеспе-чить доработку и повторные сертификационные испы-тания. В соответствии с действующим законодательством добровольная сертификация средств информатизации может проводиться как в уже упоминавшейся нами Си-стеме сертификации ГОСТ Р, так и в других системах сертификации, зарегистрированных Госстандартом Рос-сии в установленном порядке. Основные принципы организации систем сертифи-кации средств информатизации и ведения процедуры сертификации мы рассмотрим в следующем разделе на примере Системы добровольной сертификации средств и систем в сфере информатизации "Росинфосерт", яв-ляющейся одним из важнейших инструментов проведе-ния единой государственной научно-технической поли-тики в сфере информатизации России. Лекция 8. Лицензирование деятельности в сфере информатизацииОбщие принципы организа-ции работ по лицензированию деятельности в сфере информатизации в Российской ФедерацииПредметные области лицензи-руемой деятельности. Виды деятельности в области защиты информации, подлежащих лицензированию ФАПСИ. Лицензирование деятельно-сти по международному информационному обмену. Предметные области лицензируемой деятельностиМы уже отмечали выше, что в соответствии с при-нятой терминологией "информатизация" как предметная область представляет собой организационный социаль-но-экономический и научно-технический процесс созда-ния условий для удовлетворения информационных по-требностей, базирующийся на массовом применении но-вых информационных технологий. В интересах госу-дарства и граждан отдельные виды предприниматель-ской деятельности в области информатизации целесооб-разно ограничить, т. е. на определенных условиях ввести разрешительную систему (лицензирование). Лицензирование должно ограничивать следующие виды деятельности: * создание и применение информационных техно-логий, включая программы для ЭВМ и другие ком-поненты средств информатизации; * формирование информационных ресурсов на основе использования современных информацион-ных технологий; * оказание услуг по информационному обеспе-чению потребителей информационных ресурсов при соблюдении требований безопасности для го-сударства, организаций, граждан, необходимых для предотвращения и ликвидации техногенных, ин-формационных и экономических угроз и их послед-ствий в сфере информатизации. За рубежом большое внимание уделяется вопросам защиты государственных информационных ресурсов, где обязательному лицензированию подлежат виды дея-тельности по защите информации и информационных ресурсов, организации доступа к базам данных и сетям передачи данных. Кроме того, лицензируется предостав-ление услуг в части использования программных про-дуктов. Принятый в России Закон "О лицензировании от-дельных видов деятельности" не распространяется на отношения, возникающие в связи с использованием ре-зультатов интеллектуальной деятельности. Поэтому в настоящее время разрешительная система на определен-ных условиях для вышеперечисленных видов деятель-ности регламентируется законодательством, регули-рующим сертификацию, патентным законодательством, законами об авторском праве и смежных правах, а также законом, определяющим участие в международном ин-формационном обмене. Проблема лицензирования отдельных элементов деятельности в сфере информатизации поставлена в Законе "Об информации, информатизации и защите инфор-мации": * в п. 4 ст. 7 указано, что для решения проблемы качественного формирования государственных ин-формационных ресурсов необходимо разработать и внедрить в практику порядок лицензирования дея-тельности организаций, специализирующихся на формировании государственных информационных ресурсов на основе договоров с соответствующими органами власти; * в п. 4 ст. 11 указано, что осуществление лицензи-онной деятельности в области работы с персональ-ными данными в связи с особенностями этой дея-тельности нуждается в дополнительном правовом регулировании; * в п. 3 ст. 19 указано, что организации, выполняю-щие работы в области проектирования, производ-ства средств защиты информации и обработки пер-сональных данных, должны получать лицензию на этот вид деятельности. Указанными статьями установлено, что порядок лицензирования определяется законодательством Рос-сийской Федерации. В тех случаях, когда разрешение на использование технических решений (изобретений, ноу-хау) дается не государством, а коллективным или индивидуаль-ным субъектом - собственником или, по поручению последнего, владельцем технического решения, приме-няется такая юридическая форма, как лицензионный договор. Рассмотрим специфику выделения трех вышепере-численных видов деятельности предметной области ин-форматизации, которая вызывает необходимость в ли-цензировании. Лицензирование деятельности в области создания и применения информационных технологийДля продукции серийного и массового производ-ства в области информатизации важное значение имеет Закон "О сертификации продукции и услуг". Он пред-усматривает лицензирование деятельности, связанной с маркированием продукции и услуг знаком соответствия этой продукции и услуг государственным стандартам. Этот Закон устанавливает обязательную регистрацию продукции и услуг в Государственном реестре продукции и услуг, а также обязанности Госстандарта России по установлению порядка лицензирования и ведения ука-занного Реестра.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23
|