ИНФОРМАЦИОННОЕ ПРАВО
2005.02.020. СНЫТНИКОВ А.А. ЛИЦЕНЗИРОВАНИЕ И СЕРТИФИКАЦИЯ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ. - М.: Гелиос АРВ, 2003. - 192 с.
Бурное внедрение современных информационных и телекоммуникационных технологий во все важнейшие сферы общественной жизни значительно повысило уязвимость информации, циркулирующей в государственных и коммерческих системах. Противоборство конкурирующих государств за контроль над мировыми информационными ресурсами стало в настоящее время принципиально новой областью применения силового воздействия - так называемой «мягкой» силы. Данный вид борьбы может стать решающим в наступившем веке. В целях предотвращения, парирования и нейтрализации угроз информационной безопасности применяются правовые, программно-технические и организационноэкономические методы. Последние и являются предметом исследования в данной работе.
Организационно-экономические методы предусматривают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации, сертификации1 этих систем в соответствии с требованиями информационной безопасности, лицензирования дея-тельности2 в сфере информационной безопасности, стандартизации способов и средств защиты информации, контроль за действием персонала в защищенных информационных системах.
Нормы и требования российского законодательства в области лицензирования и сертификации включают в себя положения ряда нормативных правовых актов Российской Федерации различного уровня.
1 Сертификация - подтверждение уполномоченным органом соответствия качественных характеристик стандарту качества.
2 Лицензирование - процесс выдачи специальных разрешений - лицензий на осуществление отдельных видов деятельности.
Одним из первых нормативных правовых актов в этой сфер был Закон РФ от 19 февраля 1993 г. № 4524-1 «О федеральных органах правительственной связи». Статья 11 указанного Закона наделила федеральный орган, уполномоченный в области правительственной связи и информации (ранее этот орган именовался ФАПСИ), правами по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно этому Агентству было дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг, также было предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти РФ и закрытых (защищенных) с помощью шифровальных структур, систем и комплексов телекоммуникаций органов государственной власти субъектов РФ, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности. Вышеназванный Закон является первым российским нормативным правовым актом, который вводит лицензирование деятельности и сертификацию в области защиты информации.
Полномочия по лицензированию деятельности в области защиты информации, содержащей сведения, составляющие государственную тайну, а также по сертификации средств ее защиты предоставлены федеральному органу, уполномоченному в области правительственной связи и информации, Законом РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне». Статья 20 этого Закона определила государственные органы, ответственные за защиту такой информации, ст. 27 предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность. Статья 28 устанавливает обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяет государственные органы, ответственные за проведение сертификации указанных средств.
В последующие годы Президентом РФ и Правительством РФ был принят ряд нормативных правовых актов, определяющих порядок создания и использования криптографических средств, предназначенных для защиты информации, их импорта и экспорта, механизм лицензирования и сертификации всех видов деятельности в области криптографической защиты информации. Среди них: Указ Президента РФ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»; постановления Правительства РФ: от 15 апреля 1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны»; от 26 июня 1995 г. № 608 «О сертификации средств защиты информации; от 11 апреля 2000 г. № 326 «О лицензировании отдельных видов деятельности» и др.
Постановление Правительства № 333 устанавливает, что лицензия на право деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и оказанием услуг по защите государственной тайны, может быть выдана предприятию или организации независимо от формы собственности исключительно на основании результатов специальной экспертизы заявителя, в ходе которой будет установлено наличие на данном предприятии всех необходимых условий для сохранения доверенных ему секретных сведений, и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну.
Вышеуказанное постановление Правительства РФ № 608уста-навливает общие принципы организации систем сертификации средств защиты информации, содержащей сведения, составляющие государственную тайну, всеми ведомствами Российской Федерации, наделенными законом правом проводить подобную сертификацию.
Особое значение для правовой защиты информации имеют федеральные законы: от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» и от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». Федеральный закон № 24-ФЗ впервые дал понятие конфиденциальной информации как доку-
ментированной информации, доступ к которой ограничивается в соответствии с законодательством РФ, и установил общие требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах.
Федеральный закон № 128-ФЗ, наряду с другими, указал виды деятельности, лицензирование которых обусловлено необходимостью защиты информации:
- деятельность по распространению и техническому обслуживанию шифровальных средств;
- предоставление услуг в области шифрования информации;
- разработка, производство криптографических средств информационных и телекоммуникационных систем;
- деятельность по выдаче сертификатов ключей электронных цифровых подписей (ЭЦП), регистрации владельцев ЭЦП, оказания услуг, связанных с ЭЦП;
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации и др.
Автор подчеркивает, что эффективность работ по технической защите информации может быть достигнута только при условии применения сертифицированных защищенных технических средств обработки, хранения и передачи информации и средств их защиты, привлечения к названным работам высокопрофессиональных специалистов, имеющих соответствующую подготовку и лицензии, подтверждающие их профпригодность.
Пособие ориентировано на студентов вузов, обучающихся по специальности «Информационная безопасность». В приложении к нему даны нормативные и иные сопутствующие официальные документы, позволяющие глубже изучить проблему организационно-правового обеспечения информационной безопасности.
О.Л.Алферов
2005.02.021. ОЛСЕН Дж., МАНЬЯТИС С., ВУД Н., ВИЛСОН К. ДОМЕННЫЕ ИМЕНА: ВСЕМИРНАЯ ПРАКТИКА И ПРОЦЕДУРА.
OLSEN J., MANIATIS S., WOOD N., WILSON C. Domain names: Global practice and procedure. - L.: Sweet & Maxwell, 2000. - 222 p.
К 2001 г. в мире существовало более 36 млн. доменных имен. При регистрации каждого из них взимался определенный сбор, иногда, в зависимости от юрисдикции, доходивший до 100 долл. США. Одни из пер-