Ю. Е. Черепанова
НЕКОТОРЫЕ ПРАВОВЫЕ ПРОБЛЕМЫ ПРОЦЕДУРЫ СЕРТИФИКАЦИИ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Работа представлена кафедрой административного права Санкт-Петербургского университета МВД России.
Научный руководитель - кандидат юридических наук, доцент Ф. Ф. Оськин
27 5
Статья посвящена сертификации средств защиты информации как одному из наиболее актуальных методов административно-правовой защиты информации. В ней предлагается произвести корректировку определений некоторых терминов, используемых в законодательстве о сертификации, и рассматриваются характерные правовые проблемы, с которыми владелец информации сталкивается во время процедуры сертификации СЗИ.
The article is devoted to the certification of information’s protection means as one of the most relevant approaches of administrative and legal protection of information. The author suggests to correct definitions of some terms which are used in the certification legislation and examines the characteristic juridical problems which arise in the procedure of certification of information’s protection means.
Стремительная информатизация современного общества и большая «цена» каждой ошибки приводят к постоянному возрастанию значимости конфиденциальных сведений, используемых для принятия решений в конкурентной коммерческой среде. В этой связи весьма актуальной для всех секторов российской экономики становится правовой аспект защиты информации от перехвата ее техническими средствами. Понимая важность этого направления и обладая определенной ответственностью перед обществом, государство на законодательном уровне ввело контроль качества технических, криптографических, программных и других средств, которые могут использоваться предприятиями различных форм собственности для защиты информа-ции ограниченного доступа. Указанный контроль осуществляется посредством сертификации средств защиты информации. Под сертификацией согласно ст. 2 Федерального закона от 27.12.2002 № 184-ФЗ «О техническом регулировании»1 понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров. Сертификация средств защиты информации прежде всего подразумевает проверку их качественных характеристик для реализации основной функции - защиты информации на основании государственных стандартов и требований по безопасности информации.
Одним из основных руководящих документов по сертификации средств защиты информации в настоящее время является
Положение о сертификации средств защиты информации2, утвержденное Постановлением Правительства РФ № 608 от 25 июня 1995 г. Данный нормативный акт обращает на себя внимание тем, что в первой его статье содержится формулировка, предусматривающая, что «технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации». Формулировка исчерпывающая, но не слишком понятная. Получается, что в таком случае технические, криптографические, программные и другие средства, предназначенные для защиты, скажем, персональных данных, не являются средствами защиты информации? А чем же они в таком случае являются? Думается, что приведенная формулировка требует обязательного корректирования и может быть изложена таким образом: средства защиты информации - это технические, криптографические, программные и другие средства, предназначенные для защиты информации, доступ к которой ограничен в соответствии с законодательством Россий-
ской Федерации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
В соответствии с законом «О техническом регулировании», совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом образует систему сертификации. Прямое или косвенное определение соблюдения требований, предъявляемых к объекту, есть оценка соответствия.
Согласно положениям п. 8 ст. 14 Федерального закона «Об информации, информационных технологиях и о защите информации»3 технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании. При этом сама процедура сертификации средств защиты информации (СЗИ) может быть разложена на определенные обяза-тельные и факультативные стадии.
1. Обязательная стадия - подача необходимых документов (заявки) в орган по сертификации средств защиты информации.
Законодательством Российской Федерации предусмотрена возможность сертификации средств защиты информации отечественного производства и признание зарубежного сертификата средств защиты информации. При этом п. 2 Положения о сертификации средств защиты информации «продавцов, исполнителей продукции» называет изготовителями. Поскольку при проведении процедуры сертификации к заявителю предъявляются одинаковые требования, вне зависимости от того, является ли он только продавцом СЗИ, или осуществляет разработку и производство средств защиты информации, корректность использования в Положении термина «изготовитель» в специальном обосновании не нуждается.
Важным условием сертификации СЗИ изготовителем является обязательность наличия у него лицензии на соответствующий вид деятельности4. Согласно п. 8 Положения о сертификации средств защиты информации изготовитель для получения сертификата должен направить в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема ее проведения, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые СЗИ. В случае необходимости признания зарубежного сертификата, изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации.
2. Обязательная стадия - проверка и рассмотрение представленных документов.
При сертификации средств защиты информации орган по сертификации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защи-ты информации.
Если изготовитель обратился в федеральный орган по сертификации с заявкой
о признании зарубежного сертификата, то в срок не позднее одного месяца после получения необходимых документов федеральный орган по сертификации извещает его о признании сертификата или необходимости проведения сертификационных испытаний.
Как видно, для получения сертификата изготовитель должен запастись немалым терпением, поскольку даже предваритель -ная стадия при сертификации средств защиты информации в полном соответствии с требованиями нормативно-правовых актов может занимать месяц.
3. Обязательная стадия - назначение и проведение сертификации средств защиты информации по выбранной схеме.
Основными схемами проведения сертификации средств защиты информации являются:
• для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
• для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.
Кроме того, Положением о сертификации средств защиты информации допускается предварительная проверка производства по специально разработанной программе. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Согласно указанному Положению, сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией. К сожалению, в настоящее время вся процедура сертификации средств защиты информации определяется и контролируется единственным органом - федеральным органом по сертификации, поэтому возможности для принятия необъективных решений в случае его предвзятости или незаинтересованности в положительном решении имеются. Проблемой также является то, что Положением не определены конкретные сроки проведения испытаний, поэтому на данной стадии процедура сертификации средств защиты информации также в полном соответствии с действующим законодательством может быть затянута надолго.
4. Обязательная стадия - принятие решения о выдаче сертификата, о признании
зарубежного сертификата или об отказе в его выдаче или признании.
В соответствии с п. 6 Положения о сертификации СЗИ испытательные лаборатории по результатам проведенных сертификационных испытаний средств защиты информации оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.
В Положении также не содержится, к сожалению, упоминаний сроках данной процедуры, в связи с чем возможно их неоправданное затягивание или столь же необоснованное сокращение органами по сертификации.
5. Факультативная стадия - обжалование отказа в выдаче сертификата.
Согласно п. 9 Положения о сертификации средств защиты информации «в случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию5 для дополнительного рассмотрения полученных при испытаниях результатов». Таким образом, получается, что ФСТЭК России законодателем фактически поставлена в положение монополиста в сфере сертификации средств защиты информации, что никак не отвечает декларируемым в ст. 3 Федерального закона «О техническом регулировании» принципам:
• недопустимости ограничения конкуренции при осуществлении аккредитации и сертификации;
• недопустимости совмещения полномочий органа государственного контроля (надзора) и органа по сертификации.
Думается, что создавшаяся ситуация должна быть обязательно исправлена в будущем техническом регламенте средств за -щиты информации таким образом, чтобы у изготовителя появилась возможность привлечения сторонней испытательной лаборатории, независимой от органов сертификации (ФСТЭК РФ) и незаинтересованной в использовании спорного средства защиты информации, для проведения независимой экспертизы СЗИ. Также при разработке технического регламента необ -ходимо при решении вопросов сертификации средств защиты информации предусмотреть разграничение полномочий законодателя (органа, определяющего основные принципы и условия проведения сертификации), исполнителя (органа, осуществляющего действия по сертификации СЗИ) и судьи (органа, контролирующего процедуру сертификации и выносящего решения в спорных ситуациях), в настоящее время сконцентрированных в руках ФСТЭК РФ, что представляется нежела-тельным для обеспечения законности процедуры сертификации средств защиты информации.
6. Обязательная стадия - оформление сертификата и его выдача изготовителю.
Сроки, в которые должна быть завершена данная стадия, также не регламентированы в документах о сертификации средств защиты информации. Такое положение дает возможность необоснованно затягивать их органами по сертификации. Также вполне возможна ситуация, когда мощные коммерческие структуры, которые могут выступать в роли изготовителей СЗИ, или покровительствующие им органы власти захотят оказать давление на органы по сертификации с целью минимизации сроков сертификации или упрощения, сведения к простой формальности, ее порядка. Ведь в этом случае субъекты информационных отношений могут оказаться в ситуации, когда использование даже сертифицированных средств защиты ин-
формации не сможет гарантировать им реальной защиты охраняемой информации. Такое положение представляется противоречащим сформулированным в п. 2.1 «Правил по проведению сертификации в РФ» основным целям и принципам:
• содействие потребителям в компетен-тном выборе продукции;
• содействие экспорту и повышение конкурентоспособности продукции;
• защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
• контроль безопасности продукции для окружающей среды, жизни, здоровья и имущества;
• подтверждение показателей качества продукции, заявленных изготовителями.
С другой стороны, необоснованное затягивание сроков сертификации вновь созданных СЗИ тормозит использование новых технологий защиты информации в этой столь быстро развивающейся и изменяющейся сфере и дает определенную фору недобросовестным пользователям для совершения противоправных действий в отношении информации ограниченного доступа.
В связи с вышеизложенным представляется, что создание условий для четкой и беспристрастной работы органа исполнительной власти, который занимается вопросами сертификации средств защиты информации, установление конкретных сроков и условий процедуры проведения сертификации является необходимостью для надежной работы используемых российскими государственными и негосударственными предприятиями средств защиты информации. А решение обозначенных в статье правовых проблем процедуры сертификации СЗИ сможет обеспечить всем субъектам информационных правоотношений использование информации ограниченного доступа в соответствии с их правами, потребностями и возможностями.
ПРИМЕЧАНИЯ
1 СЗ РФ. 2002. № 52 (ч. 1). Ст. 5140; СЗ РФ. 2005. № 19. Ст. 1752.
2 СЗ РФ. 1995. № 27. Ст. 2579; СЗ РФ. 2004. № 52 (часть 2). Ст. 5480.
3 СЗ РФ. 2006. № 31 (ч. 1). Ст. 3448.
4 СЗ РФ. 03.07.1995. № 27. Ст. 2579.
5 Межведомственная комиссия - это, согласно определению, приведенному в п. 1 Положения, Межведомственная комиссия по защите государственной тайны, функции которой в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. № 614 временно возложены на Государственную техническую комиссию при Президенте Российской Федерации, функции которой, в свою очередь, переданы ФСТЭК России. Напомним, что речь о Межведомственной комиссии здесь ведется потому, что в определении СЗИ есть прямое и, думается, некорректное упоминание о том, что они предназначены для защиты государственной тайны.