Нормативные правовые акты и документы, определяющие технические требования в криптографической сфере
Разработка нормативных правовых актов и документов, определяющих технические требования в криптографической сфере, осуществляется федеральным органом исполнительной власти, уполномоченным в области безопасности.
Для сведения
Для более полного удовлетворения образовательных потребностей в криптографической сфере в условиях быстрого и широкого распространения криптографических методов для защиты информации юридических и физических лиц следует в качестве учебной литературы, определяющей терминологическую и понятийную базу в этой сфере, использовать источники, разработанные, например, в МГУ им. М. В. Ломоносова и Академии криптографии Российской Федерации [20].
Законодательством Российской Федерации установлено, что федеральный орган исполнительной власти в области обеспечения безопасности, которым является Федеральная служба безопасности (ФСБ) Российской Федерации, реализуя законодательные направления деятельности по обеспечению информационной безопасности, создает свои территориальные органы, организует деятельность указанных органов, издает в пределах своих полномочий нормативные акты и непосредственно реализует основные направления деятельности органов федеральной службы безопасности. При федеральном органе исполнительной власти в области обеспечения безопасности действует Академия криптографии Российской Федерации. Устав Академии криптографии Российской Федерации утверждается Президентом Российской Федерации [7].
В интересах регламентации деятельности в криптографической сфере ФСБ России, помимо указанных выше законов, руководствуется следующими нормативными правовыми документами.
1. Указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» [6|.
В данном указе в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью в свое время было предусмотрено запрещение деятельности юридических и физических лиц, связанной с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».
В настоящее время данная норма утратила юридическую силу и не применяется. Сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно и не требует получения лицензий или выполнения иных формальностей публично-правового характера.
2. Постановление Правительства Российской Федерации «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» [9].
Данным документом установлен новый порядок лицензирования деятельности, связанной с шифровальными (криптографическими) средствами. Речь идет о разработке, производстве и распространении таких средств, а также защищенных с их использованием информационных п телекоммуникационных систем. Кроме того, обновлен порядок выдачи лицензий на работы (услуги) в области шифрования информации и техобслуживания названных средств и систем.
Определен перечень видов деятельности, на которые требуется разрешительный документ. Как и ранее, получить его могут организации и предприниматели в ФСБ России.
Приведен список шифровальных (криптографических) средств, па работы с использованием которых лицензия не нужна. Это, например, персональные смарт-карты для широкого общедоступного применения, криптографические возможности которых недоступны пользователю; оборудование для терминалов оплаты различного вида услуг; мобильные телефоны, не способные к сквозному шифрованию.
Определены лицензионные условия. Наиболее жесткие требования к персоналу (по стажу работы в сфере лицензируемой деятельности) предъявляются при разработке, модернизации и ремонте шифровальных (криптографических) средств и средств изготовления ключевых документов.
Установлено, какие нарушения лицензионных условий считаются грубыми. Напомним, что за них лицо может быть привлечено к административной ответственности в виде штрафа или приостановления деятельности.
Определен перечень документов, необходимых для получения лицензии (в том числе при намерении выполнять новые работы или по новому адресу). За предоставление лицензии, ее переоформление и выдачу дубликата взимается госпошлина.
3. Постановление Правительства Российской Федерации «Об электронной подписи, используемой органами исполнительной
власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи» [8].
В данном постановлении утверждены правила использования усиленной квалифицированной ЭП органами исполнительной власти и местного самоуправления при организации электронного взаимодействия между собой. Они не применяются к отношениям, возникающим при обмене электронными документами, содержащими государственную тайну.
Участники межведомственного электронного взаимодействия могут самостоятельно изготовить ключи ЭП или обратиться к аккредитованным удостоверяющим центрам. Последние создают и выдают квалифицированный сертификат ключа.
Важно запомнить
Сертификат действует с момента его выдачи. Его действие может быть прекращено, в частности, при нарушении конфиденциальности ключа электронной подписи (компрометации ключа). Об этом необходимо сообщить в удостоверяющий центр. Информация вносится в реестр квалифицированных сертификатов.
Документ с ЭП должен содержать достоверную информацию о моменте его подписания. Кроме того, он должен пройти процедуру признания ЭП.
Участнику межведомственного электронного взаимодействия, предоставившему документ, который подписан недействительной ЭП, направляется уведомление об отказе в его приеме к обработке.
Утверждены требования к обеспечению совместимости средств ЭП при организации электронного взаимодействия органов исполнительной власти и местного самоуправления между собой.
4. Концепция введения в Российской Федерации удостоверения личности гражданина Российской Федерации, оформляемого в виде пластиковой карты с электронным носителем информации, в качестве основного документа, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации [16].
В России планируется ввести удостоверение личности в виде пластиковой карты с электронным носителем информации. Оно станет основным документом, удостоверяющим личность гражданина Российской Федерации в нашей стране.
Утверждена концепция введения электронного удостоверения личности. Его будут изготавливать в виде пластиковой карты формата ID-1. Срок его использования без повторного выпуска должен составлять не менее 10 лет. Планируется обеспечить выдачу такого удостоверения гражданам со дня рождения. На электронном носителе можно будет хранить дополнительные биометрические данные владельца.
Оформлением, выдачей, заменой и учетом удостоверений занимаются ФМС России и ее территориальные органы с участием иных органов и (или) организаций в случаях, предусмотренных законом. Будет изучен вопрос о том, можно ли привлечь к выдаче удостоверений многофункциональные центры оказания государственных и муниципальных услуг, а также отделения ФГУП «Почта России».
Целостность данных, размещаемых на электронном носителе, обеспечивается с помощью криптографических методов защиты информации, механизмов аутентификации и авторизации. Конфиденциальность сведений — механизмами аутентификации и авторизации.
5. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) [111.
Данное положение разработано во исполнение Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О Федеральной службе безопасности» и Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. № 960 [7].
Данное положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (т.е. информации конфиденциального характера).
6. Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) [12].
Данный документ регламентирует деятельность по лицензированию разработки, производства, распространения шифровальных (криптографических) средств, защищенных с их использованием телекоммуникационных и информационных систем, а также работ, услуг в области шифрования информации и техобслуживания указанных средств и систем.
Исключение может быть в том случае, если указанная деятельность — техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, — осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя.
В приложении к нему помещен Перечень территориальных органов безопасности, предоставляющих государственную услугу по осуществлению лицензирования.
Регламенты по лицензированию услуг в области шифрования: обслуживание, распространение шифровальных (криптографических) средств, разработка, производство последних и защищенных с их использованием систем признаны утратившими силу.
7. Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну [13].
Данная инструкция действует в настоящее время в дополнение к Положению ПКЗ-2005, развивая его.
В данной инструкции определяется единый порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ (в настоящее время — ФСБ России) средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством РФ обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
8. Требования к средствам электронной подписи и требования к средствам удостоверяющего центра [14].
В соответствии с требованиями Федерального закона «Об электронной подписи» ФСБ России разработаны требования к средствам электронной подписи требования к средствам удостоверяющего центра. Они предназначены для заказчиков и разработчиков создаваемых (модернизируемых) средств при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств, ФСБ России, подтверждающей соответствие средств требованиям.
Средства электронной подписи должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством электронной подписи информации или с целью создания условий для этого (далее — атака).
В зависимости от способностей противостоять атакам средства электронной подписи подразделяются на классы. Криптографические требования к средствам электронной подписи построены по вложенному принципу — более высокий класс включает требования более низких классов.
Требования распространяются на средства, предназначенные для использования в России, в ее учреждениях за рубежом и в находящихся там же обособленных подразделениях юридических лиц, образованных в соответствии с законодательством нашей страны.
Важно запомнить
Для целей применения Положение П КЗ-2005 средства рассматриваются как объекты защиты данных с ограниченным доступом, не содержащих государственную тайну.
Требования к технологиям создания (формирования) и проверки электронной подписи с помощью средства указываются в тактико-техническом или техническом задании на опытно-конструкторскую работу или составную часть такой работы по созданию (модернизации) средства.
Также в данном нормативном правовом документе утверждены требования к средствам удостоверяющего центра. Они предназначены для вышеуказанных категорий лиц, работающих с данными средствами. Требования распространяются на средства, предназначенные для использования в России.
9. Требования к форме квалифицированного сертификата ключа проверки электронной подписи [15].
Данные требования являются еще одним нормативным правовым документом, который был разработан в соответствии с требованиями Федерального закона «Об электронной подписи».
Требования касаются совокупности и порядка расположения полей сертификата. Сертификат должен содержать уникальный номер, даты начала и окончания действия, ФИО/наименование и место нахождения владельца, страховой номер индивидуального лицевого счета/ОГРН и ИНН, ключ проверки и др.
При включении в состав сертификата дополнительных полей требования к их назначению и расположению определяются в техническом задании на разработку (модернизацию) средств удостоверяющего центра.
При этом под термином «сертификат» следует понимать электронный или бумажный документ, который выдан удостоверяющим центром либо его доверенным лицом и подтверждает принадлежность ключа владельцу его сертификата. Квалифицированными считаются сертификаты, которые выданы аккредитованным удостоверяющим центром, его доверенным лицом либо федеральным органом исполнительной власти в сфере использования электронной подписи.
10. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации [ 17].
Методические рекомендации предназначены для операторов и разработчиков информационных систем ПДн и охватывают вопросы защиты ПДн с помощью криптосредств.
Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности ПДн с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее ПДн исключительно для личных и семейных нужд), а также при обеспечении безопасности ПДн при обработке в информационных системах, отнесенных к компетенции ФСБ России.
11. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных [19].
Безопасность обработки с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку и (или) лица, которым на основании договора оператор поручает оказание услуг но организации и обеспечению безопасности обработки в информационной системе с использованием криптосредств.
12. Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [ 181.
Мероприятие по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности при их обработке в информационных системах проводится на основании распоряжения или приказа начальника 8-го Центра ФСБ России либо лица, его замещающего [18].
Проверка может проводиться только должностным лицом или должностными лицами, уполномоченными на проведение проверки, которые указаны в распоряжении или приказе начальника 8-го Центра ФСБ России либо лица, его замещающего.
Наиболее важные с точки зрения криптографической защиты информации выдержки и извлечения из перечисленных документов приведены в приложении И.
