|
О роли государства в регулировании разработки, производства и обращения средств защиты информации
Емельянов Г.В., Председатель Совета МОО "Ассоциация защиты информации"
С момента возникновения на территории бывшего СССР ряда независимых образований и формирования России как самостоятельного государства остро встал вопрос о необходимости коренной переработки законодательной базы страны во всех областях деятельности общества и государства. В полной мере это относилось и к сфере деятельности, связанной с вопросами обеспечения информационной безопасности как Российской Федерации в целом, так и по отдельным частным направлениям этой проблемы.
К настоящему времени достаточно много в этом отношении нашими законодательными органами уже сделано.
В качестве примеров можно указать принятие целого ряда важных законов таких, как ФЗ от 20.02.95 №24-ФЗ "Об информации, информатизации и защите информации", ФЗ от 05.06.96 №85-ФЗ "Об участии в международном информационном обмене", недавно принятые ФЗ от 10.01.02 №1-ФЗ "Об электронной цифровой подписи" и ФЗ от 7.07.03 №126-ФЗ "О связи" и т.д. Наконец, как положительный момент, безусловно, следует отметить утверждение в 2000 г. Президентом РФ "Доктрины информационной безопасности РФ", в которой впервые на таком высоком государственном уровне сформулированы стержневые направления деятельности по решению проблемы обеспечения информационной безопасности страны.
Понятно, что считать эту проблему полностью решенной пока нельзя. Этому вопросу было даже посвящено одно из заседаний Межведомственной комиссии по информационной безопасности Совета Безопасности РФ, по результатам которого был выпущен документ "Основные направления совершенствования нормативной базы в области обеспечения информационной безопасности РФ", в котором были даны соответствующие рекомендации, предназначенные, в первую очередь, для органов и субъектов, имеющих право законодательной инициативы.
Одним из вопросов, который подвергается постоянным дискуссиям, является вопрос о роли государства в области разработки, производства и обращения средств защиты информации.
С одной стороны, чрезмерная зарегулированность обращения средств защиты (по крайней мере в части криптографических средств) приводит к появлению таких тупиков, как невозможность осуществления государственного контроля за перемещением через рубеж средств защиты информации, реализованных программным способом, с учетом того, что соответствующий алгоритм можно передать по глобальной сети Интернет; нелогичность контроля со стороны государства за производством и обращением средств криптографической защиты невысокого уровня стойкости для тех потребителей, для которых такого уровня достаточно. А такая ситуация у нас в стране до недавнего времени реально существовала.
С другой стороны, полный уход государства с этого поля деятельности, очевидно, недопустим, хотя бы потому, что нередко речь идет о защите государственно значимой информации, вплоть до информации, составляющей гостайну.
К настоящему времени определенные продвижения здесь уже есть. Так, Постановлением Правительства РФ от 23.09.02 №691 установлены нижние границы для числа ключей, начиная с которых государство осуществляет контроль за производством и использованием соответствующих средств. Считается, что если сам потребитель идет на приобретение и использование подобного шифровального средства, то государственный контроль за производством, распространением и т.д. этих средств не нужен и осуществляться не будет.
Вместе с тем, что касается деятельности, направленной на обеспечение необходимого уровня защищенности чувствительной информации, сопряженной с возможностью нанесения ущерба правам, законным интересам граждан, обороне и безопасности государства, включая и защиту гостайны, такая деятельность, по-видимому, должна относиться к сфере, регулируемой государством.
Представляется, что на этом водоразделе можно было бы достичь компромисса, но последнее не устраивает некоторых разработчиков проектов законодательных актов в области создания и использования средств защиты информации, мотивирующих свое несогласие тем, что это будет тормозить процесс развития и широкого внедрения информационных технологий у нас в стране.
Казалось, что с выходом ФЗ от 27.12.02 №184-ФЗ "О техническом регулировании" дискуссию на эту тему можно закрывать, поскольку, на первый взгляд, этот закон достаточно четко описал поле, на котором государство осуществляет регулирующие и контролирующие функции во всех областях производства, включая и сферу безопасности IT-технологий.
В действительности это не так. По прочтении закона возникает целый ряд вопросов, требующих, мягко говоря, разъяснений компетентных органов.
Так, сферы деятельности, в которых признается законность жесткого государственного регулирования, сведены всего к следующим позициям:
- сведения, составляющие гостайну или относимые в соответствии с законодательством РФ к информации ограниченного доступа;
- защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;
- охрана окружающей среды, жизни или здоровья животных или растений;
- предупреждение действий, вводящих в заблуждение приобретателей.
Тем самым ни о какой главенствующей роли государства в сфере защиты информации, если она не несет в себе признаков гостайны или информации ограниченного доступа, в том числе и в критически важных секторах экономики, речи в законе не идет. Конечно, в ряде случаев можно провести логическую цепочку доказательств или обоснований, сводящих защиту подобной информации к одной из указанных выше позиций. Но все это нужно проводить опять-таки соответствующими законами и примет ли их Госдума - вопрос, ответ на который весьма неоднозначен.
Очевидно, что в разрешении этой неопределенной ситуации многое будет зависеть от позиций и активности уполномоченных в этих вопросах органов исполнительной власти и других участников процесса.
В настоящее время под эгидой Гостехкомиссии РФ идет работа над теми документами, которые необходимо разработать и ввести в действие для того, чтобы ФЗ "О техническом регулировании" действовал без ущерба для безопасности государства. Эта работа ведется Госстандартом России, Минэкономразвития и Гостехкомиссией России по поручению Правительства РФ и на основании ст. 5 указанного закона, согласно которой (в упрощенной редакции) в случае отсутствия требований технических регламентов в отношении оборонной продукции, поставляемой по государственному оборонному заказу, и продукции, сведения о которой являются информацией ограниченного доступа, обязательными являются требования, установленные федеральными органами исполнительной власти.
Одновременно начинается разработка трех регламентов в области защиты информации: на 2004 г. запланирована разработка общего технического регламента "Безопасность информационных технологий"; в 2005-06 гг. планируется разработка специальных технических регламентов: "Требования к средствам и системам безопасных информационных технологий" и "Требования по защите информации, обрабатываемой на объектах информатизации".
В целом, однако, и ст. 5, и указанные выше мероприятия далеко не покрывают всего поля возможного присутствия государства в сфере правоотношений в области защиты информации. Так, что касается прав личности, критических технологий и т.п., находящихся вне зоны действия ст. 5, то здесь роль государства пока четко не очерчена. Попытка решить часть этой проблемы, касающейся критических технологий, делается в разрабатываемой в соответствии с Федеральной целевой программой "Электронная Россия" Концепцией защиты государственных систем от несанкционированного доступа, в которых, очевидно, циркулирует и обрабатывается информация, выходящая за рамки установленных ст. 5 границ.
Несколько слов о лицензировании. ФЗ "О техническом регулировании" не отменяет действующих нормативных документов о лицензировании и, в частности, положений ФЗ от 08.08.01 №128-ФЗ "О лицензировании отдельных видов деятельности". Хотя такие инициативы со стороны некоторых субъектов, работающих над совершенствованием законодательной базы в области информатизации, постоянно идут. В то же время некоторые изменения в ряд нормативных документов, по-видимому, будут внесены. В частности, это касается Указа Президента РФ от 03.04.95 №334, Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ 99). Однако кардинальных изменений в ближайшее время не ожидается.
В целом ФЗ "О техническом регулировании" существенно снижает нагрузку на госорганы в области регулирования рынка обращения средств защиты информации и переводит эти вопросы в область общественного саморегулирования, в частности, через инструмент добровольной сертификации.
В этой связи существенно возрастает роль общественных объединений и организаций, действующих в рассматриваемой сфере. Многое будет зависеть от активности и готовности этих объединений к работе в новых условиях.
В данном контексте можно привести один положительный пример. В июне 2003 г. Госстандартом РФ зарегистрирована "Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности" ("Ай Ти Сертифика"), которая разработана некоммерческой организацией Ассоциацией "ЕВРААС" и будет действовать на ее базе. Межрегиональной общественной организации "Ассоциация защиты информации" было предложено войти в эту систему в качестве одного из соисполнителей. Это предложение было принято и в настоящее время идет разработка необходимых организационно-нормативных документов по обеспечению практической деятельности указанной системы добровольной сертификации. Следует отметить большую помощь в разработке идеи создания этой системы и принципов ее функционирования в рамках действующего законодательства аппарата Гостехкомиссии РФ.
К сожалению, подобных примеров пока еще мало в отечественной практике, тогда как на Западе роль негосударственных объединений и ассоциаций, в том числе и межгосударственного характера, в регулировании деятельности в той или иной сфере уже общепризнана. Одной из причин подобного отставания, по-видимому, является недостаточный уровень развития у нас общественного правосознания, в то время как отечественная законодательная база наделяет общественные организации достаточно широкими полномочиями по влиянию на научно-техническую и промышленную политику, включая право в установленном законодательством РФ порядке запрашивать и получать от соответствующих органов исполнительной власти, организаций в пределах их компетенций ту или иную информацию в своей сфере деятельности, право на участие в обсуждении проектов законодательных актов и программ, наконец, право осуществления в отдельных случаях общественного контроля за выполнением установленных норм, правил и нормативов. Одной из форм последнего является введение ст. 9.9 ФЗ "О техническом регулировании" порядка участия в экспертизах проектов технических регламентов представителей федеральных органов исполнительной власти, научных организаций, саморегулируемых организаций, общественных объединений предпринимателей и потребителей на паритетных началах.
В целом, имея в виду движение России к так называемому "информационному обществу", следует признать как национально значимую задачу консолидацию усилий общественных организаций с государственными организациями и органами власти для обеспечения информационной безопасности РФ, частью которой является и затронутая в данной статье проблема.
Емельянов Геннадий Васильевич. Заместитель начальника управления проблем информационной безопасности аппарата Совета Безопасности Российской Федерации. Председатель Совета МОО "Ассоциация защиты информации", член-корреспондент Академии криптографии РФ, кандидат физико-математических наук. Действительный государственный советник 3 класса.
|
