Обязательная сертификация средств защиты информации

Законом "Об информации, информатизации и за­щите информации" определено, что информационные ресурсы, то есть отдельные документы или массивы до­кументов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и за­щите, как всякое материальное имущество собственника. При этом собственнику предоставляется право само­стоятельно, в пределах своей компетенции, устанавли­вать режим защиты информационных ресурсов и досту­па к ним.

Российская Федерация и ее субъекты являются соб­ственниками информационных ресурсов, создаваемых за счет средств федерального бюджета и бюджетов субъек­тов Российской Федерации.

Законом "Об информации, информатизации и защи­те информации" введено также понятие документиро­ванной информации с ограниченным доступом, которая подразделяется на информацию, отнесенную к государ­ственной тайне, и конфиденциальную (то есть представ­ляющую коммерческую, личную, служебную и другие тайны).

В соответствии с положениями этого закона соб­ственник информационных ресурсов, содержащих госу­дарственную тайну, вправе распоряжаться этой соб­ственностью только с разрешения соответствующих ор­ганов государственной власти.

Таким образом, законодательно определяется не­которая категория информации, которая требует опре­деленных ограничений в ее использовании, а сама ин­формация требует защиты.

Целями защиты информации упомянутый Закон определяет:

предотвращение утечки, хищения, утраты, иска­жения, подделки информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копи­рованию, блокированию информации;

• предотвращение других форм незаконного вме­шательства в информационные ресурсы и инфор­мационные системы, обеспечение правового режи­ма документированной информации как объекта собственности;

• защиту конституционных прав граждан на сохра­нение личной тайны и конфиденциальности персо­нальных данных, имеющихся в информационных системах;

• сохранение государственной тайны, конфиденци­альности документированной информации в соот­ветствии с законодательством;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и приме­нении информационных систем, технологий и средств их обеспечения.

Государство, владея информацией, представляющей национальное достояние или содержащей сведения огра­ниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает спе­циальные меры, обеспечивающие контроль ее использова­ния и качества защиты. Одной из таких мер является сертификация средств защиты информации.

Необходимость сертификации средств защиты, применяемых при обработке информации, составляю­щей государственную тайну, закреплены в Законе Рос­сийской Федерации "О государственной тайне". Серти­фикации подлежат защищенные технические, программ­но-технические, программные средства, системы, сети вычислительной техники и связи, средства защиты и средства контроля эффективности защиты. Обязатель­ной сертификации подлежат средства, в том числе и ино­странного производства, предназначенные для обработ­ки информации с ограниченным доступом, и прежде все­го составляющей государственную тайну, а также ис­пользующиеся в управлении экологически опасными объектами, вооружением и военной техникой и средства их защиты. Наличие у владельца информационной си­стемы сертифицированных средств обработки информа­ции является гарантией надежности ее защиты и дает ему преимущества при осуществлении страхования.

Порядок сертификации средств защиты информа­ции в Российской Федерации и ее учреждениях за рубе­жом установлен Положением "О сертификации средств защиты информации", утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 го­да № 608 (текст этого Положения приводится во второй части книги). Это Положение определяет области дея­тельности и сферу компетенции различных государ­ственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Фе­дерации возлагается на Гостехкомиссию России и Феде­ральное агентство правительственной связи и информа­ции (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межве­домственную комиссию по защите государственной тайны.

Мы думаем, что на роли и общих задачах ФАПСИ здесь нет необходимости останавливаться подробно, по­скольку они, в допустимых пределах, достаточно широ­ко освещаются в печати. А вот название такого государ­ственного органа, как Гостехкомиссия России, некото­рым из наших читателей, возможно, незнакомо.

Государственная техническая комиссия при Пре­зиденте Российской Федерации (Гостехкомиссия Рос­сии) является федеральным органом исполнительной власти, осуществляющим межотраслевую координа­цию и функциональное регулирование деятельности по обеспечению защиты информации некриптографи­ческими методами.

Непосредственное подчинение Президенту Россий­ской Федерации обеспечивает независимость Гостехкомиссии России от региональных, ведомственных и кор­поративных влияний, гарантирует соответствие ее дея­тельности высшим государственным интересам. Гостех­комиссия России - коллегиальный орган. В ее состав входят министры, председатели государственных коми­тетов, первые заместители (заместители) этих руководи­телей. Решения Гостехкомиссии России являются обяза­тельными для исполнения всеми органами государствен­ного управления, предприятиями, организациями и уч­реждениями независимо от их организационно-правовой формы и формы собственности, которые по роду своей деятельности обладают информацией, составляющей го­сударственную или служебную тайну.

Директивными документами, в частности уже упо­минавшимся Положением "О сертификации средств за­щиты информации" установлено, что:

В ведении Гостехкомиссии России нахо­дится сертификация программных и тех­нических средств защиты информации, не использующих методы криптографии (шифрования), а в ведении ФАПСИ - сертификация средств защиты информа­ции, использующих эти методы.

В соответствии с установленным распределением сфер деятельности Гостехкомиссии России и ФАПСИ в Российской Федерации созданы и функционируют две системы сертификации средств защиты инфор­мации:

• "Система сертификации средств защиты инфор­мации по требованиям безопасности информа­ции", разработанная Гостехкомиссией России и зарегистрированная Госстандартом за № РОСС RU.OOOI.OIBHOO;

• "Система сертификации средств криптографи­ческой защиты информации (СКЗИ)", разработан­ная ФАПСИ и зарегистрированная Госстандартом за № РОСС RU.OOO 1.030001.

Эти системы сертификации технических и про­граммных средств направлены на защиту интересов го­сударства и государственного информационного ресур­са, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России, потребителей продукции и услуг от недобросовестной работы исполнителей.