Содержание.

Введение.

      В обществе постоянно создается и  функционирует огромное количество разнообразных документов. От правильной организации работы с документами зависит эффективность работы учреждений, предприятий, фирм. А особенно на данном этапе развития цивилизации большая  роль уделяется информации в процессе управления – на всех его уровнях и во всех сферах: политической, экономической, научной, культурной и. т.д. Документирование информации, её поиск, обработка, хранение, передача требуют значительных финансовых, материальных, трудовых ресурсов и времени. Поэтому организация эффективной работы с документами, совершенствование всех информационно-документационных процессов является важнейшим направлением управленческой деятельности. В связи с этим я решила уделить некоторое внимание проблеме защиты информации, так как она является неотъемлемой частью при работе с любым видом информации.

Государственное регулирование средств защиты информации.

      В настоящее время средства защиты информации подчинены достаточно жесткому государственному регулированию: все  виды деятельности по защите информации лицензируются, средства защиты информации, используемые в государственных органах либо при осуществлении отношений с ними, подлежат обязательной сертификации.

      Кроме того, широкий круг отношений по использованию средств защиты информации подчинен дополнительному регулированию, что выражается в установлении жестких правил разработки, распространения, использования и регистрации средств криптографической защиты информации.

      В отношении средств защиты информации, содержащей государственную тайну, действуют особые правила, более  жесткие, чем правила, относящиеся  к средствам защиты информации "гражданского" характера.

Следует предположить, что не все из этих ограничений оправданны. Строгий  контроль необходим только в отношении  тех средств защиты информации, от надежности которых зависит экономическая  и политическая безопасность Российского государства и безопасность информационных систем общего пользования, а также средств защиты информации, распространяемых среди неограниченного круга потребителей. Таким образом, наиболее жесткому регулированию подлежат средства защиты информации, содержащей государственную тайну (как это и существует в настоящее время). Регулирование процессов создания и использования средств защиты информации, предназначенных для использования в информационных системах общего пользования и распространения среди неограниченного круга потребителей, должно сводиться к обеспечению необходимого уровня безопасности и надежности этих средств.

      В отношении средств защиты информации, используемых государственными органами и не предназначенных для защиты государственной тайны, не может вводиться дополнительных требований (помимо тех, которые предъявляются к средствам защиты информации, используемым частными лицами), так как это противоречит принципам единства экономического пространства и равенства форм собственности в РФ.

      При необходимости, можно создать систему  аттестации средств защиты информации, используемых государственными органами. Средства защиты информации, предназначенные  исключительно для внутренних целей  организации, не должны подлежать обязательной сертификации, а деятельность по их созданию и использованию - лицензированию, так как в данном случае уровень надежности защиты информации определяется исключительно частными интересами данной организации. Вводить  требования, определяющие как максимальные, так и минимальные пороги этого уровня, нецелесообразно.

О роли государства  в регулировании  разработки, производства и обращения средств  защиты информации.

      С момента возникновения на территории бывшего СССР ряда независимых образований  и формирования России как самостоятельного государства остро встал вопрос о необходимости коренной переработки законодательной базы страны во всех областях деятельности общества и государства. В полной мере это относилось и к сфере деятельности, связанной с вопросами обеспечения информационной безопасности как Российской Федерации в целом, так и по отдельным частным направлениям этой проблемы. К настоящему времени достаточно много в этом отношении нашими законодательными органами уже сделано.

      В качестве примеров можно указать принятие целого ряда важных законов таких, как ФЗ от 20.02.95 №24-ФЗ "Об информации, информатизации и защите информации", ФЗ от 05.06.96 №85-ФЗ "Об участии в международном информационном обмене", недавно принятые ФЗ от 10.01.02 №1-ФЗ "Об электронной цифровой подписи" и ФЗ от 7.07.03 №126-ФЗ "О связи" и т.д. Наконец, как положительный момент, безусловно, следует отметить утверждение в 2000 г. Президентом РФ "Доктрины информационной безопасности РФ", в которой впервые на таком высоком государственном уровне сформулированы стержневые направления деятельности по решению проблемы обеспечения информационной безопасности страны.

      Понятно, что считать эту проблему полностью  решенной пока нельзя. Этому вопросу  было даже посвящено одно из заседаний  Межведомственной комиссии по информационной безопасности Совета Безопасности РФ, по результатам которого был выпущен документ "Основные направления совершенствования нормативной базы в области обеспечения информационной безопасности РФ", в котором были даны соответствующие рекомендации, предназначенные, в первую очередь, для органов и субъектов, имеющих право законодательной инициативы. Одним из вопросов, который подвергается постоянным дискуссиям, является вопрос о роли государства в области разработки, производства и обращения средств защиты информации.

      С одной стороны, чрезмерная зарегулированность обращения средств защиты (по крайней  мере в части криптографических  средств) приводит к появлению таких  тупиков, как невозможность осуществления  государственного контроля за перемещением через рубеж средств защиты информации, реализованных программным способом, с учетом того, что соответствующий алгоритм можно передать по глобальной сети Интернет; нелогичность контроля со стороны государства за производством и обращением средств криптографической защиты невысокого уровня стойкости для тех потребителей, для которых такого уровня достаточно. А такая ситуация у нас в стране до недавнего времени реально существовала. С другой стороны, полный уход государства с этого поля деятельности, очевидно, недопустим, хотя бы потому, что нередко речь идет о защите государственно значимой информации, вплоть до информации, составляющей гостайну.

      К настоящему времени определенные продвижения  здесь уже есть. Так, Постановлением Правительства РФ от 23.09.02 №691 установлены нижние границы для числа ключей, начиная с которых государство осуществляет контроль за производством и использованием соответствующих средств. Считается, что если сам потребитель идет на приобретение и использование подобного шифровального средства, то государственный контроль за производством, распространением и т.д. этих средств не нужен и осуществляться не будет.

      Вместе  с тем, что касается деятельности, направленной на обеспечение необходимого уровня защищенности чувствительной информации, сопряженной с возможностью нанесения ущерба правам, законным интересам граждан, обороне и безопасности государства, включая и защиту гостайны, такая деятельность, по-видимому, должна относиться к сфере, регулируемой государством. Представляется, что на этом водоразделе можно было бы достичь компромисса, но последнее не устраивает некоторых разработчиков проектов законодательных актов в области создания и использования средств защиты информации, мотивирующих свое несогласие тем, что это будет тормозить процесс развития и широкого внедрения информационных технологий у нас в стране.

      Казалось, что с выходом ФЗ от 27.12.02 №184-ФЗ "О техническом регулировании" дискуссию на эту тему можно закрывать, поскольку, на первый взгляд, этот закон  достаточно четко описал поле, на котором государство осуществляет регулирующие и контролирующие функции во всех областях производства, включая и сферу безопасности IT-технологий. В действительности это не так. По прочтении закона возникает целый ряд вопросов, требующих, мягко говоря, разъяснений компетентных органов.

      Так, сферы деятельности, в которых  признается законность жесткого государственного регулирования, сведены всего к  следующим позициям:

• сведения, составляющие гостайну или относимые в соответствии с законодательством РФ к информации ограниченного доступа;
• защита жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;

• охрана  окружающей среды, жизни или здоровья животных или растений;
• предупреждение действий, вводящих в заблуждение приобретателей.

      Тем самым ни о какой главенствующей роли государства в сфере защиты информации, если она не несет в  себе признаков гостайны или информации ограниченного доступа, в том  числе и в критически важных секторах экономики, речи в законе не идет. Конечно, в ряде случаев можно провести логическую цепочку доказательств или обоснований, сводящих защиту подобной информации к одной из указанных выше позиций. Но все это нужно проводить опять-таки соответствующими законами и примет ли их Госдума - вопрос, ответ на который весьма неоднозначен.

      Очевидно, что в разрешении этой неопределенной ситуации многое будет зависеть от позиций и активности уполномоченных в этих вопросах органов исполнительной власти и других участников процесса.

      В настоящее время под эгидой Гостехкомиссии РФ идет работа над теми документами, которые необходимо разработать  и ввести в действие для того, чтобы ФЗ "О техническом регулировании" действовал без ущерба для безопасности государства. Эта работа ведется Госстандартом России, Минэкономразвития и Гостехкомиссией России по поручению Правительства РФ и на основании ст. 5 указанного закона, согласно которой (в упрощенной редакции) в случае отсутствия требований технических регламентов в отношении оборонной продукции, поставляемой по государственному оборонному заказу, и продукции, сведения о которой являются информацией ограниченного доступа, обязательными являются требования, установленные федеральными органами исполнительной власти.

      Одновременно начинается разработка трех регламентов в области защиты информации: на 2004 г. запланирована разработка общего технического регламента "Безопасность информационных технологий"; в 2005-06 гг. планируется разработка специальных технических регламентов: "Требования к средствам и системам безопасных информационных технологий" и "Требования по защите информации, обрабатываемой на объектах информатизации".

      В целом,  и указанные выше мероприятия  далеко не покрывают всего поля возможного присутствия государства в сфере правоотношений в области защиты информации. Так, что касается прав личности, критических технологий и т.п., находящихся вне зоны действия ст. 5, то здесь роль государства пока четко не очерчена. Попытка решить часть этой проблемы, касающейся критических технологий, делается в разрабатываемой в соответствии с Федеральной целевой программой "Электронная Россия". Концепцией защиты государственных систем от несанкционированного доступа, в которых, очевидно, циркулирует и обрабатывается информация. Несколько слов о лицензировании. ФЗ "О техническом регулировании" не отменяет действующих нормативных документов о лицензировании и, в частности, положений ФЗ от 08.08.01 №128-ФЗ "О лицензировании отдельных видов деятельности". Хотя такие инициативы со стороны некоторых субъектов, работающих над совершенствованием законодательной базы в области информатизации, постоянно идут. В то же время некоторые изменения в ряд нормативных документов, по-видимому, будут внесены. В частности, это касается Указа Президента РФ от 03.04.95 №334, Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ 99). Однако кардинальных изменений в ближайшее время не ожидается.

      В целом ФЗ "О техническом регулировании" существенно снижает нагрузку на госорганы в области регулирования  рынка обращения средств защиты информации и переводит эти вопросы  в область общественного саморегулирования, в частности, через инструмент добровольной сертификации.

      В этой связи существенно возрастает роль общественных объединений и  организаций, действующих в рассматриваемой  сфере. Многое будет зависеть от активности и готовности этих объединений к  работе в новых условиях.

      В данном контексте можно привести один положительный пример. В июне 2003 г. Госстандартом РФ зарегистрирована "Система добровольной сертификации средств информационных технологий по требованиям информационной безопасности" ("Ай Ти Сертифика"), которая разработана некоммерческой организацией Ассоциацией "ЕВРААС" и будет действовать на ее базе. Межрегиональной общественной организации "Ассоциация защиты информации" было предложено войти в эту систему в качестве одного из соисполнителей. Это предложение было принято и в настоящее время идет разработка необходимых организационно-нормативных документов по обеспечению практической деятельности указанной системы добровольной сертификации. Следует отметить большую помощь в разработке идеи создания этой системы и принципов ее функционирования в рамках действующего законодательства аппарата Гостехкомиссии РФ.